Dokumentationsanforderungen im IT-Betrieb – die Sicherheits-Perspektive (I)

„Dokumentation“ ist das ungeliebte Kind vieler IT-Bereiche. Besonders der Mittelstand tut sich aufgrund des latenten Ressourcenmangels oft schwer damit. Aber auch in Konzernen wird das Thema nicht selten auf die lange Bank geschoben oder konzeptionell gleich an externe Berater ausgelagert.

Unter Dokumentation soll an dieser Stelle die nachvollziehbare schriftliche Erfassung eines Soll- und Ist-Zustands von IT-Systemen und Anwendungen verstanden werden, einschließlich der grundlegenden Sicherheitsanforderungen, die bei Planung, Realisierung und Betrieb in der IT relevant sind.

Zwei häufige Dokumentenkategorien sind Richtlinien und Administrations-Handbücher:

  • Eine (Sicherheits-) Richtlinie steckt den allgemeinen Rahmen für die Sicherheit und die Verwaltung in einer bestimmten Zielobjekt-Kategorie ab. Eine Sicherheitsrichtlinie ist in der Regel weitestgehend unabhängig von einer spezifischen Technologie- oder Produktplattform. Beispiele: Sicherheitsrichtlinie für einen allgemeinen Server oder ein Sicherheits-Gateway (Firewall).
  • Im Unterschied zur Sicherheitsrichtlinie bezieht sich das Admin-Handbuch in der Regel auf eine bestimmte Technologieplattform oder –familie. Es konkretisiert die Vorgaben der Sicherheitsrichtlinien, wie beispielsweise über Konfigurationsanweisungen für Windows Server 2008. Eine weitere wichtige Funktion des Admin-Handbuchs besteht in der Dokumentation des laufenden Betriebs, zum Beispiel von Konfigurationsänderungen, Störfällen etc. „Handbuch“ muss dabei nicht wörtlich verstanden werden. Es kann zum Beispiel als „plain text“ über verlinkte Dokumente im Intranet vorliegen. Eine aktuelle Kopie sollte aber für den Notfall immer offline vorliegen.

So genannte „Guidelines“ sind im deutschen Sprachgebrauch übrigens nicht Richtlinien, sondern vielmehr Umsetzungsempfehlungen, die in der Regel nicht verbindlich sind.

Konzepte wiederum beschreiben und begründen einen gewünschten Zustand für einen Prozess oder ein System. Konzepte für den Notfall, die Datensicherung oder für bestimmte Systeme befinden sich in der Dokumentenhierarchie daher zwischen Richtlinie und Admin-Handbüchern bzw. detaillierten Plänen und Arbeitsanweisungen für den IT-Betrieb.

Unternehmen mit mehr als 1000 Mitarbeitern sparen sich mittelfristig viel Mehraufwand, wenn sie ihre Dokumentenhierarchie sorgfältig und modular planen. Der kleine Mittelstand wird in der Regel mit pragmatischen Admin-Handbüchern, ergänzt um Sicherheitskonzepte für kritische Systeme und Anwendungen, gut bedient sein.