ITIL

Aus HASiWiki

Inhaltsverzeichnis 1 Serviceorientierter IT-Managementprozess (ITIL) 1.1 Service Support 1.2 Service Delivery 1.3 Security Management (Sicherheitsmanagement) 1.4 Business Perspective 1.5 Application Management 1.6 ICT Infrastructure Management 1.7 Planning to Implement Service Management 1.8 Zusammenfassung und Bewertung

Serviceorientierter IT-Managementprozess (ITIL)

Die Abkürzung ITIL steht für Information Technology Infrastructure Library. Es handelt sich um ein eingetragenes Warenzeichen der OGC (Office of Government Commerce) einer Stabsstelle der Regierung von Großbritannien. 1989 wurde das OGC mit einer Studie beauftragt, die aktiven Geschäftsprozesse im Bereich IT ganzheitlich zu untersuchen und zu beschreiben. Dabei entstand in Form von Büchern ein Leitfaden zur Gliederung von Funktionen und zur Strukturierung von Prozessen, die bei einem serviceorientierten IT-Betrieb in einem Unternehmen entstehen. Durch diesen Leitfaden wird versucht, standardisierte und automatisierte Service-Prozesse zu beschreiben. Im Leitfaden finden sich auch Checklisten, Verfahren, Aufgabenzuordnungen oder auch Regelungen von Zuständigkeiten. ITIL ist ein nicht proprietäres, öffentlich verfügbares Rahmenwerk.

Heute stehen viele IT-Abteilungen vor neuen Herausforderungen, die sich daraus ergeben, dass sie als kundenorientierte Dienstleister für die Anwender agieren und sich auch oft gegen externe Anbieter behaupten müssen. Durch ITIL werden Common-Practice Lösungen, manche Autoren sprechen auch von Best Practice Lösungen beschrieben, mit denen angestrebt wird, die Kosten und Risiken bei einem kundenorientierten IT-Managementprozess zu reduzieren. Man will damit die Grundlage für Verbesserungen für den Einsatz einer operationalen IT-Infrastruktur legen. Durch ITIL soll eine kundenorientierte Ausrichtung der gesamten Informationsverarbeitung im Unternehmen erreicht werden. Kunden können dabei interne IT-Nutzer in den Fachabteilungen oder externe Anwender sein.

ITIL gibt vor allem Hinweise „Was“ dabei zu tun ist und nicht „Wie“ etwas konkret umgesetzt werden muss. Es werden Vorgaben / Vorschläge in Form eines De-facto-Standards gemacht, die jedoch entsprechend den unternehmensspezifischen Anforderungen und Bedürfnissen umgesetzt werden sollen.

Der Fokus von ITIL liegt auf der Beschreibung eines ganzheitlich orientierten, gemeinsamen Rahmens für alle Aktivitäten der IT-Organisation, die für die Erbringung von IT-Services von Bedeutung sind. Hierzu werden sieben Planungsebenen beschrieben.

1. Service Support

   In dieser Ebene geht es um die Unterstützung und den Betrieb der IT Services im Unternehmen.

2. Service Delivery

   Die Gestaltung der IT-Leistungen muss geplant, gesteuert und überwacht werden.

3. Security Management

   IT Sicherheitsmanagement

4. Business Perspective

   Hier werden strategische Prozesse beschrieben, die für die Bereitstellung und den Betrieb von IT-Leistungen erforderlich sind.

5. Application Management

   Dieser Bereich beschäftigt sich mit dem Einsatz von Applikationen über den gesamten Lebenszyklus hinweg, also von der Erstanforderung über die Nutzungszeit bis hin zu deren Auslaufen.

6. ICT Infrastructure Management (Information and Communications Technology)

   Hier geht es um interne Prozesse im Rechenzentrum, welche die Grundlage für Dienstleistungen des IT-Service Managements bilden. Anleitungen zur Planung und Organisation der IT-Infrastruktur müssen erstellt werden.

1. Planing to Implement Service Management

   In diesem Teilbereich steht die Einführung und kontinuierliche Weiterentwicklung von IT-Services im Fokus.

Daraus ergibt sich die ITIL Rahmenstruktur, die in Bild 4-42 dargestellt wird.

In der Grafik (Bild 4-43) wurden die Bereiche entsprechend ihrer Techniknähe geordnet, so dass sich eine gute Integration in das Aufgabengliederungsmodell zu dem in Band 1 beschriebenen Grundmodell zum Ganzheitlichen Informationsmanagement herstellen lässt. Die Bereiche Service Delivery und Service Support werden zum Kernbereich IT Service Management zusammengefasst und stellen einen Schwerpunkt dar. Die übrigen Managementbereiche wie z.B. Security Management werden dagegen nur am Rande oder durch Referenzbeiträge behandelt.

Die einzelnen Planungsebenen werden durch Geschäftsprozesse beschrieben und sind über Kommunikationslinien miteinander verbunden. Dadurch entsteht ein Gerüst von Rollen, Verantwortlichkeiten und Arbeitsschritten. Jeder Prozess wird durch Eigenschaften beschrieben:

1. Input für den Prozess (z.B. Informationen, die innerhalb des Prozesses weiterverarbeitet werden)
2. Prozess-Besitzer

   Dieser trägt die Verantwortung für alle am Prozess beteiligten Personen und ihre Aufgaben.

3. Aufgaben

   Prozesse werden aus einzelnen Aufgaben gebildet. Für jede Aufgabe benötigt man einen Input und generiert umgekehrt einen entsprechenden Output.

4. Rollen

   Zur Aufgabenumsetzung benötigt man „Rollen“. Eine „Rolle“ kann

z.B. von einem Mitarbeiter oder von Software ausgeführt werden. Der Prozessbesitzer legt fest, wer für die Ausführung zuständig ist.

