IT-Audits, Softwareaudits und Audits von Computerhardware können in Ewida Audit durchgeführt werden. Die Lösung kann sowohl von internen IT-Abteilungen als auch von Unternehmen genutzt werden, die Audits für ihre Kunden durchführen.
In diesem Artikel zeigen wir zwei Ebenen der Arbeit. Zuerst ordnen wir den planerischen Teil und die Annahmen des Audits, danach gehen wir zur praktischen Durchführung des gesamten Prozesses in der Anwendung über. Da Ewida Audit ein Windows-Desktop-Programm ist, basiert der gesamte Ablauf auf der Arbeit mit der lokalen Konsole, Scan-Dateien und den im Benutzerumfeld gespeicherten Auditdaten.
Dieses Material bezieht sich ausschließlich auf die Arbeit in Ewida Audit. Deshalb konzentrieren wir uns auf das Auditverfahren, das Scannen von Computern, die Überprüfung der Lizenzkonformität von Software, die Zuweisung von Lizenzen und die Erstellung von Abschlussberichten, ohne auf andere Produkte oder andere Arbeitsmodelle einzugehen.
Vorbereitung auf das Audit
Ein IT-Audit sollte mit der Sammlung dessen beginnen, was oft als Nachweise über den Lizenzbesitz bezeichnet wird. Dazu können unter anderem Kaufrechnungen, Lizenzzertifikate, Installationsmedien, COA-Etiketten, Herstellerdokumente und andere Unterlagen gehören, die für ein bestimmtes Lizenzmodell erforderlich sind.
Welche Dokumente benötigt werden, ist nicht immer gleich. Das hängt vom Hersteller, vom Lizenztyp und vom Beschaffungsmodell ab. Deshalb muss gleich zu Beginn festgelegt werden, welche Nachweise über den Besitz von Software im Rahmen eines bestimmten Audits als ausreichend gelten.
Eine gut vorbereitete Anfangsphase spart später Zeit. Ohne die Unterlagen zu ordnen und Regeln für die Bewertung der Lizenzkonformität festzulegen, liefern selbst korrekt durchgeführte Computerscans noch kein verlässliches Endergebnis.
Audit von Computerhardware
Die erste Runde des Computerscannens in einem Unternehmen sollte idealerweise auf einer physischen Prüfung jedes einzelnen Arbeitsplatzes beruhen. In der Praxis bedeutet das, den Computer zu scannen und gleichzeitig Lizenzetiketten, Siegel und andere Kennzeichnungen zu prüfen, die bei der Bewertung der Umgebung im Hinblick auf Konformität relevant sein können.
In Ewida Audit kann das Scannen auf drei Arten durchgeführt werden:
- remote mit Agenten,
- remote über DCOM, ohne Agenten zu installieren,
- lokal mit Codenica PC Audit Scanner.
Welche Methode gewählt wird, hängt vom jeweiligen Szenario ab. Bei internen Audits ist eine Remote-Kommunikation oft möglich. Bei formellen Audits, insbesondere bei Audits vor Ort bei externen Kunden, ist das lokale Scannen des Computers in direkter Anwesenheit des Auditors meist der bessere Ansatz.
Lizenzinventarisierung
Lizenzinventarisierung bedeutet, Lizenzen korrekt in das Programm einzugeben – zusammen mit Kaufinformationen und Dokumenten, die den Besitz bestätigen. Das ist ein sehr wichtiger Schritt, denn die Erkennung einer Anwendung auf einem Computer ist nicht dasselbe wie die Bestätigung des rechtlichen Nutzungsrechts.
Ewida Audit geht nicht automatisch davon aus, dass eine Lizenz vorhanden ist, nur weil Software erkannt oder ein Lizenzschlüssel ausgelesen wurde. Eine solche Vereinfachung könnte zu falschen Schlussfolgerungen führen. Deshalb sollte jede Lizenz auf tatsächlichen Dokumenten und Nachweisen des Lizenzbesitzes beruhen.
In der Praxis bedeutet das, dass das Auditergebnis zwei Ebenen miteinander verbinden sollte: die technischen Daten der Computer und die formalen Daten aus Kaufunterlagen und Lizenzierungsregeln.
Mitarbeiterverzeichnis und Zuordnung von Verantwortung
Ein Mitarbeiterverzeichnis zu führen ist ein zusätzlicher, aber sehr nützlicher Schritt. Dadurch lässt sich leichter feststellen, wer einen bestimmten Computer nutzt, welche Software einem Arbeitsplatz zugeordnet ist und wer für einen bestimmten Satz von Geräten oder Lizenzen verantwortlich ist.
Benutzer können manuell hinzugefügt oder aus einer CSV-Datei, aus Active Directory oder aus der Datenbank von Ewida Standard importiert werden. Diese Zuordnung hilft dabei, das Auditergebnis zu strukturieren und die Erstellung der Abschlussberichte zu erleichtern.
Wie Audits in Ewida Audit funktionieren
Im Programm werden Hosts angelegt, die den gescannten Computern entsprechen. Für jeden Host speichert die Anwendung die Quelldaten separat und führt anschließend einen Erkennungsprozess aus. In der Praxis bedeutet das, dass technische Daten aus WMI, der Systemregistrierung und gescannten Dateien in strukturierte Objekte wie Computersätze, Geräte und Software umgewandelt werden.
Nachdem die Scanergebnisse geladen wurden, kann mit der Zuweisung von Lizenzen zur erkannten Software begonnen werden. In manchen Szenarien können Teile dieses Prozesses durch Automatisierung unterstützt werden, aber beim ersten Audit ist es sicherer, die entscheidenden Schritte manuell durchzuführen. Das gibt mehr Kontrolle über das Ergebnis und verringert das Risiko von Interpretationsfehlern.
Berichte nach dem Audit
Ewida Audit stellt Übersichten und Berichte bereit, die bei der Erstellung des Abschlussberichts genutzt werden können. Dazu gehören zum Beispiel Berichte mit einer Zusammenfassung der erkannten Anwendungen, Listen von Software, Lizenzen, Geräten und Computern sowie detailliertere Berichte.
In der Praxis besteht der Abschlussbericht meist aus einem beschreibenden Teil zusammen mit beigefügten Ausdrucken oder Übersichten. Wichtig ist auch der Mechanismus für benutzerdefinierte Auswertungen, weil sich damit ein Bericht erstellen lässt, der besser zu einem bestimmten Kunden, zum Ziel des Audits oder zur bevorzugten Art der Ergebnisdarstellung passt.
Abschluss des theoretischen Teils
Der Abschluss eines Audits bedeutet, den Abschlussbericht zusammen mit den Schlussfolgerungen aus dem gesamten Verfahren vorzubereiten. Der Bericht kann eine Beschreibung des aktuellen Zustands, die Feststellung von Lizenzlücken, Vorschläge für Korrekturmaßnahmen und organisatorische Empfehlungen für die Zukunft enthalten.
In vielen Unternehmen ist die Festlegung der nächsten Schritte für das Management der IT-Umgebung genauso wichtig wie das Auditergebnis selbst. Ein Audit sollte nicht damit enden, nur auf Nichtkonformitäten hinzuweisen. Besser ist es, wenn es auch zu einem geordneteren Vorgehen bei Softwarebeschaffung, Lizenzdokumentation und der Planung zukünftiger Prüfungen führt.
Wenn das Unternehmen nach dem Audit eine umfassendere Erfassung von Infrastruktur, Dokumenten, Kosten und Ausstattung in einem separaten Windows-Desktop-System führen möchte, kann es dafür Ewida Standard verwenden.
Annahmen für den praktischen Teil
Ein IT-Audit kann von einem Mitarbeiter des Unternehmens im Rahmen einer internen Prüfung oder von einem externen Auditunternehmen durchgeführt werden. In diesem Teil gehen wir von einem praktischen Szenario aus, in dem ein externer Auditor das Audit beim Kunden vor Ort durchführt.
Wir gehen davon aus, dass die Bedingungen der Zusammenarbeit bereits vereinbart wurden, der Kunde Unterlagen zu Lizenzen und zum Softwarekauf vorbereitet und außerdem grundlegende Informationen über die Mitarbeiterstruktur und die Nutzung der Computer bereitstellt. Diese Daten werden zu Beginn benötigt, ihre Richtigkeit und Vollständigkeit muss jedoch während des eigentlichen Audits trotzdem überprüft werden.
In diesem Modell kann entweder ein Basis-Audit oder ein erweitertes Audit durchgeführt werden. Die erweiterte Variante umfasst zusätzlich eine detailliertere Ordnung der Daten zu Hardware, Dokumenten, Garantien und Kosten, sodass das Auditergebnis auch nach Abschluss der eigentlichen Prüfung noch nützlich bleibt.
Vorbereitung auf das praktische Audit
Die Arbeit beginnt auf dem eigenen Computer, auf dem Ewida Audit installiert und die Umgebung für den gesamten Ablauf vorbereitet wird. Das Programm bietet drei Scan-Mechanismen: Agenten, DCOM und Codenica PC Audit Scanner.
Für externe Audits ist der sicherste und zugleich klarste Ansatz die Verwendung von Codenica PC Audit Scanner. Agenten auf den Computern des Kunden zu installieren, ist in der Regel nicht die beste Lösung, weil das gegen Sicherheitsrichtlinien verstoßen, unnötige formale Fragen aufwerfen oder vom Kunden schlicht nicht akzeptiert werden kann.
In der Praxis passt ein Scanner, der von einem USB-Laufwerk oder über ein Netzwerkskript gestartet wird, besser zum Charakter eines formellen Audits, bei dem der Auditor den Arbeitsplatz aufsuchen, Lizenzkennzeichnungen prüfen und die Kontrolle persönlich durchführen sollte.
Sobald die Arbeitsmethode festgelegt ist, kann im Programm ein neues Audit erstellt werden. Wählen Sie Menü → Audit → Neu, starten Sie den Assistenten und geben Sie die Unternehmensdaten ein, die in den Berichten erscheinen sollen. Fügen Sie anschließend den Standard-Host hinzu, der zum Erstellen des Audit-Arbeitsbereichs erforderlich ist, überspringen Sie die Installation von Agenten und das Remote-Scannen und beenden Sie den Assistenten.
In dieser Phase geht es vor allem darum, eine geordnete Umgebung vorzubereiten, in die später Scanergebnisse, Benutzerdaten, Lizenzen und Beziehungen zwischen Objekten importiert werden.
Codenica PC Audit Scanner
Das Audit der Computerhardware wird mit Codenica PC Audit Scanner durchgeführt, einem leichten Scanner, der zusammen mit Ewida Audit bereitgestellt wird. Das Programm muss nicht installiert werden und kann von einem USB-Laufwerk gestartet werden, was besonders praktisch für die Arbeit vor Ort ist.
Der Scanner unterstützt Startparameter und kann daher auch über eigene Skripte gestartet werden. Zu den wichtigsten Parametern gehören:
- autostart — startet den Scan automatisch,
- autoclose — schließt sich nach Abschluss automatisch,
- hide — startet ohne Benutzeroberfläche,
- silent — ohne Fenster mit Abschlussmeldung,
- skipstartupdrive — überspringt das Startlaufwerk,
- targetdir — legt das Speicherverzeichnis fest,
- targetfile — legt den Namen der Scan-Datei fest.
Wenn der Parameter hide verwendet wird, werden die Parameter autostart, autoclose und silent automatisch ebenfalls aktiviert.
Konfiguration und Vorbereitung des Scanners
Bevor die Arbeit beginnt, lohnt es sich, die in der Programmkonfiguration im Bereich Audit verfügbaren Scaneinstellungen zu prüfen. Nach der Erstinstallation sind die Einstellungen standardmäßig vorbereitet, dennoch ist es sinnvoll, zumindest ihren Umfang zu überprüfen und sicherzustellen, dass sie zum geplanten Verfahren passen.
Die Konfigurationsmöglichkeiten sind umfangreich, aber in vielen Umgebungen reichen die Standardeinstellungen für den Anfang völlig aus. Sobald die Scanregeln festgelegt sind, kann Codenica PC Audit Scanner erzeugt und auf einem USB-Laufwerk gespeichert werden, das für die Arbeit beim Kunden vorbereitet ist.
Computer scannen und Ergebnisse auswerten
Sobald das USB-Laufwerk mit dem Scanner vorbereitet ist, kann mit dem Scannen der Computer des Kunden begonnen werden. Es ist sinnvoll, parallel eigene Notizen zu führen und zumindest den Hostnamen, Benutzerdaten sowie Informationen über COA-Etiketten, Siegel und andere Elemente festzuhalten, die zusätzlich geprüft werden müssen.
Starten Sie auf dem Computer die Datei PCScanner.exe, beginnen Sie den Scan und speichern Sie das Ergebnis nach Abschluss. Nach der Rückkehr importieren Sie die Scan-Dateien in Ewida Audit über Menü → Audit → Scan-Dateien laden. Das Programm erstellt Hosts, die die auditierten Computer repräsentieren, und startet den Prozess der Datenerkennung.
Anschließend fügen Sie Benutzer hinzu und weisen sie den richtigen Hosts zu. Der nächste Schritt ist die Eingabe der Lizenzen, die dem Kunden gehören. Besonders wichtig ist es, auf die Felder Name, Version und Anzahl der Arbeitsplätze zu achten, da sie für die spätere Zuordnung von Lizenzen zur erkannten Software entscheidend sind.
Nachdem die Lizenzen hinzugefügt wurden, verknüpfen Sie sie mit den Hosts. Das kann einzeln oder gesammelt erfolgen – je nach Art der Lizenzen und Umfang des Audits. Danach wird die erkannte Software geordnet, indem jene Positionen aus der Analyse ausgeschlossen werden, die für die Konformitätsbewertung nicht relevant sind, zum Beispiel bestimmte kostenlose Werkzeuge oder Bibliotheken.
Wenn es sich um ein erweitertes Audit handelt, können in dieser Phase auch Daten zu Hardware, Garantien, Dokumenten und zusätzlichen organisatorischen Informationen geordnet werden. Dadurch endet das Ergebnis der Arbeit nicht in einem einmaligen Bericht, sondern wird zu einem nützlichen Material für das weitere Management der IT-Umgebung.