Auditsichere Dokumentation essenzieller IT-Bereiche

Bertalan Fekete Bertalan Fekete
7 Min
11.03.25
Digital Process Solutions  
#Active Directory#Audit#Dokumentation#Visualisierung

Das nächste Audit, intern oder extern, steht vor der Tür? Welche Kernbereiche gibt es, die in der Vorbereitung auf das Audit unbedingt dokumentiert werden sollen?  

Wenn man im Rahmen einer Auditvorbereitung an das Berichtswesen im IT-Umfeld denkt, steht man meist einer Komplexität gegenüber, die manuell nicht mehr zu meistern ist. Eine homogene IT-Landschaft ist zwar immer gewünscht, aber oft nicht oder nur begrenzt in Teilen des Unternehmens vorhanden.  

Die IT-Umgebungen bestehen heutzutage aus einer Kombination von verschiedensten Softwarelösungen, unterschiedlichen Betriebssystemen, verschiedenen Virtualisierungstechnologien, Datenbanken verschiedener Hersteller und vielen anderen Komponenten. Immer mehr Anbieter positionieren sich mit neuen Lösungen und verbreitern den Markt; die Strukturen werden komplexer. Dazu kommt meist eine Vielzahl von Hardwareherstellern (z. B. im Netzwerkbereich: Firewalls, Switche, Drucker, USV).  

Durch diese Faktoren steigt am Ende die Komplexität der gesamten Umgebung, die das Berichtswesen oder überhaupt die Dokumentation erheblich erschwert. Eine dezentrale IT oder lokale Beschaffungswege an diversen Standorten machen die Situation meist auch nicht einfacher, zumal häufig Faktoren aus dem OT-Bereich berücksichtigt werden müssen. 

Grundlagen des Berichtswesens im IT-Umfeld 

Im Prozess der Auditvorbereitung ist die Dokumentation der IT-Landschaft aus meiner Sicht das A und O. Denn man kann nur Assets in Berichte aufnehmen und Transparenz schaffen, wenn man sie auch kennt. 

Dazu bieten sich am besten Dokumentationslösungen an, die über eine möglichst umfangreiche Inventarisierungsfunktion verfügen und im Optimalfall gleichzeitig ein eigenes Reporting auf Basis des Inventars mitbringen. Die benötigten Auswertungen oder Berichte können direkt in oder mit Hilfe der Software erzeugt werden.  

Es gibt Bereiche, die bei einer Dokumentation nicht fehlen dürfen. Exemplarisch schauen wir uns dazu ein paar von diesen Kernbereichen und den verfügbaren Optionen der Dokumentation inkl. Berichte an.  

Für ein erfolgreiches Audit sind meines Erachtens alle dieser Bereiche elementar wichtig, da diese das Herzstück der IT-Infrastruktur abbilden. Deshalb gehen wir bei diesen Beispielen davon aus, dass sie alle vollständig inventarisiert wurden.   

Anhand folgender Beispiele betrachten wir die jeweiligen Dokumentationen genauer:  

  • Microsoft Active Directory 
  • Virtualisierung mit VMware 
  • Installierte Softwareprodukte 

1. Microsoft Active Directory

Die meistverbreitete Lösung für Verzeichnisdienste ist Stand heute das Active Directory von Microsoft. Der Verzeichnisdienst ist einer der oder sogar der wichtigste Kernbereich einer modernen IT-Infrastruktur und gleichzeitig ein komplexes Konstrukt. Wie kann man das Active Directory also erfassen und detailliert dokumentieren? Bei der derzeitigen Komplexität ist der Aufwand eines manuellen Berichtswesen im Umfeld des Active Directory kaum zu stemmen, daher sollte man automatisierte Lösungen einsetzen.  Neue Designs oder Sicherheitskonzepte in Form von AD-Härtung oder Tier-Level-Strukturen erhöhen die Komplexität. 

Mit Hilfe von professionellen Dokumentationslösungen ist es möglich, die wichtigsten Komponenten des Active Directory, z. B. die Struktur, die Gruppenrichtlinien, die Standorte und die Objekte wie Benutzer und Gruppen bzw. Computerkonten zu erfassen. 

Bei den Usern erhält man zum Beispiel einen guten Überblick über folgende Kategorien: 

Abbildung 1: Informationen eines Users (Quelle: Docusnap Demodatenbank)

Bei den Gruppen können neben den allgemeinen Informationen sowohl die direkten Mitgliedschaften als auch alle Gruppenmitgliedschaften dargestellt werden:

Abbildung 2: Darstellung der Gruppenmitgliedschaften im Active Directory (Quelle: Docusnap Demodatenbank)

Die Verschachtelung des Users in den einzelnen Gruppen kann graphisch dargestellt werden. So erkennt man auch unerwünschte rekursive Verschachtelungen und besitzt eine gute Grundlage für weitere Analysen:

Abbildung 3: Visualisierung der Verschachtelung eines Users in diversen Gruppen (Quelle: Docusnap Demodatenbank)

Basierend auf den durch automatisierte Scans erhaltenen Daten vom Active Directory lassen sich Berichte erstellen. Ein gutes Beispiel dafür ist die Darstellung von Veränderungen im Active Directory. Der Bericht kann einerseits eine tagesaktuelle Sicht für das Active Directory liefern („Wie ist der Stand heute?“) und andererseits auch Inzidenzen liefern, die einen forensischen Mehrwert („Wie war es zum Datum X?“) haben:

Abbildung 4: Darstellung der Veränderungen im Active Directory Bericht (Quelle: Docusnap Demodatenbank)

Dokumentationslösungen bieten weitere Optionen bzw. Berichte, die zur Transparenz sowie Auditierbarkeit und letztendlich zum „Health“ des Active Directory einen großen Beitrag leisten können:

  • Benutzer dokumentieren, die Dienste auf den einzelnen Systemen betreiben.
  • Benutzer mit einem aktiven Konto ohne Anmeldung erfassen, die sich noch nie gegen das AD authentifiziert haben.
  • Das Passwortalter der einzelnen Benutzer- bzw. Computerkonten festhalten und regelmäßig prüfen.
  • Veraltete Gruppen identifizieren, die keine Mitglieder haben.

