Immer stärker vernetzte Computersysteme müssen für einwandfreie Funktionsfähigkeit betreut werden. Systemadministratoren können die dafür notwendigen Schritte nur dann setzen, wenn sie genau und aktuell über den Zustand ihres Systems informiert sind. Dazu dient IT-Monitoring, das mit dem Werkzeug Icinga implementiert ist. Damit können Sie Ihr Netzwerk überwachen und auf sich anbahnende Probleme reagieren, bevor diese das Netzwerk ernsthaft beeinträchtigen.

Woher kommt Icinga?

Icinga ist ein Fork des ähnlichen Projekts Nagios und wurde in seiner ersten Version im Jahr 2009 vorgelegt. Icinga Core wurde in C programmiert, verwaltet die Überwachung eines Netzwerks, nimmt die dafür notwendigen Daten entgegen und leitet sie an eine Datenbank weiter. Fünf Jahre später entstand 2014 die neue Version Icinga 2, das neu in der Programmiersprache C++ geschrieben wurde. Der Name bedeutet „durchsuchen“ in der Zulu-Sprache. Icinga 2 ist in mehrerer Hinsicht mit der früheren Version kompatibel, verwendet allerdings eine eigene Konfigurationssyntax.

Die Grundfunktionen von Icinga

Das Programmpaket Icinga übernimmt die System- und Netzwerküberwachung für den Zustand und die Leistung aller angeschlossenen Geräte und ihrer Vernetzung. Icinga bietet einen einfachen Zugang zu den Netzwerkdaten für Administratoren und sofortige Warnungen bei auftretenden Problemen. Das Monitoring umfasst also die verschiedenen Server, zu denen auch Webserver und virtuelle Server gehören und die unter Windows oder Linux laufen können. Des Weiteren werden Switches, Router und die Netzwerkdienste überwacht. Zur Visualisierung der Daten und Ergebnisse steht eine grafische Benutzeroberfläche zur Verfügung. Die Übermittlung von Nachrichten betreffend akute Probleme wird über verschiedene Kanäle abgewickelt, zu denen E-mail, SMS und HTTP gehören. Das System ist einfach skalierbar, was bei der heute üblichen Wachstumsrate von Netzwerken besonders wichtig ist. Das IT-Monitoring wächst also mit dem Netzwerk und mit jedem neuen angeschlossenen Gerät mit.

 

Zur Überwachung und auch zum Untersuchen von Problemen müssen die Netzwerkdaten gespeichert werden und bei Bedarf dem Systemadministrator zugänglich sein. Für die Speicherung der Logdateien stellt Icinga Schnittstellen für verschiedene Lösungen zur Verfügung, zu denen auch kommerzielle Anbieter wie Splunk gehören. Die Performancedaten liefert Icinga an Tools wie beispielsweise InfluxDB, wofür nur das Aktivieren des entsprechenden Features notwendig ist.

Die Benutzeroberfläche und Bedienung von Icinga

Icingaweb ist das Interface zum Programmpaket, das in einem Webbrowser läuft. Das Layout ist intuitiv und dynamisch gestaltet und deshalb schnell zu erlernen. Die Benutzeroberfläche basiert auf einem PHP Framework. Für Anpassungen sind verschiedene Plug-ins verfügbar, deren Designs für eigene und vom Benutzer definierte Checks angepasst werden kann. Das ganze System Icinga ist konfigurierbar. Seine Funktion ist in wesentlichem Ausmaß auf diese Konfigurationen aufgebaut, da sie erst eine Anpassung des Monitorings an die Bedürfnisse und Probleme eines bestimmten Netzwerks ermöglichen. Sowohl Anfänger als auch erfahrene Systemadministratoren wurden beim Entwurf der Konfigurationsmöglichkeiten berücksichtigt. Die Konfigurationssprache DSL wird zur Beschreibung der zu überwachenden Elemente und der Details des Monitorings eingesetzt. Die entsprechenden Regeln können auf das ganze Netzwerk oder nur auf bestimmte Konfigurationszonen angewendet werden. Diese Konfiguration ist sowohl datei- als auch webbasiert möglich.

Zum ersten Kennenlernen von Icinga wird auf der Webseite ein Demosystem angeboten. Entschließen Sie sich zum Einsatz von Icinga in Ihrem Netzwerk, können Sie für erste Schritte einen Aufwand von einigen Tagen für die Einrichtung vor Ort und die Schulung erwarten. Icinga kann auch barrierefrei benutzt werden und ist also mit einem Screenreader verwendbar. Für Sehbehinderte sind die Farben der Benutzeroberfläche auf ihre Bedürfnisse einstellbar.

Die Technische Möglichkeiten

Icinga wird als Software in quelloffener Form angeboten. Sie können sich also nicht nur von den Funktionsabläufen selbst überzeugen, es lässt sich auch die Sicherheit auf diese Weise überprüfen und wenn Sie wünschen, steht einer Anpassung des Quellcodes nach Ihren Vorstellungen nichts im Wege.

Für die Speicherung und Verwaltung der vom Monitoring generierten Daten sind mehrere Datenbanklösungen verfügbar. Icinga stellt Anbindungen zu MySQL, PostgreSQL und Oracle bereit.

Eine wesentliche Eigenschaft von Icinga ist die Verwendung von Modulen. Diese Erweiterungen lassen sich in das Webinterface integrieren. Fertige Module können ebenso eingesetzt werden wie auch individuell angepasste. Ein wichtiges Beispiel eines Moduls ist der Icinga Director, der als Konfigurationsfrontend für die benutzerfreundliche Verwaltung der Monitoring-Umgebung verwendet werden kann. Dieses Modul ist eine Alternative zu manuell vorgenommener Konfiguration. Es erlaubt die Beschränkung der Rechte verschiedener Benutzer und führt ein Audit-Log über alle von Benutzern gesetzten Schritte. Dieses Modul bietet interessante Möglichkeiten sowohl für Anfänger als auch für erfahrene Systemadministratoren.

Virtuelle Server finden hier Verwendung. Gerade sie sollten in die Netzwerküberwachung mit einbezogen werden, denn sie stellen eine weitere Abstraktionsebene dar und können bei Fehlfunktionen das Netzwerk schwer in Mitleidenschaft ziehen. Icinga bietet die problemlose Einbindung von virtuellen Servern wie auf VMware und ermöglicht eine Reaktion bei problematischen Vorfällen. Je vernetzter ein System ist, desto wichtiger ist eine Beachtung der Informationssicherheit. Icinga verwendet selbst SSL für alle seiner Verbindungen. Darüber hinaus unterstützt es die Verwendung von SSL, denn es kann alle SSL Zertifikate überwachen und vor ihrem Ablauf eine Nachricht an den Systemadministrator schicken. Damit versäumen Sie keine notwendige Erneuerung Ihrer Zertifikate.

Monitoring mit PRTG ermöglicht Ihnen, über Ihr Netzwerk optimal informiert zu sein und rechtzeitig die notwendigen Maßnahmen treffen zu können. Alle relevanten Parameter werden in Echtzeit erhoben und grafisch dargestellt. Mit diesem Werkzeug erkennen Sie Probleme, bevor sie für Ihr Netzwerk kritisch werden.

Das Produkt PRTG und seine Herstellerfirma

Das IT Monitoring Werkzeug PRTG wird von der Firma Paessler AG in Nürnberg hergestellt und steht in 9 Sprachen zur Verfügung. Der Support der Firma stellt den Anspruch, eine Anfrage an Werktagen innerhalb von 24 Stunden zu bearbeiten. Auf der Webseite wird eine ausführliche Dokumentation geboten, zu der auch detaillierte Erklärungen grundlegender Begriffe der Netzwerktechnik gehören. Die Hauptkunden für dieses Werkzeug sind kleine und mittlere Unternehmen und Organisationen.

Was kann PRTG?

Der Hauptzweck von PRTG ist die Überwachung eines Netzwerks, das aus Servern, Switches und Routern besteht, zu denen insbesondere auch virtuelle Server und Webserver gehören können. Zu diesem Zweck werden Daten gesammelt, gespeichert und ausgewertet. Bei Problemen wird nach Ihren Bedürfnissen ein Alarm ausgelöst. Zu hohe Hardwareauslastung, zu wenig Speicherplatz oder eine zu geringe Bandbreite des Netzwerks können früh genug erkannt werden. Dafür werden Sensoren für Bandbreite, CPU-Last, Arbeitsspeicher, Massenspeicher und Hardwarezustand eingesetzt. Eine Besonderheit von PRTG ist seine Vollständigkeit. Sie müssen also keine Zusatzprogramme oder Moduln erwerben. Für die Überwachung muss das System nur wenig Belastung für die Prozessoren und Bandbreite in Anspruch nehmen. Bedient wird es vollständig von einem Webinterface aus.

Die technischen Grundlagen von PRTG

Das System baut auf Sensoren auf, worunter in diesem Zusammenhang Software zur Erhebung bestimmter Daten unter Verwendung geeigneter Protokolle zu verstehen ist. Beispiele für diese Daten sind Serverbelastung, Antwortzeiten über eine Netzwerkverbindung, freier Speicherplatz und der Datendurchsatz. Auch die Temperatur der Server in Ihrem Netzwerk wird erhoben, was den Einsatz eigener Werkzeuge dafür überflüssig macht.

 

PRTG baut zu einem wesentlichen Teil auf dem SNMP oder simple network monitoring protocol auf. Dieses läuft auf einem Computer als Verwaltungseinheit und kann Anforderungen an andere verwalteten Geräte richten. Besonders beim Auftreten von Problemen können diese Geräte auch selbständig Nachrichten an die Verwaltungseinheit schicken.

Zusätzlich zu SNMP verwendet PRTG auch Packet Sniffing, wenn eine genauere Analyse des Inhalts von Datenpaketen in Ihrem Netzwerk erforderlich ist.

Verfügbare Funktionen

Treten akute Probleme in Ihrem Netzwerk auf, müssen die Administratoren sofort davon in Kenntnis gesetzt werden. Sie können bei der Konfiguration von PRTG Nachrichten verschiedener Dringlichkeit nach Wunsch behandeln und übermitteln lassen. Weniger dringende Meldungen können zum Beispiel in den Nachtstunden zurückgehalten werden. Versendet werden solche Nachrichten über SMS, E-Mail, Push Nachricht oder auch durch HTTP Datenpakete. Zum Empfang sind Apps für iOS und für Android erhältlich.

Die Ergebnisse der Datenerhebungen werden von PRTG grafisch dargestellt. Die Statusanzeigen können Sie individualisieren und live verfolgen.

Bei der Installation verwendet das System eine Auto-Discovery Funktion. Alle ans Netzwerk angeschlossenen Geräte werden automatisch ins Monitoring aufgenommen. Dann müssen Sie nur noch die gewünschte Feineinstellung vornehmen.

In welcher Form ist PRTG erhältlich?

Das System ist nur für Windows Systeme verfügbar. Benutzerinterfaces funktionieren allerdings auch unter MacOS und unter Linux. Das Überwachungssystem kann auf Ihren eigenen Servern gehostet werden, was also einer Inhouse Lösung entspricht. Verfügbar ist aber auch eine auf den Servern  in der Cloud. Die Lizenz und die Kosten sind abhängig von der Zahl der Sensoren, die Sie für die Überwachung Ihres Netzwerks benötigen. Eine Version mit 100 Sensoren ist gratis verfügbar.

Für erste Schritte mit PRTG steht ein niederschwelliges Angebot zur Verfügung. Für 30 Tage können Sie die Vollversion von PRTG nutzen und sich mit dem System vertraut machen. Ob es Ihren Erwartungen und Anforderungen entspricht, stellt sich in dieser Zeit sicher heraus. Die Lizenz für die notwendige Anzahl von Sensoren müssen Sie erst erwerben, wenn das System bereits erfolgreich auf Ihrem Netzwerk läuft.

VOIP Phishing ist nicht neu. Seit dem IP-Telefonie möglich ist, versuchen Betrüger die digitale Technik für ihre Zwecke auszunutzen. Die damit einhergehenden Gefahren werden jedoch immer noch unterschätzt. Da Phishing Mails nur noch selten zum Erfolg führen, nutzen Betrüger Voice-over-IP Phishing im zunehmenden Maße. Was VOIP Phishing ist, wie es funktioniert und wie Sie sich davor schützen können, erfahren Sie im folgenden Beitrag.

Sicherheitsrisiko IP-Telefonie

VOIP Phishing, auch als Vishing bezeichnet, ist eine kriminelle Form des Social Engineering. Dabei nutzen Angreifer die menschliche Interaktion, um an vertrauliche Informationen wie beispielsweise Kontodaten, Kreditkartennummern oder Zugangsdaten zu einem Computersystem zu gelangen. Die Angreifer versuchen, den Eindruck zu erwecken als würde der Anruf von der Bank, dem Kreditkartenunternehmen oder einer Behörde erfolgen. Ziel des Angreifers ist es, die vertraulichen Informationen für kriminelle Machenschaften beispielsweise den Zugriff auf ein Bankkonto, zu verwenden. Im Jahr 2015 wurde laut einer Studie der BBC durch VOIP Phishing Kreditkartenbetrug ein Schaden in Höhe von rund 1 Milliarde US-Dollar verursacht.

Wie funktioniert VOIP Phishing?

VOIP Phishing funktioniert im Prinzip wie das Phishing per E-Mail. Beim Vishing erhalten die potenziellen Opfern eine Nachricht über ihr IP Telefon. Diese Nachrichten werden nicht selten von Sprachassistenten generiert oder die menschliche Stimme wird digital verändert. Die Nachrichten erhalten meist einen Hinweis darauf, dass eine verdächtige Aktivität auf einem Kreditkartenkonto, Bankkonto oder PayPal Account festgestellt wurde. Die Opfer werden vom Angreifer aufgefordert, direkt bestimmte Informationen abzugeben, oder eine in der Nachricht genannte Telefonnummer anzurufen und bestimmte Angaben zu machen. Diese Information werden angeblich benötigt, um „die Identität des Kontoinhabers zu überprüfen“ oder „sicherzustellen, dass kein Betrug stattfindet“.

Wie das Session Initiation Protocol (SIP) VOIP Phishing ermöglicht

Beim VOIP Phishing spielt Hackern das Session Initiation Protocol, abgekürzt SIP, in die Hände. Durch dieses weltweite Standardprotokoll für den Verbindungsaufbau bei der IP Telefonie sind Telefonnummern unabhängig vom Telefonanschluss. Das heißt, egal ob sich der Telefonanschluss in Singapur, Australien oder Mexiko befindet, kann der Anrufer eine deutsche Telefonnummer einrichten und verwenden. Dazu muss nur eine kostenlose Open Source VOIP Plattform wie beispielsweise Asterisk herunterladen, auf einem PC installieren und das System mit dem Internet verbinden. Die SIP Endpunkte können bei diesen Plattformen ohne besondere Programmierkenntnisse einfach konfiguriert und so die Anrufer-ID gefälscht werden. Diese Endpunkte werden von den meisten Systemen als Anrufer-ID weitergegeben. Das heißt, die Empfänger sehen beispielsweise eine deutsche Telefonnummer, obwohl der Anruf aus Singapur erfolgt.

VOIP Phishing – leichtes Spiel für Angreifer

VOIP Phishing hat für Hacker verschiedene Vorteile. Ein Vorteil sind die geringen Kosten für den Angreifer. Die benötigte Hardware wie IP-Telefone und Router sind mittlerweile sehr preiswert und überall erhältlich. Die benötigte Software kann bei verschiedenen Anbietern kostenlos heruntergeladen werden. Die Geräte können ohne große IT-Kenntnisse an einen PC angeschlossen werden, um eine Telefonanlage für die IP Telefonie und das VOIP Phishing einzurichten.

Die gefälschte Anrufer-ID nutzen Betrüger, um die Mitarbeiter eines Unternehmens zu kontaktieren und sensible Informationen wie Kreditkartennummer, Kontonummern oder geheime Information zu neuen Produktentwicklungen zu erfragen. Diese Informationen werden dann innerhalb kurze Zeit von den Angreifen selbst verwendet oder an andere, meist gegen Bezahlung, weitergegeben. Wenn ein Angreifer nicht genügend Informationen von einer Quelle sammeln kann, wird er oft versuchen, eine andere Person zu kontaktieren. Bei diesen Anrufen werden dann die Informationen, die der Angreifer von der ersten Person erhalten hat verwendet, um seine Geschichte und Glaubwürdigkeit zu untermauern.

Mit PC und Telefonanlage ist es Angreifern möglich, viele IP-Telefonate gleichzeitig zu führen, die Gespräche aufzuzeichnen und zu einem späteren Zeitpunkt auszuwerten. Zudem ist es kaum möglich, eine gefälschte Anrufer-ID aufzuspüren und den Angreifer zu ermitteln. Wenn die für das VOIP Phishing gefälschte Nummer vom Angreifer gelöscht wird, ist sie nicht mehr nachverfolgbar. Es gibt jedoch ein paar einfache Maßnahmen, mit denen Sie sich vor VOIP Phishing schützen können.

Maßnahmen zum Schutz

VOIP Phishing ist nicht immer leicht zu erkennen. Eine der wichtigsten Maßnahmen zum Schutz vor Phishing über das Telefon ist die Information und Aufklärung der Mitarbeiter über die möglichen Schäden, die durch verursacht werden. Grundsätzlich sollten Mitarbeiter dazu verpflichtet werden, keine vertraulichen Daten am Telefon preiszugeben. Ein Problem ist, dass die Angreifer oft über persönliche Informationen über das Opfer verfügen, die sie beispielsweise in den sozialen Medien finden.

Auffälligstes Merkmal von Phishinganrufen ist jedoch die vermeintlich hohe Dringlichkeit, mit der Anrufer versuchen, Druck auszuüben. Die vermeintliche Dringlichkeit soll das Opfer zur unüberlegten Preisgabe der geforderten Informationen verleiten. Trotz des Stresses, den solche Anrufe auslösen können, sollten die vom Anrufer gemachten Angaben durch einen Rückruf bei dem vom Anrufer genannten Institut überprüft werden. Beispielsweise steht auf der Rückseite von Kreditkarten eine offizielle Servicenummer des Kreditkartenunternehmens. In den meisten Fällen hat sich der VOIP Phishing Versuch dann bereits erledigt.

Als Business Continuity Management (BCM), auf Deutsch Kontinuitätsmanagement, bezeichnet man die Entwicklung von Strategien, Plänen, Handlungen, Tätigkeiten und Prozessen für einen Krisenfall. Diese Strategien beziehen sich auf solche Prozesse, deren Unterbrechung der Organisation ernsthafte Schäden oder gravierende (mitunter vernichtende) Verluste zufügen würde. Beispielsweise beschäftigt sich BCM mit Katastrophen wie Feuer, Überflutung, Einbruch, Vandalismus, Hackerangriffen und Personalausfall.

Ereignisse mit hohem Schadenspotenzial

Somit befasst sich Business Continuity Management mit Ereignissen, deren Eintrittswahrscheinlichkeit gering ist, die aber einen hohen Schaden verursachen würden, falls sie eintreten. Das Ausmaß der Schäden für das Unternehmen in einem solchen Fall wird demzufolge durch Business Continuity Management minimiert.

