Die IT-Dokumentation ist aus vielen Gründen eine Notwendigkeit und fester Teil des Aufgabenbereiches der IT-Abteilungen, unabhängig von der Größe eines Unternehmens. Heutzutage übersteigt die Komplexität der IT-Landschaften oft den Punkt, an dem diese mit einer manuell gepflegten Dokumentation noch darzustellen sind. Eine dezentrale IT an verschiedenen Standorten oder stark segmentierte Netze erhöhen deutlich die Komplexität. Der Aufwand der manuellen Pflege ist dann oft nicht mehr vertretbar, sowohl zeitlich als auch personell. An dieser Stelle kommen Tools ins Spiel.
Mehrwerte einer toolbasierten Dokumentation
Was sind aber die konkreten Gründe, warum sich IT-Verantwortliche oft für ein professionelles Dokumentationstool entscheiden?
Die am Markt verfügbaren Tools, wie z. B. Docusnap, bieten für gewisse Anwendungsfälle und Technologien eine (teil-)automatisierte Inventarisierungslösung, wodurch sich im Vergleich zur manuellen Inventarführung der IT-Assets wertvolle Arbeitszeit einsparen lässt.
Bereits in den ersten Beratungsgesprächen mit Kunden fällt oft das Stichwort „Transparenz“ als wichtiges Ziel eines Inventarisierungs- bzw. Dokumentationsprojekts. Schließlich lassen sich nur Assets des Unternehmens dokumentieren und diese gegen Bedrohungen schützen, wenn man diese kennt und über eine vollständige IT-Landkarte des Unternehmens verfügt.
Ist wenig Transparenz in der aktuellen Infrastruktur vorhanden, kann ein Tool unterstützen, indem es einerseits zur Darstellung der Ist-Situation im Unternehmensnetzwerk und andererseits zur Aufdeckung von eventueller Schatten-IT beiträgt. Durch eine aktuelle IT-Dokumentation lässt sich nicht nur ein neues toolbasiertes Reportingswesen zur vorhandenen Infrastruktur aufstellen, sondern auch eine Entscheidungsvorbereitung für das Management. Auch externe Audits, regulatorische Richtlinien oder Cyberversicherungsverträge setzen oft ein stets aktuelles IT-Inventar und IT-Dokumentation der Infrastruktur voraus. Bei der heutigen Geschwindigkeit innerhalb der IT kann es zudem im Falle einer manuellen Dokumentation vorkommen, dass diese sehr schnell nach dem Erstellen nicht mehr aktuell ist, da sich bereits relevante Änderungen an den dokumentierten Systemen ergeben haben. Dies gehört mit einem Tool der Vergangenheit an, da die Software es ermöglicht, die eigene Dokumentation mit dynamischen Werten oder Tabellenansichten aufzubauen, die sich z. B. vor dem Export der Dokumente aktualisieren lassen. Dadurch bleibt ein wesentlicher Teil der technischen Dokumentation dynamisch und aktuell.
Die Vorteile einer Dokumentationslösung
- Ressourcenoptimierung durch automatische Inventarisierung
- Transparenz in der IT-Umgebung
- Erfüllung externer oder interner Vorgaben (Audits, regulatorische Vorgaben, Cyberversicherungsverträge, internes Reporting)
- Aktualität der Dokumentation anhand des aufgebauten Inventars
Highlights für die Netzwerker
Die Darstellung der Netzwerklandkarte eines Unternehmens ist in den meisten Fällen ein wichtiges Ziel bei der Implementierung eines Dokumentationstools. Angebundenen Firewalls und Switche sollen erfasst und unter Umständen gewisse Schatten-IT-Systeme aufgedeckt werden. Bei der Einführung einer neuen Softwarelösung entsteht oft die Anforderung, dass die Infrastruktur mit der Unterstützung der Softwarelösung für die Mitarbeitenden besser handhabbar werden soll (Manageability). Ein Dokumentationstool kann dazu beitragen, Bereiche aufzudecken, auf denen die Handhabbarkeit oder die Transparenz im Unternehmen erhöht werden kann (z. B. IP Adress Management mit einer IPAM-Lösung).
Mit einer Softwarelösung ist es in den meisten Fällen möglich, den größten Teil der Netzwerkinfrastruktur mittels vorhandener Standardschnittstellen und Technologien zeitgesteuert zu inventarisieren.
Die dabei eingesetzten Technologien sind zum Beispiel:
- Inventarisierung mittels SNMP Scans (Simple Network Management Protocol)
- Erweiterter IP-Scan
SNMP ist im Rahmen einer aktiven Managementlösung im Netz oft schon bekannt oder aktiv genutzt. Wenn es um die passive Dokumentation des Netzes geht, denkt man in erster Linie auch nur an die gemanagten Geräte wie Firewalls oder Switche. Das Ziel sollte sein, alle SNMP-Geräte im Netzwerk (zum Beispiel Drucker, USVs, Access Points, eventuelle Produktionssysteme, Handscanner, Etikettendrucker, Storage Systeme) zu erfassen und zu dokumentieren. Denn die Kombination von den SNMP und IP-Scans ermöglicht eine bessere Übersicht der aktiven Systeme im Netz und kann dabei helfen, eventuelle „Lücken“ beim Management aufzudecken.
