Kategorie B: Integriertes ISMS mit i-doit

Kategorie B: Integriertes ISMS mit i-doit

Ein Information Security Management System, ISMS, zu errichten ist in manchen Branchen ein verpflichtender Prozess. Verfahren und Regeln müssen auf den Bedarf des jeweiligen Unternehmens  abgestimmt und laufend kontrolliert werden. IT-Sicherheit beginnt, wie wir immer wieder betonen, mit der IT-Dokumentation – so auch bei einem unserer Kunden, der im Energiesektor tätig ist. Für das Unternehmen herrschen strenge Regeln für die Informationssicherheit, die sich insbesondere im Alltag der zuständigen IT-Abteilung niederschlagen. Simon Timpner ist extern bestellter IT-Sicherheitsbeauftragter und für das Konzept des Security Managements sowie dessen Umsetzung verantwortlich. Er hat uns folgende Einblicke gegeben:

i-doit wurde nach und nach zur zentralen Instanz für die IT-Dokumentation  gemacht. Begonnen hat dies mit der Durchführung des  IT-Assetmanagement, das die Aktualität und Vollständigkeit der Infrastruktur-Basisdaten gewährleistet. Der Status von Clients, Servern, Clustern, Speichersystemen, Lizenzen und Verträgen werden an dieser Stelle über deren gesamten Lebenszyklus hinweg dokumentiert. Im weiteren Verlauf wurden auch die Bereiche  Lizenzmanagement, Netzmanagement und Vertragsmanagement an i-doit übertragen.

In einem weiteren Schritt wurde das Monitoringsystem Nagios an i-doit angebunden. Die Mitarbeiter sind dadurch in der Lage, den Status der überwachten Systeme direkt in der CMDB einzusehen, ohne auf eine weitere Anwendung zugreifen zu müssen. Die direkte Auswirkung: Kurze Informationswege.

Anschließend wurde das Ticketsystem OTRS mit der CMDB verbunden, um einfach und schnell auf aktuelle Daten der Dokumentation zugreifen zu können. Aktuell wird am Aufbau einer Knowledge-Base für den Service Desk gearbeitet, auch für dieses Projekt spielen die Informationen aus Ticketsystem und CMDB eine wesentliche Rolle. Parallel dazu wird an einer Integration gearbeitet, die aus der CMDB eine Gesamtsicht auf alle Tickets ermöglicht, was eine weitere Zentralisierung und Verdichtung von Informationen an einer Stelle bedeuten würde.

Ein weiterer Aufgabenbereich liegt im Schwachstellenmanagement durch den Nessus Manager. Die Software ermöglicht das automatisierte Auffinden von Schwachstellen sowie fehlerhaften Konfigurationen in Systemen und das Auditieren für das nötige Compliance Auditing. Die Integration mit i-doit ermöglicht die Pflege der Systeme an einer zentralen Stelle und erfolgte in Eigenentwicklung auf Basis der APIs. Die vorhandenen Daten werden verwendet, um ein vollständiges Schwachstellen-Management zu realisieren.

Durch den Einsatz des i-doit VIVA Add-ons wird der Aufbau und Betrieb des ISMS maßgeblich unterstützt. Daraus resultieren die benötigten Reports für die Geschäftsführung und öffentliche Stellen.

Wir von i-doit meinen: Das umgesetzte Konzept von Herrn Timpner zeigt, was umfassendes und konsequent betriebenes IT-Service-Management bedeutet: Es ist ein Eckpfeiler für ein funktionierendes Security Management.

Kategorie B: OpenVAS Integration – Stadtverwaltung Neustadt

Kategorie B: OpenVAS Integration der Stadtverwaltung Neustadt

Der öffentliche Bereich tickt anders als andere IT-Betriebe. Nicht nur sicher sollen die bereitgestellten IT-Services sein, auch noch nachweislich sicher.

Zum Auffinden bekannter Schwachstellen gibt es den Open Source Schwachstellenscanner OpenVAS, die kommerzielle Variante wird über die Firma Greenbone vertrieben. Mit dem Schwachstellenscanner können alle Systeme im Netzwerk nach bekannten Schwachstellen geprüft werden. Zu jedem Scan wird von OpenVAS ein Bericht erstellt in dem neben den gefundenen Schwachstellen auch Tipps zur Behebung gegeben werden.

Wir sehen uns hier als Beispiel die Stadtverwaltung Neustadt an, wo der dortige Abteilungsleiter Herr Jochen Dehm eine Integration von i-doit und OpenVAS durchgeführt hat. Ein wesentlicher Aspekt bei der Koppelung der Tools war die Sicherstellung eines Prozesses der dafür sorgt, dass alle Systeme regelmäßig gescannt und die Ergebnisse der einzelnen Audits in i-doit dokumentiert werden.

Es scheint offensichtlich, dass die Dokumentation als Grundlage aller Integrationen aktuell sein muss – aber diese Selbstverständlichkeit ist kein Thema mehr. Der Automatismus funktioniert nur, wenn die internen Prozesse funktionieren, dokumentiert wird auch, ob sie funktionieren oder nicht. Nach dem Auftreten einer wesentlichen Schwachstelle ist es dadurch offensichtlich, wann diese nachhaltig beseitigt wurde – in i-doit wird alles durchgehend dokumentiert und damit nachvollziehbar gemacht.

Wir von i-doit meinen: Ein schöner Beweis dafür, dass IT-Sicherheit mit Dokumentation beginnt und das Sicherheitsniveau maßgeblich von stringenten Prozessen abhängt. Solche Integrationen im öffentlichen Bereich nutzen schlussendlich uns allen.

Kategorie B: Integration eines Gebäudemanagmentsystems in die IT-Dokumentation – Goethe-Universität Frankfurt

Kategorie B: Integration eines Gebäudemanagmentsystems in die IT-Dokumentation

Was haben Goethe, Gebäudemanagement und IT-Dokumentation miteinander zu tun? Gemeinsame Daten! Obwohl das Management von Räumen und Gebäuden üblicherweise keine Kernkompetenz der IT-Abteilung darstellt, für das Funktionieren unserer IT-Prozesse werden die Informationen benötigt. Wo steht welches Gerät, wo finde ich den hilfesuchenden Anwender wie finde ich den nächsten Patch-Schrank oder den nächstgelegenen Drucker – all das sind Fragen, die für einen reibungslosen Ablauf essentiell sind.

Im Fall der Goethe-Universität in Frankfurt gibt es ganze 18.192 Räume in 180 Gebäuden an 12 Standorten zu verwalten. 50.000 Studierende mit IT-Services zu versorgen und zu supporten beginnt dabei mit einer soliden Datenbasis, deren Herstellung und einheitliche Dokumentation ist ein zeit- und ressourcenintensiver Prozess. Wie sieht also die beste Vorgehensweise aus? Die Antwort ist ein genau für solche Zwecke spezialisiertes Softwaresystem (Computer Aided Facility Management – CAFM), das mit einer modernen API ausgestattet ist und durch geschulte IT Mitarbeiter als zentrale Informationsquelle genutzt wird. Durch diesen Prozess wird auch gewährleistet, dass i-doit mit wertvollen Basisdaten versorgt wird.

Joachim Stark und sein Team, allen voran Sven Specker, haben diese Integration vorangetrieben und mussten dabei einen steinigen Weg zurücklegen. Sowohl organisatorische, als auch technische Barrieren mussten überwunden werden: Viel Überzeugungsarbeit war nötig, genauso wie eine Einarbeitung in die APIs, das Schreiben einer Middleware zur Datensynchronisation, das Testen aller Anwendungsfälle und schließlich die Qualitätssicherung. Der Aufwand lohnte sich aber in jedem Fall, denn von da an wussten alle Abteilungen genau um welchen von den 18.192 Räumen es sich in einem konkreten Fall handelte.

Wir von i-doit meinen: Die IT ist keine Insel. Viele Daten existieren bereits in den Fachbereichen, die ebenso nutzbar sein sollten wie die Artefakte der IT-Prozesse anderswo genutzt werden wollen. Alle reden von Microservices, aber wir sind noch lange nicht so weit: hier ein schönes Beispiel der Integration von zwei Macro-Services: Wave Facilities von Loy & Hutz und i-doit!

Kategorie B: Automatisierte Monitoring Lösung über die i-doit API – Landkreis Lüneburg

Kategorie B: Automatisierte Monitoring Lösung über die i-doit API

Erst neulich wurde von unserem Partner becon ein White Paper veröffentlicht, in dem die unterschiedlichen, auf Open Source Code basierenden, Monitoring Lösungen vorgestellt werden. Nicht weniger als neun Lösungen stehen im Angebot,  alle mit unterschiedlichen Features. Mit dabei ist auch ICINGA2, eines jener Tools, die sukzessive die ersten Nagios-Installationen ablöst. Die Skalierbarkeit, die Möglichkeiten des Distributed Monitorings und vor allem die Integrationsmöglichkeiten mit bestehenden Systemen sind bestechend. Dadurch wird die Anwendung ganz andere Service Management Konzepte möglich als noch vor 5 Jahren.

Kein Wunder also, dass ein engagierter i-doit Anwender, in unserem Fall Herr Päper vom Landkreis Lüneburg, die Konfiguration des Monitorings automatisiert – i-doit ist das führende System. Die Daten sind bereits vorhanden. So werden beispielsweise Standortdaten verwendet, um das verteilte Monitoring automatisch und korrekt zu konfigurieren. Damit ist auch der Change Management Prozess großartig umgesetzt: Zuerst dokumentieren, dann überwachen. Über die i-doit API  und entsprechende Scripts entstand eine schlanke und dennoch integrierte Lösung – ganz abseits von monströsen Systems Management Monolithen.

Nach nur wenigen Wochen Einarbeitungszeit in die APIs kann Herr Päper gelassen in die Zukunft blicken: Jede Automatisierungsaufgabe, sowohl bei der Dokumentation, als auch im Monitoring, wird er kurzfristig umsetzen können.

Wir von i-doit meinen: Eine tolle Integration zweier Tools, die am Markt bereits hohe Relevanz haben – die Aufmerksamkeit der i-doit Community ist Herrn Päper ganz sicher.

Newsletter

You did IT!