Zielsetzung der BCM-Maßnahmen

Ziel der BCM-Maßnahmen ist es, alle kritischen Geschäftsprozesse abzusichern. Damit wird die Produktivität erhalten, die Wettbewerbsfähigkeit des Unternehmens und damit der Fortbestand gesichert. Dabei können auch alternative Abläufe definiert werden, die im Krisenfall greifen sollen.

BCM-Maßnahmen zur Sicherung des IT-Betriebs

Ursprünglich aus der Betriebswirtschaftslehre stammend, wurde das Business Continuity Management im Laufe der Zeit auf die IT-Technologie ausgeweitet. Denn viele IT-Anwendungen zählen zu den kritischen Geschäftsaktivitäten. So können plötzliche Ausfälle von Rechnern, Stromausfälle, sonstige technische Störungen, Bedienungsfehler oder Attacken auf Computersysteme zu gravierenden Betriebsstörungen führen. Die Strategien, Pläne und Maßnahmen im Rahmen des Business Continuity Management sollen dazu beitragen, den Betrieb der IT-Infrastruktur im Krisenfall möglichst aufrechtzuerhalten oder problemlos zum Wiederanlauf zu bringen.

Ganzheitliches Konzept

Business Continuity Management ist damit ein ganzheitliches Konzept, das sich auf Prozesse, auf Organisation, IT und Personal bezieht. Die Maßnahmen können proaktiv, reaktiv oder strategisch angelegt sein. Das BCM überschneidet sich mit dem Risikomanagement. Ein wirksames Business Continuity Management System muss kontinuierlich an die Unternehmensstrategie angepasst werden.

Geschäftskritische Prozesse identifizieren

Zu den Schritten des Business Continuity Management gehören die Identifizierung der geschäftskritischen Prozesse und das Aufstellen von Notfallplänen. Für den Krisenfall sind Verantwortlichkeiten festzulegen, damit ein effizientes und abgestimmtes Handeln in der Krise möglich ist. Im Rahmen von Notfallübungen und Testläufen kann überprüft werden, ob die BCM-Maßnahmen wirksam sind und an welchen Stellen nachgebessert werden muss.

IT-Notfallplan

Im Rahmen des Business Continuity Management sind Maßnahmen zu beschreiben, die den IT-Betrieb in einem Krisenfall aufrecht erhalten oder den schnellen Wiederanlauf nach einem Ausfall sicherstellen sollen. Bei einem Datenverlust ist es oft nicht einfach, die Daten ad hoc wiederherzustellen. Daher gehört zum BCM ein IT-Notfallplan. Dies ist ein Handbuch, in dem Notfallmaßnahmen und Handlungsanweisungen festgehalten sind. Bei einem Störfall kann das Unternehmen mit Hilfe dieses Notfallplans schnell reagieren. Zu den typischen Inhalten gehören Anweisungen, Zuständigkeiten, Kommunikationsregeln und Aktionen zur schnellen Beschaffung von Ersatzteilen. Zur besseren Übersicht sind diese Inhalte oft in Form von Checklisten und Skizzen dargestellt.

Ransomware

Im Jahr 2017 hat sich die Ransomware WannaCry (WanaDecrypt0r 2.0) weltweit auf Computern und Servern verbreitet. Dies ist ein Krypto-Trojaner, der auf den infizierten Rechnern Daten (Dateien, Bilder, Programme) so verschlüsselt, dass diese unbrauchbar werden. Der Anwender wird genötigt, ein Lösegeld zu zahlen, um den Code für die Entschlüsselung zu erhalten. Es wird gedroht, dass anderenfalls die Daten gelöscht werden. Wie bereits bei vorherigen Ransomware-Attacken wurden die Nutzer aufgefordert, in der Währung Bitcoin zu zahlen.

Virenscanner

Schadsoftware sowie Angriffe von Hackern sind nicht leicht zu erkennen. Sie gefährden die Funktionsfähigkeit des Computers und den Schutz sensibler Daten. Daher werden Virenscanner als manuelle Scanner, als Echtzeitscanner oder Onlineprogramme eingesetzt. Damit können Trojaner und Viren wirksam aufgespürt werden. Diese ungebetenen Gäste werden dann unschädlich gemacht, indem sie in das Quarantäne-Verzeichnis verschoben oder gelöscht werden. Ein Antivirus-Programm bewirkt, dass Hacker ausgesperrt werden. Mittlerweile arbeiten Virenscanner mit hoher Geschwindigkeite und können den Rechner kontinuierlich schützen.

Business Continuity Management während der Corona-Krise

Durch die Corona-Krise erfahren wir im Moment, dass es zum BCM auch gehören kann, die Geschäftsräume von heute auf morgen zu schließen und die Mitarbeiter ins Home-Office zu schicken. Auf eine solche Situation muss ein Unternehmen sowohl technisch als auch organisatorisch vorbereitet sein.

Anforderungen im Home Office

Mitarbeiter im Home Office sollten über eine Internetanbindung mit mindestens 2 Mbit/s Bandbreite verfügen (bei größeren Datenmengen 6 Mbit/s). Die Beschäftigten sollten die Möglichkeit haben, sich in die zentrale Telefonanlage des Unternehmens einzuwählen. Auf dem Rechner muss eine Antiviren-Software installiert sein, damit dieser vor Viren und Trojanern geschützt ist. Business Continuity Management darf das Home Office nicht aussparen. Die Anforderungen an den Datenschutz und an die Datensicherheit müssen auch dort erfüllt werden. Papierdokumente und Sticks mit sensiblen Daten sind daher so aufzubewahren, dass sie vor dem Zugriff durch Dritte geschützt sind. Idealerweise ist das Home Office ein abschließbarer Raum. Der Rechner muss in jedem Fall durch ein Passwort abgesichert sein.

Im Bereich der IT wird mit dem Begriff „Monitoring“ die kontinuierliche Überwachung oder Kontrolle von IT-Systemen auf ihre einwandfreie Funktionalität bezeichnet. Um Ergebnisse zu vergleichen oder auszuwerten muss Monitoring systematisch und regelmäßig durchgeführt werden. Im Rahmen moderner Informationssysteme gehören diese Prozesse zu den wichtigsten Aspekten von Netzwerk- und Systemadministratoren.

Allgemeine Informationen zum Monitoring

Für die reibungslose Funktionalität einer IT-Infrastruktur müssen IT-Administratoren sicherstellen, dass sich alle beteiligten Komponenten innerhalb ihrer normalen Parameter bewegen. Diese Parameter werden durch Monitoring ermittelt, also durch die regelmäßige und systematische Überwachung relevanter Indikatoren. Früher wurden oft nur die reinen Performance-Parameter erfasst, wie zum Beispiel:

–       die Auslastung der CPU bei einer Datenbanktransaktion

–       der Speicherverbrauch bei einer Client-Anfrage

–       die Zeit, die der Server braucht, um eine Anfrage zu beantworten

Heutzutage umfasst Monitoring jedoch sämtliche Bereiche der IT, wie beispielsweise:

–       Sicherheit

–       Nutzerverhalten

–       Verfügbarkeit

Ziele

Im obigen Absatz haben wir das Ziel aller Prozesse bereits mit der „reibungslosen Funktionalität“ definiert. Grundsätzlich handelt es sich dabei um die Ermittlung der Ursachen, die direkt oder indirekt dafür verantwortlich sind, System-Parameter außerhalb der erwünschten Grenzen zu erzeugen. Dabei wird Monitoring eingesetzt, um:

–       das Problem möglichst früh zu identifizieren, sodass es beseitigt werden kann, bevor größere Schäden entstehen können

–       die Ursache des Problems ausfindig zu machen und zu lokalisieren

–       durch das Beseitigen auftretender Probleme Früherkennungsmaßnahmen zu optimieren, sodass künftige Probleme besser erkannt und behoben werden können

Falls ein System innerhalb der normalen Parameter funktioniert, können Maßnahmen beispielsweise auch eingesetzt werden, um die zukünftige Nutzung zu planen. Hat eine Webapp beispielsweise über das vergangene Jahr hinweg nur 60 Prozent ihrer CPU genutzt, lässt sich etwa ein physikalischer Server mit weniger Leistung betreiben.

Methoden und Verfahren

In Bezug auf den Betrachtungszeitraum der im Rahmen des Monitorings erfassten Informationen können zwei Vorgehensweisen unterschieden werden, und zwar:

–       Das sogenannte „Historical Monitoring“, das primär bei der automatischen Erzeugung von Langzeitstatistiken zu IT-Diensten eingesetzt wird. Diese Art ermöglicht u. a. die Kapazitätsplanung anhand der Wachstumsraten innerhalb einer bestimmten Zeitperiode, Rechenauslegung oder die Planung des Budgets. Darüber hinaus sind derartige Datensätze oft gute Indikatoren für systematische Verfügbarkeitsprobleme und entsprechende Lösungen solcher Probleme. Bei dieser Vorgehensweise arbeitet der IT-Administrator proaktiv.

–       Das sogenannte „Real-Time Monitoring“ ist eher reaktiv ausgelegt. Durch die kontinuierliche und systematische Überwachung der Funktionalitäten sämtlicher Dienste sollen Ausfälle schnellstmöglich identifiziert werden und die IT-Verantwortlichen in Kenntnis gesetzt werden. Im Idealfall werden auftretende Probleme identifiziert, bevor der Nutzer etwas davon merkt.

Hohe Verfügbarkeit und niedrige Ausfallraten

Im Rahmen des aktiven Monitorings versuchen dedizierte Systeme das Problem vorübergehend zu beseitigen. Dabei wird jedoch nur die Symptomatik und nicht die eigentliche Ursache des Problems eliminiert. Darüber hinaus ist für viele auftretende Probleme eine solche Vorgehensweise gar nicht möglich, wie beispielsweise bei einem Serverausfall. Ein wesentlicher Nachteil des aktiven Monitorings ist, dass in der Regel ein privilegierter Zugriff auf Dienste und Systeme benötigt wird, was einen erhöhten Risikofaktor darstellt.

