Bundesamt für Sicherheit in der Informationstechnik

M 2.169 Entwickeln einer Systemmanagementstrategie

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Die in einem Netz angesiedelten Komponenten müssen von einem Administrator regelmäßig verwaltet werden. Die zu erledigenden Aufgaben reichen von der Einrichtung neuer Benutzer bis hin zur Installation neuer Software, deren verteilte Natur die Installation von Teilsoftware auf jedem einzelnen Rechner verlangt (Workflowsystem, Dokumentenverwaltungssystem, o. Ä.). In großen Organisationen bedeutet alleine die Einrichtung eines neuen Benutzers, der sich auf allen für ihn freigegebenen Rechnern anmelden können soll, einen hohen administrativen Aufwand, da beim Stand-alone-Betrieb jeder einzelne dieser Rechner dementsprechend konfiguriert werden muss. Moderne netzfähige Betriebssysteme (z. B. Unix, Windows NT, Novell) sind daher mit Mechanismen ausgestattet, die den administrativen Aufwand verringern sollen (z. B. zentrale Benutzerverwaltung). Soll allerdings die Verwaltung aller Hard- und Software-Komponenten eines lokalen Netzes auf allen Ebenen (technisch und organisatorisch) in einheitlicher Weise erfolgen, so müssen einerseits technische Hilfsmittel in Form von Managementsystemen eingesetzt werden, deren erfolgreicher Einsatz andererseits aber auch von einer zu erstellenden Managementstrategie abhängt. Die Vorgaben und Regeln der Managementstrategie werden dann durch die Systemadministration mit Hilfe der Managementsoftware umgesetzt. Eine Managementstrategie muss individuell auf die Bedürfnisse der jeweiligen Unternehmen bzw. Behörden angepasst sein. Hierzu müssen folgende Schritte durchgeführt werden:

Festlegung der vom Managementsystem zu verwaltenden Objekte

Nach der Durchführung der Bestandsaufnahme (siehe M 2.168 IT-System-Analyse vor Einführung eines Systemmanagement-Systems ) muss festgelegt werden, welche Bereiche des IT-Systems durch ein zu beschaffendes Managementsystem verwaltet werden sollen:

  • Welche Rechner bzw. Hardware sollen in das Managementsystem einbezogen werden?
  • Welche Software soll einbezogen werden?
  • Welche Benutzer bzw. Benutzergruppen werden einbezogen?

Festlegung der im Managementsystem anzuwendenden Sicherheitsrichtlinien

Neben diesen Entscheidungen müssen aber auch schon existierende Vorschriften und Methoden einbezogen werden. So muss z. B. die festgelegte Sicherheitspolitik der Behörde bzw. des Unternehmens, die Datenschutzrichtlinien und die Richtlinien zur Einführung neuer Software in das Managementkonzept einfließen, da die geltenden Vorschriften auch beim Einsatz eines Managementsystems beachtet und umgesetzt werden müssen. Auch für den Gebrauch des Managementsystems selbst sind Regelungen zu treffen bzw. existierende Regelungen auf Validität zu prüfen und gegebenenfalls anzupassen, und dann auch anzuwenden. Dies gilt insbesondere in den Bereichen:

  • Zugriffsrechte auf Managementinformationen
  • Dokumentation des Managementsystems
  • Erstellung oder Abgleich von Notfallplänen für den Ausfall des Managementsystems oder einzelner Komponenten

Im Vorfeld sollten auch bereits die Reaktionen auf Verletzung der Sicherheitspolitik im Bereich Systemmanagement festgelegt werden. Ähnlich wie in anderen IT-Bereichen, muss auch für den Bereich des Systemmanagements eine Sicherheitspolitik festgelegt bzw. die vorhandene Sicherheitspolitik des Unternehmens bzw. der Behörde auch auf den Bereich Systemmanagement angewandt werden. Da ein Managementsystem mit wichtigen Netz- und Systemkomponenten interagiert und deren Funktion verwaltet und überwacht, sind Verletzungen der Sicherheitspolitik in diesem Bereich als besonders schwer anzusehen. Insbesondere sind hier Regelungen und Vorgehensweisen zu definieren, die nach einer solchen Sicherheitsverletzung zum Einsatz kommen. Diese sind einerseits technischer Natur (z. B. Vergabe neuer Passwörter für alle Benutzer nach Kompromittierung der Managementkonsole), aber auch organisatorischer Natur.