Auf Grund der Scans ergeben sich einerseits für die SNMP-fähigen Komponenten Snapshots zum gewünschten und individuell festgelegten Zeitpunkt, andererseits eine Asset-Liste in Form von IP-Systemen. Diese beinhaltet Basisinformation von den Systemen: eine IP-Adresse, ggf. die MAC-Adresse und ein Hinweis auf den Hersteller. Diese werden technisch im Rahmen des erweiterten IP-Scans erfasst.
Dies ermöglicht im zweiten Schritt eine einfachere Darstellung dieser Systeme, da die Asset-Informationen (als IP-Asset-Liste) in der IT-Dokumentation genutzt werden können. Sollten unbekannte Systeme im Netz vorhanden sein, ist eine gezielte Recherche ebenfalls möglich.
Pläne – Visualisierung der Assets zur besseren Übersicht
Ein weiterer wichtiger Punkt (und oft ein Kaufargument für ein professionelles Dokumentationstool) ist die automatisierte graphische Darstellung der Infrastruktur in Form von Plänen. Ein Tool wie Docusnap bietet die Funktion, die Netzwerkgeräte mittels der vorhandenen Standardschnittstellen der Hersteller (SNMPv1, v2 oder v3 bzw. mit IP-Scan mit PCAP) zu inventarisieren und diese auf verschiedenen Plänen darzustellen. Somit erhalten Nutzer schnell einen Überblick über die Geräte, die für die Topologie zuständig sind.
Weitere wichtige Informationen wie z. B. die einzelnen Ports der verbundenen Geräte oder die farbige Darstellung der Geschwindigkeit der Verbindungen werden ebenfalls graphisch dargestellt. Die Pläne können relativ einfach exportiert und außerhalb der Dokumentationslösung weiterverwendet werden.
Switchtopologie
Es existiert neben dem allgemeinen Topologieplan eine weitere Sicht, in der die Topologie der einzelnen Switche zur Darstellung der Portbelegungssituation und der verbundenen Geräte abgebildet wird. Die angeschlossenen Endgeräte werden dabei durch eine einheitliche Symbolik gekennzeichnet.
Die aus Sicht der Software „unbekannten“ Geräte, die zum Zeitpunkt des Scans noch nicht durch einen umfassenden Systemscan (z. B. mittels WMI, SSH oder SNMP) erfasst wurden, erhalten auch eine eindeutige Symbolik. Dies ermöglicht dem Nutzer eine schnelle Auswertung der Scans.
Weitere Optionen im Bereich „Pläne“
Bei Standardlösungen wie bspw. Docusnap gibt es neben den obigen (Gesamttopologie bzw. Switchtopologie) weitere Pläne, die ebenfalls von Relevanz sind und einen Beitrag zur Aufdeckung von eventuellen Schwachstellen leisten können. Zu diesen Plänen gehört z. B. der Routing-Plan mit den für das Routing zuständigen Geräten im Netz oder der Netzwerkplan.
Beim Netzwerkplan wird die Suche nach einem bestimmten System durch eine Gruppierung der Assets auf Grund vom Typ (z. B.: Arbeitsstation) erleichtert. Durch die Darstellung der diversen IP-Ranges / Subnetze auf dem Netzwerkplan erhält man einen guten Überblick über die eigene IT-Landschaft.
Es gibt noch zwei wichtige Funktionen, die im Zusammenhang mit den Plänen nutzbar sind:
- Rekursive Suche eines bestimmten Objektes: Durch eine rekursive Suche anhand einer MAC-Adresse kann man nachverfolgen, an welchem Switchport das gesuchte Gerät angebunden ist.
- Standortbasierte Pläne: Verfügt das Unternehmen über mehrere Standorte, kann man die Scans bzw. die Standortzuordnung der Assets so aufbauen, dass die Pläne nicht nur für die ganze Domäne, sondern auch standortbasiert zur Verfügung stehen.
Vorteile im Bereich Netzwerk
- Nutzen von vorhandenen Technologien und Schnittstellen
- Transparenz im Netz
- Pläne auf Knopfdruck (auch exportierbar)
- Switchtopologie mit Portbelegung
- Standortbasierte Pläne
Fazit – Wie kann Sie ein Dokumentationstool bei den täglichen Aufgaben unterstützen?
Wenn man sich auf den Netzwerkbereich konzentriert, können automatisierte Inventarisierungsjobs den Ist-Zustand erfassen. Die Pläne (z. B. Topologie- oder Netzwerkplan) bieten den Mitarbeitenden eine bessere Übersicht und Handhabbarkeit.
Die Pläne können sowohl für die gesamte Domäne als auch standortbasiert erstellt oder exportiert werden. Ein weiterer Vorteil ist die Nachvollzierbarkeit der einzelnen Objekte im Netz (z.B. durch eine rekursive Suche oder Darstellung der Switche mit den Ports). Zusammenfassend lässt sich feststellen, dass die Einführung eines Dokumentationstools mittel- und langfristig viele Vorteile bieten kann. Eine professionelle Lösung bietet eine zentrale Stelle für die relevanten Informationen, welche die Ziele des Unternehmens effektiv unterstützen kann. Gleichzeitig kann ein Tool die IT-Abteilung entlasten, indem bestimmte Themen einfacher bearbeitet werden können.