Bei dem sogenannten „durchgängigen Monitoring“ wird hingegen das gesamte System inklusive aller relevanten Parameter und Dienste kontinuierlich überwacht. Dies benötigt jedoch eine hohe Disziplin aller IT-Mitarbeiter: Wenn beispielsweise ein neues Gerät oder ein neuer Server in das Netzwerk integriert wird, darf man nicht vergessen, diesen in das Monitoring einzubinden. Des Weiteren erzeugt diese Form des Monitorings eine gigantische Datenmenge, deren gezielte Analyse viel Zeit in Anspruch nehmen kann.

Unterschiedliche Anwendungen

Im Rahmen des sogenannten „End-to-End-Monitoring“ beschränkt sich die Messung auf die Funktionalität eines einzelnen Dienstes. Wenn beispielsweise ein Kunde in einem Webshop, wie Amazon, einkaufen möchte, dann wird die vollständige Transaktion eines Dienstes gemessen und ausgewertet. Bei dieser Vorgehensweise steht das sogenannte „Application Response Time Monitoring“ im Fokus. Damit lässt sich die exakte Antwortzeit einer Webanwendung ermitteln und ob diese in einer akzeptablen Zeit erfolgt.

Im Rahmen des externen wird ein dediziertes Gerät an das Netzwerk angeschlossen, während beim internen auf ein solches Gerät verzichtet wird. Weitere Bezeichnungen für diese Vorgehensweise sind aktives und passives Monitoring. Im Rahmen des aktiven Monitorings werden noch zusätzlich Pakete an das Netzwerk gesendet, während beim passiven lediglich „mitgehört“ wird.

Monitoring Tools

Die Prozesse finden in der IT in Form zahlreicher Tools Unterstützung. Es ist sind eine Vielzahl kommerzieller als auch Open Source-Produkt erhältlich, die jeweils auf unterschiedliche Einsatzszenarien in unterschiedlichen Umgebungen ausgerichtet sind. Nicht jedes Werkzeug eignet sich für jede Netzwerkinfrastruktur und jedes Verfahren gleichermaßen. Einige Tools verfügen über zahlreichen Funktionen und Features, während andere auf spezialisierte Aufgaben ausgerichtet sind. Bei der Auswahl eines solchen Werkzeugs sollten also die eigenen Anforderungen und Bedürfnisse beachtet werden. Welche Funktionen und Features benötigt werden, hängt von folgenden Faktoren ab:

–       Anforderungen der Netzwerkinfrastruktur

–       Benötigte Alarmmeldungen

–       Auf welche Art und Weise sollen Alarmmeldungen gesendet werden?

–       Welcher Monitoring-Typ ist erforderlich?

 

Das Bundesamt für Sicherheit in der Informationstechnik ist eine deutsche Bundesbehörde, die Sie bei Fragen zur IT-Sicherheit unterstützt. Während das BSI in Einrichtungen des Staats aktiv Schutzmaßnahmen ergreift, profitieren die Gesellschaft und die Wirtschaft insbesondere von Informationen sowie Handlungsempfehlungen der Behörde. Unternehmen nutzen die Vorgaben und Standards der Organisation, um sich beim Business Continuity Planning auf IT-Notfälle vorzubereiten.

BSI: Förderung der IT-Sicherheit in Staat, Wirtschaft und Gesellschaft

Unter der Aufsicht des Bundesinnenministeriums trägt das BSI mit rund 1.000 Mitarbeitern als Bundesbehörde die Verantwortung für Deutschlands IT-Sicherheit. Durch Fördermaßnahmen erleichtert die Behörde Ihnen einen sicheren Einsatz von Kommunikations- und Informationstechnologie. Diese Hauptaufgabe nimmt das BSI für den Staat, die Wirtschaft und die Gesellschaft wahr. Mit Mindeststandards, Leitlinien und Handlungsempfehlungen entwickelt die Bundesbehörde hierzu klare Kriterien. Darüber hinaus ist das BSI direkt für die IT-Sicherheit der deutschen Bundesverwaltung zuständig. Daher sind die Erkennung und die Abwehr eines Hacker-Angriffs auf Regierungssysteme unmittelbare Pflichten der Behörde. Die Bekämpfung der entdeckten Exploits, Viren und Bedrohungen koordiniert die Organisation im nationalen Cyber-Abwehrzentrum.