Revision, Datenschutzbeauftragte und Sicherheitsmanagement sollten schon in der Planungsphase einbezogen werden. Nach Einführung des Managementsystems müssen die ihnen hier obliegenden Aufgaben in Bezug auf das Managementsystem klar sein. Beispiel: Der Datenschutzbeauftragte kann schon in der Planungsphase auf die Einhaltung der Datenschutzrichtlinien achten, z. B. welche Benutzerinformationen im Rahmen des Systemmanagements erfasst werden sollen bzw. dürfen. Nach Einführung des Systems muss er zudem in der Lage sein, die Einhaltung der Richtlinien zu überprüfen. Ähnliches gilt für die Zuständigkeitsbereiche des Revisors und des IT-Sicherheitsbeauftragten.

Festlegung der Randbedingungen für die Produktauswahl des Managementsystems

Die Einführung eines Systemmanagementsystems erfordert eine umfangreiche und sorgfältige Planung. Teile der Systemmanagementstrategie hängen zudem davon ab, ob sie mit einem konkreten Produkt realisiert werden können oder nicht. Dies führt dazu, dass die Erstellung der Managementstrategie und die (Vor-)Auswahl eines Produktes iteriert werden müssen.

Folgende Punkte sollten bei der Erstellung der Systemmanagementstrategie Berücksichtigung finden:

  • Ist mehr als eine Managementdomäne nötig? Wenn ja: Wie sind diese zu bilden? Managementdomänen erlauben die Einteilung der Komponenten des zu verwaltenden Systems in Gruppen. Die einzelnen Gruppen können voneinander getrennt verwaltet werden. Die Aufteilung in verschiedene Managementdomänen ist für kleinere und mittlere zu verwaltende Systeme nicht zwingend, unterstützt jedoch ein strukturierteres Systemmanagement. Für große zu verwaltende Systeme ist die Aufteilung in verschiedene Managementdomänen in der Regel zwingend. Die Planung der Managementregionen hängt dabei von mehreren Faktoren ab:
    • Netztopologie
      Insbesondere für mittlere Systemgrößen bietet sich die Aufteilung des Systems in Managementdomänen entsprechend der konkreten Netztopologie an (gerade auch, wenn es z. B. keine unterschiedlichen Verantwortlichkeiten gibt).
    • Organisatorische Verantwortlichkeiten innerhalb des Unternehmens oder der Behörde
      So kann die Organisationsstruktur mit dem Managementsystem nachgebildet werden, so dass z. B. Domänen wie "Rechnungswesen", "Programmierung" oder auch "Bereich Produktion", "Bereich Softwareentwicklung" entstehen.
      Auch sicherheitstechnische Gründe, die sich in der Managementpolitik niederschlagen, können zu mehreren Managementregionen führen. Dies ist insbesondere dann der Fall, wenn Managementaufgaben für bestimmte Organisationseinheiten delegiert werden sollen, ohne dass der lokale Administrator Zugriffsrechte auf die Managementfunktionen für die Komponenten außerhalb seines Zuständigkeitsbereiches haben soll.
    • vorhandene Infrastruktur
      Hier ist z. B. die geographische Verteilung von Filialen oder die räumliche Verteilung von Arbeitsgruppen über die Stockwerke eines Gebäudes zu betrachten.
    • Sicherheitsbetrachtungen
      • Mehrere Managementregionen können dann nötig werden, wenn das Managementprodukt zwar verschiedene Verschlüsselungsmechanismen pro Region unterstützt, von denen jedoch pro Region in der Regel nur eine zum Einsatz kommen kann. Sollen zwischen einzelnen Managementkomponenten tatsächlich verschiedene Mechanismen zum Einsatz kommen, so sind mehrere Managementregionen nötig. Beispiel: Ein System aus mehreren Datenbank-Servern mit sensitiven Daten und den zugehörigen Clients, die selbst keine Daten speichern, wird verwaltet. Die Managementkonsole soll mit den Servern nur stark verschlüsselt kommunizieren, da auch die Datenbanken über das Managementsystem verwaltet werden. Die Kommunikation mit den Clients soll hingegen aus Performancegründen nur schwach verschlüsselt geschehen. In diesem Fall müssen in der Regel zwei Managementregionen gebildet werden: eine Region, in der die Server enthalten sind, und eine zweite Region, die die Clients umfasst.
      • Mehrere Managementregionen erhöhen die Ausfallsicherheit, da z. B. beim Ausfall einer Managementregion die restlichen Regionen unabhängig davon weiterhin verwaltet werden können.
      • Einfluss hat auch die Anzahl der zu verwaltenden Rechner pro Managementregion. Die meisten Produkte geben Empfehlungen über die Anzahl der Rechner, die durch den Managementserver einer Region verwaltet werden können. Eine Zahl von 200 Rechnern pro Server ist aber keine Seltenheit.
  • Welche Maschinen sollen als Managementserver dienen? In der Regel ist mit steigender Anzahl von Clients an einem Managementserver mit Performanceeinbußen zu rechnen. Dies muss bei der Planung berücksichtigt werden.
  • Welche physikalische Anordnung müssen die Managementserver haben und wo werden sie aufgestellt? Die Lokation eines Servers hat z. B. Einfluss darauf, wie Rechner, die von diesem Server verwaltet werden sollen, über das Netz an diesen angebunden sind. Bei einigen Plattformen gibt es z. B. Mindestanforderungen an die Kommunikationsbandbreite zwischen Server und Client (so unterstützt z. B. TME 10 keine Anbindung von Clients über Leitungen mit weniger als 14.4 Kbps). Dies hat direkte Auswirkungen auf die mögliche Managementsystemkonfiguration und macht z. B. die Neuanschaffung von Rechnern oder den Ausbau von Netzverbindungen nötig.
  • Sind so genannte Gateways oder Proxies nötig, die ein hierarchisch aufgebautes Management und/oder den Anschluss an Produkte von Drittanbietern ermöglichen?
  • Einige Systeme unterscheiden zwischen so genannten "Managed Nodes" und "Endpoints". Bei beiden handelt es sich um Arbeitsplatzrechner, sie unterscheiden sich aber in der Art und Weise, wie diese in das Managementsystem eingebunden sind: So halten "Endpoints" z. B. im Unterschied zu "Managed Nodes" keine eigene lokale Datenbank mit Managementinformationen vor und können auch nicht zur Weiterleitung von Managementinformationen an weitere Rechner benutzt werden. Hier muss entschieden werden, welche Maschinen als "Managed Nodes" in das Managementsystem eingebunden sein sollen und welche lediglich als "Endpoints" verwaltet werden. In der Regel sollte das Gros der Arbeitsplatzrechner als "Endpoint" eingebunden werden.

Die so erstellte Managementstrategie induziert eine Reihe von Anforderungen an das zu beschaffende Managementprodukt. Durch die Gewichtung der Anforderungen ergibt sich eine konkrete Produktauswahl. Die Managementstrategie muss nun dahingehend überprüft werden, ob sie mit dem zur Verfügung stehenden Funktionsumfang vollständig umgesetzt werden kann. Eine Reformulierung der Strategie kann dadurch in einzelnen Bereichen notwendig sein. Beispiel: Die Produktauswahl ergibt, dass das System, das starke Verschlüsselung unterstützt, leider nicht die Delegation von Verwaltungsaufgaben an "Subadministratoren" erlaubt. Daraufhin muss die Managementstrategie angepasst werden (korrekte Gewichtung der Anforderungen vorausgesetzt).

Prüffragen:

  • Sind alle der vom System-Managementsystem zu verwaltenden Objekte festgelegt?

  • Ist eine anzuwendende Sicherheitsrichtlinie für das System-Managementsystem spezifiziert?

  • Existiert eine Sicherheitsrichtlinie, die den Bereich Systemmanagement abdeckt?

  • Existieren Regelungen und Vorgehensweisen im Fall einer Sicherheitsverletzung bei Netz- und Systemkomponenten?

  • Wird überprüft, ob die Systemmanagementstrategie mit möglichen Systemmanagementprodukten vollständig umgesetzt werden kann?

Stand: 13. EL Stand 2013