Diese Berichte können zu weiteren Analysen und Behebung von Schwachstellen (z. B. Passwortalter!) genutzt werden.

2. VMware Dokumentation

Virtualisierungstechnologien sind heutzutage unumgänglich – ohne läuft kaum etwas mehr. Daher ist es umso wichtiger, die Virtualisierung in Vorbereitung für ein Audit als ein eigenes Thema zu betrachten und die Umgebung im Detail zu dokumentieren. 

Wenn es um eine automatische Erfassung der Daten geht, stehen auf Basis der inventarisierten Daten verschiedene Optionen der Dokumentation zur Verfügung:

2.1. Abhängigkeiten: Es ist beispielsweise möglich, bestimmte Abhängigkeiten darzustellen, z. B. über das Cluster die Hosts und die jeweiligen Datastores abzubilden. Man kann die Dokumentation der VMware Umgebung anschließend durch diese graphischen Darstellungen vervollständigen.

Abbildung 5: Visualisierung der Anhängigkeiten im Bereich VMware (Quelle: Docusnap Demodatenbank)

2.2. Storage Situation: Die aktuelle Storage-Situation ist in Form von Auswertungen oder Berichten dokumentierbar. Auf diesem Weg kann man Speicher identifizieren, bei denen ggf. eine Aktion notwendig ist.

Abbildung 6: VMware Storage-Bericht (Quelle: Docusnap Demodatenbank)

2.3. Übersicht der Virtuellen Maschinen (VMs): Die virtuellen Maschinen des vCenters sollten im Allgemeinen ebenfalls detailliert dokumentiert werden.

2.4. Ressourcen: Sofern es möglich ist, sollten die zugewiesenen Ressourcen pro VM dokumentiert werden:

Abbildung 7: Ressourcen der virtuellen Maschinen eines vCenters (Quelle: Docusnap Demodatenbank)

3. Software

Es ist immer von großer Relevanz, dass die eingesetzten Softwareprodukte des Unternehmens erfasst und dokumentiert werden. An dieser Stelle ist es allerdings wichtig, den Unterschied zwischen Dokumentation/Reporting und aktivem Management/der Einhaltung von Software Compliance voneinander zu unterscheiden. Beide Seiten haben ihre Relevanz, besitzen jedoch einen anderen Fokus. Bei der passiven Dokumentation von Softwareprodukten handelt es sich um die Darstellung des jeweiligen Ist-Zustandes der Assets ohne aktiven Eingriff (Installation, Deployment, Deinstallation, Patching) ins laufende Geschäft.

Bei der hohen Anzahl der Softwareprodukte sind meistens drei bis vier Eckdaten elementar wichtig:

  • die installierte Software inkl. Herstellerangabe
  • Anzahl der Installationen und Version in Nutzung
  • Ort der Installation
  • Lizenzierung, Lizenz-Compliance

Im Falle einer Dokumentationslösung konzentriert man sich auf die ersten drei Punkte. Für die Lizenz-Compliance gibt es Asset-Management-Lösungen, die diese aktiv steuern können.

Die Dokumentation kann beispielsweise so aussehen:

Abbildung 8: Darstellung der installierten Softwareprodukte mit Filterfunktion (Quelle: Docusnap Demodatenbank)

Im zweiten Schritt werden bei jeder Software die Geräte angezeigt und dokumentiert, bei denen die jeweilige Software installiert wurde.

Fazit

Was sind die Kern-Bereiche, für die eine Dokumentation im Vorfeld eines Audits unentbehrlich ist? 

Ich habe in diesem Blogbeitrag, ohne Anspruch auf Vollständigkeit, drei von diesen Bereichen unter die Lupe genommen. Dabei zeigte ich Optionen und Beispiele der Dokumentation und einige Reports, die die Vorbereitungen auf ein Audit erleichtern können. Die saubere Darstellung des Ist-Zustand, bzw. ein funktionierendes Reporting, können zu einem erfolgreichen Audit beitragen und die verantwortlichen Mitarbeitenden auch nach einem Audit mittelfristig bei der alltäglichen Arbeit unterstützen. Abschließender Hinweis: Natürlich endet eine Dokumentation (oder sogar eine Dokumentationspflicht?) nicht bei den hier vorgestellten Bereichen. Das Ziel sollte immer die vollständige Erfassung der Gesamtumgebung und somit eine vollständige IT-Landkarte sein. 

Bertalan Fekete

Bertalan Fekete ist Consultant im Team „Observability – Automatisierte IT-Dokumentation“ bei SVA. Durch verschiedene Anstellungen bei IBM bzw. IBM Business Partnern verfügt er über 10 Jahre Erfahrung in der IT-Beratung. Seit 2 Jahren berät er Kunden von SVA im Bereich der automatisierten IT-Dokumentation und betreut diese bei der Implementierung bzw. beim Betrieb von Dokumentationstools. Darüber hinaus hält er auch Workshops und Schulungen für automatisierte IT-Dokumentation.

Weitere Themen

Artificial Intelligence

Blockchain

Cloud Computing

Project Management