Sensibilisierung von Unternehmen und Bürgern durch BSI Informationen

Als IT-Sicherheitsbeauftragter oder einfacher Angestellter in einem Unternehmen profitieren Sie ebenso wie private Verbraucher von den regelmäßigen Empfehlungen zur IT-Sicherheit, die das BSI veröffentlicht. Denn eine zentrale Aufgabe der deutschen Bundesbehörde besteht darin, die Wirtschaft und die Bürger mit Informationen über Sicherheitsschwachstellen zu sensibilisieren. Das BSI macht Sie mit Hinweisen auf ein verbreitetes Exploit, Viren oder sonstige Angriffe durch Hacker frühzeitig auf die Vulnerability von Systemen aufmerksam. Mit diesen Ratschlägen gelingt es IT-Sicherheitsbeauftragten auch, sich beim Business Continuity Planning frühzeitig auf IT-Notfälle vorzubereiten und ohne unnötigen Zeitverlust im Ernstfall zu reagieren. Allgemeine BSI-Empfehlungen helfen Ihnen außerdem zum Beispiel dabei, ein sicheres Passwort anzulegen.

IT-Grundschutz mit Standardschutzmaßnahmen als Empfehlungen zur IT-Sicherheit

Bis 2017 aktualisierte die Bundesbehörde jährliche die sogenannten IT-Grundschutz-Kataloge. Danach ersetzte das BSI die Kataloge mit einem IT-Grundschutz-Kompendium. Wenn Sie verbreitete IT-Systeme nutzen, finden Sie in diesen Veröffentlichungen hilfreiche Empfehlungen mit Standardschutzmaßnahmen. Mit dem IT-Grundschutz veranschaulicht das BSI Methoden zur Steigerung der IT-Sicherheit in Firmen, die teilweise auch für Anfänger umsetzbar sind. Ein IT-Sicherheitsbeauftragter erhält durch das IT-Grundschutz-Kompendium die Möglichkeit, mit umfassenden Maßnahmen ein System gegen Hacker und Exploits weitgehend abzusichern. Insgesamt beinhalten die BSI-Hinweise zum IT-Grundschutz rund 5.000 Seiten. Somit bilden die Informationen eine nützliche Grundlage für den Umgang mit der Vulnerability von Computersystemen und die Verbesserung der Business Continuity.

BSI Zertifizierungen für Unternehmen mit geprüften IT-Produkten und Dienstleistungen

Das BSI gibt Ihnen die Chance, als Unternehmer Zertifizierungen zu erlangen und damit die Durchführung der Maßnahmen zum Schutz vor Hacker-Angriffen oder sonstigen Bedrohungen nachzuweisen. Wichtige Zertifizierungen vergibt die Bundesbehörde beispielsweise für die Umsetzung der Standardmaßnahmen aus dem IT-Grundschutz-Kompendium. Hierzu müssen Sie laut den BSI-Vorgaben einen zertifizierten IT-Grundschutz-Auditor um ein Testat-Verfahren bitten. Dabei wird überprüft, ob ein IT-System die Anforderungen des IT-Grundschutzes erfüllt. Im Anschluss an eine erfolgreiche Prüfung stellt der Auditor ein Testat aus. Das BSI verleiht im Erfolgsfall ein Testat-Logo mit einer befristeten Gültigkeit, das die jeweilige Institution im Zusammenhang mit den geprüften Systemen öffentlich verwenden darf.

Für die Überprüfung von IT-Produkten und Systemen sind vor einer Zertifizierung immer unabhängige Prüfstellen mit einer Anerkennung durch das BSI verantwortlich. Die Bundesbehörde stellt sicher, dass die Produktprüfungen mit einheitlichen Kriterien objektiv und unparteiisch durchgeführt werden. Mit BSI-Zertifikaten haben Sie in einem Unternehmen die Gelegenheit, das Sicherheitsniveau von Ihren Produkten transparent darzustellen.

Wenn Sie ein Verbraucher sind, stellen die Produktzertifizierungen wiederum eine nützliche Entscheidungshilfe dar. Die Zertifikate machen deutlich, ob ein IT-Produkt Ihnen in einem bestimmten Einsatzbereich Sicherheit bietet. Außerdem informieren öffentliche BSI-Hinweise Sie häufig darüber, wie Sie bei der Verwendung von zertifizierten IT-Lösungen die IT-Sicherheit selbst steigern und sich dadurch unter anderem vor einem Exploit oder Hacker-Angriffen schützen.

Kooperation mit Bitkom und Betreibern von kritischen Infrastrukturen

Das BSI kooperiert eng mit dem Branchenverband Bitkom, der für die Telekommunikations- und Informationsbranche in Deutschland zuständig ist. Durch diese Zusammenarbeit ist 2012 auch die Allianz für Cybersicherheit entstanden. Mit Partner-Unternehmen und tausenden Institutionen tauscht das Bündnis Daten über neue Hacker-Methoden aus. Die Allianz für Cybersicherheit ermöglicht dem BSI daher die Bereitstellung zusätzlicher Informationen, von denen Sie als IT-Sicherheitsbeauftragter oder einfacher Unternehmer insbesondere beim Business Continuity Planning profitieren. Zudem unterstützt die Bundesbehörde über das Kooperationsgremium UP KRITIS Betreiber der kritischen IT-Infrastrukturen, die für eine funktionierende Gesellschaft unverzichtbar bleiben. Dabei steht insbesondere die Vulnerability von unentbehrlichen Systemen im Blickpunkt.