Evaluation eines Software Asset Management Tool

3 Punkte, die bei der SAM-Auswahl entscheiden sollten

| Autor / Redakteur: Benedikt Gasch* / Ulrike Ostler

Bei der Auswahl und Bewertung eines geeigneten SAM-Tools stellen die Inventarisierungsmethoden einen wichtigen Aspekt dar.
Bei der Auswahl und Bewertung eines geeigneten SAM-Tools stellen die Inventarisierungsmethoden einen wichtigen Aspekt dar. (Bild: gemeinfrei, geralt / Pixabay / CC0)

Die Evaluation eines Client-Management-Werkzeugs beziehungsweise Software Asset Management (SAM) Tool sollte auf drei wesentlichen Punkten beruhen. Denn erst Sicherheit, Compliance und eine saubere Prozessdefinition stellen die Basis für modernes IT-Management dar.

Die Flexibilität und die Möglichkeiten, die IT-Administratoren durch den Einsatz von Skripten erhalten, sind enorm - allen voran ist hier die Powershell zu nennen, als wohl mächtigstes Skripting-Werkzeug, das die Microsoft-Welt bis dato erlebte. Diese Flexibilität birgt aber auch Risiken, wenn Skripting-Technologien unbedacht und zu schnell eingesetzt werden.

Bedrohung durch Skripting-Werkzeuge

Bei der Auswahl und Bewertung eines geeigneten SAM-Tools stellen die Inventarisierungsmethoden, agentenbasiert wie agentenlos, einen wichtigen Aspekt dar. Die Inventarisierungs- und Erkennungsmechanismen dürfen nicht auf Basis von Skript-Technologien erfolgen, sondern müssen in den Inventarisierungsmechanismen des Tools selbst liegen. Dieses sollte die ermittelten Ergebnisse in Bezug auf die installierte Software gegen einen validen Software-Erkennungskatalog abgleichen.

Hierbei ist zu prüfen, ob die Qualität und die Quantität der agentenlosen wie auch der agentenbasierten Inventarisierung gleich sind. Nur dann liegen valide Informationen über die IT-Landschaft zur Bewertung vor.

Doch aus Sicherheitsgründen sollten Unternehmen neben der Inventarisierungslogik auch die Kommunikationswege der Inventarisierung prüfen, wie...

  • … erfolgt die Kommunikation zwischen Agenten und der Infrastruktur „offen“ oder wird diese durch eine zertifikatsbasierte Kommunikation geschützt?
  • … welche Berechtigungen sind für die Inventarisierung erforderlich?
  • … wie kann bei der agentenbasierten Inventarisierung der jeweilige Agent auf den Zielsystemen automatisiert installiert werden?

Das sind entscheidende Fragen, die bei der Auswahl einer Inventarisierungssoftware zu klären sind, gleichgültig, ob diese aus dem kommerziellen Sektor oder aus dem Freeware-Bereich stammt.

Fluch und Segen der Automatisierung

Eine Softwareverteilung, welche durch einen auf dem Zielsystem installierten Agenten ausgeführt wird, benötigt zwingend Prüfmechanismen für die zu installierenden Softwarepakete. Die Frage, ob ein Softwarepaket auf dem Client auch wirklich das Paket ist, welches vom IT-Administrator beauftragt wurde, darf aufgrund der Bedrohungslage durch Hacker und Wirtschaftsspionage nicht mehr im Raum stehen.

Diese Absicherung sollte eine Selbstverständlichkeit für ein Software Deployment Tool sein und muss bei der Tool-Evaluierung beachtet und bei den jeweiligen Herstellern konkret hinterfragt werden. Denn Technologien, die ermöglichen, dass Setup-Files für alle Netzwerk-User einsehbar, manipulierbar und ungeprüft installierbar sind, sind unzeitgemäß.

Unbedachte Berechtigungen auf den jeweiligen Distribution-Verzeichnissen fördern die Kompromittierung von System und Netzwerken. Von einfachen „Man-in-the-middle“-Szenarien, wodurch Softwarepaket mit Schadcode versehen und ungeprüft vom Agenten auf dem Zielsystem ausgeführt werden, ganz zu schweigen.

Workflow-basierte Software-Verteilung

Ein Software Deployment Tool muss außerdem die infrastrukturelle Absicherung der Kommunikation bei der Ausführung von Installationsbefehlen für Setup- oder MSI-Files bieten. Zusätzlich müssen Steuerungsmechanismen während des Prozessablaufs der Installation zur Verfügung stehen. Denn nur über diese ist eine sicherheitsorientierte Installation von Applikationen möglich.

Ein zentrales Thema ist beispielsweise die Überprüfung, ob ein System oder Benutzer in einer bestimmten AD-Sicherheitsgruppe ist oder der einzelne Datensatz des Systems im Asset Management bestimmte Attribute trägt, durch die automatisiert die Installation beeinflusst oder gesteuert werden kann. Das Zauberwort hier lautet Workflow-basierte Software-Verteilung. „Setup.exe /s“ oder „msiexec /i“ alleine war gestern.

Heute benötigen IT-Administratoren den Komfort und die sicherheitsorientierten Funktionen von grafisch-Workflow-basierter Softwareverteilung ohne komplexen Skripting-Aufwand. Vorzugweise erledigt die SAM-Lösung auch die Bereitstellung von Patches über die Cloud für PDF-Reader, Browser und ähnliche Software bis hin zu branchenspezifischen Applikationen mit Managed-Service-Angeboten. Im Idealfall werden die Softwarepakete vorab schon um unerwünschte Software wie Toolbars oder Adware bereinigt, so dass diese erst gar nicht bei der Verteilung von Patches mitinstalliert werden.

Lizenzrechtliche Aspekte bei der Evaluierung

Automatisierte Softwareverteilung bietet eine enorme Flexibilität. Getreu dem Motto „Software schnell bereitstellen, wo sie benötigt wird, gleichgültig ob der Client im lokalen Netzwerk oder lediglich mit dem Internet verbunden ist“ - ein Service, der von Usern als fast selbstverständlich angesehen wird.

Dieser ist oft von Web-basierten Self-Service-Portalen unterstützt, welche den Usern Webshop-ähnliche Erfahrung bieten. Hierüber kann Software im internen App-Portal schnell und einfach angefragt oder teilweise auch genehmigungsfrei installiert werden.

Häufig unterschätzen IT-Verantwortliche und IT-Administratoren dabei jedoch ein Risiko: die unbewusste, automatisierte Unterlizenzierung. Denn Software wird so schneller und unbewusster verteilt als auf dem manuellen Weg à la „Turnschuh-Methode“. Deswegen sollte bei der Auswahl des Tools der ganzheitliche Ansatz im Fokus der IT-Entscheider stehen, sprich das Zusammenspiel von Software Deployment und Lizenz-Management.

Softwareverteilung und Lizenz-Management im Einklang

Beim Zusammenspiel von Software Deployment und Lizenzmanagement ist die Workflow-basierte Softwareverteilung das Zünglein an der Waage. Der Automatismus in der Softwareverteilung muss entscheiden können, ob gemäß der vorhandenen Lizenzsituation eine Installation erfolgen kann oder ob diese aufgrund fehlender Lizenzen nicht durchgeführt werden darf.

Idealerweise wird an diesem Prozessschritt automatisiert ein Ticket im IT Service Management eröffnet, welches einen Beschaffungsprozess für neue Lizenzen auslöst. Der Installationsprozess muss jedoch nicht zwingend abgebrochen werden. Dem Benutzer kann gegebenenfalls eine zeitlich begrenzte Testversion installiert werden, die nach abgeschlossener Lizenzierung in eine unlimitierte Lizenz gewandelt wird. So sorgt die IT gleichzeitig für optimale Produktivität und sichert parallel die Compliance.

* Benedikt Gasch ist Direktor Produkt-Management bei der Deskcenter Solutions AG.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45768890 / Anwendungen)