1. Regeln

   Was „Rollen“ ausführen, orientiert sich an Regeln. Diese stellen Vorgaben für die Ausführung dar.

2. Output

   Jeder Prozess generiert einen Output. Dieser kann z.B. zur Steuerung weiterer Prozesse verwendet werden.

Nachfolgend werden die einzelnen Bereiche der ITIL-Rahmenstruktur kurz erläutert.

Service Support

Der Bereich Service Support ist operational und damit am „Tagesgeschäft“ ausgerichtet. Er umfasst alle Prozesse und Funktionen, mit denen gesteuert wird, dass der Endanwender möglichst effizient mit IT Systemen arbeiten kann. Hierzu gehören folgende fünf Prozesse

a) Configuration Management

b) Change Management

c) Incident Management (sowie Service Desk)

d) Problem Management

e) Release Management

zu a) Configuration Management

Das Configuration Management liefert detaillierte Informationen über die gesamte Infrastruktur eines Unternehmens, die in Form eines logischen Modells abgebildet wird. Das Modell besteht aus sogenannten Configuration Items. Hierzu zählen z.B. Hardware, Software, Datenbanken, Einrichtungen, Dienstleistungen oder auch die Dokumentationen. Zu diesen Objekten werden vielfältige Informationen gesammelt und in einer Datenbank (Configuration Management Database) gepflegt. Mit Hilfe des Configuration Managements hat man einen guten und strukturierten Überblick über die IT-Infrastruktur. Die Informationen sind wichtig bei Administration und Diagnose aber auch bei Problem- und Krisenfällen.

zu b) Change Management

Unter dem Begriff „Change“ werden Veränderungen innerhalb des IT-Gesamtsystems verstanden. Nur in wenigen Bereichen erleben wir eine derart rasante Entwicklung wie im IT-Bereich. Bedingt durch neue Anforderungen aus der Umsetzung von Geschäftsstrategien, durch den Einsatz von neuen Technologien oder Softwareupdates ergeben sich Anforderungen an verschiedene Geschäftsprozesse, mit denen die Änderungen im Rahmen des Change Managements gesteuert und überwacht werden. Das Change Management ist damit die zentrale Instanz, die alle Änderungen im IT-System genehmigt und überwacht. Die Change Prozesse werden formal über Änderungsanforderungen, sogenannte „Requests for Changes“ (RfC`s), ausgelöst. Das Change Management hat folgende Aufgaben:

- Ordnen und Klassifizieren von Änderungsanforderungen,

- Beurteilen von Änderungsanforderungen hinsichtlich deren Notwendigkeit, der Kosten und der zu erwartenden Risiken,

- Festlegen von Prioritätenreihenfolgen,

- Entwicklung von Standard-Änderungsverfahren,

- Planung, Organisation und Koordination zur Umsetzung von Änderungsanforderungen,

- Prüfung der durchgeführten Änderungen.

zu c) Incident Management (Störungsmanagement)

Bei der Bereitstellung von IT-Diensten muss immer mit dem Auftreten von Störungen gerechnet werden. Beim Incident Management versucht man Störungen mit dem Ziel zu managen, dass schnellstmöglich wieder ein normaler Betrieb mit den üblichen IT-Diensten angeboten werden kann. Incident Management wird schwerpunktmäßig im Service Desk ausgeführt. Dabei melden IT-Nutzer Störungen an den Service Desk. Dieser ist die einzige Stelle (Single Point of Contact) für eingehende Meldungen oder Anfragen. Das Incident Management beschreibt einen standardisierten Prozess, wie mit Abweichungen vom Normalbetrieb umgegangen werden soll. Einen Überblick über die Prozessschritte beim Incident Management ist aus Bild 4-44 ersichtlich.

Ein normaler, störungsfreier Betrieb wird im Rahmen von Service Level Agreements (SLA) beschrieben. Abweichungen vom Normalbetrieb werden von den Anwendern als Störungen empfunden und dem Incident Management gemeldet. Es ist jedoch auch ebenso möglich, dass vom Incident Management selbst Störungen identifiziert werden. Hierzu werden oft Tools zur Überwachung des System- und Applikationsbetriebs eingesetzt. Mit diesen Tools lassen sich häufig wiederkehrende Störungen wie Kapazitätsengpässe oder Überlastungen auf einfache Art erkennen und behandeln. Bei der Klassifikation von Incidents wird beurteilt, ob es sich um

- einfache Anfragen eines Nutzers,

- um bekannte Fehler,

- um ein abnormales Systemverhalten,

- um eine schwerwiegende Störung oder

- um Anfragen nach einer Änderung der IT-Infrastruktur oder bei der eingesetzten Software

handelt.

Beim Prozessschritt „Analyse / Diagnose von Störungen“ kann es erforderlich sein, dass weitere Spezialisten herangezogen werden müssen. Die Weiterleitung eines Störungsvorgangs zu weiteren Betroffenen wird als fachliche oder horizontale Eskalation bezeichnet. Eine Beteiligung entsprechend den Führungsebenen stellt die vertikale Eskalation dar.

Zur Störungsbeseitigung wird im Rahmen eines „First Level Supports“ versucht, das Problem schnell zu lösen oder „erste Hilfemaßnahmen“ zu ergreifen. Im Rahmen des First Level Supports können einfache Probleme wie beispielsweise „kein Plattenplatz“, „Probleme beim Ausdruck“, „Passwort vergessen“, „einfache Bedienfehler“ o.ä. direkt gelöst oder alternative Möglichkeiten angeboten werden.

Beim Second Level Support werden weitere Spezialisten und beim Third Level Support gegebenenfalls Produkthersteller direkt mit eingebunden.

Nach einer erfolgreichen Incident-Bearbeitung (Abschluss eines Störvorganges) erfolgt die Dokumentation und die Erstellung von Reports zu dieser Serviceleistung. Mit Hilfe des Reports können später gleiche oder ähnliche Probleme schnell gelöst oder auch statistische Aussagen z.B. zu Wiederherstellungszeiten oder Hinweise für Weiterentwicklungen abgeleitet werden.

Zu den Zielen / Vorteilen des Incident Managements zählen:

- Zuordnung von bekannten Lösungsmustern zu den Incidents

- schnelle und effektive Beseitigung von Störungen

- Reduktion der Zeitdauer zur Fehlerbehebung

- Steigerung der Zufriedenheit bei den Usern und Kunden

- verbessertes Monitoring von Störungen

- klare Richtlinien zur adäquaten Eskalation von Störungen.

zu d) Problem Management

Beim Problem Management kümmert man sich um die langfristige und störungsfreie Sicherstellung der IT-Aktivitäten. Meist wird das Problem Management mit dem Second- und Third-Level Support vom Incident Management abgehandelt. Im Gegensatz zum Incident Management geht es hier darum Fehler vorbeugend zu analysieren und die Ursachen für ein Problem zu finden. Es sollen Vorkehrungen getroffen werden, dass künftig Fehler mit einer grundsätzlichen Ursache nicht mehr auftreten. Ebenfalls werden Fehler und Fehlerquellen proaktiv erfasst und es wird nicht, wie beim Incident Management, reaktiv auf Usermeldungen hin agiert.

Bild 4-45 zeigt die Teilschritte des Problem Managements. Die Erkenntnisse aus dem Problem Management werden an das Change Management zur weiteren Bearbeitung übertragen. Im Teilschritt „Problem Kontrolle“ werden Probleme analysiert, klassifiziert, und es wird eine Diagnose erstellt. Der zweite Teilschritt „Fehler Kontrolle“ dient dazu, identifizierte Fehler aufzuzeichnen und zu bewerten. Ebenfalls erfolgt ein Monitoring des Fortschritts der Problem- und Fehlerbeseitigung. Als letzter Teilschritt wird beim „proaktiven Problem Management“ versucht, potenzielle Fehler zu identifizieren, bevor es zum Auftreten von Incidents kommt.

Zu den Zielen und Vorteilen beim Problem Management zählen:

- Vermeidung von Störungen durch kontinuierliche Verbesserungen

- vorbeugende Identifizierung von möglichen Störquellen

- Reduktion von Problemfällen

- Nutzung von Erkenntnissen der Vergangenheit für die Zukunft.

zu e) Release Management

IT-Systeme sind einem ständigen Wandel bei Hardware, System- und Anwendungssoftware unterworfen. Das Release Management hat die Aufgabe, technische und organisatorische Mittel und Methoden bereitzustellen, damit Änderungen an den IT-Beständen effektiv sicher und nachvollziehbar durchgeführt werden können. Damit soll eine Systemintegrität sichergestellt werden.

Zu den Aufgaben des Release Managements zählen:

- Festlegung einer Release Policy

Hier geht es um die Beantwortung der Fragen, welchen Standardisierungsgrad, welche Austauschzyklen und Veränderungszyklen man anstrebt.

- Bau, Test und Freigabe von Releaseständen

- Planung, Durchführung und Kontrolle von Veränderungen an Hard- und Software

- Abstimmung der Veränderungen in enger Zusammenarbeit mit dem Change Management

- Erstellung einer Dokumentation zu den Releaseständen.

Vom Release Management werden die Release Informationen in einer zentralen Configuration Management Data Base (CMDB) gespeichert. Ein Rollout-Plan oder auch Auslieferungs- oder Implementierungsplan beschreibt, wie ein neues Release implementiert werden soll. Vom Release Management werden aber auch Maßnahmen zur Wiederherstellung des ursprünglichen Zustandes (Back Out) geplant.

Vorteile des Release Managements:

- Versionsstände werden an zentraler Stelle dokumentiert und verwaltet

- Planung und Kontrolle der Auslieferungen von Hard- und Software

- Sicherstellung der Systemintegrität

Service Delivery

Für IT-Nutzer muss eine abgestimmte IT-Leistung bereitgestellt werden. Service Delivery beschäftigt sich mit den planerischen und steuernden Prozessen zur Erstellung der IT-Leistung. Damit wird dieser Bereich zwischen den IT-Nutzern und den IT-Dienstleistungsabteilungen angesiedelt.

Service Delivery wird in folgende 5 Bereiche gegliedert:

a) Service Level Management

Zu erbringende IT-Leistungen werden in Form von externen und internen Leistungsvereinbarungen beschrieben.

b) Capacity Management

Für IT-Leistungen benötigt man technische und personelle Ressourcen.

c) Continuity Management

Hier geht es um die Sicherstellung eines kontinuierlichen IT-Betriebs in Notfall- und Ausnahmesituationen.

d) Availability Management

Die Verfügbarkeit der IT-Services sollte möglichst hoch sein. Hierzu werden die Leistungen laufend überwacht (Monitoring).

e) Financial Management

Die zentrale Instanz für alle Budget- und Kostenbelange werden in diesem Bereich abgehandelt.

zu a) Service Level Management Das Service Level Management stellt einen wichtigen Prozess innerhalb von ITIL dar, in dem die zu erbringenden IT-Leistungen und Preise in Form von Service Level Agreements (SLA’s) beschrieben werden. Die SLA’s stellen verbindliche Vereinbarungen für interne und externe Leistungen dar. Hier muss darauf geachtet werden, dass die Leistungen genau spezifiziert werden. Das Service Level Management hat maßgeblichen Einfluss auf andere Prozesse.

Zu den Aufgaben des Service Level Managements gehören:

- die Ermittlung des erforderlichen IT-Leistungsumfangs. Diese Leistungsanforderungen werden in Form von Service Level Requirements beschrieben. Hierfür werden die erforderlichen Ressourcen und Kosten ermittelt.

- das Benennen von Messkriterien für Service Levels, die zur Überwachung der Leistungserbringung verwendet werden können und Vereinbarung von Service Level Agreements.

- die Überwachung der Leistungen auf Einhaltung der Service Level Agreements.

- die Überarbeitung und Anpassung der Service Level Agreements im Hinblick auf eine kontinuierliche Verbesserung der IT Serviceleistungen.

Diese Aufgaben werden zyklisch wiederholt (Bild 4-46).

zu b) Capacity Management

Beim Capacity Management stehen die aktuellen und künftigen Ressourcen, die zur Erbringung von IT-Leistungen erforderlich sind, im Mittelpunkt. Was zukünftig an IT-Leistungen benötigt wird, wird über mehrere Schichten ausgehend vom Business Capacity Management über das Service Capacity Management hin zum Resource Capacity Management abgeleitet (Bild 4-47).

Im Rahmen des Business Capacity Managements erfolgt ausgehend von den künftigen Geschäftsanforderungen die Planung von IT-Dienstleistungen. Die Betrachtung der daraus abgeleiteten Geschäftsprozesse erfolgt anschließend im Service Capacity Management. Hinter dem Resource Capacity Management verbirgt sich das eigentliche Ressourcen Management, das sich um die Auslastung vorhandener Ressourcen und den Bedarf künftiger Ressourcen kümmert.

Vom Capacity Management werden die gesamte Hardware (PC´s, Server, Netzwerke, Hosts, Peripheriegeräte, usw.), die Software (System- und Anwendungssoftware) und ggf. auch die Personalressourcen geplant. Die Verwaltung erfolgt in einer eigenen Datenbank (Capacity Management Database).

zu c) Continuity Management

Die Querschnittsfunktion „Informationsverarbeitung“ hat heute mehr oder weniger alle Unternehmensbereiche durchdrungen. Kommt es zu Störungen, so lassen sich diese meist nicht nur auf Teilbereiche beschränken, sondern betreffen das Unternehmen in seiner Gesamtheit. Für viele Unternehmen sind funktionierende IT Dienste deshalb von vitaler Bedeutung.

Der Schwerpunkt des Continuity Managements liegt in der Gewährleistung eines eventuell eingeschränkten Produktionsbetriebs in Notfall- und Ausnahmesituationen. Zu diesem Zweck wird technisch und organisatorisch eine Sicherheitsarchitektur erstellt, um Datenverluste oder Ausfälle bei IT Diensten möglichst gering zu halten.

Ziele des Continuity Managements sind:

- die Durchführung einer Risikoanalyse zur Identifikation von kritischen Geschäftsprozessen

- die Vorbereitung von Organisationsmaßnahmen für ein Krisenmanagement

- die Sicherstellung der Überlebensfähigkeit des Unternehmens nach schweren Störungen

- die Vorbereitung von Maßnahmen für einen Notbetrieb wie:

- Erstellung von Datenträgerkopien in diebstahlsicheren und feuerfesten Tresoren

- Überprüfung von USV-Systemen (unterbrechungsfreie Stromversorgung)

- Planung der Auslagerung von IT-Leistungen im Notbetrieb bei anderen Unternehmen oder Dienstleistern

- der Abschluss von Versicherungen.

zu d) Availability Management

Beim Availability Management steht die Verfügbarkeit der IT-Services im Mittelpunkt. Die Verfügbarkeit von IT-Services setzt sich zusammen aus der Zuverlässigkeit (Reliability), der Wartbarkeit (Maintainability), der Servicefähigkeit (Serviceability) und der IT-Sicherheit (Security). Die Beurteilung der Verfügbarkeit erfolgt anhand von Messgrößen und Messverfahren, die möglichst ohne großen Aufwand gewonnen werden können. Häufig wird über Tools (Monitore) die Verfügbarkeit überwacht, dokumentiert und mit den Zusicherungen aus den Service Level Agreements verglichen.

Hierfür werden verschiedene Kennzahlen verwendet. z.B.:

tB = effektive Betriebszeit

--> Formeln zur Berechnung siehe rechts -->

V = Verfügbarkeit

Zu den Aufgaben des Availability Managements zählen:

- Festlegung von Anforderungen an die Verfügbarkeit

- Bedarfsplanung, Bedarfsprognosen und Kostenermittlung zur Verfügbarkeit

- Aufstellung eines Verfügbarkeitsplans

- Erstellen von Wartungsplänen

- Abschluss von Wartungsverträgen (Hard- und Software)

- kontinuierlicher Prozess zur laufenden Verbesserung der Verfügbarkeit.

Das Availability Management unterscheidet sich vom Continuity Management dadurch, dass das Availability Management versucht, vorbeugende Maßnahmen zur Abwendung von Gefahren zu ergreifen, während das Continuity Management Maßnahmen nach dem Eintritt von gravierenden Schäden (Überschwemmung, Brand, Sabotage etc.) beschreibt.

zu e) Financial Management

Für Budget- und Kostenbelange ist das Financial Management zuständig. Aus wirtschaftlicher Sicht ist Transparenz bei der Erbringung von IT-Leistungen zu schaffen und die Grundlage für die Weiterverrechnung der Kosten und für Investitionsentscheidungen zu legen.

Das Financial Management orientiert sich sehr stark an dem im Unternehmen eingesetzten Rechnungswesen und den vorhandenen Controlling-Systemen. Die Frage, „welche Kosten fallen an“ wird im Bereich der Kostenartenrechnung und die Frage „wo fallen die Kosten an“ im Bereich der Kostenstellenrechnung beantwortet. Die Kostenträgerrechnung geht der Frage nach „wofür fallen Kosten an“.

Zu den Aufgaben des Financial Managements zählen:

- Finanzplanung (Budgeting)

Hier erfolgt die Vorgabe eines Kostenrahmens für die nächste Zeitperiode. Dieser muss während der Abrechnungsperiode mit den Istwerten verglichen werden.

- Kostenrechnung (Costing bzw. IT-Accounting)

Eine wichtige Aufgabe ist dabei die Ermittlung der effektiven Kosten für einzelne IT-Services.

- Leistungsverrechnung (Charging)

Nur durch die Zuordnung von Kosten auf die Kostenverursacher können Entscheidungen unter dem Gebot der Wirtschaftlichkeit getroffen werden.

- Die Ermittlung künftiger Investitionskosten (Software, Hardware) bildet die Grundlage für die Preisgestaltung und für Preisverhandlungen.

- Gesamtkostenbetrachtung (TCO)

Unter TCO (Total Cost of Ownership) versteht man eine Gesamtkostenbetrachtung für IT-Objekte über den gesamten Lebenszyklus. Sie setzen sich aus den Anschaffungs-, Betriebs- und Stilllegungskosten zusammen. Besonders im IT-Bereich sind, wenn man z.B. Farbdrucker betrachtet, die Anschaffungskosten relativ gering. Die Investition ist jedoch mit enormen Folgekosten behaftet.

- Investitionsstrategie (ROI)

ROI (Return on Invest) ist eine Kennzahl, mit der man eine Aussage zum Investitionsrückfluss machen kann.

--> Formeln zur ROI Berechnung siehe rechts -->

Durch ein leistungsfähiges Financial Management wird das Wirtschaftlichkeitsdenken im Unternehmen stark gefördert. Erst damit kann eine solide Basis für Entscheidungen geschaffen werden.

Security Management (Sicherheitsmanagement)

Sicherheit in der Informationsverarbeitung stellt kein Produkt dar, das man kaufen kann, sondern Sicherheit ist ein hohes Gut, das man im Unternehmen schaffen muss.

Beim Security Management handelt es sich um einen übergreifenden Prozess mit wichtigen Beziehungen zum Capacity-Management und zum Availability-Management. Hardware, Daten, Know-how und Personal stellen wichtige Vermögenswerte im Unternehmen dar, die es vor Diebstahl, Sabotage oder Missbrauch zu schützen gilt. Aufwendungen für die Sicherheit können ein beträchtliches Maß annehmen, wobei eine 100%-Sicherheit nie erreicht werden kann.

Das Security Management kümmert sich um die IT-Sicherheit als Ganzes, wobei vor allem jedoch den Daten das Hauptaugenmerk gewidmet wird. Daten stellen ein besonders wichtiges Gut im Unternehmen dar. Sie sind internen Risiken wie zum Beispiel Manipulationsversuchen oder externen Risiken wie z.B. Viren- oder Hackangriffen ausgesetzt. Das Ziel beim Security Management ist es, die Vertraulichkeit, die Integrität und die Verfügbarkeit der Daten sicherzustellen.

Bei der Vertraulichkeit (Confidentiality) geht es darum, die Daten vor unberechtigtem Zugriff zu schützen. Über Zugangsrestriktionen, z.B. durch einen passwortgeschützten Zugang oder durch die Nutzung von sicheren Informationskanälen wie VPN (Virtual Private Network) werden Informationen nur einer berechtigten Benutzergruppe bereitgestellt.

Die Integrität (Integrity) von Daten bezieht sich auf die Richtigkeit und Vollständigkeit. Zur Gewährleistung der Integrität gilt es, eine nicht autorisierte Veränderung und eine Speicherung von falschen Daten zu verhindern. Ebenso muss darauf geachtet werden, dass Informationen nicht falsch verarbeitet werden.

Die Forderung nach Verfügbarkeit (Availability) zielt darauf ab, dass die Funktionen eines IT-Systems benutzt werden können, wenn man sie braucht. Daten dürfen nicht verschwinden oder nicht zugreifbar sein und Programme müssen nach dem Aufruf nutzbar sein. Die Verfügbarkeit lässt sich u.a. technisch durch redundante Einheiten oder auch die Vermeidung von fehlerhaften Programmen beeinflussen.

Bild 4-48 beschreibt den Geschäftsprozess beim Security Management. Dabei geht man vom IT-Anwender aus und beschreibt über die Service Level Agreements die Anforderungen an das IT Security Management. Die Umsetzung erfolgt in einem zyklischen Vorgehensmodell, das aus den Schritten „Planung der Implementierung“, „Implementierung“, „Evaluation“ und „Warten / Verwalten“ besteht. Aus den Schritten „Evaluation“ und „Warten / Verwalten“ werden regelmäßig „Berichte“ für das Management und die IT-Nutzer erstellt.

Zu den Aufgaben des Security Managements gehören:

- Analyse der Gefahren

:: Hierfür kann z.B. eine Matrix zur Risikobewertung verwendet werden (Bild 4-49).

- Bestimmung der zu sichernden Datenbestände

- Festlegung einer Security Policy

Bei der Security Policy handelt es sich um die langfristige Sicherheitspolitik im Unternehmen.

- Durchführung von Sicherheitsmaßnahmen

Hierzu zählt die Verteilung von Aufgaben, Zuständigkeiten und Verantwortlichkeiten.

- Sicherstellung, dass vorgegebene, gesetzliche Anforderungen erfüllt werden. In Deutschland gibt es eine ganze Reihe von Gesetzen, aus denen sich Anforderungen an das Security Management ergeben. Hierzu gehören:

- Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)

Dieses Gesetz verpflichtet größere Unternehmen ein unternehmensweites Risikomanagement zu implementieren.

- Bundesdatenschutzgesetz (BDSG)

Dieses Gesetz regelt vor allem die Anforderungen an die Verarbeitung personenbezogener Daten.

- Festlegen von Sicherheitsstandards und deren Dokumentation in Form von Security-Leitfäden

- Auswertung von Bedrohungssituationen und Angriffen gegen die Sicherheit

- Erstellen und Überarbeiten von Organisationsanweisungen im Hinblick auf die Datensicherheit

- Überprüfung der Wirkung von eingeführten Sicherheitsmaßnahmen

In Deutschland wurde 1991 das BSI (Bundesamt für Sicherheit in der Informationstechnik) eingerichtet. Es handelt sich um eine Bundesbehörde, die beim Innenministerium angesiedelt ist und sich speziell um Fragen zur IT-Sicherheit in unserer Informationsgesellschaft kümmert. Das BSI ist eine unabhängige und neutrale Stelle und untersucht Sicherheitsrisiken bei Anwendern, formuliert Risiken und Gefahren und erarbeitet Lösungsstrategien. Vom BSI wurde ein umfangreiches IT-Grundschutzhandbuch (über 2900 Seiten) erarbeitet und in einer Studie der Zusammenhang zwischen ITIL und der Informationssicherheit dargestellt. Während bei ITIL der Aufbau und die Prozesse, also die Abläufe im Vordergrund stehen, wird beim IT-Grundschutzhandbuch großen Wert auf die Beschreibung von Maßnahmen und auf Umsetzungsaspekte gelegt.

Business Perspective

Bei ITIL werden die Anforderungen an das Management im Teil „Business Perspective“ beschrieben. IT-Möglichkeiten sollten in geschäftliche Vorteile umgesetzt werden. Partnerschaften, Kundenbeziehungsmanagement, Outsourcing, Offshoring (Auslagern von IT-Aktivitäten in Länder mit niedrigeren Kosten), Insourcing, Assetmanagement oder Gebührenfestlegung sind Beispiele, mit denen man sich in diesem Bereich auseinandersetzt.

Es gilt die IT-Dienste an den Geschäftsanforderungen auszurichten. Das nachfolgende Bild 4-50 zeigt die Wechselbeziehung zwischen Geschäftsprozessen, IT-Verfahren und IT-Services. Ändern sich einerseits Geschäftsprozesse, so hat dies zur Folge, dass Anforderungen an neue IT-Verfahren und IT-Services entstehen. Andererseits können auch technologische Entwicklungen zu neuen IT-Verfahren und besseren IT-Services führen, die dann wiederum die Geschäftsprozesse beeinflussen.

Application Management

Beim Application Management wird der gesamte Lebenszyklus einer Applikation betrachtet. Dieser umfasst neben der Entwicklungsphase auch die Nutzungs- und Aussonderungsphase. Dadurch entsteht ein Zyklus zwischen der Entwicklung (Applikation Development Phasen) und den Service Management Phasen, wie sie in Bild 4-51 dargestellt werden.

Unter einer „Application“ versteht man ein Anwendungssoftwaresystem, mit dem Geschäftsprozesse unterstützt werden. Zur Entwicklung von Anwendungsprogrammen wird die Projektmanagementmethode PRINCE (Projects IN Controlled Environments) beschrieben, die aus 8 Hauptphasen besteht.

1. SU: Starting up a Project: Projektvorbereitung
2. IP: Initiating a Project: Projektinitiierung
3. DP: Directing a Project: Projektlenkung
4. CS: Controlling a Stage: Projektsteuerung
5. MP: Managing Product: Produktlieferung managen
6. SB: Managing Stage: Projektphasenübergänge managen
7. CP: Closing a Project: Projektabschluss
8. PL: Planning: Planung

In der „Projektvorbereitung (SU)“ wird eine Entscheidung über die Durchführung eines Projektes getroffen. Hierzu müssen die erforderlichen Informationen zu Risiken, Kosten und Ressourcen bereitgestellt werden. Die „Projektinitiierung (IP)“ wird formal durch den Lenkungsausschuss getroffen. Innerhalb der „Projektlenkung (DP)“ werden regulierende und kontrollierende Aufgaben ausgeführt. Der Projektleiter muss regelmäßig einem Lenkungsausschuss berichten. Die „Projektsteuerung (CS)“ trägt die Verantwortung dafür, dass alle Subprozesse überwacht und möglichst erfolgreich umgesetzt werden. Innerhalb des Subprozesses „Produktlieferung managen (MP)“ werden Arbeitspakete an Entwickler und nach dem Abschluss der Entwicklungsarbeiten wieder an den Projektleiter übergeben. Für jede Projektphase wird ein eigener „Planungsprozess (PL)“ durchgeführt, in dem die zu produzierenden Ergebnisse, aber auch die zu verwendenden Methoden und Tools festgelegt werden. Phasenübergänge bilden einen kontrollierbaren Projektabschnitt um festzustellen, ob der Projektablauf der Planung entspricht. Innerhalb des Prozesses „Phasenübergänge managen (SB)“ werden alle Aufgaben abgewickelt, die vorhergehende Phasen mit nachfolgenden Phasen verbinden. Formal werden Projekte durch den „Projektabschluss (CP)“ beendet. Dabei wird geprüft, ob alle spezifizierten Produkte erstellt, dokumentiert und ausgeliefert wurden. Ebenfalls erfolgt hier eine Projektrevision und die Aufarbeitung der durch das Projekt gewonnen Erkenntnisse.

ICT Infrastructure Management

Eine möglichst störungsfrei funktionierende IT-Infrastruktur ist die Grundvoraussetzung für alle IT-Serviceleistungen. Beim Information and Communication (ICT) Infrastructure Management werden die Planung, der Aufbau und die Organisation der gesamten IT-Infrastruktur im Unternehmen betrachtet. Zur IT-Infrastruktur zählen u.a.:

- Rechner-Hardware

- Netzwerke

- TK-Anlagen

- Software

Damit hat das Infrastructure Management einen Schwerpunkt im Bereich des Rechenzentrums im Unternehmen. Das Aufgabenspektrum betrifft den gesamten Lebenszyklus und reicht damit von „Design and Planning“ über „Deployment“ und „Operations“ bis zur „Aussonderung / Entsorgung“. Eine Unterstützung bei der Nutzung wird über den „Technical Support“ gewährleistet (Bild 4-52).

Design and Planning ist für die Entwicklung und Wartung von Grundsätzen (Policies), Strategien und für die Aufstellung von Plänen für eine adäquate IT-Infrastruktur zuständig.

Der Deployment-Prozess beschäftigt sich mit der Umsetzung der zuvor erstellten Pläne im Rahmen eines Projektes. Ebenfalls werden die Startvorbereitungen für Infrastruktur-Nutzung erarbeitet. Hierzu werden auch die erforderlichen Dokumente und Einstellungsparameter an den „Technical Support“ übergeben.

Der Operations-Prozess betrifft alle Maßnahmen und Aktivitäten, die für die laufende und möglichst störungsfreie Bereitstellung der IT-Dienste erforderlich sind. Unterstützt wird dieser Prozess sehr häufig durch entsprechende Softwarewerkzeuge zum Server- und Netzwerkmanagement oder dem Logging von Fehler- und Ausnahmesituationen.

Planning to Implement Service Management

In der letzten zu erwähnenden Planungsebene wird die ITIL-Publikation „Planning to Implement Service Management“ kurz umrissen. In dieser wird gezeigt, wie im Unternehmen die Planung, Einführung und fortlaufende Verbesserung von ITIL-Managementbereichen und -Prozessen angestrebt werden kann. Dabei wird ein Prozessmodell, wie es in Bild 4-53 dargestellt ist, bestehend aus 6 Schritten verwendet.

zu 1.: Business Vision

Ausgangspunkt für das Kreislaufmodell ist eine Business Vision für die IT-Serviceleistung. Diese soll über den Zeithorizont einer langfristigen betriebswirtschaftlichen Planung hinaus wirken und auch die Belange der beteiligten Personen, Geschäftsprozesse und Technologien berücksichtigen. Dabei werden über eine langfristige Planung hinausgehende Ziele und Absichten für ein kontinuierliches Service-Verbesserungsprogramm formuliert.

Eine Vision sollte die Richtung für das Service-Verbesserungsprogramm klären, die beteiligten Personen motivieren und ihnen einen Orientierungsrahmen liefern. Ebenfalls kann damit der Handlungsrahmen für das Management abgesteckt werden.

zu 2.: Ist-Zustand beschreiben

Bevor ein kontinuierliches Verbesserungsprogramm geschaffen wird, soll der Istzustand der IT-Organisation erfasst, verstanden und beschrieben werden. Die Beschreibung des Istzustandes umfasst auch die Darstellung der Lücke zwischen der aktuellen Bedeutung der IT im Unternehmen und der künftig zugedachten Rolle der IT.

zu 3.: Ziele festlegen

Eine IT-Organisation muss einerseits das Kerngeschäft des Unternehmens und andererseits die bestimmenden Faktoren der IT-Technologie verstehen. Zur Festlegung der Ziele gehören:

- technologische Ziele

- IT-produkt- und IT-serviceorientierte Ziele

- kundenorientierte Ziele (Diese Ziele betreffen die IT Nutzer.)

- den Geschäftsbereich betreffende Ziele (IT soll sich als Partner für die unternehmerischen Kernfunktionen verstehen.)

- wertkettenorientierte Ziele (IT wird zum „enabler“ für Geschäfte.)

zu 4.: Weg zum Ziel festlegen

In einem Vorgehensplan wird festgehalten, wie die Ziele erreicht werden sollen. Hierzu wird zunächst dargelegt, an welcher Stelle der Veränderungsprozess (Reengineering) beginnen soll. Der Startpunkt ist einerseits abhängig vom individuellen Reifegrad des Service Management Prozesses im Unternehmen und auf der anderen Seite von den strategischen Zielen, die angestrebt werden.

Vom Management gilt es ein Programm mit den organisatorischen Veränderungen zu entwerfen. Dieses darf sich nicht nur an den traditionellen Projektmanagementmethoden mit Einzelvorgängen, Vorgangsdauern und Ressourcen orientieren, sondern muss ganzheitlich ausgerichtet sein. Dabei sollen zusätzlich folgende Punkte beachtet werden:

- Hervorhebung der Wichtigkeit für dringende Veränderungen bei allen Beteiligten

- Bildung einer Führungskoalition aus erfahrenen, respektierten, vertrauens- und glaubwürdigen Mitarbeitern, die die Veränderungen unterstützen

- „quick wins“

Diese schnell erreichbaren Erfolge gilt es zu planen und anschließend im Unternehmen zu kommunizieren.

- Schaffung positiver Rahmenbedingungen für den Veränderungsprozess

- Training/Ausbildung der betroffenen Mitarbeiter

zu 5.: Meilensteine für den Umsetzungsprozess festlegen

Damit der Umsetzungsprozess laufend überprüft werden kann, müssen klar definierte und messbare Ziele festgelegt werden. Es sollen zunächst die kritischen Erfolgsfaktoren ermittelt und dafür die geeigneten Leistungskennzahlen festgelegt werden.

Beispiel 1:

Als kritischer Erfolgsfaktor beim Releasemanagement könnte „bessere Qualität der Hard-und Software“ formuliert werden. Dieser Erfolgsfaktor wird anschließend durch überprüfbare Leistungskennziffern genauer spezifiziert. Folgende Leistungskennziffern können u.a. verwendet werden:

- Prozentuale Reduktion der Hard- und Software Releases, die nicht einer Qualitätsprüfung unterworfen wurden

- Prozentuale Reduktion von nicht standardisierter Hardware

- Reduktion der Kosten für fehlerhafte Releasestände

Beispiel 2:

Im Bereich Problem Management stellt die Verbesserung der Servicequalität einen kritischen Erfolgsfaktor dar. Dieser lässt sich durch folgende Leistungskennziffern genauer messen:

- Prozentuale Verringerung der bearbeiteten Probleme in einer Planungsperiode

- Verringerung der durchschnittlichen Bearbeitungszeit zur Problemlösung

- Budgeteinsparungen für den Bereich „IT Problem Management“

zu 6.: Weiterentwicklung des Veränderungsprozesses

In diesem Schritt wird sichergestellt, dass die Planung und Implementierung von Service Management nicht nur einen einmaligen Vorgang darstellt, sondern dass der Prozess kontinuierlich weiterentwickelt wird. Dies gelingt, in dem man den Veränderungsprozess organisatorisch institutionalisiert und laufend anhand von Berichten überprüft. Gerade im IT-Bereich konnte man in den vergangenen Jahren gewaltige Veränderungen beobachten. Dieser Veränderungsprozess ist längst noch nicht abgeschlossen. Die Unterfütterung des unternehmerischen Kerngeschäfts durch eine laufende Anpassung der IT soll deshalb sichergestellt werden.

Zusammenfassung und Bewertung

In den letzten Jahren hat sich ITIL in vielen Unternehmen als de facto-Standard etabliert. Die Softwareindustrie hat Tools zur Unterstützung entwickelt und bezeichnet manche Lösungen als ITIL-konform. ITIL stellt insofern einen Rahmen (Guideline) für die Praxis dar. Im Vordergrund stehen Empfehlungen „was soll gemacht werden“ und nicht „wie ist es zu tun“.

Die Vor- / Nachteile von ITIL lassen sich wie folgt zusammenfassen:

Vorteile:

- Durch das Regelwerk ist eine Verbindung zwischen theoretischen Erkenntnissen und einer praktischen Umsetzung möglich.

- IT-Serviceleistungen werden transparent dargestellt und in vielen Bereichen durch Kennzahlen messbar beschrieben.

- Einzelne Kernprozesse haben eine ganzheitliche Orientierung, wobei die Hauptprozesse in eine Vielzahl an Subprozessen aufgeteilt werden, die zueinander in Beziehung stehen.

- Es handelt sich um ein umfassendes Rahmenwerk für die IT-Prozessdarstellung und IT-Prozessorganisation.

- Eine bessere Ausrichtung zwischen den Unternehmenszielen und IT-Leistungen ist möglich.

- Eine höhere Affinität zwischen dem IT-Dienstleistungsangebot und den IT-Dienstleistungsbedürfnissen kann in den Fachabteilungen hergestellt werden.

- Man verwendet einheitliche Begriffe.

- ITIL kann als Basis für ein effektives IT-Controlling verwendet werden.

- Eine höhere Profitabilität und Produktivität sind bei IT-Leistungen möglich.

- Der Kontakt zu anderen Unternehmen wird erleichtert.

- Es handelt sich um umsetzungsorientierte und praxiserprobte Lösungen.

- Mitarbeiter erkennen besser den Zusammenhang zwischen Geschäftsprozessen und deren Auswirkungen.

- Es lassen sich Verbesserungen bei der Verfügbarkeit und dem Leistungsniveau von IT-Leistungen erreichen.

- Ein höherer Servicelevel und bessere Servicequalität von IT-Leistungen werden beobachtet.

- Es müssen keine eigenen Lösungsmodelle erarbeitet werden.

- ITIL führt zu einer hohen Transparenz.

- Eine Harmonisierung von Geschäftsprozessen ist die Folge.

- Qualitäts- und Sicherheitsmanagement sind ein integraler Bestandteil des Konzeptes.

Nachteile und Grenzen:

- Eine 1:1 Umsetzung von ITIL ist nicht möglich. Bestehende Komponenten müssen individuell übernommen und angepasst werden.

- Wie ITIL-Prozesse auf eine vorhandene Organisation übertragen werden können, wird nicht thematisiert.

- ITIL enthält kein Vorgehensmodell zur Einführung von IT-Prozessen.

- Die einzelnen ITIL-Bestandteile haben einen unterschiedlichen Reifegrad.

- Ein Schwerpunkt liegt auf dem IT-Betrieb, die Prozesse zur Softwareanpassung oder Softwareentwicklung sind nur schwach ausgebildet.

- Oft entsteht ein hoher Zeit- und Verwaltungsaufwand.

- Mit Widerstand bei Mitarbeitern muss gerechnet werden.

- Es fehlen teilweise detaillierte Empfehlungen.

- In manchen Bereichen vermisst man eine wissenschaftliche Fundierung.

Von der Universität Dortmund wurde eine Untersuchung durchgeführt, in der gezeigt werden konnte, dass die Verbreitung von ITIL sich auch in deutschen Unternehmen andeutet. Ebenfalls wurden verschiedene Studien zum Einsatz und zur Wirkung von ITIL in den Unternehmen durchgeführt. Als Hauptgründe für den Einsatz von ITIL im deutschsprachigen Raum werden darin gesehen:

- effizienter zu arbeiten (85%)

- eine höhere Kundenzufriedenheit zu erreichen (80%)

- Kosten einzusparen (60%)

Die meisten Unternehmen beginnen bei der ITIL-Einführung mit der Umsetzung von Service Support Prozessen, gefolgt von Prozessen aus dem Bereich Incident Management. Bei 50% der befragten Unternehmen hat ITIL zu einer Kostenreduzierung geführt. Davon geben 39% nur eine geringe Kostenreduzierung an.