Compliance und Automatisierung fordern IT-Service-Modellierung heraus

Navigation aller Website-Bereiche

Service-Modelle

Configuration Management als zentrale Schaltstelle

Compliance und Automatisierung fordern IT-Service-Modellierung heraus

Von einem automatisierten IT-Service-Management (ITSM) sind viele Unternehmen noch weit entfernt. Der Knackpunkt ist dabei häufig die Service-Modellierung. Sie erfüllt nur selten die hohen Compliance-Anforderungen und muss bei Auditierungen aufwendig nachgebessert werden – meist händisch. Eine Configuration Management Database (CMDB) als zentraler Service-Hub schafft Abhilfe und hebt das ITSM auf das nächste Level.

Service-Modelle: Configuration Management als zentrale Schaltstelle

Der Alltag in der IT-Abteilung kann teuer werden, etwa wenn ein Router im Rechenzentrum abstürzt. Welche Geschäftsprozesse sind davon betroffen, welche Service Level sind in Gefahr und welche Personen müssen benachrichtigt werden? Oder ein Update an einer kritischen Anwendung muss auf die Clients verteilt werden. Wer setzt diese Applikationen ein, auf welchen virtuellen Servern und Netzkomponenten ist sie konfiguriert, welche physischen Server stehen dahinter? Homeoffice oder mobiles Arbeiten stellen ebenfalls zunehmend Anforderungen an das ITSM: Welche Nutzer sind bereits für eine VPN-Verbindung freigeschaltet, und ist auf ihren Notebooks die aktuelle Version der VPN-Software installiert? Sind die Notebooks der Anwender mit allen erforderlichen Sicherheits-Updates versorgt, um gefahrlos eine Verbindung aus dem Internet in das Unternehmensnetzwerk herzustellen? Welche Benutzer verfügen über ein Notebook und welche Anwender haben stationäre Computer? Nicht nur in Krisenzeiten ist klar: Die IT-Abteilung und das Change-Management müssen reagieren – möglichst schnell.

Marktforscher von Gartner haben die Kosten eines Netzwerkausfalls nachgerechnet. Können Mitarbeiter nicht mehr auf ihre Arbeitsumgebung zugreifen oder werden ganze Produktionsabläufe oder Auslieferungsprozesse gestört, schlägt das mit durchschnittlich 4.900 Euro zu Buche – pro Minute. Bezieht man unterschiedliche Unternehmensbranchen mit ein, reichen die Downtime-Kosten von 120.000 Euro bis zu 475.000 Euro pro Stunde.

Mit der fortschreitenden Digitalisierung wird es zur Kernaufgabe der IT, Ausfallzeiten zu verhindern“, erklärt Robert Jaskolla, Leiter BMC Competence Center bei Materna. Die betriebswirtschaftlichen Folgen eines Ausfalls infolge von Umsatzverlust, Schadensersatzforderungen sowie erhöhten Personalkosten können schnell existenzgefährdend sein, ganz abgesehen von einem Imageschaden für das betroffene Unternehmen. Einfacher wird der Job jedenfalls nicht, weiß der erfahrene Berater: Die Kette der End-to-End-Prozesse wird komplexer, immer mehr Bereiche und häufig auch hybride Infrastrukturen müssen integriert werden, um etwa ein Online-Banking für den Kunden smart zur Verfügung zu stellen. „Endkunden interessiert es herzlich wenig, ob ein Server-Ausfall verantwortlich dafür ist, dass er keine Überweisungen mehr tätigen kann. Sollte das häufiger passieren, ist der Wechsel zu einem anderen Finanzdienstleister nur einen Klick entfernt.“

Nicht nur die Technik wird anspruchsvoller. In den vergangenen Jahren sind die Auflagen hinsichtlich Compliance stark gestiegen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat mit den Bank- und Versicherungsaufsichtlichen Anforderungen an die IT (BAIT und VAIT) einen Rahmen für die technisch-organisatorische Ausstattung der Institute formuliert (siehe Kasten BAIT und VAIT), insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement. Da die Institute zunehmend IT-Dienstleistungen von Dritten beziehen, auch im Rahmen von Auslagerungen, wird auch das Kreditwesengesetz – hier der §25b KWG (Auslagerung von Aktivitäten und Prozessen; Verordnungsermächtigung) – in diese Interpretation einbezogen.

Laut BAIT muss „das Institut stets einen aktuellen Überblick über die Bestandteile des festgelegten Informationsverbunds sowie deren Abhängigkeiten und Schnittstellen haben“. Für die Anwendungsentwicklung sind „wesentliche Veränderungen in den IT-Systemen im Rahmen von IT-Projekten und einer Auswirkungsanalyse zu bewerten“, heißt es in BAIT weiter. Spezifiziert ist, wie ein Dienstleister Services modelliert, damit Compliance-Anforderungen erfüllt werden. Es sind harte Kriterien, die von der BaFin, die ihre Personaldecke aufgestockt hat, künftig regelmäßiger auditiert werden. (Quelle: Bafin.de)

Gut beraten sind Unternehmen daher, ihre unternehmenskritische IT-Infrastruktur professionell zu managen und auf einen Klick im Blick zu haben. „Ein professionelles IT-Service-Management (ITSM) inklusive Service-Modellen ist die Grundvoraussetzung dazu“, erklärt Materna-Berater Andi Stellmacher, Projektleiter und Experte für Service-Modellierung. ITSM umfasst nach seinem Verständnis alle Maßnahmen und Methoden, die nötig sind, um die bestmögliche Unterstützung von Geschäftsprozessen durch die IT-Organisation zu erreichen.

Die IT ist heute Business-Partner der Fachbereiche und ein wichtiger Bestandteil der Wertschöpfungskette – mehr noch: Die IT an sich schafft Mehrwert und bietet das Fundament für neue Geschäftsmodelle.“ Rückgrat für die Service-Modellierung ist nach seiner Erfahrung eine Configuration Management Database – kurz CMDB. „Mit Hilfe einer zentralen CMDB lassen sich Auswirkungen von Veränderungen vorab ermitteln. Sie ist darüber hinaus die Datenquelle für Tools, mit denen sich Service-Management automatisieren lässt“, bringt es Andi Stellmacher auf den Punkt.

Beispielsweise kann Automatisierung, wenn sie gut gemanagt ist, beim Self-Service entscheidend dazu beitragen, den Aufwand der IT drastisch zu senken und gleichzeitig die Zufriedenheit der Nutzer zu verbessern. Möchte ein Anwender einen Service in einem Portal bestellen, sollten ihm nur passende Services angezeigt werden. Dazu gehörten in jedem Fall Plausibilitätschecks. Ein Nutzer mit stationärem PC sollte keinen VPN-Zugang bestellen können, ohne im gleichen Zuge ein Notebook zu beantragen. Liegen Information über die Hard- und Software der Anwender in der CMDB vor, können solche Abhängigkeiten berücksichtigt und böse Überraschungen bei der späteren automatisierten Bereitstellung vermieden werden.

Im Rechenzentrumsumfeld sind die Abhängigkeiten der Hard- und Software-Komponenten untereinander noch vielschichtiger. Wird bereits vor dem Rollout einer Applikation festgestellt, dass weitere Datenbank-Server erforderlich sind, die wiederum zusätzliche Lizenzen benötigen, kann dies frühzeitig berücksichtigt werden. „Dadurch lässt sich der spätere Rollout vollautomatisch ohne Komplikationen umsetzen“, sagt Stellmacher.

Ein Service-Modell kann man sich als umgekehrten Baum vorstellen, dessen Wurzel oben ist“, erklärt Robert Jaskolla. Die Wurzel symbolisiere den geschäftsfokussierten IT-Dienst – quasi die Verbindung der IT zum Geschäftsprozess, etwa einem Online-Banking-Service. Die Zweige und Äste sind dann die Applikationen, Systeme und die IT-Infrastruktur. Je weiter man nach unten gelangt, umso technischer wird es. Wo liegt nun der Nutzen einer Service-Modellierung mit einer CMDB? „Mit Hilfe der Service-Modellierung werden Beziehungen und Abhängigkeiten zwischen Geschäftsprozessmodellen, Software-Komponenten und der IT-Infrastruktur beschrieben. Man weiß, wie die Systeme miteinander verklebt sind und wie sie ticken.“ Der Vorteil: „Im Falle einer Störung lassen sich Auswirkungen sofort erkennen, etwa welche Komponenten und Geschäftsprozesse betroffen sind“, erklärt Jaskolla.

Große Teile des Service-Managements lassen sich zudem automatisieren. Und für geplante Veränderungen wie Updates können anhand sogenannter Impact-Analysen unterschiedliche Szenarien durchgespielt und auf ihre Wirkung hin getestet werden. So wie es in den BAIT gefordert wird. Wenig Wunder also, dass der Markt für CMDB-Systeme in kommenden Jahren stark zulegt, wie die Analysten von MarketsandMarkets prognostizieren: Von 2019 bis 2024 steigen die Umsätze von 1,6 auf rund 3,3 Milliarden Dollar weltweit.

Doch sind Tools bekanntermaßen alleine kein Heilmittel. Die Service-Modellierung ist häufig ein Knackpunkt, wie Andi Stellmacher in Projekten immer wieder erlebt. Diese erfülle die Anforderungen nach Compliance nicht oder nur unzureichend und müsse erst aufwendig, meist händisch, nachgebessert werden. „Obwohl ITSM und eine CMDB seit vielen Jahren etabliert sind, klafft in der praktischen Umsetzung eine riesige Lücke“, sagt er. Viele Service-Kataloge und die Modellierung sind für die Anforderungen, die hinsichtlich Compliance erwartet werden, nicht ausreichend.

Einen hohen Reifegrad im Service-Management attestieren die Materna-Berater Unternehmen auf der Ebene technischer Störungen an einzelnen Komponenten. Stichworte sind hier Incident-Management und Change-Management. Ein Server stürzt ab, ein Notebook versagt den Dienst oder ein Upgrade für ein Betriebssystem steht an. „Für diese Fälle ist die IT in der Regel heute schon gut aufgestellt, um Störungen zu beseitigen“, erklärt Robert Jaskolla. „Aber die Aussage treffen, welcher Service davon betroffen ist, was der Ausfall für das Geschäft bedeutet, das können die wenigsten.“

Hinderlich für eine umfassende Sicht sind auch immer noch Unternehmenssilos und Abteilungsdünkel. Datenbank-Abteilung, Netzwerker, Server-Administratoren und Anwendungsentwicklung sind Einheiten, die ihre Technologien separat organisieren. „Jede Technologie für sich ist gut gemanagt, aber einen zusammengeführten Service-Baum gibt es nicht“, wie Andi Stellmacher konstatiert. Ein Weiteres möchten die Berater nicht verschweigen: Der Aufbau eines ITSM und die Service-Modellierung in einer CMDB braucht einen langen Atem. „Wir haben in einem aktuellen Projekt rund 600 Services identifiziert. Diese in einem Tool zu erfassen, braucht Disziplin und Zeit, was wiederum die unbedingte Unterstützung des Managements erfordert.“ Doch solange es auch ohne funktioniert, ducken sich Verantwortliche weg, nehmen das Risiko in Kauf und hoffen darauf, dass es Leute im Unternehmen gibt, die das Wissen einer CMDB im Kopf haben. Nach dem Motto: „Glück gehabt, dass der Mitarbeiter gerade verfügbar war.

Hier setzt das Konzept der CMDB und der Service-Modellierung an, für das die Materna-Berater nach einem bewährten Phasenmodell vorgehen (siehe: Service-Modellierung in 7 Schritten).

Ziel ist es, alle Informationen aus den Datenbanken und den Köpfen der Mitarbeiter an einer Stelle zu konsolidieren und so den Zugriff auf diese Daten einfacher und transparenter zu gestalten. Ein weiteres Argument für den Einsatz eines Werkzeugs ist, dass man das Wissen nicht nur einmal vorliegen haben möchte, sondern damit arbeiten kann, um die Landkarte immer aktuell zu halten. Dazu unterstützt eine CMDB, wie beispielsweise von BMC, durch seine integrierte Architektur und bietet ein professionelles Management an vielen Punkten: etwa beim Service-Monitoring und Event-Management, dem Workplace für den Anwender mit einem umfassenden Self-Service-Konzept auf Basis von Apps oder bei der Inventarisierung der IT-Landschaft.

Der Einsatz von BMC Discovery reduziert den manuellen Aufwand bei der Erhebung der IT-Komponenten im Rahmen der Service-Modellierung auf ein Minimum. BMC Discovery scannt dazu beispielsweise automatisch Inventar-, Konfigurations- und Beziehungsdaten im Rechenzentrum und ordnet Geschäftsanwendungen der IT-Infrastruktur zu. Das Modul stellt Informationen darüber bereit, wer welche CIs im Unternehmen einsetzt und wie die Beziehungen der CIs zueinander sind. Zudem bietet die BMC ITSM Suite für die CMDB weitere Import-Funktionen, die genutzt werden können, um externe Daten (wie z. B. Excel-Listen) zu importieren. „Damit ist eine Ursachenuntersuchung im Störfall leicht möglich“, wie Andi Stellmacher berichtet.

Ist die Landkarte aufgebaut, spielen die Tools ihre Stärken auch im Change-Management aus. Soll eine Änderung an einem Server vorgenommen werden, wird ein Change-Ticket in der ITSM Suite mit sämtlichen änderungsrelevanten Informationen eröffnet. Das CI wird dann mit dem Change verknüpft. Somit lassen sich Impact-Analysen fahren, um zu beurteilen, welche Auswirkungen der Change haben wird. Verantwortliche und Genehmiger können im Vorweg in Kenntnis gesetzt werden. „Alle Personen, die von der Veränderung betroffen sind, werden automatisch in den Prozess mit eingebunden und sind informiert. Das ist eine enorme Arbeitserleichterung und vermeidet Systemausfälle“, resümiert Robert Jaskolla.

Für Andi Stellmacher ist der heutige Blindflug in puncto Service-Modellierung hoch riskant. „Die BaFin hat ihr Personal massiv aufgestockt, um die Service-Prozesse gegen die Vorgaben der BAIT und VAIT alle zwei bis drei Jahre zu auditieren und zu prüfen.“ Zwar werde nicht vorgeschrieben, wie die Prozessdokumentation auszusehen hat, aber wenn das Wissen so wie heute in etlichen Systemen und Köpfen verteilt ist und für die Auditierung „zusammengesucht“ werden muss, werde es richtig teuer.

Service-Modellierung in 7-Schritten

Service-Modelle: 7 Phasen

In Projekten setzen die Consultants von Materna auf ein Phasenmodell für die Modellierung von Services. Das schrittweise und zum Teil iterative Vorgehen stellt sicher, alle technischen (Systeme) und organisatorischen (Personen und Prozesse) Aspekte zu berücksichtigen. Gleichzeitig legt das schrittweise Vorgehen das Fundament für ein einheitliches Verständnis, eine gleichbleibende Qualität und erleichtert, neue Mitarbeiter zügig ins Projekt einzuarbeiten. Für alle Phasen stehen Templates und Checklisten zur Verfügung, etwa zur Dokumentation, sowie Präsentationen, um die Vollständigkeit sicherzustellen.

Phase 1

Blueprint-Erstellung

Anfangs liegen in der CMDB noch keine Service-Modelle vor. BMC liefert Best Practices, wie IT-Infrastrukturen in der CMDB zu modellieren sind. Auf Basis dieser Best Practices entstehen abstrakte Service-Modelle (Blueprints), die dann als Vorlage bei der Modellierung dienen, wie sich die Struktur der IT-Landschaft abbilden lässt. Die Phase legt den Grundstein für ein gemeinsames Verständnis sowie für das Design und macht deutlich, welche Beteiligten künftig für die Projektarbeit zur Verfügung stehen müssen.

Phase 2

Interviews

Die Berater führen Interviews mit allen beteiligten Ansprechpartnern im Unternehmen und sammeln Informationen für die konkreten Service-Modelle, also welche technischen Komponenten und organisatorischen Aspekte in der CMDB gespeichert werden müssen und wie deren Abhängigkeiten untereinander zu modellieren sind. Ganz wichtig ist in dieser Phase, die Beteiligten für das Thema zu sensibilisieren und klar herauszuarbeiten, welchen Nutzen der Einsatz einer CMDB bringt, um etwa die Anforderungen gemäß BAIT und Compliance zu erfüllen.

Phase 3

Service-Modell modellieren

Bevor die Service-Modelle in der CMDB dokumentiert werden, erfolgt eine Vorerfassung, um Modelle sehr schnell und in einfacher Sprache zu Papier zu bringen und abzustimmen.

Phase 4

Vorstellung

Die Entwürfe werden dem Gremium vorgestellt, abgesegnet oder ggf. iterativ angepasst.

Phase 5

Konfiguration im Tool

Die freigegebenen Modelle werden nun in der CMDB erfasst. Der Projektfortschritt kann zu jeder Zeit überwacht werden.

Phase 6

Vorstellung

Die fertigen Modelle werden zur Freigabe dem Projektgremium präsentiert, freigegeben oder ggf. iterativ ergänzt.

Phase 7

Abnahme

Finale Abnahme der Service-Modelle