M 2.169 Entwickeln einer Systemmanagementstrategie

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Die in einem Netz angesiedelten Komponenten müssen von einem Administrator regelmäßig verwaltet werden. Die zu erledigenden Aufgaben reichen von der Einrichtung neuer Benutzer bis hin zur Installation neuer Software, deren verteilte Natur die Installation von Teilsoftware auf jedem einzelnen Rechner verlangt (Workflowsystem, Dokumentenverwaltungssystem, o. Ä.). In großen Organisationen bedeutet alleine die Einrichtung eines neuen Benutzers, der sich auf allen für ihn freigegebenen Rechnern anmelden können soll, einen hohen administrativen Aufwand, da beim Stand-alone-Betrieb jeder einzelne dieser Rechner dementsprechend konfiguriert werden muss. Moderne netzfähige Betriebssysteme (z. B. Unix, Windows NT, Novell) sind daher mit Mechanismen ausgestattet, die den administrativen Aufwand verringern sollen (z. B. zentrale Benutzerverwaltung). Soll allerdings die Verwaltung aller Hard- und Software-Komponenten eines lokalen Netzes auf allen Ebenen (technisch und organisatorisch) in einheitlicher Weise erfolgen, so müssen einerseits technische Hilfsmittel in Form von Managementsystemen eingesetzt werden, deren erfolgreicher Einsatz andererseits aber auch von einer zu erstellenden Managementstrategie abhängt. Die Vorgaben und Regeln der Managementstrategie werden dann durch die Systemadministration mit Hilfe der Managementsoftware umgesetzt. Eine Managementstrategie muss individuell auf die Bedürfnisse der jeweiligen Unternehmen bzw. Behörden angepasst sein. Hierzu müssen folgende Schritte durchgeführt werden:

Festlegung der vom Managementsystem zu verwaltenden Objekte

Nach der Durchführung der Bestandsaufnahme (siehe M 2.168 IT-System-Analyse vor Einführung eines Systemmanagementsystems ) muss festgelegt werden, welche Bereiche des IT-Systems durch ein zu beschaffendes Managementsystem verwaltet werden sollen:

Festlegung der im Managementsystem anzuwendenden Sicherheitsrichtlinien

Neben diesen Entscheidungen müssen aber auch schon existierende Vorschriften und Methoden einbezogen werden. So muss z. B. die festgelegte Sicherheitspolitik der Behörde bzw. des Unternehmens, die Datenschutzrichtlinien und die Richtlinien zur Einführung neuer Software in das Managementkonzept einfließen, da die geltenden Vorschriften auch beim Einsatz eines Managementsystems beachtet und umgesetzt werden müssen. Auch für den Gebrauch des Managementsystems selbst sind Regelungen zu treffen bzw. existierende Regelungen auf Validität zu prüfen und gegebenenfalls anzupassen, und dann auch anzuwenden. Dies gilt insbesondere in den Bereichen:

Im Vorfeld sollten auch bereits die Reaktionen auf Verletzung der Sicherheitspolitik im Bereich Systemmanagement festgelegt werden. Ähnlich wie in anderen IT-Bereichen, muss auch für den Bereich des Systemmanagements eine Sicherheitspolitik festgelegt bzw. die vorhandene Sicherheitspolitik des Unternehmens bzw. der Behörde auch auf den Bereich Systemmanagement angewandt werden. Da ein Managementsystem mit wichtigen Netz- und Systemkomponenten interagiert und deren Funktion verwaltet und überwacht, sind Verletzungen der Sicherheitspolitik in diesem Bereich als besonders schwer anzusehen. Insbesondere sind hier Regelungen und Vorgehensweisen zu definieren, die nach einer solchen Sicherheitsverletzung zum Einsatz kommen. Diese sind einerseits technischer Natur (z. B. Vergabe neuer Passwörter für alle Benutzer nach Kompromittierung der Managementkonsole), aber auch organisatorischer Natur.

Revision, Datenschutzbeauftragte und Sicherheitsmanagement sollten schon in der Planungsphase einbezogen werden. Nach Einführung des Managementsystems müssen die ihnen hier obliegenden Aufgaben in Bezug auf das Managementsystem klar sein. Beispiel: Der Datenschutzbeauftragte kann schon in der Planungsphase auf die Einhaltung der Datenschutzrichtlinien achten, z. B. welche Benutzerinformationen im Rahmen des Systemmanagements erfasst werden sollen bzw. dürfen. Nach Einführung des Systems muss er zudem in der Lage sein, die Einhaltung der Richtlinien zu überprüfen. Ähnliches gilt für die Zuständigkeitsbereiche des Revisors und des IT-Sicherheitsbeauftragten.

Festlegung der Randbedingungen für die Produktauswahl des Managementsystems

Die Einführung eines Systemmanagementsystems erfordert eine umfangreiche und sorgfältige Planung. Teile der Systemmanagementstrategie hängen zudem davon ab, ob sie mit einem konkreten Produkt realisiert werden können oder nicht. Dies führt dazu, dass die Erstellung der Managementstrategie und die (Vor-)Auswahl eines Produktes iteriert werden müssen.

Folgende Punkte sollten bei der Erstellung der Systemmanagementstrategie Berücksichtigung finden:

Die so erstellte Managementstrategie induziert eine Reihe von Anforderungen an das zu beschaffende Managementprodukt. Durch die Gewichtung der Anforderungen ergibt sich eine konkrete Produktauswahl. Die Managementstrategie muss nun dahingehend überprüft werden, ob sie mit dem zur Verfügung stehenden Funktionsumfang vollständig umgesetzt werden kann. Eine Reformulierung der Strategie kann dadurch in einzelnen Bereichen notwendig sein. Beispiel: Die Produktauswahl ergibt, dass das System, das starke Verschlüsselung unterstützt, leider nicht die Delegation von Verwaltungsaufgaben an "Subadministratoren" erlaubt. Daraufhin muss die Managementstrategie angepasst werden (korrekte Gewichtung der Anforderungen vorausgesetzt).

Prüffragen: