Betriebsinformatik-Projekt — ITIL und die IT-Wirklichkeit

Prof. Dr. Thorsten Spitta – Dipl.-Inform. Meik Teßmer Universität Bielefeld Fakultät für Wirtschaftswissenschaften Angewandte Informatik Wintersemester 2007/2008

Vorwort
ITIL (IT Infrastructure Library) ist ein de facto-Standard für das IT Service Management. Er wurde gegen Ende der 1980er Jahre in England entwickelt und hat sich seitdem ständig weiterentwickelt. ITIL definiert verschiedene Rollen und Funktionen, die helfen sollen, die IT-Infrastruktur effizient einzusetzen, Dienstleistungen anzubieten und zu verbessern sowie eine hohe Service-Qualität zu gewährleisten. Im Rahmen dieses BI-Projekts sollen die verschiedenen ITIL Service ManagementFunktionen betrachtet werden sowie eine mögliche Anwendung des Standards in der lokalen IT. Auch Gründe, die gegen einen Einsatz von ITIL sprechen, sollen untersucht werden. Die Teilnehmer waren: Carolin Ahlert, Michael Bochenek, Björn Borgmeier, Sonja Bozionek, Linda Gerstenberger, Tim Kattner, Andre Kröger, Julius Kuhljürgen, Kathrin Stegmann, Julia-Vanessa Stork, Christian Teicher, Christopher Uhrig.

Bielefeld, im März 2008 Prof. Dr. Thorsten Spitta Dipl.-Inform. Meik Teßmer

3

4 .

. . . . . . . . . . 1. . . . . . . . . . 2. . . . Vorschriften und Standards 5 9 9 10 12 16 22 27 30 32 37 37 40 42 46 48 53 53 54 54 54 55 56 57 58 63 63 64 67 73 74 76 81 81 82 82 84 . . .2. . . . . . . . . . . . . 1. . . .2. . .5 Planung und Implementierung des Service Managements 2. . . . . .2. . .6 Anforderungen an Service-Management-Prozesse . . . . . . . . . . . . . . . . 2. . . . . . .2 Service Support . . . . . 1. . . . . .2. . . . . . . . .1 Fakultät für Wirtschaftswissenschaften . 2. . . . .Inhaltsverzeichnis 1 ITIL-Wirklichkeit an der Universität Bielefeld 1. . . . . . .4 Beurteilung der Zertifizierung . . . . . . . . 2. . . . . . . . . . . . . . . . . . 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 Einleitung . . . . . . . . . . . . . . . . . . . .2. . . . . . . . . . . . . .2 Beziehung zu ITIL . . . . . . . . . . . . . . . . . 1. . . .2. . . . . . .5 Fazit . . . . . . . . . . . . . . . . . . . . . . .2. . . . . . . . . . .3. . . . 3 ITIL und IT-Sicherheit 3. . . . . . . . . .2 Fakultät für Rechtswissenschaft . . . . .4 Fazit . . . . 2.1 Entwicklung . .2. . . . . . 1. . . . . . . . . . . . . . . . . . . . . .1 Entscheidungsfindung . . . . . . 1. . . . . .3 Kritik und Empfehlung . . 1. . . . . . . . . . . . . . . . . . . . .2 Grundlagen des IT-Security Management . . . . . . . . 2. . . . . 2. . . . 2. . . . . . . .4 Zertifizierungsprozess . . . . . .3 Die Zertifizierung . . .3. . . . 2 ITIL-Zertifizierung nach ISO/IEC 20000 2. . . . . . . . . 1. .1 Einleitung . . . . . . . . . . . . . . . . . . . . . .5 Fragebogen . . . . . . .2. . .2 Der Standard ISO/IEC 20000 .2 Prozessumsetzung . 2. . . . . . . . . . . . . . . . 2. . . . . 3. . . . . . . . . . . . . . . . . . . . . . .3. .2. . .4 Anforderungen an ein Management-System . . . .3. . . . . . .3. . . . . . . . . . . . .2. .1 Service Desk . . . . . .3. . . . . . . . . . .6 Configuration Management . 1.1 Informationssicherheit . . . . . .2 Incident Management . . . . . . . 2. . . .2. . 3. . . . .2. . . . . . . . . . . . . .3 Fragenkatalog zur Prozessumsetzung . . . . . . . . . .2 Gesetzesanforderungen. . . . . . . 3. . . . .3 Problem Management . .3 Untersuchung des IT-Managements in der Universität Bielefeld 1. . . . . . . . . . . . . . .1 Einleitung . . . . . . . . .3 Struktur .3. . . . . . . . . . . . . . . . . . 2. . . . 1. . . . . . . . . . 1. . . . . . . . . . . . . . 1. . . . . .5 Release Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. . . .4 Change Management . . . . . . . . . . .

. . . . . . .2.2 Werkzeuge .6 Configuration Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3. . . . . . . . . .4 Betrachtung ausgewählter ITIL-Werkzeuge . 91 3. . . . 4. . . . 4. . . . . .5 Release Management . . . . . . . . . . . . . . . .4 INHALTSVERZEICHNIS Ziele und Aufgaben des IT-Security Management .3. . . 4. . . . . . 4. .4. . . . .3 3. . .3. . . . . 4. . . . . . . . 4. . . . . . . . . .2 Incident Management mit Service Desk . . . . . . . . . . . . . . . . . . . . . . . . . . .3 Problem Management . . . . . . . . . .3 Service Support und Anforderungen an die Werkzeuge 4. . . . . . 99 3. .3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. . . . .3 Das kommerzielle Werkzeug Remedy . . . . . . . . . . . . . . . . . . . . . . . 4. . . . . . .3. 4. 4. . 85 Einordnung von Informationssicherheit und Security Management in ITIL . . . . . . . . . . . . . . . .4. . . .3 Problem Management . . . . . . . . . . . . . . . . . . . . . . . . . . . .3. 94 3. . . . .6 3. . . . .2. . . . . . . . . .3. . . . . . . 4. . . . . . . . . . . . . . . . . . . . . . . . . 4. .2 Das Open Source-Werkzeug OTRS . . . . . . 90 3.3.4. .3 3.1 Vorgehensweise . . . . . . .5 Release Management . . . . . . .1 Einleitung . . . . . .2 Begriffsabgrenzungen . . . . . . . . . . . . . . . . . . . . . . . . . .1 Service Desk .1 ITIL .4 Change Management . . . . . . . . . . . . . . .6 Configuration Management . .3. .5 Fazit . 88 Security Management mit ITIL auf operativer Ebene . . . . . .1 Vorgehensweise . . . . . . . . . 104 109 109 110 110 111 112 112 112 116 120 123 125 127 127 127 132 136 3. . . . . . . . . . . . . . . . . . . . . .2.2 Incident Management . . . . . . . . . . .3. . . . . . . . . . . . . . 90 3. . 101 Fazit . . . . . . . . . . . . . . . . . . . . 96 3. . . . . . 4. . . . . . . . . . . . . .4 Change Management .3. . .4 4 ITIL-unterstützende Werkzeuge 4. . . . . . . . . . 4. . 4. .3. . . . . . . . . . . . . . . .

Sonja Bozionek. Christopher Uhrig Björn Borgmeier. Tim Kattner Linda Gerstenberger.Gruppen Thema Gruppe 1: Service SupportUmsetzung an zwei ausgewählten Fakultäten Gruppe 2: ITIL-Zertifizierung nach ISO 20000 Gruppe 3: Security-Management mit ITIL Gruppe 4: Werkzeuge für ITIL Teilnehmer Carolin Ahlert. Julius Kuhljürgen. André Kröger. Kathrin Stegmann 7 . Christian Teicher Julia-Vanessa Stork. Michael Bochenek.

8 INHALTSVERZEICHNIS .

Es drängt sich allerdings die Frage auf.“ oder „Mein alter Computer kann mit seiner noch älteren Software dieses Problem nicht lösen. soll nun die Vielzahl der verschiedenen Probleme angegangen werden. die sich in der Praxis bereits bewährt haben. ob der von ITIL vorgeschlagene Service Support wirklich so sinnvoll und als „Allheilmittel“ für sämtliche User-Probleme zu verstehen 9 .“ in diesen Unternehmen zum Alltag gehören. dass dieser de facto-Standard auch für eine Universität vorteilhaft sein muss. Wie dieser Service Support den User auf operativer Ebene unterstützen kann. Allerdings stellt sich die Frage: Wo fängt die Problemlösung an und wo hört sie auf? Oder allgemeiner: Wie kann der Kunde resp. der User am besten unterstützt werden? Laut der ITIL-Philosophie ist dafür der Service Support zuständig. zwei ihrer größten Fakultäten als Untersuchungsgegenstand im Bezug auf ITIL gewählt. Es ist nicht weiter verwunderlich. sei es ein Krankenhaus oder eine Universität.1 Einleitung Nahezu jedes Unternehmen. Um dieser These nachzugehen. Julius Kuhljürgen. ist mit dem täglichen Gebrauch der IT konfrontiert. „Ich habe keinen Zugriff auf die Datenbank.“. wird in der vorliegenden Arbeit die Universität Bielefeld resp. dass die Anwendung von ITIL für jedes Unternehmen von Vorteil sei. soll in dieser Arbeit detailliert dargestellt werden. kann daraus gefolgert werden. Auf Grund der Behauptung. Christian Teicher 1. Doch wie können diese Probleme bewältigt werden? Wie kann ein möglichst reibungsloser Betriebsablauf gewährleistet werden? Dafür liefert ITIL eine mögliche Lösung.Kapitel 1 ITIL-Wirklichkeit an der Universität Bielefeld Service Support-Umsetzung an zwei ausgewählten Fakultäten Carolin Ahlert. sei es in der Dienstleistungsbranche oder in der Produktion tätig. Mit Hilfe von Funktionen und Prozessen. dass Sätze wie „Mein Computer stürzt dauernd ab.

die mit der Organisation der Universität beschäftigt sind. zum anderen soll die Komplexität und die damit verbundene Schwierigkeit der Implementierung von ITIL verdeutlicht werden. mit einem ITIL-konformen Service Support den Professoren.4 sein. dass der Leser einen umfangreichen Überblick über die einzelnen Anforderungen an einen ITIL-konformen Service Support erhält. Das Fazit dieser Arbeit wird anschließend Thema des Abschnitts 1. auch die Universität Bielefeld. Gegenstand dieses Abschnitts sein. Dabei wird zunächst auf die jetzige Situation des Service Supports der jeweiligen Fakultät verwiesen. die auf den von ITIL vorgeschlagenen Service Support basieren. sondern auch einen reibungslosen Betriebsablauf im Bereich der IT gewährleisten soll. Aus diesem Grund sollen zunächst die Anforderungen von ITIL im Bereich des Service Supports in Kapitel 1. Zudem sollten sich in der Universität Bielefeld bereits Grundzüge der ITIL vorfinden lassen. da diese auf dem Best Practice-Konzept beruhen und jedes Unternehmen. wirklich geholfen werden? Werden die IT-Probleme der studentischen Hilfskräfte besser gelöst und die Anfragen der Professoren für neue Computer schneller bearbeitet? Wenn diese Fragen mit „ ja“ beantwortet werden können. dann sollte der Service Support sofort in der Universität implementiert werden. da der Service Support nicht nur die Probleme der Endanwender lösen soll. Dieser IST-Zustand wurde anhand von Interviews mit den zuständigen EDVMitarbeitern der Fakultäten festgestellt und wird in Kapitel 1. Kann mit ITIL bzw.10 ITIL-Wirklichkeit an der Universität Bielefeld ist. Hier sollen die letzten noch offen gebliebenen Fragen im Bezug auf die ITIL-Wirklichkeit an der Universität Bielefeld bzw.2 vorgestellt werden. Allerdings gestaltet sich der Aufgabenbereich des Service Supports wesentlich komplexer. Ziel dieser Arbeit ist es.3 behandelt. sollen nun in dem folgenden Kapitel die theoretischen Grundlagen des Service Supports im Hinblick auf seine Funktionen und Prozesse vorgestellt werden. Die ausführliche Darstellung dieses Kapitels hat mehrere Gründe. Behauptungen nachzugehen und das Konzept der ITIL im serviceorientierten IT-Management in der Realität kritisch zu hinterfragen. Anschließend wird die mögliche Anwendung des von ITIL vorgeschlagenen Standards anhand zweier ausgewählten Fakultäten der Universität Bielefeld kritisch evaluiert. die Service Support-Umsetzung an zwei ausgewählten Fakultäten geklärt werden. Des Weiteren werden diverse Empfehlungen. .2 Service Support Für die bereits oben beschriebenen Störungsfällen soll nun der Service Support nach ITIL als Unterstützung im Bereich des operativen IT-Services fungieren und dem Kunden1 bei der Lösung seiner Probleme behilflich sein. an einer möglichst effizienten IT-Lösung schon lange vor der Einführung von ITIL interessiert sein sollte. diesen Fragen bzw. Um ein besseres Verständnis für den Service Support von ITIL zu bekommen. Eine daran anschließende Kritik im Bezug auf den IST-Zustand des IT-Services der jeweiligen Fakultäten soll ebenfalls in diesem Kapitel ausgeübt werden. Zum einen soll dadurch gewährleistet werden. Nach der ITIL-Philosophie lässt sich der Service Support im wesentlichen in fünf Geschäftsprozesse und eine unterstützende Funktion untergliedern: 1 Es ist hier sowohl der unternehmensexterne als auch der unternehmensinterne Kunde (Endanwender bzw. User) gemeint. den Sekretärinnen und allen. 1.

Störung an eine Systemkomponente . kontrolliert und selbstverständlich auch dokumentiert. je nach Schweregrad zu klassifizieren und zu untersuchen ist. Wenn die Ursache einer Störung noch nicht bekannt ist. welches vom Problem Management zu dokumentieren. dienen. 3 Änderungsanforderung Incident = Vorfall. möglichst schnell auf etwaige Incidents zu reagieren und diese zu beheben. Ist die Ursache bzw. Anregungen. so muss der User sich mit diesem Vorfall. • Incident Management. um einen reibungslosen Betriebsablauf zu gewährleisten. auch Incident 2 genannt. getestet. geht von dem Problem Management ein Request for Change an das Change Management. Das Incident Management hat zur Aufgabe. Dabei wird die Durchführung der Änderungen geplant. wenden. • Release Management. Das Change Management klassifiziert die erhaltenden RfCs und ordnet sie nach ihrer Wichtigkeit. 11 Treten Störungen oder Fehler beim Gebrauch der IT auf. Die Kontrolle über alle Änderungen und die Entwicklung bzw. Einführung von standardisierten Änderungsverfahren zählen zu den wichtigsten Aufgaben des Change Managements. an eine zentrale Kontaktstelle. Dadurch wird auch die enge Verknüpfung des Service Desks mit dem Incident Management deutlich. dann liegt laut ITIL ein Problem vor.und Softwarekomponenten der IT gebündelt und zu neuen Releases zusammengefasst. Hier erfolgt ebenfalls eine Dokumentation der Entscheidungen. wie zum Beispiel die bereits erwähnte Dokumentation in den Prozessen. Es werden sowohl Störungen im Bereich der IT als auch Wünsche der Kunden entgegengenommen. Beim sogenannten Problem Management wiederum geht es vielmehr um die Ursachenforschung. Dieser soll also dem Kunden als zentrale Anlaufstelle für Probleme und Wünsche bzw. Anschließend wird hier entschieden. um solche Störungen zu vermeiden.Service Support-Umsetzung an zwei ausgewählten Fakultäten • Service Desk. • Change Management. für die das Configuration Management zuständig ist. dokumentiert und versucht. so wird der Prozess des Incident Managements in Gang gebracht. die Verbindungen zwischen Datenbanken oder die Lizenzen der Betriebssoftware. werden in einer sogenannten Konfigurationsdatenbank gespeichert. • Configuration Management. als unterstützende Funktion. Abbildung 1. 2 engl. Das Release Management hat somit nach der ITIL-Philosophie die Systemordnung des Betriebs sicherzustellen.1 stellt den Aufbau des Service Supports dar. Im Release Management werden dann sämtliche bewilligte Änderungen bezüglich der Hardware. der Grund für eine Störung gefunden. diese zu beheben bzw. die laut ITIL auch als Request for Change (RfC) 3 bezeichnet werden. zu erfüllen. die vorhandene Hardware im Betrieb. Denn sollte die primäre Hilfe des Service Desks nichts bewirken. welche Änderungen zu welchem Zeitpunkt durchgeführt werden sollen. Alle Informationen. den sogenannten Service Desk. • Problem Management. Das Configuration Management ist für die Pflege der zentralen Informationsquelle sämtlicher Prozesse des Service Supports zuständig.

1 Service Desk Wie bereits in dem vorangegangenen Abschnitt gesagt. und die Funktion Service Desk detailliert beschrieben werden. Aus Abbildung 1. kurz dargestellt wurden. dass ITIL oft den Begriff Rolle innerhalb der Prozesse verwendet. müssen möglichst schnell erfasst. Nachdem die Zusammenhänge bzw. d. In diesem .1 wird ersichtlich. stellt jeder Prozess eine in sich geschlossene Einheit dar. sollen nun in den folgenden Abschnitten die einzelnen Prozesse. die in einem laufenden Betrieb im Bereich der IT zum Alltag gehören. dass die ITIL-Prozesse unabhängig von der Organisationsstruktur des Betriebs sein sollten. Change Management und Release Management. da somit eine höhere Flexibilität bei der Einführung bzw. sie werden von ITIL als Incident bezeichnet. So kann beispielsweise in kleineren Betrieben eine Person sowohl Incident Manager als auch Configuration Manager sein. Fragen. Configuration Management. die eine Kommunikation zwischen den verschiedenen Prozesse ermöglichen. ohne die von ITIL vorgeschlagene Aufteilung des Service Supports zu verletzen. Des Weiteren ist noch anzumerken. 1. So sind zum Beispiel die Aufgaben des Incident Managements in der Rolle des Incident Managers zu beschreiben. des Service Supports. Grund dafür ist. Problem Management. also Incident Management. der Aufbau der operativen Ebene des serviceorientierten IT-Managements. allerdings existieren Schnittstellen. Beschwerden.12 ITIL-Wirklichkeit an der Universität Bielefeld Incident S e r v I c e D e s k Incident Management Incident IT Operations Problem Management Configuration Management RfC RfC Change Management Release Management Incident / Request for Change Informationsfluss Abbildung 1.2. bearbeitet und gelöst werden. existieren eine Reihe von verschiedenster Vorfälle.h. um eine Störung des laufenden Betriebs zu vermeiden.1: Service Support. der Umsetzung von ITIL gewährleistet werden kann. Probleme aller Art.

da versucht werden soll.“ [Vic05. Somit zeigt sich. zum Beispiel des aktuellen Status von Vorgängen. Der Service Desk soll laut ITIL als zentraler Anlaufpunkt für sämtliche Incidents dienen und das Kommunikationsinstrument zwischen Service Support und Endanwender sein. Probleme. • Aufnahme. Dokumentation und Auswertung von Vorfällen. S. . Warum der Service Desk der einzige Kommunikationskanal zwischen Support und Kunden ist. um die Dienstleistung. bezeichnet. Ebenso hätten weitaus schlimmerere Konsequenzen eintreten können. der Vorfall und der passende Lösungsweg bereits im Service Desk bekannt sind. 33] Die wichtigsten Aufgaben des Service Desk sind demnach: • einheitliche zentrale Kommunikationsschnittstelle (SPOC) zwischen Usern und Support in Verbindung mit Ausgabe von Informationen. geplanten Änderungen. Wünsche. Die Problematik ist allerdings dabei. „Schwerwiegende Störungen oder sogenannte Massenstörungen könnten nicht mit der ihnen zustehenden notwendigen Priorität behandelt und die Ausweitung auf weitere Anwender könnte nicht verhindert werden. umgeht er den Service Desk und bittet seinen Bekannten direkt um Hilfe. etc. auch First Level Support genannt. da er mehr oder weniger die Schaltstelle für die übrigen Prozesse darstellt. lässt sich am einfachsten anhand eines Beispiels verdeutlichen.“ [Vic05. wird er auch als Single Point of Contact. bevor sich das Incident Management mit ihnen beschäftigt. • Bearbeitung von Problemen mit „Erste Hilfe“ -Charakter. der hätte vermieden werden können. ein Mitarbeiter hat Probleme mit seiner Netzwerkkarte. möglichst viele Anfragen bereits bei Erstkontaktaufnahme durch den Anwender vollständig zu beantworten und abzuschließen. dass. Grundsätzlich ist aber ihre Bedeutung gleich. wenn das gesamte Netzwerk ausgefallen wäre und der Mitarbeiter des Service Supports sich lediglich um diese eine Netzwerkkarte kümmern würde. Aus diesem Grund wird der Service Desk als eine Funktion und nicht als Prozess des Service Supports verstanden. 34] Auf Grund der Tatsache. Es besteht daher durchaus die Möglichkeit. die aktive Unterstützung des Mitarbeiters.. usw. da mehrere Netzwerkkarten streiken. beantwortet werden. die Fragen oder Störungen bereits hier zu klären und zu beseitigen. dass ein Incident Manager auch Mitarbeiter des Service Desk ist et vice versa. Da er jemanden vom Service Support kennt. Der Service Desk übernimmt teilweise die Aufgaben des Incident Managements. dass der Service Desk die einzige Kommunikationsstelle zwischen Support und Kunden ist. Belange. Fragen. Dadurch entsteht ein unnötiger Mehraufwand. S. kurz SPOC. die hinter dieser Funktion steckt. „Ziel des Service Desks ist es. Dieser kümmert sich sofort um die Netzwerkkarte. Die gleichmäßige Arbeitsbelastung der unterstützenden Spezialisten wäre nicht mehr steuerbar und eine zügige Abarbeitung von Incidents oder Problemen mit hoher Priorität wäre gefährdet. sollen hier gesammelt. klassifiziert und. Angenommen. ITIL benutzt den Ausdruck Service Desk. dass der Service Desk als einziger Kommunikationsweg wesentliche Vorteile besitzt. wenn möglich.Service Support-Umsetzung an zwei ausgewählten Fakultäten 13 Zusammenhang kommt der sogenannte Service Desk 4 ins Spiel. Das Ziel des Service Desks sollte somit eine hohe Erstlösungsrate sein. Hier wird auch die enge Verbindung zum Incident Management deutlich. zu betonen. 4 Service Desk wird oft auch mit den Begriffen Help Desk oder User Desk beschrieben.

Aus den Aufgaben des Service Desks wird ersichtlich. nicht nur eine gewisse Kenntnis von der Materie. Hierbei handelt es sich um eine dezentrale Struktur.14 ITIL-Wirklichkeit an der Universität Bielefeld • Einschätzung von Vorfällen und damit verbundene Weiterleitung der Incidents zu den Supportstellen Incident Management und Problem Management (Second und Third Level Support ). Zum einen besteht die Möglichkeit eines lokalen Service Desk. da nicht nur ein System zur Bewältigung von Incidents existiert. Bei einem zentralen Service Desk ist zwar der Kommunikations. Dies findet seine Begründung darin. dass der Mitarbeiter rhetorische und soziale Fähigkeiten besitzt. Des Weiteren empfiehlt es sich. Eine mögliche Zusammenarbeit von Fakultäten wäre somit gefährdet. um einen geeigneten Umgang mit ungeduldigen bzw. dass die Anforderungen an den Mitarbeiter des Service Desks sehr umfangreich sind. begründet durch die SPOC-Eigenschaft des Service Desks. dass jeder lokale Service Desk auch für die Bereitstellung eines lokalen Service Supports sorgen muss. wie sie beim lokalen Service Desk auftrat.2 soll den Grundgedanken des lokalen Service Desks nochmals verdeutlichen. sondern vielmehr auch eine gute fachliche Kompetenz vorweisen können. als problematisch erweisen. Eigenschaften und Zielen des Service Desks beschäftigt haben. Lokaler Service Desk. Informationsfluss wesentlich größer als der bei einem lokalen Service Desk. 5 Auch 6 In in diesem Dienstleistungssegment gilt: Der Kunde ist König. der über optimale Kenntnisse bezüglich aller Vorgänge innerhalb der jeweiligen Fakultät verfügt. Mit steigendem Informationsgewinn kann die Verteilung der Ressourcen optimiert werden und somit können Kosten gesenkt werden. Außerdem kann sich eine Einführung eines lokalen Service Supports in Bezug auf die Zusammenarbeit von Unternehmensbereichen. Der zentrale Service Desk ist die einzige Anlaufstelle für alle Unternehmensbereiche. Sie zeigt auch eine weitere Möglichkeit. dass jeder Unternehmensbereich oder jede Fakultät anders mit Incidents verfährt und daher andere Systeme oder Prozesse zur Behandlung von Incidents benutzt. Im nun folgenden Abschnitt sollen nun kurz drei verschiedene Architekturmodelle zur Implementierung des Service Desks vorgestellt werden. sondern auch sämtliche Prozesse vereinheitlicht werden.5 Nachdem wir uns mit den Aufgaben. Es besteht die Möglichkeit. Die Vorteile wären eine hohe Intensität im Bereich der Kundenbetreuung und eine verkürzte Reaktionszeit auf sämtliche Incidents der Fakultät. der Informationsgewinn steigt aber ebenfalls. unzufriedenen Kunden zu finden. Abbildung 1. Zentraler Service Desk. in unserem Beispiel bezüglich der Zusammenarbeit von Fakultäten. seiner Organisation widmen. Beispielsweise könnte so eine Universität für jede Fakultät einen eigenen Service Desk. den Service Desk zu strukturieren. ist hier nicht gegeben. besondere Weise monetäre Ressourcen .bzw. Die Voraussetzung für die Einführung eines lokalen Service Desks ist allerdings die Bereitstellung eine großen Menge an Ressourcen6 . Dieser muss bei einem hohen Kommunikationsaufkommen. wollen wir uns nun dem Service Desk hinsichtlich seiner Struktur bzw. haben. Die Problematik der Zusammenarbeit der Unternehmensbereiche.

Virtueller Service Desk. da die Mitarbeiter des Service Supports sich über Angebote und Preise austauschen können. Angenommen. Ein Mitarbeiter benötigt einen neuen Computer. Ein anderes Beispiel wäre die Behandlung von Incidents.3 zeigt den sogenannten virtuellen Service Desk. Somit nimmt selbstverständlich auch der Organsisationsbedarf bzw. Die dritte Service Desk-Struktur versucht die Vorteile der bereits vorgestellten Strukturen zu kombinieren. auch hier könnten Kosten gespart werden. ein noch besseres Angebot einzuholen. Man kann demnach einen Nutzen aus dem somit gewonnenen Informationsgewinn ziehen. Je größer ein Kundenstamm wird. Während sich bei dem lokalen Service Desk jeweils ein Mitarbeiter mit ein und demselben Incident beschäftigen würden. einen zentralen Service Support besteht nun aber die Wahrscheinlichkeit. sich um diesen RfC zu kümmern und an die passende lokale Supportstelle weiterzuleiten. Allerdings können bei einer Einführung eines zentralen Service Desks auch Probleme entstehen. Durch einen zentralen Service Desk bzw. es liegt ein Request for Change vor. desto schwieriger wird sich die kundennahe Betreuung erweisen. Der virtuelle Service Desk sieht zwar . -aufwand erheblich zu. Durch ein Beispiel soll dieser Vorteil verdeutlicht werden. Abbildung 1. während der andere Mitarbeiter bereits einen neuen Incident entgegennimmt. könnte man bei einem zentralen Service Desk einen Mitarbeiter mit der Behandlung des Incidents beauftragen. Die verschiedenen lokalen Service Desks haben folglich die Aufgabe.2: Lokaler und zentraler Service Desk. Diese wird das ihrer Meinung nach beste Angebot einholen und den Computer bestellen.Service Support-Umsetzung an zwei ausgewählten Fakultäten 15 „Funktion“ S e r v I c e D e s k 1 st L e v e l S u p p o r t „Prozesse“ „Funktion“ „Prozesse“ A A Z e n t r a l e r S e r v I c e D e s k „User“ Service Support „User“ 1 st L e v e l S u p p o r t „Funktion“ S e r v I c e D e s k 1 st L e v e l S u p p o r t „Prozesse“ B B „User“ Service Support „User“ Service Support Lokaler Service Desk Zentraler Service Desk Abbildung 1.

3: Virtueller Service Desk. nämlich eine kundennahe Betreuung und eine verkürzte Reaktionszeit auf Incidents. lokale Annahmestellen und lokale Support Teams7 vor. Der Aufwand.2. soll nun im folgendem Kapitel betrachtet werden. Zum einen muss definiert werden. Demgegenüber steht aber ein entscheidender Nachteil.2 Incident Management Bevor man sich mit den Aufgaben. 1. aber auch eine zentrale Datenbank. ebenfalls bei dem virtuellen Service Desk vorzufinden. den virtuellen Service Desk zu organisieren. wie auch der erhöhte Informationsgewinn des zentralen Service Desks. was genau ein Incident ist. Somit sind die Vorteile des lokalen Service Supports. wie der Service Desk als eine Funktionseinheit auf der operativen Ebene des serviceorientierten IT-Managements wirkt.16 ITIL-Wirklichkeit an der Universität Bielefeld „Funktion“ S e r v I c e D e s k 1st L e v e l S u p p o r t A „User“ „Prozesse“ „Funktion“ S e r v I c e D e s k 1st L e v e l S u p p o r t B „User“ Service Support Abbildung 1. Warum aber der Service Desk und das Incident Management so eng miteinander verknüpft sind und wie die Incidents im einzelnen behandelt werden. ist erheblich und dementsprechend teuer. den Zielen und dem Prozess des Incident Managements beschäftigt. müssen vorab zwei Sachverhalte erklärt werden. Wir haben nun gesehen. Des Weiteren wurden Aufgaben. und zum anderen muss 7 Diese sollen vom virtuellen Service Support gesteuert und verwaltet werden . Ziele und Organisationsstrukturen des Service Desks vorgestellt.

entgegengenommen und bearbeitet. wie der Zusammenhang zwischen Incident Management und Service Desk aussieht. – Prozessoren haben einen technischen Defekt. S. die mit dem User oder Kunden über die Höhe der Service-Dienstleistung getroffen wurden. die Aufgaben und insbesondere den Prozess des Incident Managements darzustellen. 28] Gegenstand dieses Kapitels ist aber vorrangig. der die zentrale Funktion des Incident Managements darstellt. diese lassen sich zum Beispiel in Abhängigkeit ihres Ursprungs kategorisieren: • Störung im Bereich der Hardware. Es existiert eine Vielzahl von Incidents. mögliche Einflüsse durch Störungen auf den Betrieb zu minimieren und das vertraglich vereinbarte Service Level Agreements (SLA) 10 halten zu 8 Unter dem Begriff „Abnahme der Qualität des IT Services“ wird hier die Unterschreitung der voher vereinbarten Service-Grenzen verstanden. beispielsweise: – bestimmte Netzwerkkarten funktionieren nicht. das zu einer Unterbrechung oder zu einer Abnahme der Qualität des IT-Services8 führt. beispielsweise: – die Software des Users zur Berechnung des Gewinn.und VerlustWertes einer Firma errechnet den falschen Wert. bei Eintritt eines Störungsfalles die schnellstmögliche Wiederherstellung des normalen Betriebs zu gewährleisten. S. Mein alter Drucker macht es nicht mehr lange. Können Sie mir einen Bestellen?“ Die Incidents werden im Service Desk9 . – Bildschirme einer gewissen Marke empfangen nicht das gewünschte Signal. 9 Wie bereits im vorherigen Kapitel ausführlich beschrieben. Können Sie mir weiterhelfen?“ – „Ich brauche einen neuen Laserdrucker. • Anfragen. for example failure of one disk from a mirror set. 46] ist ein Incident definiert als: An unplanned interruption to an IT service or reduction in the quality of an IT Service. Die wichtigsten Ziele des Incident Managements sind.Service Support-Umsetzung an zwei ausgewählten Fakultäten 17 gekläre werden. Laut dem Office of Government Commerce [OGC07.“ [Olb06. Failure of a configuration item that has not yet impacted service is also an incident. beispielsweise: – „Ich habe mein Passwort vergessen. . 10 Vereinbarungen. die Ziele. • Störung im Bereich der Software. obwohl man selbst Administrator ist. – der Zugriff auf eine Software wird verweigert. – ein benötigter Treiber wurde falsch oder gar nicht installiert. Ein Incident kann also als ein Ereignis verstanden werden. „Der Service Desk übernimmt als Funktion innerhalb des Incident Managements weitgehend die operative Steuerung und Dokumentation der Aktivitäten der IncidentBearbeitung.

einen entsprechenden Prozess im Incident Management auslöst. dass die einzelnen Schritte des Prozesses zugleich die Aufgaben des Incident Managements bei Eintritt eines Incidents darstellen. werden hier erfasst und unter einer gemeinsamen Referenznummer in einer Datenbank. der sogenannten Configuration Management Data Base (CMBD) 11 abgespeichert bzw. wird nun anhand der Abbildung 1. Wiederherstellung Service Incident Closure Abbildung 1. der den Incident festgestellt hat. 11 Diese Datenbank wird noch ausführlich in dem Abschnitt 1. usw. Incident aufnehmen und dokumentieren Klassifizierung und erste Unterstützung Service Request? nein Untersuchung und Diagnose ja Incident aufnehmen und dokumentieren.4 dargestellt und erläutert. und in welcher Abteilung er arbeitet. der im Service Desk aufgenommen wird. • wie der User heißt. • welcher Kategorie der Incident angehört. wie: • wann der Incident festgestellt wurde. Dabei ist anzumerken.4: Flussdiagramm Incident. . Laut ITIL gilt. beschrieben. Monitoring.2. Control & Communication Service Request Verfahren Problem? ja Weiterleitung an den Support nein Lösung.18 ITIL-Wirklichkeit an der Universität Bielefeld können. dass jeder Incident. Im ersten Schritt wird der Incident aufgenommen.6. das heißt alle wichtigen Informationen bezüglich des Incidents. Wie genau dieser Prozess nach der ITIL-Empfehlung aussehen sollte. dokumentiert.

“ [OGC07.4. dieser Änderungsantrag wird gesondert in einem Service Request-Verfahren behandelt. welcher sogenannten „Klasse“ der Incident angehört und ob die Möglichkeit besteht. die einem Incident zugesprochen wird. So sieht die Dringlichkeit. Wie bereit zu Anfang dieses Kapitels beschrieben. • Anfragen bezüglich einer Änderung im IT-Bereich. zusammen12 . 49] Klassifizierung und erste Unterstützung. so spricht man von einem Request for Change (RfC).2. als wenn der Praktikant einen neuen benötigt 13 Ein guter Service Desk zeichnet sich unter anderem dadurch aus. so sollte diese bereits im Service Desk und somit am Anfang des Incident Managements zu beantworten sein13 . Bezieht sich die Anfrage auf eine Änderung im IT-Bereich. von daher im Incident Management-Prozess. Es gilt: Klassifizierung = Kategorie + Priorität Die Priorisierung bzw. • Störungen. dass er die meisten einfachen Fragen der IT-User bereits im Vorfeld klären kann. anders aus. S. aussehen: • einfache Anfragen. „and so that if the incident has to be referred to other support group(s). deren Ursache bekannt ist. they will have all relevant information to hand to assist them. Die Klassifizierung von Incidents beinhaltet aber nicht nur die Kategorisierung. und der Auswirkung. 12 Es existieren aber auch andere Definitionen von Dringlichkeit und Auswirkungen. Eine Klassifizierung von Incidents könnte.und Hardwarebereich und Anfragen unterschieden.Service Support-Umsetzung an zwei ausgewählten Fakultäten 19 Da diese Aufgabe vom Service Desk ausgeführt wird. sondern auch die sogenannte Priorisierung. Daraus folgt: Priorität = Dringlichkeit + Auswirkung Wie sich die Priorität im einzelnen dann bestimmen lässt. zu lösen. die Priorität setzt sich wiederum aus der Dringlichkeit. in denen zum Beispiel die Anzahl der betroffenen User und die Auswirkung des Incidents gegeneinander abgetragen werden. zum Beispiel wie viele User von diesem Incident betroffen sind. Handelt es sich um eine einfache Anfrage seitens des Users. den Incident bereits im Service Desk. . • Störungen. wenn der „Chef“ einen neuen Computer will. wie schnell der Incident behandelt werden muss. Nachdem nun der Incident aufgenommen und dokumentiert wurde. Es wurde zwischen Störungen im Software. gilt es nun zwei Fragen zu beantworten. Es muss geklärt werden. da die nachfolgenden Support-Gruppen ebenfalls auf die entscheidenden Daten bezüglich des Incidents angewiesen sind. Die Erfassung des Incidents ist äußerst wichtig. lassen sich Incidents ihrer Quelle nach kategorisieren. deren Ursache unbekannt ist. das aber in Abschnitt 1. wie folgt. kann laut ITIL über sogenannte Bewertungsmatrizen erfolgen. wird an dieser Stelle nochmal die enge Verknüpfung des Incident Managements als Prozess mit dem Service Desk als operative Funktion des Incident Managements deutlich.

Das Problem Management stellt hier somit in diesem Prozess den Second Level Support dar. wird dieses Problem dann an das Problem Management weitergeleitet. oder eine Umgehungslösung. als Unknown Error bzw. Der Incident wird somit an eine Gruppe von Spezialisten weitergegeben. ob der Incident durch das Incident Management selbst oder durch die anderen Support-Stellen behoben werden kann. werden als Known Error bezeichnet. Die Störungen. werden ab hier nur noch Störungen des laufenden Betriebs behandelt. dass sowohl die Klassifizierung als auch die erste Unterstützung durch den Service Support dokumentiert und in der CMBD abgespeichert wird. sein. um anschließend eine Diagnose erstellen zu können. der Prozess des Incident Managements fortgesetzt. Die bekannten Lösungen werden durch die CMDB bereitgestellt. Hier kann das Incident Management durch seinen First Level Support bereits helfen und aktive Unterstützung durch Bereitstellung der Lösung leisten. in der sich sämtliche durch das Problem Management erarbeitete Lösungen für die verschiedensten Incidents befindet15 . mit der der Fehler lediglich umgangen wird. also bis zu einem n-ten Level Support fortgesetzt werden. ob die Ursache bekannt oder unbekannt ist. Wichtig sei hier noch zu erwähnen. Da die Anfragen als Incident bereits in den vorangegangenen Schritten des Incident Management-Prozesses bearbeitet wurden. Während das Incident Management versucht. dass es sich um einen Known Error handelt. Dies kann eine einfache Handlungsanweisung. die Störungen. ein Incident wird daher als Problem diagnostiziert. Nun gilt es den Incident hinsichtlich seiner Art zu untersuchen. ein sogenannter Workaround. Dieser Vorgang wird bei ITIL als funktionale Eskalation bezeichnet. so existiert bereits eine Lösung für diesen Fehler.20 ITIL-Wirklichkeit an der Universität Bielefeld separat behandelt wird. so wird erstmal unabhängig davon. Dabei wird zwischen zwei Arten von Störungen unterschieden. In Anlehnung an [Olb06] soll Abbildung 1. Wird der First Level Support an seine Grenzen gebracht. Falls ein Incident „unbekannter Natur“ ist. Liegt allerdings eine Störung vor. der bereits aus den Herstellern der fehlerhaften Software bzw. Diese Weiterleitung an eine Gruppe von Spezialisten kann theoretisch n-mal geschehen. um Incidents zu behandeln. Das Incident Management hat zu jeder Zeit Zugriff auf diese Datenbank und die sich darauf befindlichen Lösungen. Diese Spezialisten werden als Second Level Support bezeichnet und verfügen im Gegensatz zum First Level Support über ein größeres Fachwissen und eine bessere Ausstattung. geht das Problem Management den Fehler auf den Grund.5 die funktionale Eskalation verdeutlichen. mit der der Fehler endgültig gelöst wird. Problem. die als Ursache einen bereits bekannten Fehler haben. Stellt sich heraus. Bei ITIL wird aber lediglich von einem Third Level Support gesprochen. deren Ursache unbekannt ist14 . Hardware besteht. es sich von daher um ein Problem 14 Es 15 Dies kann auch mehrere Ursachen für ein Problem geben soll aber erst im folgenden Abschnitt genauer erläutert werden. Fehler und die damit verbundenen Störungen zu vermeiden. An dieser Stelle wird auch nochmals das Ziel des Incident Managements und damit der Unterschied zum Problem Management mehr als deutlich. . Untersuchung und Diagnose.

Service Support-Umsetzung an zwei ausgewählten Fakultäten 1st Level Support Untersuchung und Diagnose 21 2nd Level Support Problem? ja Untersuchung und Diagnose 3rd Level Support Untersuchung und Diagnose n-ter Level Support Untersuchung und Diagnose nein Lösung? nein Lösung? nein Lösung? ja ja ja Lösung.5: Ablauf der funktionalen Eskalation. nicht die Ursachen des Incidents zu untersuchen. Das heißt zum Beispiel ein neues Passwort an einen User liefern. Service Support erarbeitet wurde. antworten. mehr als deutlich. oder ein Incident immer wiederkehrt. An dieser Wiederherstellung des Betriebs wird daher nochmal die Aufgabe des Incident Managements. handelt. die bereits im Incident Management bekannt ist. • Die Lösung. Wiederherstellung des Services. kann nun ein möglicher Lösungsweg ausgewählt und getestet werden. bereitstellen. dass der Auftrag ausgeführt. Lösung. die vom nachfolgenden Problem Management bzw. der lediglich eine Umgehungslösung darstellt. Für die Wiederherstellung des standardisierten Betriebs kommen hier folgende Möglichkeiten in Frage: • Der Workaround. so ist das Problem Management davon in Kenntnis zu setzen und der Incident zu übergeben. dass er abgelehnt wurde. der sein altes Passwort vergessen hat. In dieser Antwort kann dann enthalten sein. aber auch. ein Unknown Error wird zum Known Error und es kann durch das Incident Management darauf zugegriffen werden. Nachdem alle Informationen bezüglich des Incidents zusammengetragen und untersucht wurden. bereitstellen. Das heißt. . der zuvor an das Change Management weitergeleitet und von diesem bearbeitet wurde. Wiederherstellung Service Abbildung 1. sondern lediglich den laufenden Betrieb zu gewährleisten. • Auf einen Request for Change. Die Ursache des Incidents wurde nicht untersucht. • Die Lösung.

wie lange sich ein Incident in einer Instanz des Incident Managements befindet und überhaupt befinden darf. dessen Ursache nicht klar ist. also den Incidents. auf das Incident Management auswirken. da er als zu unwichtig eingestuft wird. Dies lässt sich am einfachsten anhand eines Beispiels verdeutlichen. Dies betrifft im besonderem Maße die Lösung des Incidents. die kontrolliert. Monitoring. dass bereits der Service Desk bei Eintritt desselben Incidents auf die passenden Incident-Details zurückgreifen und entsprechende Maßnahmen ergreifen kann. Dies kann sich positiv auf die Resonanz auf den Service Desk bzw. ohne das aufwendige Analysen durchgeführt werden müssen. ein Incident würde sich zu lange im Subprozess „Klassifikation und erste Unterstützung“ befinden. könnte man zum Beispiel eine Art „Zeitkontrolle“ einführen. dass sämtliche Incidents den hier vorgestellten Prozess durchlaufen. Doch woher kommen die bekannten Lösungen von Fehlern bzw. die Aufgaben und somit der Prozess mit allen einzelnen Instanzen des Incident Managements vorgestellt. .2. in Frage kommen. Ein weiterer wichtiger Begleiter des Incident Managements ist die Kontrolle des Incidents. Wichtige und dauerhafte Begleiter aller Subprozesse des Incident Managements sind Monitoring. Ein mögliches Mittel ist hierzu zum Beispiel die Bereitstellung einer bereits bekannten Lösung in Form von einer Handlungsanweisung oder die Anwendung eines Workarounds. kann der Incident im Incident Closure „formell“ abgeschlossen werden. Wichtig ist nämlich hierbei das sämtliche Informationen bezüglich des Verlaufs der Incident-Behandlung im Incident Record abgespeichert werden. Beobachtung und Überwachung des Incident Managements verstanden. sozusagen die IT Operater. dass für die Ausführung der gerade dargestellten Möglichkeiten sowohl der Service Desk selbst als auch extra dafür eingerichtete Service Support Teams. nämlich eine schnelle Wiederherstellung des laufenden Betriebs.22 ITIL-Wirklichkeit an der Universität Bielefeld Es sei hier noch erwähnt. Des Weiteren wurden das Ziel. Incident Closure. Um solche Fälle zu vermeiden. Angenommen. So besteht zum Beispiel zu keiner Zeit die Möglichkeit zur Stagnation der Behandlung eines Incidents. Doch damit ist der Prozess noch nicht ganz beendet. Der letzte wichtige Aspekt ist die Kommunikation. So kann zum Beispiel ein User immer über den Prozess informiert werden und ist somit immer „auf dem Laufenden“. die Gewährleistung eines laufenden Betriebs. da somit gewährleistet werden kann. Nach einer Weile würde er in Vergessenheit geraten. diese Frage soll nun im nächsten Abschnitt geklärt werden.3 Problem Management Im vorangegangenen Abschnitt wurde das Ziel des Incident Managements dargestellt. Doch was passiert mit den Problemen. Es wurde nun gezeigt. Hier ist sowohl die Kommunikation zwischen Incident Management und User als auch die Kommunikation des Incident Managements und dem Service Support gemeint. Kontrolle und Kommunikation. Unter dem Begriff Monitoring wird hier die Erfassung. Control & Communication. 1. Nachdem die Anfrage beantwortet oder die Störung beseitigt und somit der User zufrieden gestellt wurde. was natürlich ganz klar von Vorteil ist.

Probleme bzw. [OGC07. Hardwareprobleme: Man kann nicht mehr auf eine bestimmte Festplatte zugreifen. Zum einen kann das Incident Management nicht mehr weiterhelfen. eine Universität würde eine bestimmte Software zur Verwaltung von Noten benutzen. Incidents zu vermeiden. welches Ziel das Problem Management haben sollte und welche Anforderungen an das Problem Management gestellt werden. 58] Dass man es mit einem Problem zu tun hat. wird dieser Incident zum Problem. Die Auswirkungen beziehen sich auf den Ausfall eines Computers bis hin zu ganzen Servern. wenn die drei Aufgabenbereiche des Problem Managements. Dieses wird vom Incident Management. zu minimieren. da sie defekt ist. und deshalb nicht einwandfrei läuft. aber ein und derselbe Incident tritt immer wieder von neuem auf. definieren: „The primary objectives of Problem Management are to prevent problems and resulting incidents from happening. Diese Reihe an Beispielen für Probleme könnte beliebig lang fortgesetzt werden und verdeutlicht ganz klar. dass ein Problem durchaus ein Resultat von mehreren Incidents sein kann. wie folgt. wiederkehrende Incidents zu eliminieren und die Auswirkungen der Incidents. to eliminate recurring incidents and to minimize the impact of incidents that cannot be prevented. Hilft dieser Neustart nicht. also die nicht ordnungsgemäße Ausführung der Programme. Auch hier wären die Auswirkungen definitiv zu merken. Als Beispiel könnte hier ein Computer genannt werden. das nicht in der Lage ist. Als Workaround würde das Incident Management einen Neustart des Computers empfehlen. . Bei einzelnen Computerfestplatten wäre dieser Vorfall nicht so schlimm. Bei einer Bank zum Beispiel könnte dies katastrophale Auswirkungen haben. die im Incident Management ihre Anwendung finden? Die Antworten dafür sind im Problem Management zu finden. nach gewisser Zeit wird also derselbe Incident. dieses Problem zu behandeln. Problem Control. Als Probleme kommen in Frage: Virenprobleme: Hiervon können einzelne Mitarbeiter. Hierbei ist zu erwähnen.“ [OGC07. weitergeleitet zum Problem Management. die nicht vermieden werden konnten. merkt man an zwei Sachverhalten. eine Lösung liefern. hingegen hat der Ausfall eines Server auf Grund eines Defektes aber einen ganz anderen Stellenwert. 58 f. erneut auftreten. Softwareprobleme: Einmal angenommen. „ITIL defines a problem as the cause of one or more Incidents“. dessen Programme nicht ordnungsgemäß ausgeführt werden. S. so spricht man hier eher von einem Problem als von einem Incident. Um die Vielfältigkeit von Problemen und die damit betroffenen Personengruppen darstellen zu können. Diese arbeitet allerdings immer wieder fehlerhaft und ordnet die Noten nicht den gewünschten Personen zu. aber auch ganze Unternehmen betroffen sein. S. Dieses muss dann von dem Problem Management behandelt werden. Sobald ein Incident eine unbekannte Ursache hat.Service Support-Umsetzung an zwei ausgewählten Fakultäten 23 Problemen und woher kommen die Workarounds. Es lässt sich der ITIL-Philosophie nach dann erreichen. Laut ITIL lässt sich das Ziel des Problem Managements. zum anderen kann das Incident Management zwar einen Workaround bzw.] Das Ziel ist daher. sollen kurz weitere Beispiele folgen.

Abbildung 1. genauso wie die des Service Desks bzw. zu machen und ihn damit. sobald ein Incident bzw. Wie bereits schon erwähnt. Dies geschieht in den nun folgenden Schritten. aus dem Unknown Error einen Known Error. . Während die Prozesse der ersten beiden Aufgabenbereiche.6 verdeutlicht die Zusammenhänge der beiden Aufgabenbereiche. werden Incidents mit unbekannter Ursache als Problems bezeichnet. Der Auslöser für den Prozess des Problem Managements ist somit ein Unknown Error. bereits im Incident Management entschieden. Doch sollen zunächst die Bereiche Problem Control und Error Control dargestellt werden. wird dem Proactive Problem Management eine besondere Bedeutung zugesprochen und separat behandelt. so wird das Problem weitergeleitet. Ob es sich tatsächlich um ein Problem handelt. Problem eintrifft. Problem Control. erfolgreich ausgeführt werden. Ist dies der Fall. wird. Incident Managements.24 ITIL-Wirklichkeit an der Universität Bielefeld Error Control und Proactive Problem Management. einen bekannten Fehler mit Lösung. wie das Wort „Control“ bereits sagt. dann ausgelöst werden. wie aus den Abbildungen 1. ein Fehler ohne bekannte Lösung.6: Flussdiagramm-Problem.6 ersichtlich.4 und 1. aber auch die Schnittstelle des Incidents Managements mit dem Problem Management. Ein Ziel des Problem Controls ist es also. „Incident“ „Problem“Control Unknown Error Identifizieren & aufzeichnen „Error“Control „Change“ Problem? nein ja Problem Klassifizierung Untersuchung & Diagnose Known Error ? nein Eskalation ja Known Error Identifizieren & aufzeichnen Untersuchung & Diagnose Fehler Beschluss RfC? ja Change Management nein PIR Problem Closure Abbildung 1. kontrollieren zu können.

Dies erfolgt in den Schritten: Known Error identifizieren & aufzeichnen: Zuerst müssen auch die umgewandelten Known Errors identifiziert und aufgezeichnet werden. Da diese Klassifizierung ähnlich zu der Klassifizierung eines Incidents verläuft.2. Lösungsmöglichkeiten und Workarounds an die Hand zu geben. dass auch vor der „Untersuchung Abschnitt 1.17 Error Control. Nachdem sich das Problem Control mit der Ursache des Problems beschäftigt hat und der Unknown Error zu einem Known Error umgewandelt wurde. sollen hier die verschiedenen Lösungsmöglichkeiten erarbeitet werden. welche Software davon betroffen ist usw. es geht hier allerdings vielmehr um die Verknüpfung zwischen Known und Unknown Error.Service Support-Umsetzung an zwei ausgewählten Fakultäten 25 Unknown Error identifizieren & aufzeichnen: Im ersten Schritt wird der Unkown Error identifiziert. soll hier nicht weiter darauf eingegangen werden. muss es nun klassifiziert werden. . Eskalation: Zur Ermittlung der gerade vorgestellten Lösungen werden Experten herangezogen. Des Weiteren wird der Unknown Error oder auch das Problem in einem sogenannten Problem Record aufgezeichnet und in einer Datenbank abgespeichert.2 behandelt wurde. ebenso ob mehrere Incidents an diesem Unkown Error beteiligt sind. um welche Art von Unknown Error es sich hier handelt. da bereits sowohl der Incident als auch das Problem identifiziert und aufgezeichnet wurden. befasst sich das Error Control mit der konkreten Beseitigung des Fehlers. Sollte das Wissen dieser Experten nicht ausreichen.] und dem Service Desk so weit wie möglich Informationen. Es soll herausgefunden werden. von dem Zeitpunkt der Feststellung des Problems bis hin zur Beendigung des Problems.2. Welche der Lösungen genau gewählt wird. Es ist noch anzumerken.2. aus dem Unknown Error ein Known Error zu machen und eine Lösung für eventuelle Fehler zu finden. soll hier näher darauf eingegangen werden. die funktionale Eskalation in dem Abschnitt 1.16 Untersuchung & Diagnose: In den nun folgenden Subprozessen Untersuchung & Diagnose und Eskalation wird nun versucht. kurz um einen Unknown Error. Es wird hier sowohl die Kategorie des Problems als auch die Priorität des Problems festgelegt.. Alle Schritte. es handelt sich deshalb immer noch um ein ungelöstes Problem. 17 Da 16 Vgl. Problem Klassifizierung: Nachdem das Problem aufgenommen ist. 43] Handelt es sich so dann um einen Known Error. Natürlich könnte man in diesem Fall mit unnötigen Mehraufwand argumentieren. so werden weitere Fachkräfte zu Rate gezogen. erfolgt im nächsten Schritt.“ [Olb06. wird dieser dem Error Control übergeben.. Es kommt zu der bereits vorgestellten funktionalen Eskalation. werden in diesem Problem Record und somit in der Datenbank festgehalten. Die Aufgabe hier ist es „den Problemursachen auf den Grund zu gehen [. Untersuchung & Diagnose: Nachdem der Fehler bekannt gemacht und dokumentiert wurde. S.. Die Lösungen können Workarounds oder Requests for Change sein.

26 ITIL-Wirklichkeit an der Universität Bielefeld & Diagnose“ des Known Errors wiederum eine Klassifizierung des Errors stattfinden kann. einen Antrag auf Änderung. ob die vorgegebenen Ziele. Post Implementation Review (PIR): Wurden alle notwendigen Änderungen umgesetzt. Hier wird eine Art Voruntersuchung auf zukünftige Problems und Incidents betrieben. Die beiden gerade vorgestellten Aufgabenbereich bzw. wenn nötig. Bei Anlehnung des Request for Change muss das Problem Management eine andere Lösung auswählen und gegebenenfalls einen neuen Request for Change formulieren. Prozesse „Problem Control“ und „Error Control“ sind eher reaktiver18 Natur. Handelt es sich um Workarounds. da diese aber sehr ähnlich zu der des Unknown Errors ist. so darf das Problem Management diese Änderung nicht einfach durchführen. – entsprechen die Fehler immer einem bestimmten Typ von Fehler. Ganz anders ist es bei dem Proactive Problem Management. Wird nämlich zur Behebung des bekannten Fehlers eine Änderung einer Komponente des IT-Bereiches benötigt. auf Reize reagierend . wie zum Beispiel die Beseitigung des Fehlers. so muss der Record ergänzt werden. Dazu werden: • Problemfelder und Fehlerquellen analysiert. Deshalb werden hier Fragen untersucht. Nicht unerwähnt sollte hier bleiben. wird sie hier nicht weiter erwähnt. Ist dies nicht der Fall. ob die gesamte Historie des Problems tatsächlich erfasst und dokumentiert wurde. so wird auf diesen reagiert und die Prozesse werden in Gang gesetzt. dass das Change Management sowohl einem Request for Change zustimmen als auch ihn ablehnen kann. die es im Unternehmen verursacht. Auf Grund ihrer Entwicklung im Bezug auf Auswirkung im Betrieb und Priorität müssen sie dauerhaft beobachtet und. an das sogenannte Change Management weiterleiten. dass Probleme bzw. um diese bereits im Voraus zu vermeiden und gar nicht erst entstehen zu lassen. sondern muss ein RfC. Aus diesem Zusammenhang wird deutlich.)=rückwirkend. Im Gegensatz dazu stehen die Requests for Change. Dabei wird geprüft. wie zum Beispiel: – Kommen dieselben Incidents immer aus derselben Abteilung. Fehler Beschluss: In diesem Schritt wird nun eine der erarbeiteten Lösungsmöglickeiten zur Beseitigung des bekannten Fehlers ausgewählt. durch die Änderung erreicht wurden. – kann man schon sagen. wo das nächste Problem entstehen wird und wie es aussieht. 18 reaktiv (lat. neu bewertet werden. Problem Closure: Nach Abschluss der Prozesse soll in diesem letzten Schritt überprüft werden. Daher sollte ein Problem resp. erfolgt durch das Change Management im Error Control ein sogenannter Post Implementation Review. Das Change Management überprüft diesen Antrag auf seine Notwendigkeit und auf die Auswirkungen. Fehler eintreten. müssen diese unverzüglich umgesetzt werden. Fehler nicht nur einmal diese Prozesse durchlaufen. Proactive Problem Management.

immer wieder abzustürzen. die die Problemfelder und Fehlerquellen beseitigen sollen.19 Ein Beispiel für die beiden Aktivitäten könnte folgendermaßen sein.4 Change Management Das Change Management befasst sich mit der Kontrolle und Steuerung aller Änderungen (Changes) innerhalb der IT-Infrastruktur. Durch einen wirtschaftlichen Boom würde es nun zu einem rasanten Anstieg der Kundenzahl kommen. Es müssen zuvor Kosten-Nutzen Rechnungen durchgeführt werden. Im Grunde wird jede beabsichtigte Änderung an Komponenten der IT-Infrastruktur. Daher werden hier Möglichkeiten erörtert und ausgearbeitet. dass es durch eine höhere Anzahl an Kunden zu mehr Datensätzen auf dem Computer kommt und dieser daher Gefahr läuft. wird nun im nächsten Kapitel behandelt. . Die Änderung kann sich auf die Bereiche der Hardware-Komponenten. Des Weiteren wurde gezeigt. Kommunikationsgeräte. da er mit der großen Datenmenge nicht mehr einwandfrei arbeiten kann. muss ein Änderungsantrag. den sogennanten Configuration Items (CIs)20 . an das Change Management übermittelt werden. In diesem Augenblick ist das Problem Management gefragt. vorhanden sein. ein sogenannter Request for Change (RfC). um zu sehen. die vom Problem Management zur Beseitigung bzw. im Endeffekt kontrolliert und steuert. Wer die Änderungen. Auch wenn das vorangegangene Beispiel recht einfach war. Es muss erkennen. Bevor eine Änderung durchgeführt werden kann. die an das Problem Management und seinen Mitarbeitern gestellt wird. werden: 27 • Präventivmassnahmen zur Vermeidung von Incidents und Problems vorbereitet. Vermeidung von Problemen erarbeitet und vorgeschlagen werden. Eine Möglichkeit wäre der Kauf eines weiteren Computers. ob sich der eingesetzte Aufwand zur Vermeidung von Problemen überhaupt lohnt. eine ausreichende Anzahl an Programmen usw. standardisierte Methoden und Verfahren zur Abwicklung und Überwachung von Änderungen zu entwickeln. Angenommen.2. 1. Es muss nicht nur ein hohes Fachwissen sondern auch eine Wissensdatenbank. besteht die Aufgabe des Change Managements darin. sondern auch diese vorhergesehen und im Voraus vermieden werden sollen. dass das Problem Management die Präventivmassnahmen nicht einfach durchführen darf. Diese Datensätze würden neben der Anschrift auch den Briefwechsel mit besagtem Kunden enthalten. 20 Eine genauere Erklärung eines CIs ist im Abschnitt 1. Es soll somit eine ordnungsmäßige Implementierung der Änderung in die IT-Infrastruktur sichergestellt werden und mögliche Störungsrisiken minimiert werden. Darüber hinaus darf nur das Change Management autorisierte Änderungen durchführen.6 zu finden.und Systemsoftware.Service Support-Umsetzung an zwei ausgewählten Fakultäten Sind diese Fragen beantwortet. so zeigt es aber die hohe Anforderung. 19 Allerdings ist hier anzumerken. Dokumente sowie Prozeduren beziehen. Als zweiten Schritt muss das Proaktive Problem Management eine Präventivmassnahme zur Vermeidung dieses Problems durchführen. eine Firma würde die Daten ihrer Kunden auf einem einzigen Computer speichern. Da die IT-Komponenten häufig Änderungen unterworfen sind.2. ausführliche Dokumentationen vorangegangener Probleme. Anwendungs. dass im Problem Management nicht nur auf Problems reagiert.

• kontinuierliche Überwachung und Kontrolle bei der Durchführung eines RfC. Hierzu gehört auch eine Kosten/Nutzen-Rechnung. der Change Manager erfüllen muss. die das Change Management bzw. welche Änderungen zuerst durchgeführt werden sollen. 53]) beantwortet werden können. Vorteilhaft ist die elektronische Übermittelung mit Hilfe von standardisierten Anträgen. der Monitor oder sogar der Server. wird die Priorität und Kategorie des RfC eingestuft. 23 Eine genauere Erklärung einer CMDB ist im Abschnitt 1. ob ein RfC akzeptiert oder abgelehnt wird. dem Risiko einer Änderung. Ein RfC kann von allen Benutzern der IT versendet werden. • Wer hat den Änderungsantrag gestellt? • Was sind die Gründe für die Änderung? • Welchen Vorteil hat die Änderung? • Welche Risiken sind mit der Änderung verbunden? • Welche Ressourcen müssen für die Änderung bereitgestellt werden? • Wer ist verantwortlich für die Durchführung. S. Hardware. Jeder RfC bekommt eine eindeutige Identifikationsnummer zugewiesen und wird dokumentiert. wie zum Beispiel eine Änderung der Zugriffsrechte eines Users oder andere routinemäßigen Aufgaben. Software und finanzielle Mittel. Während der gesamten Durchführungsphase wird jeder einzelne Schritt eines RfC protokolliert und an die Configuration Management Database (CMDB) 23 übermittelt. Darüber hinaus muss das Change Management entscheiden. Des Weiteren müssen Ressourcen für Änderungen bereitgestellt werden. • abschließende Revision (PIR)21 .22 Der Change Manager entscheidet in einer Vorauswahl. • Planung und Organisation der Durchführung eines RfC. muss dies dem Change Management übermittelt werden.2. Dadurch lässt sich jede Änderung leicht nachvollziehen. so 21 PIR steht für Post Implementation Review.6 zu finden. Ähnlichen RfCs können auch zusammengefasst werden. 22 Hierbei . Zu den Ressourcen gehören unter anderem Personal. damit eine Änderung durchgeführt werden kann. können Service Tools eingesetzt werden. Test und Implementierung der Veränderung? Ist eine grobe Vorauswahl für die Ausführung einer Änderung getroffen. Handelt es sich um einen RfC mit geringer Priorität. gehören folgende Punkte: • Erfassung und Filterung von RfCs. die mit darüber entscheidet. So hat die Reparatur eines Servers eine höhere Priorität als ein defekter Monitor. Zu den weiteren Aufgaben.28 ITIL-Wirklichkeit an der Universität Bielefeld mit einem RfC an das Change Management übermittelt. ob eine Änderungen wirklich durchgeführt werden soll. Die Einstufung erfolgt nach der Dringlichkeit oder dem Ausmaß bzw. wie die Festplatte. Am Ende der Durchführung sollen nach den ITILEmpfehlungen die nachfolgenden Fragen ([TRA07. Ist zum Beispiel eine Hardware-Komponente defekt.

sein und sollten regelmäßig in Kontakt zueinander stehen.7 zeigt die einzelnen Schritte. usw. Im nächsten Schritt werden die für die Umsetzung bzw. Um dies zu vermeiden. Es wird dabei festgestellt. bei dem möglichst wenige andere Prozesse beeinträchtigt werden. ist es . Diese können sowohl aus dem Bereich des Incident Managements. liegt ein dringendes Problem vor. dass die bereitgestellten Ressourcen ausreichend sind. um den Change planmäßig durchzuführen.Service Support-Umsetzung an zwei ausgewählten Fakultäten 29 obliegt die Entscheidung der Durchführung allein bei dem Configuration Manager. Je nach Dringlichkeit werden die RfC geordnet und die benötigten Ressourcen bereitgestellt. die bei zukünftigen ähnlichen Änderungen korrigiert werden können. Denn nur durch diesen standardisierten Ablauf können Änderungen effizient durchgeführt und Fehlerquellen minimiert werden. Doch es kann dann passieren. Service Desks. Nach der Implementierung sollte nach einiger Zeit eine abschließende Revision (PIR) zur Qualitätssicherung erfolgen. so dass sichergestellt ist. kommen als auch IT-Experten. die stellvertretend für die restlichen Mitglieder schnelle Entscheidungen treffen können. Meist sind hier mehrere User von den Änderungen betroffen und ein höherer Aufwand an Ressourcen ist nötig. beginnt die zeitliche Planung der Änderung. Es muss darauf geachtet werden. Hierzu gehört beispielsweise der Ausfall des gesamten Netzwerkes. Wurde der RfC genehmigt. Nach einer Testphase. das für die tatsächliche technische Umsetzung der Änderung zuständig ist. Die Abbildung 1. für die Durchführung der Änderungen zuständigen Bereiche kontaktiert. Denn oftmals lassen sich die Änderungen schnell von dem Anwender selbst durchführen. Aber es wird auch überprüft. Ist es hingegen eine Priorität und Kategorie höherer Stufe. Bei größeren Änderungen sollte auch der jeweilige betroffene Personenkreis mit in die Entscheidung einbezogen werden. Wird das ECAB einberufen. Die Informationen werden an die CMDB übermittelt. Das ECAB besteht aus wenigen Mitgliedern des CABs. inwieweit die eingeplanten Ressourcen ausreichend waren. dass das IT-System nicht mehr konsistent ist und das System dadurch nicht mehr fehlerfrei arbeitet. dass sich der User über den genauen Bearbeitungsstand des RfC informieren kann. ob die Ziele der Änderung erreicht wurden oder ob unerwünschte Nebeneffekte aufgetreten sind. Das CAB ist zuständig für Änderungen mit mittlerer und hoher Priorität und Kategorie. Auf den ersten Blick erscheint es. wird das sogenannte Change Advisory Board (CAB) oder in einigen Fälle sogar das Emergency CAB (ECAB) einberufen. Die Hauptaufgabe des Change Managements besteht nun aus der formalen Koordination und Überwachung der Änderungen. Bei dieser Art von RfC sind meistens nur ein oder wenige User betroffen und es ist kein großer Ressourcenaufwand nötig. Dies sollte zu einem Zeitpunkt geschehen. erfolgt die abschließende Implementierung der Änderungen. Mit Hilfe dieser abschließenden Revision lassen sich mögliche Schwachstellen aufdecken. wie zum Beispiel die Umstellung des Betriebssystems bei sämtlichen Computern von Windows XP auf Windows Vista. etc. Anhand des vorgestellten Schemas sollten sämtliche RfC abgewickelt werden. in der sichergestellt werden soll. jede Änderung eines CI erst durch das Change Management genehmigen zulassen. dass nur mit hohen Aufwand an Ressourcen zu lösen ist. dass die Änderungen ordnungsgemäß funktionieren. Dieses Problem betrifft meist alle User und muss sehr schnell behoben werden. dass es ein großer Aufwand für den Anwender ist. Dies geschieht in enger Zusammenarbeit mit dem Release Management. die ein RfC durchläuft. Das CAB setzt sich aus mehreren Mitgliedern zusammen. Problem Managements.

1.5 Release Management Das Release Management ist für die Bereitstellung. Um die Systemintegrität der genehmigten Änderungen sicherzustellen.30 ITIL-Wirklichkeit an der Universität Bielefeld RFC Change Manager • RFC filtern • Priorität festlegen ablehnen gering mittel hoch dringend Change Manager CAB/ ECAB Configuration Management (CMDB) nein genehmigt ? ja Change planen & durchführen Release Management abschließende Revision nein Erfolg ? ja Ende Abbildung 1. arbeitet das Change Management eng mit dem Release Management zusammen. Während das Change Management für die Entwicklung von standardisierten Methoden und Verfahren zur Durchführung und Überwachung von Änderungen verantwortlich ist. Einführung und Verwaltung von autorisierter Software und Hardware zuständig. Es lässt sich somit festhalten. befasst sich das Release Management unter anderem mit der Sicherstellung der Systemintegrität der Änderungen. wichtig. dass das Release Management maßgeblich die Verantwortung dafür trägt. Des Weiteren entwickelt das Release Management qualitätssichernde Richtlinien und Grundkonfigurationen zur Installation von IT-Systemen. dass neue oder veränderte CIs voll funktionsfähig in die IT-Umgebung implementiert werden. das im folgenden Abschnitt näher erläutert wird.2.7: RfC-Ablauf. einen RfC an das Change Management zu übermitteln. Zu den Hauptaufgaben des Release Managements gehören: .

Darüber hinaus werden in der DSL auch die Softwarelizenzen verwaltet.Service Support-Umsetzung an zwei ausgewählten Fakultäten • Festlegung der Release Policy. die seit dem letzten Release geändert worden sind. Es handelt sich dabei um ein Lager mit wichtigen Hardwarekomponenten. Es handelt sich dabei um eine Datenbank auf der sich sämtliche autorisierte Software befindet. Im Kontext der ITIL wird jedes neue oder veränderte CI. untersteht aber der Kontrolle des Release Managements. Delta Release: Es sind nur Komponenten enthalten. dass die Releases fehlerfrei in das IT-System implementiert werden. Dadurch wird sichergestellt. Dieses verwaltet auch den Definitive Hardware Store (DHS). dass von dem Release Management veröffentlicht wird. Die Implementierung von Releases werden als Rollout bezeichnet. sind die Aufgabenbereiche des Release Managements in die Entwicklungs-. Versionierung und Speicherung von genehmigten Releases. die die Releases auf die relevanten Computer verteilt. • Planung. verwaltet das Release Management die Definitive Software Library (DSL).8 soll auf die wichtigsten Aufgaben des Release Managements eingegangen werden. Mit Hilfe von Abbildung 1. als Release bezeichnet. an welcher Stelle die Ersatzteile gelagert sind. Überwachung und Durchführung von Änderungen bzw. hängt von der Release Policy ab.und Hardwarekomponenten werden zusammen entwickelt. Einführungen von Software und Hardware. Um sicherzustellen. wird dies als Rollin beschrieben. Die DSL ist in die CMDB des Configuration Managements implementiert. getestet und verteilt. werden in der CMDB gespeichert. Wie aus ihr ersichtlich wird.und Produktionsumgebung integriert. Die Release Policy bestimmt die Richtlinien für die Bearbeitung und Dokumentation eines Release und ist als Leitfaden für die weitere Bearbeitung zu verstehen. Wie der allgemeine Vorgang eines Releases durchgeführt wird. Hierbei können ähnliche Releases auch gebündelt und als Paket veröffentlicht werden. Auf Grund der hohen Kosten einer Vorratshaltung sollten nur kritische Komponenten als Ersatz gelagert werden. Verwaltung. Mit Hilfe des Backup-Systems bzw. Wird ein autorisierter RfC an das Release Management übermittelt. Soll ein bereits implementierter Release wieder entfernt werden. Die Informationen. • Dokumentation. Package Release: Full Releases und Delta Releases werden zu einem Paket gebündelt und veröffentlicht. Repository kann auf eine lauffähige Sofwareversion zurückgegriffen werden. 31 • enge Zusammenarbeit und inhaltliche Abstimmung mit dem Change Management. Hilfreich hierbei ist eine zentrale Softwareverteilung. Test. beginnen die Planungen . dass bei einem fehlerhaften Release immer auf eine lauffähige Version einer Software zurückgegriffen werden kann. In diesem Zusammenhang lassen sich drei verschiedene Release-Arten nach ihrem Umfang unterscheiden: Full Release: Alle Software.

Notfallpläne usw. den anderen ITIL-Prozessen Informationen über die IT-Infrastruktur bereitzustellen. um eine schnelle Umsetzung zu gewährleisten.6 Configuration Management Das Configuration Management stellt eine wichtige Komponente im Bereich der Service Support-Prozesse dar. 1. Wichtig hierbei ist. Somit fungiert das Configuration Management unter anderem als Datenbank. für die Änderungen. beginnen die Planungen für den Rollout. dass sich eine lauffähige Version der Software auf der DSL befindet. Handelt es sich bei dem Release um eine Softwareänderung. Die weiteren Aufgaben des Configuration Managements werden im folgenden Abschnitt erläutert. Prioritäten. benötigten Ressourcen. muss jede Veränderung der IT-Infrastruktur .8: Release Management. sollten die betroffenen User über die Änderungen unterrichtet werden. dass sich die Informationen auf dem aktuellsten Stand befinden. Dadurch lassen sich die Änderungen und deren Auswirkungen nachvollziehen und gegebenenfalls korrigieren. festgelegt werden. Sämtliche Schritte werden dokumentiert und dem Configuration Management übermittelt. Im letzten Schritt erfolgt die endgültige Verteilung und Implementation des Release. muss sichergestellt sein.32 ITIL-Wirklichkeit an der Universität Bielefeld Entwicklungsumgebung Testumgebung Produktionsumgebung Release Management Release Politik Planung Entwicklung/ Bestellung Erstellung/ Konfiguration Testphase/ Akzeptanz Rolloutplanung Information/ Training Installation Configuration Management CMDB DSL Informationen über den DHS Abbildung 1. Anschließend sollte der Release in eine realitätsnahe Testumgebung implementiert werden. Dies geschieht in enger Zusammenarbeit mit dem Change Management. um die Systemintegrität zu überprüfen. Wenn der Release die Anforderungen erfüllt. Im nächsten Schritt wird der Release entwickelt. Aufgabe des Configuration Managements ist es. So müssen Releaseinhalte. Bevor der Release veröffentlicht wird. Dieser Schritt umfasst die Terminplanung und Koordination der Implemetierung des Release in die Produktionsumgebung. Um dies zu gewährleisten.2.

Des Weiteren müssen zu jedem CI die wichtigsten Eigenschaften resp.9: Informationsfluss Configuration Management und Service Support Prozesse. sondern ebenfalls deren Verflechtungen zueinander widerspiegelt.24 Anhand der Abbildung 1. In24 Zu den Dokumenten zählen zum Beispiel Problem. . usw. gespeichert und verwaltet. jedem CI eine eindeutige Identifikationsnummer zuzuteilen. CD-Rom. Alle Komponenten.9 wird die zentrale Bedeutung des Configuration Managements und die wechselseitige Beziehung zu den anderen ITIL Support Prozessen verdeutlicht.und Fehlerbehebungs-Beschreibungen.. dass bei einer Störung oder bei einem Ausfall eines CIs genau nachvollzogen werden kann. welche Komponenten mitbetroffen sind. Netzwerkkarte. Da auch Änderungen. Auf Grund dieser vielfältigen Verflechtungen ist es wichtig. aus einer Festplatte. Attribute gespeichert werden. um einen Überblick über alle CIs sicherzustellen. bezeichnet man als Configuration Item (CI). Software usw. der sogenannten Configuration Management Database (CMDB).. Ein CI setzt sich oft aus mehreren CIs zusammen. So besteht ein Computer. der auch ein CI ist. Zu den Veränderungen zählen neben Modifikationen an Komponenten der Hardware und Software auch Änderungen an Dokumenten. Der Computer ist natürlich auch nur ein Bestandteil eines höher geordneten CIs. Die Besonderheit bei der CMDB ist. das Release Management an das Configuration Management übermittelt werden. Installationsanleitungen. Die CIs werden in einer zentralen Datenbank. die ebenfalls einzelne CIs sind. dass sie nicht bloß die einzelnen CIs speichert.Service Support-Umsetzung an zwei ausgewählten Fakultäten 33 durch das Change Management bzw. Ein Vorteil dieses Aufbaus der CMDB ist. die in der IT-Infrastruktur von dem Configuration Management erfasst werden. wie es bei einer Bestandsdatenbank der Fall ist. Incident Management Change Management Configuration Management Problem Management Release Management Informationsfluss Abbildung 1.

die die Arbeit mit den Datenbanken erleichtern sollen. dadurch soll ein konsistenter Zustand der Datenbanken sichergestellt werden. von der Rolle des Configuration Managers erfüllt werden: Aufbau und Planung des Configuration Managements: Pläne und Prozeduren für sämtliche Aktivitäten des Configuration Managements müssen festgelegt werden. Problems. auf der CMDB gespeichert. Des Weiteren muss der Umfang und die Struktur der CMDB festgesetzt werden. Um diese Arbeit zu bewältigen. Abbildung 1. Dieser Punkt umfasst unter anderem auch die Definition der CIs und eine einheitliche Namenskonvention der CIs. zum Beispiel die Festlegung der Speicherkapazitäten der CMDB und der DSL. Abschnitt 1. Darüber hinaus sind die Informationen über den Definitive Hardware Store (DHS).6 zeigt eine vereinfachte Darstellung der Struktur der CIs und deren Eigenschaften. müssen auch geeignete Configuration Management-Tools implementiert werden.34 ITIL-Wirklichkeit an der Universität Bielefeld cidents. Known Errors und Releases und deren Beziehungen als CIs gespeichert sind.10: CI-Verflechtung in der CMDB. CMDB Hardware Software Dokumentation CI ComputerID:1234 Prozessor : Intel Core 2 GH HD : 60 GB Software : MS Vista MS Office Monitor : LCD usw.5. dass die CMDB ein zentraler Punkt hoher Komplexität ist. Da im Zeitablauf der Arbeitsauf25 Zur Erklärung vgl. Aus diesem Zusammenhang wird ersichtlich. Um ein effizientes Arbeiten zu ermöglichen. müssen folgende Aufgaben von dem Configuration Management bzw. . Abbildung 3. Zusätzlich ist innerhalb der CMDB die Definitive Software Library (DSL) 25 implementiert. ist eine effiziente Fehlerbehebung möglich. die von dem Release Management verwaltet werden.2.

usw. Kontrolle der DSL. Identifikation der CIs: Eine wesentliche Komponente bei der Identifizierung der CIs ist das Maß der Differenzierung der IT-Infrastruktur. So ist der Aufwand abhängig von der Definition der CIs. Maus. stellt die CMDB diese bereit. müssen die gespeicherten Daten in regelmäßigen Abständen überprüft werden. die Effizienz und die Effektivität der IT-Organisation zu steigern.2. Auch hier findet ein Austausch von Daten statt. Dokumentationen der Systemkonfiguration. Lizenz-Kontrollen. Dokumentationen über Änderungen und Abweichungen. Bei dieser Verifizierung bzw. Wird nur eine temporäre oder keine Lösung erreicht. dass die zur Verfügung gestellten Ressourcen ausreichend sind. Bei der Registrierung eines Incidents sendet das Incident Management die Daten zu der CMDB. Kontrolle der CIs: Das Configuraion Management sorgt dafür. wird ein RfC an das Change Management weitergeleitet. Um dieses zu gewährleisten. um eine schnelle Lösung zu gewährleisten. Falls es sich um einen bekannten Fehler handelt und dazu Lösungskonzepte oder andere Details existieren. Je nach Maß der Differenzierung muss die IT-Infrastruktur in ihre Bestandteile zerlegt werden und sämtliche CIs erfasst werden.. Statusinformationen über die CIs: Über den gesamten Einsatzzeitraum eines CIs werden Berichte mit allen relevanten Informationen und dem aktuellen Zustand angefertigt. Auf diese Weise können die anderen Service Support-Prozesse immer auf aktuelle Informationen zurückgreifen. ob die gespeicherten Daten der CIs die aktuellen Daten der CIs widerspiegeln. die Aktualisierung bestehender CIs. Verifizierung und Audits: Damit die Aktualität der CMDB sichergestellt ist. dass sich nur autorisierte und aktuelle Einträge über die CIs in der CMDB befinden.. gehört dazu die Registrierung neuer CIs. Wird das Problem erkannt und zu einem Known Error. Fehlerbehebungs-Beschreibungen. Es eignen sich verschiedene Vorgehensweisen für die Einführung . So stellt die CMDB dem Problem Management wichtige Informationen über die Verflechtung der betroffenen CIs und weitere relevante Daten zur Verfügung. Tastatur und Monitor ein einzelnes CI darstellen oder sollen die Bestandteile auch als CIs definiert sein? Diesen Fragen werden zuvor bei dem Aufbau und der Planung des Configuration Managements geklärt. Zu den möglichen CIs gehören beispielsweise die Hardware. Audit wird festgestellt. Mit Hilfe des Configuration Managements und den dazugehörigen Komponenten sollte es möglich sein. wird der Vorfall an das Problem Management weitergereicht. wird ein RfC mit Hilfe des Change Managements und Release Managements durchgeführt. Software. Soll zum Beispiel ein PC inkl. sollte durch einen regelmäßigen Soll/Ist-Abgleich sichergestellt sein. usw. RfC. Um das Problem zu lösen. wird dies der CMDB übermittelt.6 zeigt die Aufgabenbereiche und die Schnittstellen des Configuration Managements mit den anderen Service Support-Prozessen anhand eines Incidents. Abbildung 1. Sollte dies nicht mehr der Fall sein. In enger Zusammenarbeit mit dem Release Management werden die notwendigen Änderungen durchgeführt und an die CMDB übermittelt.Service Support-Umsetzung an zwei ausgewählten Fakultäten 35 wand wächst.

die Vorraussetzung dafür ist aber eine genaue IST-Analyse der IT-Infrastruktur. S. Im nächsten Kapitel erfolgt eine Untersuchung des aktuellen IT-Managements bzw. DHS) Configuration Management Request for Change Autorisierter Change Change und Release Management Change ausgeführt Ende Abbildung 1. Natürlich ist eine schrittweise Einführung möglich. Sie müssen jede Veränderung der IT an das Configuration Management weitergeben. Es ist aber eine Notwendigkeit. . denn dadurch verringert sich der Arbeitsaufwand. mit Hilfe des in Kapitel 2 vorgestellten idealtypischen Verlaufes des ITIL Service Supports die Möglichkeit der Implementierung eines ITIL konformen Service Supports an der Universität Bielefeld darzustellen. Quelle: Eigene Darstellung in Anlehnung an [Vic05. Von Vorteil ist es.11: Schnittstelle zwischen CM und andere Service Support Prozesse.36 ITIL-Wirklichkeit an der Universität Bielefeld Service Desk Incident Management Start Incident Problem Problem Management Known Error C M D B (inkl. Service Supports an der Universität Bielefeld anhand der Fakultät für Wirtschaftswissenschaften und der Fakultät für Rechtswissenschaft. wenn von Anfang an eine ITIL konforme Implementierung erfolgt. um eine aktuelle CMDB und die damit verbundenen Vorteile zu garantieren. oftmals erscheint ihnen dies als zu bürokratisch. Das Ziel soll es sein. 56] eines Configuration Managements. Ein Hinderungsgrund für einen reibungslosen Ablauf des Prozesses ist oft die fehlende Akzeptanz der Mitarbeiter. DSL und Info.

die von mehreren Personen genutzt werden.Service Support-Umsetzung an zwei ausgewählten Fakultäten 37 1. welchen Status der User innerhalb der Fakultät innehat. soll der Service Desk nach ITIL als ein „Single Point of Contact“ für die Kommunikation mit dem Endanwender verantwortlich sein. zum anderen teilen sie ihnen telefonisch oder auch per eMail den Vorfall mit. Dennoch muss im Nachhinein differenziert werden. da die Aufgaben und Zuständigkeiten der einzelnen Mitarbeiter nicht klar abgegrenzt sind. die lokal an einem Computer angeschlossen sind. Incident Management. Service Desk. 1. Wenn möglich. zum einen kommen die User persönlich bei ihnen im Büro vorbei. Die Fakultät für Wirtschaftswissenschaften betreibt ihre lokalen Netzwerke mit minimalem Personalaufwand.1 beschrieben wird. Es sind in der Fakultät zwei unterschiedliche Kategorien an Druckern vorhanden. Es wird sowohl die Fakultät für Wirtschaftswissenschaften als auch die Fakultät für Rechtswissenschaft betrachtet. Dementsprechend kann auch nicht von den unterschiedlichen „Rollen“ der einzelnen Prozesse gesprochen werden. Bei Meldung eines Incidents sollte prinzipiell kein Unterschied gemacht werden. Grundsätzlich kann man die IT der beiden Fakultäten nicht in die Funktion des Service Desks und die einzelnen Prozesse einteilen. dennoch wird dies hier versucht.1 Fakultät für Wirtschaftswissenschaften Zuerst wird der Aufbau der IT in der Fakultät für Wirtschaftswissenschaften beschrieben. deshalb haben Netzwerkdrucker auch eine hohe .2. Zu diesem Zweck haben wir mit den System-Administratoren der jeweiligen Fakultät Gespräche geführt. zumindest sollten sie dies sein. Die wesentlichen Aufgaben sind die Sicherstellung des reibungslosen Betriebs zentraler Komponenten (Server) und die Pflege der Infrastruktur (Hardware). sollten die Probleme und Fehler mit möglichst genauer Beschreibung per eMail an die Systembetreuer gesendet werden. Dies kann auch in mehrfacher Form geschehen. Auch die Administratoren der Fakultät für Wirtschaftswissenschaften sind die einzigen Ansprechpartner für sämtliche Incidents. wer den Vorfall meldet. Wie im Kapitel 1. als auch Netzwerkdrucker. Auf Grund der geringen Anzahl an Mitarbeitern kann jedoch nicht zwischen First Level Support oder Second Level Support unterschieden werden. Auf Grund der Nutzung von mehreren Personen genießen die Netzwerkdrucker einen wesentlich höheren Support als die Bürodrucker. es gibt sowohl Bürodrucker. Dieses kann am Beispiel „Drucker“ betrachtet werden. Problems und Request for Changes bezüglich der Hardware und Software. Die Kontaktaufnahme mit den Administratoren erfolgt über verschiedene Weisen.3 Untersuchung des IT-Managements in der Universität Bielefeld In diesem Kapitel soll der Service Support anhand von zwei ausgewählten Fakultäten untersucht werden. Der Fragenkatalog wurde in die einzelnen Prozesse bezüglich des Service Supports gegliedert. Außerdem kann es von den persönlichen Vorlieben des Mitarbeiters abhängen.3.

38

ITIL-Wirklichkeit an der Universität Bielefeld

Priorität. Generell kann also gesagt werden, dass Vorfälle genau dann eine höhere Priorität haben, wenn mehrere User davon betroffen sind, als wenn nur ein einzelner von dem Incident betroffen ist. Die Priorität kann in drei unterschiedliche Kategorien eingeteilt werden, Incidents können hoch, mittel oder niedrig eingestuft werden. Grundsätzlich werden die meisten Vorfälle bei Auftreten oder bei Meldung erstmal hoch eingestuft. Nach einer kurzen Beschäftigung mit dem Incident wird der Vorfall eventuell neu priorisiert, da bemerkt wird, dass dieser für den Moment nicht so wichtig ist. Wartet man zum Beispiel auf die Lieferung eines Ersatzteils, so stellt man den Incident zurück und behaftet ihn mit einer Information, dass auf den Lieferungeingang gewartet wird. Zu den einzelnen Incidents werden unterschiedliche Informationen abgespeichert, nicht nur Informationen zu dem User und dessen Computer, sondern auch zum Beispiel der letzte Bearbeiter. Auf Nachfrage bekommen die User, die ein Incident vorliegen haben, eine Übersicht über den Stand der Dinge. Auch bei Bestellungen wird der User darüber informiert, dass zum Beispiel die Bestellung aufgegeben wurde und wann mit einer Lieferung zu rechnen ist. Jedoch reagieren oftmals die Kunden ganz unterschiedlich, die einen möchten auf dem Laufenden gehalten, den anderen reicht die Meldung, dass sich darum gekümmert wird. Problem Management. Nach ITIL wird zwischen „Incident“ und „Problem“ unterschieden, ein Problem ist schwerwiegender als ein Incident. Bei den Administratoren der Fakultät für Wirtschaftswissenschaften gibt es eine solche Unterscheidung nicht. Auf den Computern in der Fakultät wird StandardSoftware installiert. Dennoch möchten manche User eine spezielle Software auf ihren Computern haben, treten bei diesen dann Fehler auf, so ist der Supportlevel von den Administratoren sehr gering. Es wird bei Anschaffung darauf hingewiesen, dass bei eventuellen Problemen mit der Software keine Unterstützung durch die Administratoren gewährleistet werden kann. Tritt ein Fehler oder ein Problem bei einer Standard-Software, verfügen sie über eine selbst angeeigneten Wissensbasis. Dennoch kann man auch Hilfe im Internet oder in verschiedenen Administratoren-Foren finden, da die Standard-Software oftmals eine sehr verbreitete Software ist. Ist trotzdem zu einem gewissen Zeitpunkt der Support nicht mehr möglich, so wird der Hersteller der Hardware oder Software kontaktiert. Dies kommt jedoch in den seltensten Fällen vor. Um Fehler oder Probleme an der Software im Voraus zu verhindern, wird, sobald sich Software in einer neuen Version auf dem Markt befindet, diese getestet und überprüft. Damit die Schadensbegrenzung so gering wie möglich zu halten, wird eine Empfehlung zur Nichtnutzung der bestimmten Software ausgesprochen. Change Management. In Bezug auf finanzielle Mittel sind alle Lehrstühle der Fakultät für Wirtschaftswissenschaften selbst verwaltet, also alle haben ein eigenes Budget, das ihnen frei zur Verfügung steht. Dieses wird von der Fakultätsverwaltung verwaltet, jedoch hat die Fakultätsverwaltung kein technisches Know-How bezüglich der Software oder Hardware. Aus diesem Grund können die Administratoren nur leiten und beratend eingreifen, was die Beschaffungen betrifft, haben aber keinen direkten Einfluss darauf. Sie haben nicht die Möglichkeit, zum Beispiel „unvernünftige “ Beschaffungen, die von den Lehrstühlen

Service Support-Umsetzung an zwei ausgewählten Fakultäten

39

gewünscht werden, zu verhindern. Auch bezüglich der Hardware besteht ein Standard, der eingehalten werden soll. Da man sich bereits Kenntnisse über die standardisierte Hardware angeeignet hat, kann so Zeit eingespart werden, die man unnötig vergeuden würde, wenn man sich ständig mit unterschiedlicher Hardware auseinandersetzen müsste. An erster Stelle steht das HRZ, das Empfehlungen bezüglich der Hardware oder Software herausgibt. Bevor die Software den Usern angeboten wird, wird die Lauffähigkeit im universitären Umfeld getestet, wie sie im universitären Umfeld läuft, vor allem mit dem Server. Die PC-Nutzer verfügen in der Regel keine Administratoren-Rechte, sie haben nur Hauptbenutzer-Rechte. Release Management. Die Administratoren sind sowohl für Beschaffung, Installation, Wartung und Entsorgung Hardware als auch für Beschaffung, Installation und Pflege von System- und Anwendungssoftware zuständig. Sie können Hardware oder Software kostengünstig beschaffen, außerdem können die Beschaffungen dann auch gebündelt werden. die Administratoren können beratend eingreifen, da innerhalb der Fakultät bezüglich Hardware und Software gewisse Standards eingehalten werden sollen. Die Computer-Arbeitsplätze werden für die Benutzer funktionsfähig eingerichtet. Die Erstinstallation umfasst das HRZ-Basic-Bundle. Im Hochschulrechenzentrum (HRZ) wird ein Software-Bundle bereit gestellt, das es in zwei unterschiedlichen Ausführungen gibt. Dies ist zum einen das Basic-Bundle und zum anderen das Classic-Bundle, das das Basic-Bundle beinhaltet. Die Konfiguration, die Implementierung und die Beratung der HRZ PC-Services in der Fakultät sollte durch die Administratoren mit beratender Unterstützung durch das HRZ geschehen. Die Software wird ausschließlich von den Administratoren beschafft und installiert. Sonstige Software aus dem Classic-Bundle und weitere Installationen, die nicht aus dem Bundle stammen, werden per Antrag auf Kosten des betreffenden Lehrstuhls beschafft. Bei gekaufter Software ist der Lizenznehmer immer die Fakultät, die Kopien und die Originalen werden bei den Administratoren aufbewahrt. Sie sind also Ansprechpartner für Softwareangelegenheiten, außer es wird spezielle Software genutzt, die zum Beispiel aus dem HRZ-ClassicBundle kommt. Bei einem Backup-System oder einer Repository muss man zwischen ProgrammDateien und User-Dateien unterscheiden. Jeder Benutzer sollte aus Sicherheitsgründen seine eigenen User-Dateien auf der persönlichen Home Directory speichern, da sich dieses Laufwerk auf den Servern des HRZ befindet und täglich gesichert wird. Außerdem befinden sich mehrere Versionen der User-Dateien auf den Servern. Bei Problemen in der Konfiguration, die durch fehlerhafte Programme ausgelöst werden, werden diese gelöscht und anschließend neu installiert. Es gibt also kein sogenanntes Lifecycle-Management. In der ITIL gibt es den sogenannten Definitive Hardware Store (DHS). Hierbei handelt es sich um ein Lager mit wichtigen Hardwarekomponenten. Aus Platzgründen wird Hardware nicht gelagert, sondern erst bei Bedarf beschafft, dann für den Einsatz vorbereitet und kommt dann zu dem Endnutzer. Es sind nur Standard-Sachen in geringer Anzahl vorhanden, wie zum Beispiel Tastaturen, Computer-Mäuse, Laufwerke etc. Da die Administratoren für die Netzwerkdru-

40

ITIL-Wirklichkeit an der Universität Bielefeld

cker zuständig sind, müssen sie sich auch um Toner für diese kümmern und ein paar auf Lager haben. Configuration Management. Die Computer, die für die Fakultät beschafft werden, werden zentral von der Universität verwaltet, deshalb werden sie einer sogenannten Inventarisierungsnummer zugeordnet. Dies wird mit jedem Rechner gehandhabt. Außerdem wird in der Universitätsverwaltung dokumentiert, wer den Rechner nutzt, wo dieser steht, etc.. Auch die Administratoren haben eine solche Datenbank, in der neben den bereits oben erwähnten alle sonstigen Informationen bezüglich der Hardware und Software gespeichert werden.

1.3.2

Fakultät für Rechtswissenschaft

Die Fakultät für Rechtswissenschaft hat eine ähnliche IT wie die Fakultät für die Wirtschaftswissenschaften. Jedoch ist sie nicht an die Active Directory des HRZ angeschlossen, sondern sie betreibt ihre eigene Domäne26 . Service Desk. Auch in der Fakultät für Rechtswissenschaften existiert teilweise ein Service Desk. Die EDV ist täglich von zwei Personen besetzt, eine Vollzeitkraft und eine studentische Hilfskraft. Einer von beiden ist im Büro anzutreffen und arbeitet organisatorisch, der andere erledigt die Problembehandlung an den Lehrstühlen. Auch hier werden Incidents oder Requests for Change durch die übliche Art und Weise an die EDV-Betreuer herangetragen, sprich persönlich, durch einen Anruf oder per eMail. Es soll aber vornehmlich per eMail mit den EDV-Betreuern Kontakt aufgenommen werden. Eine Unterscheidung zwischen einem First Level Support und einem Second Level Support kann man an dieser Stelle auch nicht entdecken. Der Third Level Support sind Anfragen an den Hersteller der Software oder Hardware. Incident Management. Generell wird bei der Meldung eines Incidents keine Unterschiede gemacht, wer den Incident meldet, jedoch hängt es auch hier sehr von dem Status in der Fakultät ab. Ein Professor bzw. seine Sekretärin genießen klar Vorrang. Trotzdessen wird aber auch festzustellen versucht, wie sehr der Incident den Arbeitsfähigkeit der Person einschränkt, also wie hoch der Arbeitsausfall ist. Momentan läuft die Aufnahme eines Incidents größtenteils über eMail ab, sprich man schreibt den Kollegen und somit auch sich selbst eine eMail, in der dann nähere Details zu dem Incident stehen und was gemacht werden soll. Nach Abhandlung des Incidents wird die dazugehörige eMail in einen anderen Ordner geschoben. Es werden weder irgendwelche Daten erfasst noch wird dokumentiert, wie hoch der Zeitaufwand war, es gibt also weder den sogenannten Incident Record noch den Problem Record. Es soll aber ein Open Ticket Request System (OTRS) eingeführt werden, mit dem sich dann Probleme und Anfragen bearbeiten lassen. Außerdem existiert ein internes Wiki27 . Es dient nicht nur als
26 Eine Domäne ist ein Server zur zentralen Authentifizierung und Autorisierung von Computern und Benutzern in einem Rechnernetz. 27 Unter einem Wiki versteht man eine Sammlung von Webseiten, die nicht nur gelesen, sondern auch online verändert werden kann. Dabei kann auch auf frühere Versionen zurückgegriffen werden.

Es wird immer nur das bestellt. ob alle Lehrstühle oder nur bestimmte Lehrstühle die neue Software oder -version bekommen. Problem Management. Release Management. und ihre Problembehandlung eingetragen werden. es gibt eine Standard-PC-Ausstattung. Keiner der Fakultätsmitarbeiter darf Software kaufen. denn man wird angehalten. Bei speziellen Wünschen bezüglich der Software wird die sich auf dem Markt befindliche Software gesichtet. so dass dann eine als Standardsoftware definiert. Es muss ein Beschaffungsauftrag gestellt werden. . den PC-Pool möglichst identisch zu halten. Bei Hardwareproblemen lässt man einen Techniker des passenden Herstellers kommen. So wird der Software-Pool auf dem aktuellsten Stand gehalten. Es muss von der ganzen Fakultät beschlossen. Auch für die Fakultät für Rechtswissenschaft gibt es eine Standardsoftware-Installation. Die Benutzer haben keine Administratoren-Rechte. Wird sie als lauffähig identifiziert. die häufiger auftreten. so wird sie zuerst auf die Computer eines Lehrstuhls ausgerollt. Die Softwareeinführung. Wird eine andere Software für die gleiche Aufgabe gewünscht. Für eine Aufgabenstellung gibt es jeweils auch nur eine Standardsoftware. Auch in diesem Fall spielt das Geld eine große Rolle. Das Geld. so muss man sich mit der Standardsoftware begnügen. Change Management. Einmal die Woche findet eine EDV-Besprechung statt. zumindest die gängige Software. es wird also nicht auf Vorrat gekauft. Meistens wird die Software vor dem Rollout auf den Rechnern in der EDV getestet. Für die Installation von Software gibt es ein System zum Rollout der Software.Service Support-Umsetzung an zwei ausgewählten Fakultäten 41 organisatorische sondern auch als technische Datenbank. da es oft zu zeitintensiv ist. Es wird versucht. Geld zu sparen. So lassen sich Probleme an der Software schneller beheben. bekommen auch die übrigen Lehrstühle die Software. Falls dann keinen Beschwerden kommen. in der jedoch nur Probleme. wird durch die Lehrkörperkonferenz abgehandelt. sie können daher auch keine Software installieren. die in die Registry eingreift. jedoch werden diese oft abgeblockt. dieser stellt dann das Vorhaben in der Lehrkörperkonferenz vor. Bei der Behandlung von Problemen an der Software dienen zum Beispiel Mailinglisten der Open Source Produkte als Hilfe. was momentan benötigt wird. Bis zu einem Betrag von 200 Euro kann alles sofort beschafft werden. Alles kann nicht streng dokumentiert werden. Zuerst wird mit dem DV-Beauftragten kommuniziert. in der dann auch Probleme besprochen werden und Lösungsvorschläge gemacht werden. zum Beispiel die Einführung einer neuen WindowsVersion. der dann an das Dispatching des HRZ weitergeleitet wird. Vorher kann festgelegt werden. alles andere läuft über die Beschaffungsstelle der Fakultät. denn dafür ist die EDV-Abteilung zuständig. da jeder Computer an der Fakultät mit der gleichen Software ausgestattet ist. das den Lehrstühlen zur Verfügung steht. Hardware wird von der EDV beschafft. wird auch hier zentral verwaltet. Extrawünsche werden mit einer Empfehlung der EDV an die Verwaltung weitergeleitet. damit es auch Akzeptanz findet. manchmal wird auch Rücksprache mit dem HRZ getroffen. Diese leitet es dann an die Zentrale Beschaffungsstelle der Universität.

Insbesondere geht es dabei um die Verbesserung des Kundenservices und der effizienten Strukturierung der IT-Infrastruktur. Das System zum Rollout der Software inventarisiert jeden Computer. 1. bereitgestellt werden. Configuration Management. Alle drei Server werden durch ein MonitoringSystem bewacht.42 ITIL-Wirklichkeit an der Universität Bielefeld Da die Fakultät für Rechtswissenschaft. Neben dem Domäne-Server existieren noch zwei weitere Server. Im Allgemeinen gibt es keinen Überblick über alle Lizenzen.3. Wie in Kapitel 1. wie bereits schon erwähnt. welcher Lehrstuhl welche Software-Lizenz eingekauft hat bzw. Arbeitsaufteilung notwendig. Zu diesen Informationen gehören zum Beispiel der Standort des Rechners.3 Kritik und Empfehlung Bevor auf Kritik und Empfehlungen eingegangen wird. Bei Abmeldung des Benutzers vom System wird alles wieder zurück auf den Server geschrieben. Es ist somit ein hohes Maß an Standardisierung und eine exakte Rollenverteilung resp. ein Web-Server und ein Backup-Server. Entsprechend müssen dafür auch genügend Ressourcen in Form von Arbeitsplätzen. er kann damit an jedem Computer in der Fakultät auf seine persönliche Benutzeroberfläche und seine Daten zurückgreifen. steht die Arbeit in der gesamten Fakultät stillt. wie zum Beispiel Instant Messenger. und das Anschaffungsdatum verwaltet. ihre eigene Domäne betreibt. an welchem Rechner welcher Bildschirm angeschlossen ist. um die Vorteile der ITIL-Prozesse zu nutzen. die nicht automatisch in dem Inventarisierungsclient auftauchen. Jeder Benutzer hat sein eigenes Benutzerprofil. .2 dargelegt wurde. ein sogenanntes „Roaming-UserProfile“ . werden die Daten des Benutzers auf den Rechnern gespeichert. Wenn der Domäne-Server ausfällt. im Allgemeinen die Verbesserung des IT-Service Managements. Durch ein Suchfunktion in dem System wird manchmal geschaut. basiert der Service Support nach ITIL auf festgelegten Strukturen und Arbeitsabläufen. Man weiß also zum Beispiel auch. diese müssen nachträglich per Hand eingegeben werden. die in der Fakultät vorhanden sind. Es kann also genau festgestellt werden. einkaufen lassen hat. Es gibt aber dennoch Informationen. an welcher Netzwerkdose der Rechner angeschlossen ist. Die EDV-Betreuer werden per SMS und per eMail über den Ausfall eines Servers oder womöglich aller Server informiert. In einer Universität haben solche Faktoren in der Regel einen nicht so hohen Stellenwert. auf den Rechnern vorhanden ist. Dies ist in erster Linie für Unternehmen besonders im Hinblick auf Wirtschaftlichkeit von enormer Bedeutung. Einmal in der Nacht wird dann ein Backup gemacht. ob unerlaubte Software. wie bereits erwähnt. die die Universität verteilt. finanziellen Mitteln etc. soll noch einmal der Grundgedanke von ITIL aufgezeigt werden. außerdem wird die Inventarisierungsnummer. Im Vordergrund bei der Implementierung von ITIL steht. Bei Eintreten dieses Falls wird der Benutzer darüber aufgeklärt und die Software umgehend entfernt. Denn daran wird die Problematik für die Einführung eines ITIL-konformen Service Supports an einer Universität verdeutlicht. In dem vorhandenen Wiki kann nachvollzogen werden. welche Software sich auf welchem Rechner befindet.

dass auf Probleme. die sinnvoll erscheinen. Nach ITIL dient der Service Desk als zentrale Kommunikationsschnittstelle zwischen Usern und Support. An der Universität sind sachliche Gründe bei der Bearbeitung eines Incidents oftmals nicht das Hauptkriterium. die verschiedenen Rollen resp. Wünschenswert wäre eine ITIL-konforme Priorisierung. Anregungen etc. Im einzelnen zeigt sich die Problematik für eine Einführung von ITIL-konformen Prozessen bereits bei der allgemeinen Zusammenarbeit der EDV-Abteilungen der einzelnen Fakultäten. um die Kooperation der Fakultäten zu verbessern. Klassifizierung. kann die Problembehebung unter Umständen sehr aufwendig sein. Service Desk. dass jede Fakultät eine eigene EDV-Abteilung beinhaltet und diese als Ansprechpartner für die jeweiligen Fakultätsmitarbeiter dient. Fehler einer Software der entsprechenden EDV-Abteilung gemeldet. die mit diesem Sachverhalt zusammenhängen. bei der Dringlichkeit und Auswirkung des Problems maßgebende Kriterien sind. Des Weiteren werden manche Punkte zusammengefasst. -Prozesse Incident Management. Release Management und Configuration Management im Einzelnen eingegangen. da eine klare Abgrenzung auf Grund der geringen personellen Größe der Abteilungen oftmals nicht möglich ist. Aber diese Struktur verhindert auch eine Zusammenarbeit zwischen den Fakultäten. Wünschenswert wäre ein virtueller Service Desk. sämtliche Punkte des Service Supports nach ITIL auf die Universität zu übertragen. dies wird sich noch im Verlauf dieses Abschnittes zeigen. Die Architektur des Service Desks an der Universität Bielefeld entspricht dem eines lokalen Service Desk.und Kostenaufwand zu realisieren wäre. Die Probleme. Es wird hierbei auf die Service Support-Funktion Service Desk bzw. Ein weiteres Umsetzungsproblem besteht darin. In diesem Zusammen- . Problem Management. dass die Implementierung eines ITIL-konformen Service Supports an der Universität Bielefeld sich als äußerst schwierig erweisen würde und nur mit einem großem Arbeits. Dies lässt sich damit begründen. da man erst die Gründe des Fehlers suchen muss. Es soll aber nicht das Ziel sein. Aufgabenbereiche klar voneinander abzugrenzen. Somit ist gewährleistet. Insbesondere die Implementierung einer gemeinsamen Configuration Management Database wäre wichtig. Fragen. Wird zum Beispiel von einem User der Fakultät für Wirtschaftswissenschaften ein bisher unbekanntes Problem bzw. um die entsprechende Lösung zu erarbeiten. Ein weiterer wichtiger Punkt ist die Aufnahme eines Incidents und dessen Priorisierung bzw. sondern nur solche. Vielmehr erfolgt die Klassifizierung häufig anhand personenbezogenen Gründen. dass auf Grund der geringen personellen Größe der einzelnen EDV-Abteilungen die Mitarbeiter sich fast alle Aufgaben teilen und es dadurch nicht möglich ist. Change Management. Im Grunde ist jede EDV-Abteilung autark und für die IT-Struktur der jeweiligen Fakultät verantwortlich. Incident und Problem Management.Service Support-Umsetzung an zwei ausgewählten Fakultäten 43 Anhand des im vorangegangenen Abschnittes dargestellten IST-Zustandes des IT-Managements der beiden Fakultäten ist es offensichtlich. werden im Verlauf dieses Abschnittes anhand der verschiedenen Prozessen des Service Supports näher erläutert. seitens der User schnell reagiert werden kann. Im Folgendem werden aufbauend auf der Kritik mögliche Verbesserungsvorschläge nach ITIL-Empfehlungen dargestellt. Als ein weiterer kritischer Punkt ist in diesem Zusammenhang die Bearbeitung von Incidents zu sehen.

dass es keine einheitliche Softwarestandards für die Fakultäten gibt. anstatt zwei oder drei studentischen Hilfskräften eine Vollzeitkraft anzustellen und zusätzlich mit Hilfe einer Datenbasis das Wissen nachhaltig zu sichern. In einem Unternehmen kann dies beispielsweise durch Abmahnung gewährleisten werden. Im Kontext des Service Supports nach ITIL wäre einen Fakultäts übergreifende Configuration Management Database (CMDB) von Vorteil. auch im Rahmen des Proactive Problem Managements. wenn das Wiki mit einer Volltextsuche ausgestattet wäre. wäre es vorteilhaft. Abschließend lässt sich für die Bereiche Service Desk. Dies könnte zum Beispiel in Form eines Wikis geschehen. müsste dann in Absprache mit den einzelnen Fakultäten festgelegt werden. Um diesen Problem entgegenzuwirken. Dies gestaltet sich an der Universität Bielefeld auf Grund der autarken Fakultäten als äußerst schwierig. dass die Implementierung einer gemeinsamen Datenbasis in der Universität ein wichtiger Fortschritt wäre. Dadurch besitzt jede Fakultät eigene Softwarestandards. Die Wartung der Software obliegt dann auch dem HRZ. dass es sich bei den Mitarbeitern zum Großteil um studentische Hilfskräfte handelt und diese meistens nur über einen begrenzten Zeitraum in der EDV-Abteilung arbeiten. die von dem HRZ verwaltet werden könnte. Um die Suche nach einer Lösung für den Benutzer zu erleichtern. für bestimmte Probleme den anderen Fakultäten zur Verfügung stellen können.44 ITIL-Wirklichkeit an der Universität Bielefeld hang besteht die Möglichkeit. um einen solchen Mehraufwand zu vermeiden. Somit hat die EDV-Abteilung der Wirtschaftswissenschaften einen unnötigen Mehraufwand. doch jede Fakultät erweitert das SoftwareBundle um fakultätsinterne Software. sondern darüber hinaus als Mittel der aktiven Kommunikation zwischen den verschiedenen Fakultäten. Welche Programme auf der DSL installiert werden. Eine Lösungsansatz für die Problematik könnte eine Definitive Software Library (DSL) sein. einen einheitlichen Standard zu realisieren. herrscht eine hohe Mitarbeiterfluktuation und damit geht häufig Wissen verloren. Dadurch hätte man eine Plattform. wäre es von Vorteil. Infolgedessen ist es schwierig. Das HRZ stellt zwar standardisierte Softwarepakete bereit. welches dann auch die entsprechenden Rollouts durchführt. Die Voraussetzung dafür ist zum einen die Bereitschaft der Mitarbeiter. hätten sie den Fehler schneller beheben können. Denn auf Grund der Tatsache. und zum anderen die Dokumentation jeglicher Incidents. in der Universität gestaltet sich dies oftmals als schwierig. Incident Management und Problem Management festhalten. ihr Wissen zu teilen. Denn wäre der Abteilung das Problem bekannt gewesen. die auf den fakultätsinternen Computern installiert werden und von den jeweiligen EDV-Abteilungen betreut werden. auf der die EDV-Mitarbeiter ihre erarbeiteten Lösungen. Im Bereich der Software lässt sich für die Universität festhalten. dass eine andere Fakultät einen ähnlichen Vorfall hatte und diesen bereits gelöst hat. Sie sollte aber nicht nur als reine Wissensdatenbank fungieren. Change Management und Release Management. Mit Hilfe dieses Konzeptes könnte dann die Software von dem HRZ zentral verteilt werden. Das Ziel eines ITILkonformen Change Managements und Release Managements ist die Implementierung von autorisierter Software und Hardware mit Hilfe standardisierter Verfahren. Mit Hilfe einer solchen Datenbasis könnte auch ein weiteres Problem gelöst werden. Dieses Lösungskon- . da entsprechende Sanktionierungsmaßnahmen keine Wirkung haben.

Es ist in diesem Zusammenhang empfehlenswert. Diese kann dann als Informationsdatenbank für die Hardware dienen. wie Microsoft Windows oder Microsoft Office.12: Funktionsweise der CMDB und der DSL.3.1 und 1. Sie soll als Wissensdatenbank. Aus diesem Grund sollte an jeder Fakultät ein Change Advisory Board (CAB) eingeführt werden. Ein weiteres Problem im Bereich der Software ist die Softwarelizenzierung. . sollten dann in der Configuration Management Database (CMDB) gespeichert werden. dass eine vollständige Implementierung eines ITIL-konformen Service Support-Prozesses an der Universität Bielefeld 28 Aus Gründen der Übersicht wird das Konzept nur mit zwei Fakultäten dargestellt. sollten zwingend geltende Richtlinien für die Beschaffung von Computern in den Fakultäten der Universität eingeführt werden. Lizenzierung und Hardwareverwaltung Handlungsbedarf an der Universität Bielefeld besteht.3. Die Abbildung 1. Die wesentliche Aufgabe des Configuration Management ist die Bereitstellung von Informationen mit Hilfe einer Datenbank. Informationsdatenbank für Hardware. Oftmals werden für Lehrstühle neue Computer beschafft. Mittel der Kommunikation und DSL der einzelnen Fakultäten dienen.Service Support-Umsetzung an zwei ausgewählten Fakultäten 45 zept basiert auf der Bereitschaft zur Zusammenarbeit der einzelnen Fakultäten. Im Bereich der Hardware empfiehlt das HRZ Standard-Computer für die Universität. wie in Abschnitt 1. obwohl deren „alte“ Geräte noch ausreichend sind.2 gezeigt wurde. Ein weiteres Problem bei der Beschaffung der Hardware ist die Frage der Notwendigkeit. Anhand der bereits genannten Kritikpunkte ist die Implementierung einer Configuration Management Database (CMDB) in die IT-Infrastruktur der Universität Bielefeld die wichtigste Empfehlung. dass manche Fakultäten überlizenziert und andere unterlizenziert sind. Es ist aber keine zwingende Vorgabe. Dadurch besteht die Gefahr. der ITInfrastruktur der jeweiligen Fakultäten. Eine mögliche Lösung wäre der Erwerb von Campuslizenzen für die gängigste Software. Die Fakultäten haben.12 stellt ein mögliches Lösungskonzept28 der Funktionsweise der CMDB und der DSL an der Universität Bielefeld dar. Configuration Management. dementsprechend gibt es eine Vielzahl von unterschiedlichen Systemen. CMDB+DSL Fakultät Wirtschaftswissenschaften Fakultät Rechtswissenschaften Rollout Informationen Rollout Informationen HRZ Abbildung 1. Dieses sollte dann über die Zweckmäßigkeit einer teureren Anschaffung bestimmen. Zusammenfassend lässt sich festhalten. unterschiedliche Verfahren für die Verwaltung von Softwarelizenzen. dass besonders im Hinblick der Softwareverwaltung. Es zeigt sich. Um diesen Umstand zu begegnen. da Standards festgelegt werden müssen. Die Informationen. dass die Verwaltung der CMDB dem HRZ obliegt.

Trotz dieser Gründen sollte aber versucht werden. In dem Abschnitt 1. Diese wären nur mit einem großen Aufwand zu ändern. Auch die Bereitschaft zur Veränderung und der Kooperation der einzelnen EDV-Abteilungen spielen bei der Einführung von ITIL eine wichtige Rolle. Problems und die damit verbundene Struktur des Service Supports ist. Von der Aufnahme des Incidents bis hin zur Lösung des Problems stehen nach ITIL Funktionen und Prozesse zur Verfügung. die die Probleme 29 Siehe Anhang. „Mein alter Computer kann mit seiner noch älteren Software dieses Problem nicht lösen. in dem die theoretische Struktur des Service Supports vorgestellt wurde. die damit zusammenhängenden Kosten würden aber den Nutzen nicht rechtfertigen. Anschließend wurden die Interviews zusammengefasst und separat abgehandelt.“.2 auch zu verstehen.3. die Schwierigkeit der Implementierung eines ITIL-konformen Service Supports und die Komplexität der Anforderungen an die jeweiligen Prozesse darstellen zu können. Die Gründe dafür sind vielfältig.1 bzw. sondern zeigt Mittel und Wege auf. die Unflexibilität gewisser Mitarbeiter und die unökonomische Betrachtungsweise der Universität. Somit sind die Vorteile von ITIL nicht von der Hand zu weisen. Hier war der Aufbau der einzelnen Abschnitte identisch mit dem Abschnitt 1. Problems immer einen Prozess auf Basis des Best Practice-Konzeptes zur Lösung vorschlägt.4 Fazit „Mein Computer stürzt dauernd ab. Weitere Probleme sind die fehlende Kommunikationsbereitschaft der Fakultäten untereinander. „Ich habe keinen Zugriff auf die Datenbank. Hierzu gehört zum Beispiel die Implementierung einer Configuration Management Database (CMDB) und einer Definitive Software Library (DSL). zum Beispiel spricht die vorhandene IT-Infrastruktur dagegen. Daher löst ITIL Probleme nicht. dass ITIL mit dem Service Support ein Problemlösungskonzept zur Verfügung stellt. wurde in Abschnitt 1.3.3 kamen Kritik und Empfehlungen hinsichtlich des ISTZustandes der Fakultäten in Bezug auf einen ITIL-konformen Service Support zu ihrer Geltung. dass ITIL für solche Incidents resp. den User in jeglicher Hinsicht unterstützt. ein weiterer wichtiger Punkt ist die geringe Größe der einzelnen EDV-Abteilungen. Allerdings gibt Abschnitt 1. Das Ziel der ausführlichen Darstellung war es.2 mehr als deutlich. . die sich in der Praxis bereits bewährt haben und einen reibungslosen Betriebsablauf gewährleisten können.“ Wir haben nun gesehen. das den Kunden resp.2. 1.2 wurde dann zunächst auf den IST-Zustand der Fakultät für Wirtschaftswissenschaften und der Fakultät für Rechtswissenschaft der Universität Bielefeld eingegangen.3 diverse Vorschläge gemacht.3. diese sind jedoch nicht im ausreichenden Maße vorhanden. Auch hierzu wurden im Abschnitt 1. dass die jeweiligen Fakultäten autark voneinander arbeiten und dies zu einem unnötigen Mehraufwand bei einer Problemlösung führen kann.3. Hierbei wurden mit Hilfe eines bereits vorab ausgearbeiteten Fragenkatalogs29 Interviews mit den zuständigen EDV-Mitarbeiter geführt. In den Abschnitten 1.46 ITIL-Wirklichkeit an der Universität Bielefeld nicht realisierbar ist.“. Probleme zu bewältigen. einige Ideen von ITIL aufzugreifen und diese in der Universität umzusetzen. 1. Hier wurde zum Beispiel festgestellt. Wie umfangreich die Incidents bzw.

Aber die in dieser Arbeit wichtigste Frage. Als „Allheilmittel“ sämtlicher User-Probleme kann ITIL nicht verstanden werden. aber zumindest die Situation verbessern würden. ob sich ITIL bzw. in dem eine klare Organisation unabdingbar für das Bestehen in der freien Marktwirtschaft ist. ITIL zum Beispiel an einer Hochschule.3 ersichtlich. zu nennen. Diese Tatsache ist allerdings nicht weiter verwunderlich. Problems des Users zu behandeln. Somit ist von einer Umsetzung von ITIL an der Universität Bielefeld abzuraten. Zum Schluß ist noch die personelle Problematik. Grundsätzlich lässt sich diese Frage mit einem „Ja“ beantworten. ITIL ist vor allem für große Unternehmen von Interesse. Dies wurde auch im Verlauf dieser Arbeit deutlich. aber auch nicht viel Wert gelegt. auf operativer Ebene des serviceorientierten IT-Managements effizient zu arbeiten.Service Support-Umsetzung an zwei ausgewählten Fakultäten 47 an der Universität Bielefeld nicht lösen. ist. da sich hier mit Hilfe von ITIL eine bessere Übersicht in der Problembewältigung und somit ein reibungsloserer Betriebsablauf im Unternehmen gewährleisten lassen. Am Anfang dieser Arbeit stellte sich die Frage. ITIL bietet tatsächlich mit dem Service Support eine gute Möglichkeit. Aus diesem Grund sollte die Universität den Grundgedanken von ITIL aufnehmen und auf seine spezielle Ausrichtung resp. welches eine Einführung von ITIL erschwert. muss mit „Nein“ beantwortet werden. dass ITIL mit dem Service Support in seinen Grundzügen eine sehr gute Möglichkeit zur Gewährleistung eines reibungslosen Betriebsablaufes und zur Bewältigung von IT-Problemen darstellt. wie bereits aus Abschnitt 1. Es lässt sich aber feststellen. Während ein Unternehmen eher monetäre Ziele verfolgt. Doch der Versuch. ob der von ITIL vorgeschlagene Service Support wirklich so sinnvoll ist. da die vorgeschlagenen Funktionen und Prozesse sich bereits in der Praxis bewährt haben. da die Kosten den Nutzen übersteigen würden. . die ebenfalls eine Barriere für ITIL darstellt. ein ITIL-konformer Service Support wirklich für jeden lohnt. Im Vergleich zu einem Unternehmen. Auch Unternehmen. nur begrenzt sinnvoll. Zum anderen sind die doch teilweise undurchsichtigen Strukturen ein weiteres Problem. Die durchzuführenden Prozesse und die damit verbundene Qualität der Prozesse liegen im Aufgabenbereich der zuständigen EDV-Mitarbeiter. Zum einen sind da die unterschiedlichen Ausrichtungen der jeweiligen Unternehmungen zu nennen. Es gibt lediglich die Richtung und die Organisation der Problemlösung vor. Bedürfnisse auslegen. sind Forschung und Entwicklung im Bereich der Wissenschaft sowie Ausbildung von Wissenschaftlern die vorrangigen Ziele einer Universität. wie die Universität Bielefeld. wird in der Universität zwar nicht darauf verzichtet. die in der IT-Branche tätig sind. die Incidents bzw. umzusetzen. Dies hat verschiedene Gründe. werden eine Umsetzung von ITIL im eigenen Betrieb kaum hinterfragen.

kurzfristig verfügbare Lösungsmöglichkeiten zum Umgang von Fehlern (Workarounds)? Treten Eskalationsfälle auf? Wird bei Problemen ein Problem-Record erstellt? Versucht man die Ursachen von Störungen zu erforschen? Werden die betroffenen CIs ermittelt? Wie werden die CIs ermittelt? Werden dem Service Desk so weit wie möglich Informationen. um Anzahl und Schwere von Störungsmeldungen nachhaltig zu senken? (Pro-Aktives Problem Management) Gibt es standardisierte Änderungsschritte? Werden alle Änderungsvorhaben geprüft. dokumentiert und ausgewertet? Welche Informationen werden aufgenommen?(Incident Records) Deckt der Service Desk die Anforderungen der Kunden? Werden die Kunden über den Stand der Dinge informiert? Gibt es einen schnellen Zugriff auf verschiedene Dokumente und Support Informationen in Form von speziellen Dokumentmanagementsystemen oder Wissensdatenbanken? Gibt es eine Klassifizierung zwischen bekannten Fehlern und Problemen? Werden die bekannten Fehler in einer eigenen Datenbank (Known Error Database)? Gibt es schnelle.5 Fragebogen Frage Ist ein zentraler Service Desk vorhanden? Wie funktioniert die Kontaktaufnahme?(eMail. daher wie werden sie kategorisiert und priorisiert. genehmigt und geordnet? Gibt es ein Change Advisory Board. persönlich. dass durch eine Änderung an einer Stelle keine Störungen oder andere Beeinträchtigungen an einer anderen Stelle neu verursacht werden? Gibt es qualitätsgesicherte Standards und Grundkonfigurationen zur Installation von IT-Systemen? Prozess Incident Management Problem Management Change Management Release Management .48 ITIL-Wirklichkeit an der Universität Bielefeld 1.) Ist der Service Desk als SPOC implementiert? Gibt es einen First Level Support? Gibt es einen Second Level Support? Gibt es einen Third Level Support? Wie werden Incidents klassifiziert. dem die Entscheidungsgewalt obliegt? Wird sichergestellt... vor allem wie wird Priorität definiert? Wie werden Incidents aufgenommen. Anruf.. Lösungsmöglichkeiten und Workarounds an die Hand gegeben? Werden unbekannte Fehler zu bekannten Fehlern? Wie geschieht das? Werden alle Prozessschritte zur Behebung überwacht und nachverfolgt? Werden definierte Methoden ein.

Software) an zentraler Stelle dokumentiert? Sind die Aufgaben und Zuständigkeiten klar abgegrenzt? Gibt es einen Manager? Werden Kennzahlen und Statistiken über Störungsverläufe geführt? Welche Kennzahlen gibt es? Erfolgt die Softwareverteilung und der Aufbau von Rechnern automatisiert? Wie sehen die Tools für die einzelnen Geschäftsprozesse aus? Allgemein . Hardware. Netzwerk. überwacht und dokumentiert? Werden bei Änderungen an Systemkomponenten alle wichtigen Daten gesichert und alle Komponenten gründlich getestet? Gibt es eine Datenbank für bekannte und gelöste Probleme? Gibt es gesicherte Informationen bzgl. Verfolgung und Bewertung von Hardware. Repository? Wird die ordnungsgemäße Durchführung der Änderungen organisiert. Verwaltung.und Softwareinventars? Werden die Konfiguration aller IT-Komponenten (Kommunikation.Service Support-Umsetzung an zwei ausgewählten Fakultäten Prozess Release Management 49 Configuration gement Mana- Frage Ist das Change Management in das Release Management eingebunden? Existiert ein BackUp-System bzw. Lizenzen und Herstellersupport? Gibt es Verfahren zur Beschaffung.

50 ITIL-Wirklichkeit an der Universität Bielefeld .

Auflage 2007 [TRA07] Office of Government Commerce: ITIL . Auflage 2007 51 .Service Transition. TSO. 3. A. 1. H. und Günther. Vieweg Verlag.: ITIL kompakt und verständlich. Vieweg Verlag.: Optimiertes IT-Management mit ITIL.Auflage 2005 [OGC07] Office of Government Commerce: ITIL .Service Operation.Literaturverzeichnis [Olb06] [Vic05] Olbrich. TSO. 2. F. 1.Auflage 2006 Victor.

52 ITIL-Wirklichkeit an der Universität Bielefeld .

1] In der Geschäftspraxis wird der 53 . Da ITIL die Basis dieses Standards bildet. indem sie sich als „ITIL-konform“ bezeichnen.Kapitel 2 ITIL-Zertifizierung nach ISO/IEC 20000 Eine Darstellung des Standards und des Zertifizierungsprozesses Julia-Vanessa Stork. kann mit einem Zertifikat die Konformität mit dem ITIL Rahmenwerk belegt werden. Services zu erbringen. Der Standard ISO/IEC 20000 schließt diese Lücke. ITIL Practitioner). die Service-Qualität zu überwachen und zu optimieren. S. ITIL Service Manager. als Basis für eine unabhängige Zertifizierung und damit als Beleg für die Fähigkeit. [Cod05. Es handelt sich dabei um einen international anerkannten Standard. Anhand der in ITIL definierten Prozesse können die IT-Infrastruktur und die IT-Dienstleistungen übersichtlich und nachvollziehbar organisiert und kontinuierlich verbessert werden. Allerdings ist diese Aussage nicht nachprüfbar. Nur Einzelpersonen können ein Zertifikat erwerben (ITIL Foundation. André Kröger. Die Anforderungen des Standards stellen einen Branchenkonsens für Qualitätsstandards bei IT Service Management-Prozessen dar. die den Kundenbedürfnissen entsprechen. Der Standard kann dazu verwendet werden. Es ist nicht möglich. da ITIL kein offizieller Standard ist.1 Einleitung Mit ITIL steht IT-Dienstleistern eine detaillierte Sammlung von Best Practice Empfehlungen für die Gestaltung der Arbeitsabläufe im IT Service Management zur Verfügung. Christopher Uhrig 2. als Referenzwert für IT Management Services. eine Organisation ITIL-zertifizieren zu lassen. in dem die Anforderungen an das IT Service Management einer Organisation zur Erlangung einer Zertifizierung formell dokumentiert sind. Die damit einhergehende gesteigerte Servicequalität können Organisationen nach außen hin kommunizieren.

1 Der Standard ISO/IEC 20000 Entwicklung Der Standard ISO/IEC 20000 geht auf den British Standard BS 15000 zurück.2 Beziehung zu ITIL Der Standard ISO/IEC 20000 und ITIL ergänzen sich gegenseitig. Es soll die Frage beantwortet werden. Während der Standard kurz gefasst die Kriterien für eine Zertifizie- .3 behandelt die Zertifizierung. [Gar06] Ziel dieser Arbeit ist es. Dieser zweite Teil des BS 15000 enthielt Empfehlungen und Anleitungen zu den Anforderungen des ersten Teils. 11f.2. auch wenn dieser in der einschlägigen Literatur häufig verwendet wird. Die für den BS 15000 ausgegebenen Zertifikate verloren nach dem 15.4 erfolgt eine Gegenüberstellung der Vor. Im Kapitel 2.2. Juni 2007 ihre Gültigkeit [SMF06. Darin wurden die Anforderungen an ein effektives IT Service Management festgelegt. Seit der Einführung des ISO/IEC 20000 findet nur noch eine Zertifizierung nach diesem Standard statt. Dieser wurde im November 2000 von der BSI. Dazu werden zunächst im Kapitel 2.und Nachteile der Zertifizierung nach ISO/IEC 20000. Von der Entscheidungsfindung und Planung über die Umsetzung der Vorgaben des Standards bis hin zum Ablauf der Zertifizierung wird hier Schritt für Schritt der Weg zum Zertifikat dargestellt. S. So geht das Marktforschungsunternehmen Gartner davon aus. dass bis Ende 2008 mindestens 60% der relevanten Beschaffungsvorhaben der öffentlichen Verwaltung und mindestens 30% des privaten Sektors eine ISO/IEC 20000 Zertifizierung verlangen werden. Ergänzt wurde dieses Dokument im Jahr 2003 durch den BS 15000-2:2003. sondern es wird ausschließlich auf den Standard ISO/IEC 20000 Bezug genommen. Dezember 2005 wurde der Standard ISO/IEC 20000 veröffentlicht. der British Standards Institution. den BS 15000 in einen neuen internationalen Standard zu überführen. den Standard ISO/IEC 20000 mit seinen Anforderungen an das Service Management von IT-Organisationen darzustellen sowie Möglichkeiten seiner praktischen Umsetzung und den Ablauf der Zertifizierung aufzuzeigen. veröffentlicht.2 die Entwicklung des Standards und seine Beziehung zu ITIL sowie die Anforderungen an die verschiedenen IT Service ManagementProzesse vorgestellt. Der Standard spezifiziert die Anforderungen an das IT Service Management und ITIL dokumentiert zu den Prozessen des IT Service Management Best Practice Empfehlungen.]. Am 15. Dieser enthält nur geringfügige Änderungen gegenüber dem Originaltext des BS 15000. Im Mai 2005 entschieden die Mitglieder der ISO (International Organization for Standardization) und der IEC (International Electrotechnical Commission). inwiefern sich für eine Organisation die Umsetzung des Standards oder die Zertifizierung lohnt. Das Kapitel 2. Im Jahr 2002 wurde eine überarbeitete Version unter der Bezeichnung BS 15000-1:2002 herausgegeben. Abschließend werden im Kapitel 2. Aufgrund dessen ist in dieser Arbeit nicht vom BS 15000 die Rede.54 ITIL-Zertifizierung nach ISO/IEC 20000 Nachweis der Servicequalität zunehmend vorausgesetzt.2 2. 2. den „Code of Practice for Service Management“.5 die wichtigsten Ergebnisse zusammengefasst. 2.

000 Specification ISO/IEC 20. für eine erfolgreiche Zertifizierung sind sie nicht zwingend erforderlich.1: Spezialisierungsgrad der ISO 20000 Richtlinien. ITIL stellt eine Sammlung von Best Practice Empfehlungen für die betriebsinternen Arbeitsabläufe im IT-Bereich einer Organisation dar.000 Best Practices ITIL IT Infrastructure Library Betriebsinterne Abläufe / Arbeitsabläufe Abbildung 2. rung festlegt. Abweichungen von diesen Erläuterungen der Best Practices sind erlaubt. Darüber hinaus werden noch einige zusätzliche Prozesse sowie übergeordnete Anforderungen an ein Management-System definiert.Eine Darstellung des Standards und des Zertifizierungsprozesses 55 ISO/IEC 20. der Leitlinien und Empfehlungen für die Umsetzung enthält. Einem einführenden Kapitel zum Anwendungsbereich des Standards folgt die Einführung und Definition von . die in den ITIL Publikationen „Service Support“ und „Service Delivery“ sowie „Security Management“ dokumentiert sind. Quelle: Eigene Darstellung in Anlehnung an [SMF06].2. beschreiben die ITIL-Bücher die möglichen Wege. Der Zusammenhang zwischen ISO/IEC 20000 und ITIL ist in Abbildung 2. diese Kriterien zu erfüllen. Ergänzt wird der Standard um den Code of Practice.3 Struktur Der Standard ISO/IEC 20000 besteht aus zwei Dokumenten.1 dargestellt. Der zweite Teil 20000-2 „Code of Practice“ enthält Leitlinien und Empfehlungen („should“) zur Umsetzung der Anforderungen des ersten Teils. Dieser ist vergleichbar mit den Best Practice Empfehlungen von ITIL. Der Standard ISO/IEC 20000 behandelt alle Service Management Prozesse. 2. Beide Teile sind inhaltlich gleich strukturiert. Grundlage für die Zertifizierung ist Teil 1 des Standards. Der erste Teil 20000-1 „Specification“ definiert verbindliche Vorgaben („shall“) für das IT Service Management. Die formelle Spezifikation des Standards ISO/IEC 20000 wurde auf der Basis von ITIL entwickelt und enthält spezielle verbindliche Vorgaben für eine Zertifizierung. die für eine Zertifizierung vollständig umgesetzt werden müssen. bezogen auf den Rahmen des formellen Standards.

Dazu gehört die Festlegung von Grundsätzen. Um dieses Ziel zu erreichen. Dann erfolgt eine Beschreibung der „Plan-Do-Check-Act“-Methode.56 ITIL-Zertifizierung nach ISO/IEC 20000 Service Delivery Processes Capacity Management Service Continuity and Availibility Management Service Level Management Service Reporting Budgeting and Accounting for IT services Information Security Management Control Processes Configuration Management Change Management Release Processes Release Management Resolution Processes Incident Management Problem Management Relationship Processes Business Relationship Management Supplier Management Abbildung 2. Relationship-Prozesse. Die Anforderungen des Standards sind unterteilt in Ziele (Objectives) und definierte Anforderungen zur Erfüllung dieser Ziele (Requirements). 3f. 3]. diesen auch gerecht zu werden. In festgelegten Abständen sind Service Management Reviews durchzuführen. S.]. müssen die Rollen und Verantwortlichkeiten des Managements klar definiert sein. die in die 5 übergeordneten Gruppen Service Delivery-Prozesse. Die Kapitel 3 bis 5 behandeln das Management-System. Fachbegriffen. Für jede Rolle im Service Management muss festgelegt werden. die eine effektive Implementierung und Verwaltung aller IT Services ermöglichen [Spe05.2. Steuerungsprozesse und Release-Prozesse aufgeteilt sind (siehe Abbildung 2. müssen getroffen werden. Plänen und Zielen des Service Managements sowie die Beschreibung. Die Anforderungen der Kunden müssen ermittelt und Maßnahmen. Für die Koordination und die Verwaltung sämtlicher Services ist eine verantwortliche Person zu ernennen und es ist ein Risiko-Management zu implementieren. S. In den Kapiteln 6 bis 10 werden insgesamt 13 Service Management Prozesse definiert. die zur Planung und Implementierung des Service Managements sowie neuer oder geänderter Services eingesetzt werden kann. Zunächst werden die Anforderungen in Bezug auf die Verantwortlichkeiten. 2. um eine kontinuierliche Angemessenheit und Effektivität sicherzustellen [Spe05.2). . Quelle: Eigene Darstellung in Anlehnung an [Spe05].4 Anforderungen an ein Management-System Das vorgegebene Ziel ist ein Management-System mit Grundsätzen und Strukturen. Lösungsprozesse.2: Service Management Processes. die Dokumentation und die Kompetenz der Mitarbeiter definiert. wie diese Ziele erreicht werden sollen.

wie die Prozesse in Aktivitäten umgesetzt wer- . Entsorgung und Kontrolle der Dokumente festgelegt werden. 2. 4]. Zu den Dokumentationen gehören die Grundsätze und Pläne. securit!.g. Quelle: Eigene Darstellung in Anlehnung an [Spe05].5 Planung und Implementierung des Service Managements Zur Umsetzung der Implementierung des Service Managements gibt der Standard die „Plan-Do-Check-Act“-Methode vor [Spe05. sollte ein Weiterbildungsplan erstellt werden [Cod05. die zu erreichenden Ziele sowie die auszuführenden Prozesse definiert werden. Ziele und Anforderungen (Check) sowie das Ergreifen von Maßnahmen zur kontinuierlichen Verbesserung der Prozesse (Act). Dabei handelt es sich um ein Modell. und dass die Aktualität sichergestellt ist. S.3). business. die Überprüfung der Prozesse hinsichtlich der Grundsätze. Pflege. e. Dabei ist zu beachten.g. S. die Durchführung der Implementierung (Do).4]. die Abläufe und Prozesse sowie sonstige erforderliche Aufzeichnungen [Spe05. S. business. Bei der Planung des Service Managements müssen der Umfang des Service Managements. Um dieses sicherzustellen. e. Desweiteren müssen sie sich der Bedeutung ihrer Aktivitäten bewusst sein [Spe05. Durch diese Methode wird eine ständige Qualitätsverbesserung sichergestellt.g. S. customer Manage services %anagement responsibilit! Business results Customer PLAN &lan service management ACT Continual improvement satisfaction $ew / changed services Other processes. wie sie zur Erreichung der festgelegten Ziele beitragen. supplier. Eine weitere Anforderung ist die Bereitstellung von Dokumentationen und Aufzeichnungen zur Unterstützung der Management-Prozesse. bei dem vier Schritte in einem Kreislauf immer wieder durchlaufen werden (siehe Abbildung 2. 3].3: Regelkreislauf. welche Kompetenzen zur effektiven Erfüllung der Aufgaben benötigt werden.Eine Darstellung des Standards und des Zertifizierungsprozesses 57 Business requirements Customer requirements Request for new / changed services Other processes e. customer DO "mplement service management CHECK %onitor. dass Abläufe und Verantwortlichkeiten für die Erstellung. Es ist zu beschreiben. Die Mitarbeiter müssen wissen.2. "# operations Abbildung 2. measure and review #eam and people satisfaction Service Des Other teams. supplier. Die Festlegung der Ziele und notwendigen Prozesse (Plan). 4].

Es muss ein Prüfprogramm erarbeitet werden. S. 5]. Service Level Management Für das Service Level Management gibt der Standard als Ziel vor. was nicht mit den Service Management Plänen übereinstimmt. Methoden und Tools eingesetzt werden und wie viel Zeit und Geld dafür zur Verfügung steht. die Messung definierter Kennzahlen. die SchnittstellenSpezifikation sowie die kontinuierliche Verbesserung ersichtlich und beweisbar sein [SMF06. Die Ergebnisse sind mit den beteiligten Personen zu kommunizieren [Spe05. organisatorischen. Kommunikation und Implementierung der Verbesserungsmaßnahmen beinhalten. Hilfsmittel und das Budget anzugeben. das den Status und die Bedeutung des Prozesses. 6]. 23]. 2. S. Diese müssen die Informationen zu den Verbesserungen und die festgelegten Ziele sowie die Methoden zur Identifizierung. die Kundenzufriedenheit und die Auslastung der Ressourcen zu überprüfen. Die Implementierung des Service Management Plans hat durch die Zuweisung von Verantwortlichkeiten. Vor der Durchführung einer Verbesserungsmaßnahme muss die Servicequalität als Vergleichsmaßstab dokumentiert werden [Spe05. 7f. Ressourcen. Daneben sind die Methoden zur Messung. S. Alle Pläne müssen durch einen Review überprüft und kommuniziert werden [Spe05. S. Darüber hinaus sind die Verantwortlichkeiten. Dabei sind Pläne und Grundsätze. um die Service-Qualität. Planung. welche Prozesse. In regelmäßigen Abständen sind Reviews durchzuführen. Bezüglich des Fortschritts müssen Berichte angefertigt werden [Spe05. 6]. entfernt werden. Die Planung und Implementierung neuer oder geänderter Services muss im Rahmen eines formellen Change-Management erfolgen. Abläufe und Definitionen für die Prozesse zu dokumentieren und einzuhalten.].2. S. 7]. Abschließend sind messbare Ergebnisse für die Ausführung vorzugeben [Spe05. Die Anforderungen an die Mitarbeiter sind zu dokumentieren und die Positionen zu besetzen. S. Maßnahmen. Budgets und Hilfsmitteln sowie durch die Koordination der Prozesse und die Auswahl und Schulung von Mitarbeitern zu erfolgen. dass die Ziele durch die Prozesse erreicht werden können. die Ergebnisse vorheriger Prüfungen und die Auswahl der Prüfer berücksichtigt.58 ITIL-Zertifizierung nach ISO/IEC 20000 den und wie das Risikomanagement durchgeführt wird. Es müssen Methoden zur Überwachung der Prozesse eingeführt werden. Für die Verbesserung der Service-Aktivitäten muss alles. Ausführung und Betreuung und die Änderungen an bestehenden Grundsätzen und Services beinhalten. aufzu- . Dafür sind Rollen und Verantwortlichkeiten klar zu definieren. Es wird festgelegt. Für die Bearbeitung von ServiceVerbesserungen muss ein Prozess definiert und ein Service-Verbesserungsplan erstellt werden. Die zu erstellenden Pläne müssen die Rollen und Verantwortlichkeiten für die Implementierung. technischen und wirtschaftlichen Auswirkungen notwendig. Berichterstattung und Sicherstellung der Ausführung und Zielerreichung der Aktionen anzuführen. zu vereinbaren. die Service-Level zu definieren. die Rollen und Verantwortlichkeiten.6 Anforderungen an Service-Management-Prozesse Für alle Prozesse müssen das Ziel und der Ablauf des Prozesses. die belegen können. Dafür ist eine Analyse der kostenbezogenen.

S. der Zielgruppe und Details über die Datenquelle enthalten. Wo dies möglich ist. um eine effektive Kommunikation zu gewährleisten und damit informationsbezogene Entscheidungen möglich zu machen. Service Reporting Ziel des Service Reporting ist es. muss in einer Service-Level-Vereinbarung (service level agreement) zusammen mit dem zugehörigen Ziel dokumentiert werden. inwiefern die erbrachten Services die definierten Ziele erreicht haben und es müssen Leistungsmerkmale aller Prozesse aufgezeichnet werden. Durch regelmäßige Reviews ist sicherzustellen. dass diese erfüllt werden. 9]. rechtzeitig vereinbarte.]. müssen die Ursachen analysiert und angemessene Gegenmaßnahmen eingeleitet werden [Spe05. Um diese zu erreichen. der vom Change-Management zu verwalten ist und sowohl Kunden als auch Mitarbeitern jederzeit zugänglich sein sollte [Cod05. dass die Vereinbarungen stets auf dem neuesten Stand sind. 11f. Ist diese außerplanmäßig nicht gegeben. Der gesamte Serviceumfang sollte in einem Servicekatalog dargestellt werden. S. S. Finanzplanung und Kostenrechnung für IT Services Ziel der Finanzplanung und Kostenrechnung für IT Services ist es. Service Continuity und Availability-Management Zielvorgabe für das Service Continuity und Availability-Management ist die Sicherstellung der Service-Kontinuität und Verfügbarkeit. Unterstützende Vereinbarungen und Lieferantenverträge sind ebenfalls aufzuzeichnen. 8]. Dabei sind Risiko-Bewertungen durchzuführen und zu dokumentieren. S. Es sollte eine enge Zusammenarbeit mit dem Change-Management erfolgen. müssen auf Basis der Service-Level-Vereinbarungen Verfügbarkeitspläne und Servickontinuitätspläne entwickelt und regelmäßig gepflegt und getestet werden. Für die Finanzplanung und Kostenrechnung. Die Service-Level müssen überwacht werden und es hat eine Berichterstattung zu den festgelegten Zielen zu erfolgen. um die Auswirkungen von Changes auf die Verfügbarkeit und ServiceKontinuität zu kontrollieren. Anforderungen an Zugriffsrechte und Reaktionszeiten sowie an die Verfügbarkeit der Systemkomponenten müssen definiert werden und es ist sicherzustellen. S.Eine Darstellung des Standards und des Zertifizierungsprozesses 59 zeichnen und zu verwalten. sollten potenzielle Probleme prognostiziert werden. damit vorbeugende Maßnahmen getroffen werden können [Cod05. 8]. Jeder Service. zuverlässige und genaue Berichte zu erstellen. Notwendige Maßnahmen zur Verbesserung sind in Service-Verbesserungsplänen zu dokumentieren [Spe05. der angeboten wird. für die Kontrolle und Genehmigung des Budgets sowie für die Ermittlung und Zuordnung von indirekten Kos- . Es sind Zufriedenheitsund Trendanalysen durchzuführen und nach besonderen Ereignissen sind Leistungsberichte anzufertigen. so dass Vereinbarungen gegenüber dem Kunden unter allen Umständen eingehalten werden können. 9]. Managemententscheidungen und Korrekturen müssen umgehend dokumentiert und kommuniziert werden [Spe05. Jeder Service Report muss eine Beschreibung seines Zweckes. einen Plan für die finanziellen Ressourcen zu erstellen und die Kosten für die Bereitstellung von Services zu berechnen. Es ist festzuhalten. Die Verfügbarkeit muss gemessen und aufgezeichnet werden.

dass die Kontrolle des Budgets und die Entscheidungsfindung effektiv gestaltet werden können. so dass die mit dem Kunden vereinbarte Nachfrage jederzeit befriedigt werden kann. Für sämtliche Informationsträger sollte eine Bestandsaufnahme. Service-Level-Vereinbarungen und Verträgen zu diskutieren. Es müssen Abläufe definiert sein. Es sind regelmäßige Meetings abzuhalten und zu protokollieren. auf die sie sich beziehen. Finanzprognosen sind zu überprüfen und dementsprechend müssen die Kosten verwaltet werden [Spe05. Capacity-Management Zielvorgabe für das Capacity-Management ist die Sicherstellung der Verfügbarkeit ausreichender Kapazitäten. Treten sicherheitsrelevante Störungen auf. Das Business-Relationship-Management muss alle Kunden und die an den Services beteiligten Personen identifizieren und dokumentieren. um die Service-Kapazität zu überwachen. Dazu sind Sicherheitskontrollen einzuführen.]. den Kunden und seine geschäftsfördernde Abläufe zu verstehen und auf dieser Basis eine gute Beziehung zu dem Kunden herzustellen und zu pflegen. die Schwierigkeiten und die Aktionspläne zu erörtern. 16]. S. Zusammen mit den Kunden müssen mindestens einmal pro Jahr Reviews durchgeführt werden. 10f. Grundsätze zur Informations-Sicherheit müssen definiert und kommuniziert werden. Eine Dokumentation der Kontrollen muss die Durchführung und Wartung der Kontrollmaßnahmen beschreiben und die Risiken nennen. S. eine Kategorisierung entsprechend der Bedeutung für den Service und eine Bewertung der erforderlichen Sicherheitsstufe durchgeführt werden [Cod05. S. Die Kosten müssen hinsichtlich des Budgets überwacht und dokumentiert werden. die erreichten Ziele. Information-Security-Management Ziel des Information-Security-Managements ist eine effektive Verwaltung der Informations-Sicherheit innerhalb aller Service-Aktivitäten. erbrachte Leistungen und Changes in Service-Umfang. Die Kosten sind so detailliert zu planen. dass jede sicherheitsrelevante Störung überprüft wird. 10]. Der externe Zugriff auf Services und Systeme ist durch geeignete formelle Vereinbarungen zu regeln. um die Leistung. und die die Risiken bezüglich des Zugriffs auf den Service oder auf die Systeme verwalten. und dass entsprechende Maßnahmen getroffen werden [Spe05. sind in Übereinstimmung mit dem Incident-Management Berichte und Aufzeichnungen zu erstellen. Abläufe und Techniken zu identifizieren und anzuwenden. 14]. Business-Relationship-Management Ziel des Business-Relationship-Managements ist es. S. die dafür sorgen.60 ITIL-Zertifizierung nach ISO/IEC 20000 ten müssen klare Grundsätze und Prozesse definiert werden. anzupassen und eine angemessene Kapazität bereitstellen zu können. Kostenrechnungsprozesse sollten die Nutzung der finanziellen Ressourcen aufzeigen und die Ermittlung der Stückkosten ermöglichen [Cod05. Im Rahmen des Capacity-Managements muss ein Kapazitätsplan erstellt und gepflegt werden. S. Für den Umgang . die die Anforderungen der Grundsätze implementieren. 10]. Dafür sind Methoden. Der Kapazitätsplan muss Prognosen über zukünftige Anforderungen sowie Einflüsse durch neue technologische Entwicklungen und Auswirkungen externer Veränderungen berücksichtigen [Spe05. um Geschäftsanforderungen.

Incident-Management Ziel des Incident-Managements ist die Reaktion auf Service-Requests und die schnellstmögliche Wiederherstellung des vereinbarten Service. S. Lieferanten-Management Zielvorgabe für das Lieferanten-Management ist die Sicherstellung einer nahtlosen Bereitstellung von qualitativ hochwertigen Services. Die Ergebnisse der Feedback. Diese Verfahren müssen die Aufzeichnung der Incidents und Prioritätsabfolgen. Schwankungen im Zufriedenheitsgrad sollten auf ihre Ursachen hin untersucht werden. Alle identifizierten Probleme müssen aufgezeichnet werden und es sind Verfahren anzuwenden. Vertragsstreitigkeiten und die Beendigung des Service regelt. Die Rollen und Beziehungen zwischen den Hauptlieferanten und den Lieferanten mit Unterverträgen sind klar zu dokumentieren. Werden Lieferungen indirekt über einen Hauptlieferanten bezogen. Problem-Management Ziel des Problem-Managements ist es. Für bedeutende Incidents ist ein Prozess zu entwickeln. dass die nachgeordneten Lieferanten die Vertragsanforderungen erfüllen. Für die Erfassung des Feedbacks und die Reaktion darauf muss ein Prozess erstellt werden [Spe05. wenn sein Service-Level nicht erreicht werden kann. S. 11f. Für die Verwaltung der Lieferanten müssen Prozesse implementiert und dokumentiert werden und jedem Lieferanten ist ein zuständiger Vertragsmanager zuzuordnen. um die Auswirkungen von Incidents zu verwalten. Sämtliche Incidents müssen aufgezeichnet werden und es sind Verfahren anzuwenden. durch Identifizierung und Analyse der Ursache von Incidents und einer Verwaltung der Probleme bis zum Abschluss die Unterbrechungen des Geschäftsprozesses auf ein Minimum zu reduzieren. Sie müssen mit den Service-Level-Zielen verglichen werden und es sind Verbesserungsmaßnahmen zu identifizieren und aufzuzeichnen. Verbesserungs-Empfehlungen sollten an das Service Delivery Team weitergereicht werden [Cod05. S. der Vertragsänderungen.und der Beschwerdeanalyse fließen in den ServiceVerbesserungsplan ein. Diese dienen als Input für den Service-Verbesserungsplan [Spe05. die Auswirkungen auf Geschäftsabläufe sowie die Lösung und den formellen Abschluss definieren. der die Klassifizierung und Behandlung vorgibt. zu überprüfen und aufzuzeichnen. Er ist vorab zu benachrichtigen. 13]. 12]. Der Kunde muss über den Fortschritt der gemeldeten Incidents oder Service-Requests informiert werden. Die Services müssen definiert werden und die Lieferantenverträge sind mit den Service-Level-Vereinbarungen abzustimmen und durch Reviews regelmäßig zu überprüfen. die Klassifizierung und Aktualisierung. Die Leistungen sind zu überwachen. S.Eine Darstellung des Standards und des Zertifizierungsprozesses 61 mit Beschwerden muss ein formeller Ablauf festgelegt und mit den Kunden abgestimmt werden. Sämtliche Mitarbeiter des Incident-Managements müssen auf die relevanten Informationen zugreifen können [Spe05. muss dieser nachweisen. um die Auswirkungen von Incidents und Problemen zu . Die Kundenzufriedenheit ist regelmäßig zu messen und zu dokumentieren. Es muss ein Prozess festgelegt werden. Es müssen Maßnahmen ergriffen und dokumentiert werden und die Beschwerde muss formell abgeschlossen werden. 18]. Alle Beschwerden sind aufzuzeichnen und zu untersuchen.].

Alle Konfigurations-Elemente sind in einer Configuration-Management-Datenbank (CMDB) aufzuzeichnen. Es muss ein Zeitplan mit Details zu allen Changes erstellt werden. deren Versionen. Die Problembehebung ist zu überwachen und es sind Reviews und Berichte dazu anzufertigen. Die Aufzeichnungen von Changes müssen regelmäßig analysiert werden. . genehmigt. Die Implementierungszeiten sind allen beteiligten Parteien mitzuteilen.und Infrastrukturkomponenten sowie die Aufrechterhaltung korrekter Konfigurationsinformationen. wiederkehrende Change-Kategorien.]. Informationen zu Auswirkungen von Veränderungen sind dem Change-Management zur Verfügung zu stellen. die diese benötigen.und Infrastrukturkomponenten entwickelt werden. Aktuelle Informationen von bekannten Fehlern und behobenen Problemen müssen für das Incident-Management verfügbar gemacht werden und notwendige Änderungen sind an das Change-Management weiterzuleiten. Trends und andere relevanten Informationen zu ermitteln [Spe05. Changes müssen einen klar definierten und dokumentierten Umfang haben. implementiert und überprüft werden. zu überprüfen und kontrolliert zu implementieren. Es müssen Bewertungen bezüglich der Risiken. 14]. S. Change-Management Ziel des Change-Managements ist es sicherzustellen. in dem die Konfigurations-Elemente und deren Grundbestandteile aufgeführt werden. S.und Configuration-Managements muss ein integrativer Ansatz verfolgt werden. Diese muss aktiv gepflegt werden. der Auswirkungen und des Geschäftsnutzens durchgeführt werden. zu minimieren oder zu vermeiden. Changes sind zu genehmigen. die Mängel aufzeichnen. Alle Requests for Changes sind aufzuzeichnen und zu klassifizieren. Kontrolle und Überwachung von Service. Darin sind die Eigenschaften der Elemente und deren Beziehung zueinander zu definieren. Diese Verfahren müssen die Aufzeichnung aller Probleme. 13]. 14f. Der Zugriff auf die Datenbank ist strikt zu kontrollieren. Es müssen Richtlinien und Abläufe für Notfall-Changes erstellt werden und es ist zu definieren. Für die Planung des Change. wie nicht erfolgreiche Changes rückgängig gemacht oder entfernt werden. dass alle Changes bewertet. Configuration-Management Ziel des Configuration-Managements ist die Definition und Steuerung der Service. dessen Ergebnisse in den Service-Verbesserungsplan einfließen. Änderungen an Konfigurations-Elementen müssen verfolgt und überprüft werden können. Korrekturen einleiten und Ergebnisberichte erstellen [Spe05. S. deren Klassifizierung und Aktualisierung sowie deren Lösung und formellen Abschluss definieren. um deren Zuverlässigkeit und Aktualität sicherzustellen. Es müssen Methoden zur Identifizierung. Identifizierte Verbesserungsmaßnahmen müssen aufgezeichnet und dem Service-Verbesserungsplan hinzugefügt werden [Spe05. Es sind Prozesse zur Überprüfung der Konfigurationen zu implementieren. Standorte und damit zusammenhängende Änderungen und Probleme müssen den Personen zur Verfügung stehen. deren Implementierung genehmigt wurde. um sich häufende Changes. Potenzielle Probleme sind durch vorbeugende Maßnahmen zu reduzieren. Nach der Implementierung ist ein Review durchzuführen. Es ist ein Konfigurationsplan erforderlich.62 ITIL-Zertifizierung nach ISO/IEC 20000 identifizieren. Informationen zum Status der Konfigurations-Elemente. Zur Aufrechterhaltung der Integrität von Systemen und Services sind Prozesse zur Steuerung der Konfigurationen erforderlich.

dass die Integrität der Hardware und Software während der Installation. Die Vorgehensweise des Assessments sollte mit dem Beratungsunternehmen in einem Vorgespräch geklärt werden. welche nächsten Schritte in welcher Reihenfolge unternommen werden sollten. 15]. Es sind Richtlinien und Abläufe für Notfall-Releases zu erstellen und es muss definiert werden. sich von dem Beratungsunternehmen einen Maßnahmenplan erstellen zu lassen. Bearbeitung. Es ist sinnvoll. sind zu dokumentieren und zu vereinbaren. Die Einführung (Rollout) des Release ist zwischen allen beteiligten Parteien zu vereinbaren und von allen Parteien zu genehmigen. Es muss ein Plan für das Release von Services. Abschließend werden die Ergebnisse des Assessments allen IT-Mitarbeitern präsentiert [Boc06. Dabei wird der konkrete Reifegrad aller IT-Service-ManagementProzesse ermittelt und es werden Empfehlungen abgeleitet. S. so dass sie zu den vereinbarten Zeiten verfügbar sind und die erforderlichen Dokumente griffbereit haben. Das eigentliche Assessment wird in Form von Interviews durchgeführt. der für jeden Prozess einen konkreten Reifegrad benennt und Empfehlungen ausspricht. die die Häufigkeit und den Typ der Releases angeben. Für die Durchführung des Assessments sollte ein geeignetes Beratungsunternehmen beauftragt werden. Das Beratungsunternehmen erstellt dazu einen Bericht. was bei den Prozessen jeweils bereits vorhanden ist.Eine Darstellung des Standards und des Zertifizierungsprozesses 63 Release-Management-Prozess Ziel des Release-Management-Prozesses ist die Bereitstellung. Dabei werden die Prozesse bereits grob durchgesprochen und die Prozessdokumentationen werden gesichtet. Es sind Messungen bezüglich des Erfolges von Releases durchzuführen [Spe05. Der Release-Management-Prozess sollte in die Configuration und Change Management Prozesse integriert werden. Software und Hardware erstellt werden.1 Die Zertifizierung Entscheidungsfindung Grundlage für die Entscheidung für eine Zertifizierung nach ISO/IEC 20000 ist die Durchführung einer Standortbestimmung des IT-Bereiches und die Erarbeitung eines Maßnahmenplanes für die notwendigen Anpassungen. Darauf aufbauend kann im Fall einer Entscheidung für die Einführung der Anforderungen des Standards ein Projektplan für die Umsetzung der Prozesse erstellt werden. 38 f. Systemen. Vor der Bereitstellung müssen alle Releases in einer kontrollierten Testumgebung erstellt und getestet werden. Das Release muss so konzipiert und implementiert werden. Auf der Grundlage der Ergebnisse des Assessments werden . wie nicht erfolgreiche Releases rückgängig gemacht oder entfernt werden. Verpackung und Auslieferung gewährleistet ist. Verteilung und Verfolgung eines oder mehrerer Changes in einem Release in der Live-Umgebung. Dabei wird aufgezeichnet. S. 2. Es muss ein detaillierter Zeitplan für die Durchführung erstellt werden und die Mitarbeiter des IT-Bereiches sind darüber zu informieren.]. Die entsprechenden Dokumente sollten rechtzeitig vorbereitet werden.3. was für eine erfolgreiche Zertifizierung noch zu tun ist. Grundsätze. Es ist ein Projektteam mit einem Projektleiter und den Prozessverantwortlichen zusammenzustellen. Ein geeigneter Weg für die Standortbestimmung ist die Durchführung eines Assessments.3 2.

In einem Dokument Management-System sind organisatorische Grundprinzipien sowie die Rollen und Verantwortlichkeiten für die Prozesse und Dokumente festzulegen. Es muss formuliert werden. Darauf aufbauend werden in einer Systemstrategie und einer Organisationsstrategie festgelegt.]. also das Management-System. Daraus abzuleiten ist eine IT-Strategie. Die Philosophie. wie die vorgegebenen Prozesse im Betrieb realisiert werden können und was dabei zu beachten ist. S. wie Risiken erkannt. geführt werden [Boc06. und dass durch die Verwendung von konkreten Begriffen ein einheitliches Verständnis gewährleistet sein muss [Boc06. auf welche Art und Weise die IT-Services erbracht werden sollen. mit welchen Mitteln die vorgegebenen Ziele erreicht werden sollen. S. das die Politik.64 ITIL-Zertifizierung nach ISO/IEC 20000 darin alle für eine Zertifizierung notwendigen Maßnahmen und Umsetzungserfordernisse aufgelistet. Die IT-Strategie ist schriftlich auszuformulieren und an die Mitarbeiter zu verbreiten [Boc06. dass diese nicht nur von Spezialisten verstanden werden müssen. wie diese umzusetzen sind. die Organisation und die Strategie des IT-Bereichs festlegt. wird in einer Anwendungsstrategie formuliert. Die konkreten Ziele und Vorhaben für das kommende Geschäftsjahr sind in einem ServiceManagement-Plan zu definieren. S. 81]. 72]. Die Aufgaben. die Eintrittswahrscheinlichkeit und Schadenshöhe einander gegenüberstellt. Voraussetzung für die Umsetzung ist. Auf die Umsetzung der auf ITIL basierenden Prozesse wird ausführlich in den Arbeiten der anderen Gruppen eingegangen. 49f.]. Darin ist zu beschreiben. wie man sicherstellt. 2. das Service Reporting. wie die IT strukturiert und organisiert wird. das Information-Security-Management.2 Prozessumsetzung Das folgende Kapitel thematisiert die praktische Umsetzung der Anforderungen des ISO/IEC 20000. Die Ressourcenstrategie beantwortet die Frage. das Business-Relationship-Management sowie das Lieferanten-Management. Rahmenbedingungen dieses Strategiekonzepts sind die Unternehmensumgebung und die vorhandenen IT-Strukturen sowie die Vorgaben zur Effektivität und Effizienz. Management-System Das Management-System ist ein Rahmenwerk. Für die Umsetzung eines Risikomanagements ist ein Vorgehen zu definieren. dass die Dokumente stets aktuell sind [Boc06. Die Umsetzung und die Wirksamkeit der Gegenmaßnahmen sind laufend zu überwachen. Ziele und Prioritäten sind in einem Leitbild zu definieren. dass eine ausformulierte Unternehmensstrategie existiert. die Planung und Implementierung des Service-Managements. . 76f. Es wird beschrieben. Bei der Formulierung sämtlicher Dokumente ist zu beachten. 81]. dass die Ziele auch erreicht werden und wie man gewährleistet. Der Plan ist nach den Prozessen zu strukturieren und es ist eine Prozesslandkarte als Übersicht zu erstellen [Boc06. erfasst und bewertet werden und wie Gegenmaßnahmen ergriffen werden. deren wesentliche Bestandteile in der Abbildung 2.4 dargestellt werden. Die Ziele und Strategien heruntergebrochen auf die einzelnen Prozesse ergeben zusammengefasst die Service-Management-Politik. S. S. Aufzeichnungen über relevante Risiken können beispielsweise in Form einer Risikomatrix. Behandelt werden nur die über ITIL hinausgehenden Teile.3.

der mit einem Tool verwaltet werden sollte. Alle Mitarbeiter müssen über die Maßnahmen informiert werden [Boc06. meist durch den zuständigen Prozessmanager. S. Von jeder Version eines Dokumentes sollte eine Archivdatei erstellt werden und die Versionsführung sollte dokumentiert werden. Für alle Abläufe muss es klare Verantwortlichkeiten geben [Boc06.5 vorgestellte „Plan-Do-Check-Act“ -Methode zu verwenden. Die Implementierung von Services anhand dieser Methode bewirkt einen kontinuierlichen Verbesserungsprozess (KVP) der Leistungen. wie Dokumente zu erstellen. Daraus hat der KVP-Manager den erforderlichen Handlungsbedarf abzuleiten und entsprechende Maßnahmen zu ermitteln. 107f. S. zu ändern und zu archivieren sind. Diese werden in einem Maßnahmenkatalog gesammelt. der gleichzeitig Lösungsvorschläge ausarbeitet. Es sind standardisierte Abläufe zu definieren. 86f.2. . Die Ermittlung der Ursachen erfolgt durch einen Spezialisten. Bei den Nonkonformitäten kann es sich um einen Verstoß gegen die Anforderungen oder um Verbesserungspotential handeln. Der KVP-Manager hat die ergriffenen Maßnahmen zu überprüfen und zu bewerten. Quelle: Eigene Darstellung in Anlehnung an [Boc06]. Es muss ein Prozessmanager (KVP-Manager) bestimmt und eine Prozessbeschreibung erstellt werden.4: Strategiekonzept. Eine weitere Aufgabe des Management-Systems ist die Bereitstellung von Dokumentationen. Wenn bei der Überprüfung der implementierten Prozesse Nonkonformitäten mit den festgelegten Zielen und Anforderungen auftreten.Eine Darstellung des Standards und des Zertifizierungsprozesses 65 Abbildung 2. eine Bewertung durchzuführen.]. Darin sind die Zuständigkeiten und der Zeitrahmen für die Umsetzung festzulegen.]. Planung und Implementierung des Service-Managements Zur Umsetzung der Planung und Implementierung des Service-Managements ist die in Kapitel 2. hat der Prozessmanager die Aufgabe.

Grundsätzlich hat sich jeder über die für ihn relevanten Berichte zu informieren. die jeder Mitarbeiter zwingend einhalten muss. Der Service-Manager ist für die Änderung der Prozessdokumentation verantwortlich [Boc06. eine Plattform für eine effektive Kommunikation innerhalb des IT-Bereiches zur Verfügung zu stellen. Darin soll für jeden verständlich die Grundhaltung zum Thema Sicherheit festgelegt werden. Alle Geschäftsprozesse des Unternehmens sind auf mögliche Sicherheitsrisiken zu untersuchen. inwiefern Vorkehrungen hinsichtlich der IT-Systeme und des Personals nötig sind und wie die Kontrolle und Verbesserung der Schutzmechanismen sichergestellt werden kann. Als zentrale Ansprechpartner für alle IT-Fragen können Geschäftsfeldbetreuer bestimmt werden. die Berichte nach den Prozessen zu kategorisieren. Darüber hinaus ist es sinnvoll. Business-Relationship-Management Für den Umgang mit Kunden sind klare Regeln zu definieren. welche Person für den Report verantwortlich ist. S. Sämtliche erforderlichen Reports können beispielsweise auf einer Intranetseite dargestellt und verlinkt werden [Boc06.]. die sämtliche Regeln enthalten. Es sollte formuliert werden welche Bedrohungen existieren. Die Eintrittswahrscheinlichkeit eines Security Incidents und die potentielle Schadenshöhe müssen bewertet werden. auf welcher Datenquelle er basiert und in welchem Rhythmus er erstellt wird. so dass man Prioritäten erkennen kann. 127f. die die Kundenanforderungen verwalten. Die Mitarbeiter des IT-Bereichs haben in diesem Zusammenhang verschiedene Aufgaben zu erfüllen. Dabei sind die sicherheitsrelevanten Ereignisse (Security Incidents) zu benennen und es ist zu beschreiben. der festlegt. um die erbrachten Services und Änderungswünsche zu diskutieren. Zur Umsetzung ist ein Prozessmanager zu bestimmen. Diese Informationen können zur übersichtlichen Strukturierung in die Darstellung der Berichte übernommen werden. wie damit umzugehen ist. S. Aus dieser Beurteilung sind Gegenmaßnahmen abzuleiten [Boc06. an wen er sich richtet.]. 103]. Anfragen nach einer standardisierten Vorgehensweise zu bearbeiten und Vorlagen für die strukturierte Durchführung von Kundenterminen zu erstellen.]. Für den Umgang . Ausgehend von der Sicherheitspolitik sind Sicherheitsrichtlinien zu definieren. was grundsätzlich wie schutzbedürftig ist. Diesbezüglich müssen die Mitarbeiter geschult und für das Thema Sicherheit im Allgemeinen sensibilisiert werden. 279f. Information-Security Management Als Grundlage für den Prozess Information-Security Management ist eine Sicherheitspolitik zu definieren. S. um ein einheitliches Verständnis davon im Unternehmen zu etablieren. Die Kommunikation mit den Kunden ist zu dokumentieren. auf die jederzeit zugegriffen werden kann. welche Berichte verfasst und verbreitet werden sollen. Die Prozessverantwortlichen müssen Prozessänderungen und die Archivierung von Dokumenten bekannt machen und für die Aktualisierung der Berichte ihrer Prozesse sorgen. Auf diese Weise entsteht eine Sammlung von Berichten. welches Maß an Schutz angemessen ist. 103f. Dabei muss deutlich werden.66 ITIL-Zertifizierung nach ISO/IEC 20000 Service Reporting Aufgabe des Prozesses Service Reporting ist es. Die Sicherheitspolitik ist mit der Geschäftsleitung abzustimmen und im Unternehmen bekannt zu machen [Boc06. S.]. Es ist sinnvoll. 134f. S. In regelmäßigen Abständen sind Reviews mit den Kunden durchzuführen. durchgängig zu nummerieren und regelmäßig auf ihre Aktualität zu überprüfen [Boc06.

der sicherstellt.Eine Darstellung des Standards und des Zertifizierungsprozesses 67 mit Beschwerden muss ein Prozess erstellt werden.3 Fragenkatalog zur Prozessumsetzung Die in diesem Kapitel wiedergegebenen Fragen jedes einzelnen Prozesses stellen eine Art Checkliste für eine Zertifizierung nach ISO/IEC 20000 dar. 114f. eine Strategie. Es empfiehlt sich. 2. bearbeitet und abgeschlossen werden. Lieferanten-Management Es sind Grundsätze zu formulieren. In regelmäßigen Gesprächen müssen mit den Lieferanten die erbrachten Leistungen und Maßnahmen zur Verbesserung der Zusammenarbeit diskutiert sowie die zukünftigen Strategien abgestimmt werden. sehen sie die Relevanz der ServiceErbringung? • Sind die einzelnen Prozesse aufeinander abgestimmt? . Jedem Lieferanten wird ein verantwortlicher Manager zugeordnet.h. die Leistungen zu verbessern [Boc06. alle Festlegungen dieses Prozesses in einem zentralen Dokument festzuhalten [Boc06. S. bzw. Die Lieferantenverträge sind an die Anforderungen der Service-Level-Vereinbarungen anzupassen. 121f. dass alle Beschwerden aufgezeichnet. Für den Vertragsabschluss. der als zentraler Ansprechpartner alle Vorgänge im Blick hat.]. Überwachung. Die erhobenen Informationen sollen helfen.]. wer was bestellen darf und welche Verträge durch Juristen geprüft werden müssen. sind Prozesse zu definieren. wie die Zusammenarbeit mit den Lieferanten aussehen soll. d. dass diese ihre Aufgaben kompetent und effektiv erfüllen? • Ist eine Identifikation von Kundenanforderungen vorhanden und wird diese von den Mitarbeitern erfüllt? • Sind sich die Mitarbeiter des Unternehmens über die Orientierung an Kundenanforderungen bewusst. S. Änderungen und die Auflösung von Verträgen. Es sollte ein laufendes Monitoring von Leistungen und Preisen durchgeführt werden.3. Management-System • Ist ein IT-Service-Management. Durchführung und Verbesserung einzelner Handlungen vorhanden? • Werden die Zuständigkeiten und die hinreichenden Kompetenzen für alle Rollen bestimmt? • Sind Verantwortliche und Zuständigkeiten zur Erstellung und Aktualisierung von Dokumenten vorhanden? • Ist der Schulungsbedarf der Mitarbeiter so geregelt. Es sollte definiert werden. insbesondere bei Streitfällen. Sie zeigen Anhaltspunkte für die jeweiligen Prozessmanager auf und dienen der Aufdeckung von Schwachstellen innerhalb des jeweiligen Prozesses. eine Zielsetzung vorhanden? • Sind genügend Ressourcen zur Planung. Die Kundenzufriedenheit ist regelmäßig durch eine Umfrage zu überprüfen.

dokumentiert und freigegeben? • Besteht die Möglichkeit. Strategien und Ziele überarbeiten. ggf. sowie die Umsetzung aller freigegebenen Maßnahmen sicherstellen? • Wird die Objektivität bei einem internen Audit sichergestellt. die Verbesserungen identifizieren. die mehr als einen einzelnen Prozess betreffen? • Gibt es Management-Reviews. wenn ein Ziel nicht erreicht wird. d. korrigiert und überprüft? • Werden verschiedene Reviews durchgeführt? . ob Konformität der Anforderungen an das Service-Management mit den Vorgaben des ISO/IEC 20000 besteht. das Auditoren nicht ihre eigene Arbeit auditieren? Service-Level-Management • Werden die angebotenen Services in einem Service-Level-Agreement definiert und dokumentiert? • Ist eine Berichterstattung und Überprüfung sowie aktuelle Informationen und Entwicklungen über die erreichten Service-Levels vorhanden? • Werden die Gründe. Verbesserungsmaßnahmen überhaupt zu identifizieren. klare Leitlinien des Managements zur Überprüfung des Service-Managements-Plans? • Ist die Zuständigkeit in Fragen zur Serviceverbesserung eindeutig festgelegt? • Legt der Service-Management-Plan den Bereich des Service-Managements in dem Unternehmen fest und zeigt dieser verschiedene Zielerreichungen und Schnittstellen zwischen den Service-Management-Prozessen auf? • Stimmen die Prozessziele mit denen des Service-Management-Plans überein? • Sind alle Verbesserungsmöglichkeiten überprüft. die überprüfen.h.68 ITIL-Zertifizierung nach ISO/IEC 20000 Planung und Implementierung des Service-Managements • Werden die Prozesse des IT-Service-Managements im Unternehmen identifiziert? • Besteht eine klare Vision bzw. • Wurden alle Non-Konformitäten behoben? • Werden durch das Unternehmen Handlungen durchgeführt.

zur Verfügung? • Sind alle erforderlichen Berichte und Dokumente vorhanden und stets aktuell? • Werden erlangte Ergebnisse und Optimierungspotentiale in den Entscheidungen des Managements berücksichtigt? Service-Continuity-Management • Sind Pläne vorhanden. sind dann die CDMB. um eine zukünftige Kontrolle und Entscheidungsfindung durchzuführen? • Erfolgt ein kontinuierlicher Vergleich der anfallenden Kosten mit dem vorhandenen Budget und werden Maßnahmen bei einer erheblichen Abweichung eingeleitet? . die Informationen über verwendete Datenquellen. die Kontaktliste und der Notfallplan für die befugten Mitarbeiter zugänglich? • Ist ein proaktives Vorgehen. die die Services nach einem Ausfall und den Normalzustand des Systems wieder herstellen? • Wenn ein normaler Zugang zum Büro nicht möglich ist. die Zusammensetzung der Teams im Notfall und ein Vorgehen im Notfall definiert? • Existiert eine jährliche Überprüfung der Notfallpläne? • Werden die Ergebnisse einer Prüfung in Maßnahmeplänen festgehalten? Availability-Management • Ist ein Verfügbarkeitsplan vorhanden und wird dieser auf veränderte Geschäftsanforderungen aktualisiert? • Wird die Verfügbarkeit des benötigten Services für den Geschäftsprozess sichergestellt? • Existieren präventive Maßnahmen für ungeplante Ausfallzeiten? • Wird die Verfügbarkeit des Services gemessen und dokumentiert? Finanzplanung mit Kostenrechnung für IT-Service • Ist eine eindeutig definierte Finanzplanung und Kostenrechnung für alle Komponenten vorhanden? • Besteht eine effiziente Kontrolle und Genehmigung der Finanzen? • Reichen die Finanzen aus. Zwecke und Identitäten enthalten.Eine Darstellung des Standards und des Zertifizierungsprozesses Service Reporting 69 • Steht eine detaillierte Beschreibung der einzelnen Berichte.

Mechanismen und Techniken. überprüft. um die Serviceleistungen und -kapazität aufzuzeigen? Information-Security-Management • Ist die Sicherheitspolitik für Mitarbeiter und Kunden ausreichend festgelegt? • Sind effiziente Sicherheitsmaßnahmen zur Implementierung dieser Vorgaben der Politik vorhanden? • Existieren Maßnahmen zur Behandlung von Risiken? • Existiert die Dokumentation der Sicherheitsmaßnahmen? • Wird bei der Beschreibung dieser Maßnahmen Bezug auf verschiedene Risiken und Wartung dieser genommen? • Wird untersucht. entsprechend dem Incident-Prozess abgearbeitet und werden entsprechende Maßnahmen ergriffen? Business-Relationship-Management • Werden die Stakeholder der einzelnen Services identifiziert und schriftlich festgehalten? • Sind Verantwortliche für die Bestimmung der Kundenzufriedenheit festgelegt? • Ist das Unternehmen auf zukünftige Änderungen der Geschäftsanforderungen der Kunden vorbereitet? • Werden regelmäßige Besprechungen mit den Kunden zur Standortbestimmung durchgeführt und dokumentiert? • Sind für Reklamationen von Kunden entsprechende Prozesse eingeführt? .und Kapazitätsanforderungen sowie Daten und Prozesse zur Analysenbetrachtung aufgezeigt? • Erfolgt die Identifizierung von Verfahren.70 Capacity-Management ITIL-Zertifizierung nach ISO/IEC 20000 • Ist ein Kapazitätsplan vorhanden und wird dieser kontinuierlich aktualisiert? • Werden Request for Changes erstellt? • Werden vom Kapazitätsmanagement zukünftige Geschäftsanforderungen. aktuelle Leistungs. ob Changes ein Sicherheitsrisiko darstellen? • Werden alle Security-Incidents erkannt. vorhersehbare Auswirkungen neuer Technologien und Techniken. Auswirkungen externer Veränderungen.

die Incidents und Fehler verhindern können. Beurteilung der Geschäftsauswirkungen. Eskalation. um die vertraglichen Verpflichtungen und die geschäftlichen Notwendigkeiten einzuhalten. Klassifikation. größere Reviews mindestens einmal im Jahr durchgeführt? • Gibt es Verfahren für die Überwachung der Leistung interner und externer Lieferanten? Incident-Management • Besteht eine Aufzeichnung aller Incidents und eine nachgelagerte Ticketerfassung? • Enthält der Prozess die Aktivität der Aufzeichnung. Priorisierung.Eine Darstellung des Standards und des Zertifizierungsprozesses Lieferanten-Management • Sind dokumentierte Lieferanten-Management-Prozesse vorhanden? • Existiert für jeden Lieferanten ein Verantwortlicher? • Sind alle Prozessschnittstellen vereinbart und beschrieben? 71 • Besteht eine Dokumentation von Rollen und Interaktionen von Hauptund Unterlieferanten? • Werden. über das Change-Managements? • Unterliegt die Wirksamkeit des Prozesses einer Überwachung und Überprüfung? . Aktualisierung. Lösung und ein formaler Abschluss? • Werden alle offenen Tickets ausgewertet und die Kunden über die Entwicklung ihrer gemeldeten Incidents informiert? • Erfolgt eine eindeutige Zurechenbarkeit der Tickets zu einem Mitarbeiter und zu einem Kunden? • Wie wird mit der Eskalation umgegangen? • Ist die Übergabe der Incidents ins Problem-Management eindeutig möglich? Problem-Management • Erfolgt eine Dokumentation der auftretenden Probleme durch die Verantwortlichen? • Wird die Prävention von Fehlern als ein relevanter Teil des ProblemManagements angesehen? • Werden die Probleme eindeutig klassifiziert? • Erfolgt eine Weiterleitung aller Verbesserungen und Veränderungen.

Steuerungsmöglichkeiten und Versionsverfolgung bereitgestellt? • Informiert das Configuration-Management das Change-Management über Veränderungen? • Wird die Configuration Management Data Base (CMDB) überprüft und verwaltet. Kommunikation mit relevanten Abteilungen. um Zuverlässigkeit und Genauigkeit zu garantieren? • Erfolgen Audits zur CMDB? Change-Management • Werden Veränderungen des Services und der Infrastruktur in einem angemessenen Umfang dokumentiert? • Erfolgt eine Beurteilung sogenannter Veränderungsanträge hinsichtlich bestimmter Risiken. Auswirkungen. wie z. Sicherheitskontrollen und finanzieller Gegebenheiten? • Existieren formelle Verfahren. die verschiedene Arten von Releases enthält? • Besteht eine Absprache der Planung der Releases bzw. bestimmten Zuständigkeiten der Mitarbeiter. erwarteten Ergebnissen sowie Handlung bzgl. kontrollierend einführen und genehmigen? • Werden wiederkehrende Ergebnisse und relevante Informationen aufgedeckt? • Gibt es bei der Einführung veränderter und neuer Services eine wirksame Planung und Überprüfung durch das Change-Management? • Befasst sich das Unternehmen bei einer Veränderung des Services mit Zeitplänen. der Software und Hardware mit dem Kunden? • Werden Vorgehensweisen beschrieben. die Revidierung von nicht erfolgreichen Releases erfolgt? • Werden die Changes nach Ausbringung eines Releases auf dem aktuellem Stand gehalten? .72 Configuration-Management ITIL-Zertifizierung nach ISO/IEC 20000 • Sind Schnittstellen zur Anlagenbuchhaltung vorhanden? • Existiert eine Begriffsabgrenzung eines Konfigurationselements (CI) und deren zugehörigen Komponenten? • Werden durch das Configuration-Management Mechanismen zur Identifikation. die alle Changes hinsichtlich ihrer Aussicht auf Erfolg prüfen.B. des Kompetenz.und Schulungsbedarfs? • Erfolgt eine Weitergabe der veränderten Ergebnisse an alle Mitarbeiter des IT-Bereichs? Release-Management • Existiert eine Politik.

Die Prozessmanager müssen den jeweiligen Prozess beschreiben und berichten. kann der Zertifizierungsprozess eingeleitet werden.4 Zertifizierungsprozess Sind die Anforderungen des Standards ISO/IEC 20000 umgesetzt. Das interne Audit dauert normalerweise zwei bis drei Tage [Boc06. 233].3. Sämtliche erforderlichen . 255ff. dafür jenes Beratungsunternehmen zu beauftragen. Es wird überprüft. S.Eine Darstellung des Standards und des Zertifizierungsprozesses 73 Assessment Maßnahmenplan Entscheidung Prozessumsetzung Internes Audit vor der Zertifizierung Erforderliche Korrekturen Korrekturmaßmahmen Zertifizierungsaudit Zertifikat Abbildung 2. bei dem erforderliche Korrekturen identifiziert werden sollen. Dieser beinhaltet die interne Auditierung und entsprechende Korrekturmaßnahmen unmittelbar vor der Zertifizierung sowie den eigentlichen Zertifizierungsaudit und die weitere Vorgehensweise im Anschluss daran. was bereits umgesetzt ist. ob die Anforderungen des Standards ISO/IEC 20000 verstanden. gemessen und regelmäßig analysiert. Das interne Audit stellt einen letzten Check vor der Zertifizierung dar. Der Prozess wird in Abbildung 2. um noch rechtzeitig entsprechende Maßnahmen einleiten zu können. umgesetzt und gelebt werden. das bereits das Assessment durchgeführt hat. Es ist zu empfehlen. Es sind Besprechungsräume zu reservieren und sämtliche Dokumente zur Verfügung zu stellen. um deren Folgen auf bestimmte IT-Tätigkeiten und Geschäftstätigkeiten zu überwachen? • Erfolgt eine Zuordnung von Incidents zu den entsprechenden Releases? • Wie funktioniert die Zusammenarbeit mit dem Change-Management? ([Boc06. wie die Umsetzung des Management-Systems.5: Der Weg zum Zertifikat. Quelle: Eigene Darstellung in Anlehnung an [Boc06]. S.]) 2. • Werden Erfolge und Misserfolge von Releases bewertet.5 dargestellt. In Gesprächen mit dem IT-Management werden grundsätzliche Dinge geklärt.

252f. S. und zum anderen wird die Umsetzung aller Anforderungen des Standards ISO/IEC 20000 überprüft. Es sollte genügend Zeit eingeplant werden. um die Korrekturmaßnahmen. ob der Prozessmanager den Prozess auch wirklich versteht.]. S. S. dass Prüfungsunternehmen keine Beratungsleistungen anbieten dürfen. 239].]. Es empfiehlt sich.]. 17f. Die Unterlagen dazu sind bei der Zertifizierungsstelle anzufordern.19f. 240f. beispielsweise durch die Teilnahme an einem ITIL-Foundation-Kurs [Boc06. Sobald der zeitliche Ablauf mit der Zertifizierungsstelle abgestimmt ist. Zum Abschluss trägt der Zertifizierer seine Erkenntnisse vor und gibt bekannt. die geprüften Zertifizierungsstellen das Recht übertragen. S. Die Zertifizierungsstelle trifft dann anhand dieses Vorschlags und der Protokolle des Audits eine Entscheidung [Boc06. Desweiteren wird er gesondert auf der Internetseite der Zertifizierungsstelle gelistet. Im Anschluss daran wird für jeden Prozess eine Befragung des zuständigen Prozessmanagers durchgeführt. Dabei wird zum einen kontrolliert. dass die Prozesse im Unternehmen auch gelebt werden und eine kontinuierliche Weiterentwicklung und Verbesserung nach dem KVP-Ansatz erfolgt.]. Das Zertifikat hat eine Gültigkeit von drei Jahren. um die Unabhängigkeit zu gewährleisten. Dieser Projekterfolg sollte durch professionelles Marketing bekannt gemacht werden. Es folgt ein Interview mit der IT-Führung hinsichtlich der Anforderungen an das Management-System und den kontinuierlichen Verbesserungsprozess. die für eine erfolgreiche Zertifizierung zwingend erforderlich sind.74 ITIL-Zertifizierung nach ISO/IEC 20000 Prozessaufzeichnungen und Dokumente werden überprüft. Die Anmeldung zur Zertifizierung sollte mindestens vier Monate vor dem geplanten Termin erfolgen. . 270f. Insofern ist nach der Zertifizierung besonders wichtig. Jährlich werden zudem Überwachungsaudits durchgeführt [SMF06. Organisationen nach ISO/IEC 20000 zu zertifizieren [SMF06. Bei einem einführenden Gespräch mit allen Teilnehmern verschafft sich der Zertifizierer einen Überblick über die Aufgaben und Tätigkeiten und erklärt den Ablauf der Zertifizierung. Es müssen Angaben zum Unternehmen und dem zu zertifizierenden Bereich gemacht werden und es ist ein Termin aus den Vorschlägen der Zertifizierungsstelle auszuwählen. Der Zertifizierungsaudit wird durch eine offizielle Zertifizierungsstelle (Registered Certificated Body) durchgeführt. S. was bis zur Zertifizierung noch umgesetzt werden muss. S. und er ist ermächtigt. In Deutschland zählt beispielsweise die TÜV SÜD Management Service GmbH zu den offiziellen Zertifizierungsstellen. Spätestens einen Monat vor der Zertifizierung sind sämtliche erforderlichen Unterlagen bei der Zertifizierungsstelle einzureichen.]. das offizielle Zertifizierungslogo zu verwenden. Bei erfolgreicher Zertifizierung erhält der IT-Service-Provider das Zertifikat. Dies kann durch eine regelmäßige Erfassung und Überprüfung der für die Prozesse etablierten Kennzahlen sichergestellt werden [Boc06. des Assessments. sind die Räumlichkeiten vorzubereiten und die Anwesenheit aller erforderlichen Personen ist sicherzustellen. Die Mitgliedsländer der International Organization for Standardization (ISO) verfügen über nationale Akkreditierungsstellen. Danach findet ein Wiederholungsaudit statt. ob er der Zertifizierungsstelle die Ausstellung des Zertifikats vorschlägt. Als Ergebnis erhält man einen Maßnahmenplan. Der Ablauf des Zertifizierungsaudits ähnelt dem des internen Audits bzw. die Mitarbeiter durch Schulungen und Bewusstseinsbildung auf die Zertifizierung vorzubereiten. Dabei ist zu beachten. bis zum Zertifizierungsaudit durchführen zu können [Boc06.

]. den Zielen und Strategien sowie von ihrer eigenen Rolle im Unternehmen entwickeln. Wenn sich ein Unternehmen an die Vorgaben des Standards ISO/IEC 20000 hält. Aktionären. Der Standard ISO/IEC 20000 stellt hohe Anforderungen an Unternehmen und Prozesse.4 Beurteilung der Zertifizierung Der IT-Service spielt bei der Kundenbetreuung eine wichtige Rolle. S. wie zum Beispiel das Incident-Management. 269]. Das Zertifikat kann als Marketing-Instrument verwendet werden. dass die IT-Mitarbeiter durch die intensive Beschäftigung mit dem Thema ein besseres Verständnis von den Prozessen. um die Reputation am Markt zu erhöhen und damit die Wettbewerbsfähigkeit zu steigern. Voraussetzung für die Zertifizierung ist allerdings. die zunächst keine Zertifizierung anstreben. Der im Standard beschriebene kontinuierliche Verbesserungsprozess bietet die Möglichkeit. Allerdings ist bis zum Erhalt des Zertifikats ein langer Weg zurückzulegen. Mitarbeitern und öffentlichen Einrichtungen wird eine breite Vertrauensbasis geschaffen. Es bilden sich eine gemeinsame Sprache und ein einheitlicher Kenntnisstand von den Prozessabläufen. stellt der Standard ISO/IEC 20000 eine wertvolle Informationsquelle und Leitlinie dar. Das ist insbesondere für Unternehmen relevant. die Servicequalität regelmäßig zu überprüfen und ständig weiterzuentwickeln. Zum Nachweis der Einhaltung dieser Vorschriften fordern Wirtschaftsprüfer bislang keine Zertifizierung für bestimm- . Kreditgebern. Durch Effizienzsteigerungen können die Kosten für die eingesetzten Systeme reduziert werden. Mit der Zertifizierung nach ISO/IEC 20000 durch eine offizielle unabhängige Zertifizierungsstelle kann somit eine hohe Servicequalität objektiv nachgewiesen und den Kunden gegenüber belegt werden. die ITIL-erfahren sind. Dies gilt auch für Unternehmen. dass seine IT-Dienstleistungen eine hohe Qualität besitzen. Dies gilt insbesondere für Unternehmen. kann es sicher sein. Besonders auf das IT Service Management und die IT-Services beziehen sich viele der Vorschriften. Zu nennen ist das SarbanesOxley-Gesetz und das HIPAA-Gesetz (Health Insurance Portability and Accountability Act) von 1996 aus den USA. Gegenüber Kunden. um dieses Ziel zu erreichen. die ihr Handeln und Vorgehen auf die ITIL-Prinzipien abgestimmt haben und sich bei der Implementierung der Prozesse des IT Service Managements auf die ITIL-Richtlinien berufen. Unternehmen müssen die Einhaltung einer Vielzahl behördlicher Vorschriften und Regelungen nachweisen. Es ist ein großer Aufwand zu betreiben.Eine Darstellung des Standards und des Zertifizierungsprozesses 75 2. 268f. das Change-Management oder das ConfigurationManagement. fallen auch langfristig Aufwände an. Eine Vielzahl von Unternehmen beschränkt sich bei der Einführung von ITIL auf nur wenige Prozesse. dass die IT-Dienstleistungen effizient gesteuert werden und den Kundenbedürfnissen angepasst sind. Auch für Unternehmen. S. Aufgrund der Aktualität der Thematik gilt ein zertifiziertes Unternehmen zudem als besonders innovativ [Boc06. Die unabhängige Beurteilung des Reifegrads der Prozesse und des Service Managements bildet eine Orientierungshilfe und die Grundlage für den kontinuierlichen Verbesserungsprozess [Boc06. dass alle vorgegebenen Prozesse im Unternehmen umgesetzt sind. wie sich in den vorangegangenen Kapiteln gezeigt hat. Die Umsetzung der Anforderungen des Standards ISO/IEC 20000 führt dazu. Firmenintern hat die Zertifizierung zur Folge. Und da das Zertifikat nur eine begrenzte Gültigkeit besitzt. die das Outsourcing und die Verwaltung und von IT-Services anbieten.

Vor der Zertifizierung wird ein interner Audit durchgeführt. 5]. S. die Konformität mit dem ITIL Rahmenwerk objektiv zu belegen. Die vorliegende Arbeit bezieht sich primär auf das Buch „ITIL Zertifizierung . 2. Der in der Arbeit dargestellte Fragenkatalog dient als Hilfestellung bei der Prozessumsetzung. Abweichungen von diesen Erläuterungen der Best Practices sind erlaubt. Der Code of Practice des Standards stellt Leitlinien und Empfehlungen zur Umsetzung der Anforderungen zur Verfügung. Aufgrund seines Bezugs zur Qualität des IT Service Managements bietet sich der Standard ISO/IEC 20000 als internationaler Standard zur Überprüfung der Einhaltung behördlicher Vorschriften im Rahmen von Wirtschaftsprüfungen an [BMC06. bringt die Umsetzung des Standards eine Reihe von Vorteilen mit sich. Bei der Auftragsvergabe im IT-Sektor wird eine Zertifizierung nach ISO/IEC 20000 zunehmend zur zwingenden Voraussetzung. Daneben erhöht sich die Reputation des Unternehmens am Markt. Da in der Geschäftspraxis dieser Nachweis der Servicequalität zunehmend vorausgesetzt wird. umgesetzt und gelebt werden. dass effiziente ITServices angeboten werden. die keine Zertifizierung anstreben.76 ITIL-Zertifizierung nach ISO/IEC 20000 te Standards und Normen. die den Kundenbedürfnissen entsprechen. die Planung und Implementierung des Service-Managements. kann der Zertifizierungsaudit durchgeführt werden. Trotz des hohen Aufwands wird sich daher für viele IT-Service-Anbieter die Zertifizierung nach ISO/IEC 20000 lohnen. Erfüllt der IT-Service-Anbieter sämtliche Voraussetzungen. Dies erfolgt durch eine offizielle Zertifizierungsstelle in Form von Interviews. Und auch für Unternehmen. Unternehmen. Der Standard definiert verbindliche Vorgaben für das IT Service Management. das Service Reporting. die sich aufgrund einer Kosten-Nutzen-Analyse gegen die Zertifizierung und den damit verbundenen Wettbewerbsvorteil entscheiden. das Information-Security-Management. wird dadurch die Wettbewerbsfähigkeit gesteigert. Die praktische Umsetzung der Anforderungen ist abhängig von den gegebenen Rahmenbedingungen sowie der Unternehmensstrategie und den Zielen. die für eine Zertifizierung vollständig umgesetzt werden müssen. ob die Anforderungen des Standards ISO/IEC 20000 verstanden. Es sind neben den auf ITIL basierenden Prozessen das Management-System. Sind die Korrekturmaßnahmen umgesetzt.5 Fazit Die Zertifizierung nach dem Standard ISO/IEC 20000 bietet IT-Dienstleistern die Möglichkeit. Ein offizielles Prüfsiegel nach international anerkannten Standards ist wohl der beste Qualitätsnachweis gegenüber den Kunden. das Business-Relationship-Management sowie das Lieferanten-Management umzusetzen. Durch eine erfolgreiche Zertifizierung wird nachgewiesen. Die Entscheidung für eine Zertifizierung nach ISO/IEC 20000 sollte auf der Grundlage einer Standortbestimmung des IT-Bereiches und eines dabei erarbeiteten Maßnahmenplanes mit notwendigen Korrekturen getroffen werden. können den Standard in Ergänzung zu ITIL als Leitlinie zur Verbesserung ihrer IT-Services nutzen [ISM06]. so dass das IT Service Management individuell ausgestaltet werden kann. Dabei wird überprüft. wird ein Zertifikat ausgestellt. um letzte erforderliche Anpassungen zu identifizieren. Die Zertifizierung nach ISO/IEC 20000 wird sich für viele IT-Service-Anbieter trotz des hohen Aufwands lohnen.

Eine Darstellung des Standards und des Zertifizierungsprozesses 77 nach BS 15000/ISO 20000“ von den Autoren Wolfgang Bock. Zeewolde / Niederlande 2008. Zeewolde / Niederlande 2008. • Implementing ISO/IEC 20000 Certification . Dies liegt daran. 2008.Eine Einführung für Manager und Projektleiter. H. Dpunkt Verlag. Andenmatten.. Düsseldorf 2008. deren Veröffentlichung noch aussteht: • ISO 20000 . itSMF. / Schmidt. 1. Auflage.An Introduction. Symposion Publishing. itSMF. Van Haren Publishing.The Roadmap. Dohle. 1. R.. .Praxishandbuch für Servicemanagement und IT-Governance. Auflage. M. Für Interessierte an weiterer Literatur sind wir bei unserer Recherche auf folgende Bücher gestoßen. • ISO/IEC 20000 . • ISO 20000 . Thomas Oberndorfer und Robert Pumsenberger und auf den Standard ISO/IEC 20000 selbst. dass zum Zeitpunkt der Erstellung der Arbeit noch keine weitere einschlägige Literatur zur Verfügung stand. 1. Van Haren Publishing. Günter Macek. Auflage.

78 ITIL-Zertifizierung nach ISO/IEC 20000 .

1.pdf [21. Zeewolde / Niederlande 2006. URL: http://www. G. W. Van Haren Publishing.bmc. 1.de/ itmanagement. Auflage. 1. [Cod05] International Organization for Standardization / International Electrotechnical Commission: ISO/IEC 20000-2: Code of practice.nsf/5438155EE69CF678C125728B0042967B/$File/ it-service-management_iso_20000. Geneva / Schweiz 2005. 1.01. / Pumsenberger. Auflage.08]. [ISM06] Competence Site. R.competence-site.01. [Spe05] International Organization for Standardization / International Electrotechnical Commission: ISO/IEC 20000-1: Specification.com/products/ documents/49/66/64966/64966.Auflage. Geneva / Schweiz 2005.Das Taschenbuch. [SMF06] The IT Service Management Forum: ISO/IEC 20000 . URL: www. T.08].08]. / Macek. Galileo Computing. 79 . Bonn 2006.pdf [21.01.com [15. http://documents.: ITIL Zertifizierung nach BS 15000 / ISO 20000.gartner.Literaturverzeichnis [BMC06] BMC Software. / Oberndorfer. Auflage. [Gar06] Marktforschungsunternehmen Gartner. [Boc06] Bock.

80 ITIL-Zertifizierung nach ISO/IEC 20000 .

Zudem bietet es die Chance das Thema Sicherheit stärker in den Fokus zu rücken und diesbezüglich die 81 . dass in der Vergangenheit keine Sicherheitsvorfälle erkannt wurden. Michael Bochenek. dass keine Vorlagen oder die Sicherheitsmaßnahmen ausreichend sind. Bedingt durch die gestiegene Verwundbarkeit und Gefahr wirtschaftlicher Schäden haben sowohl Handlungsdruck als auch Anforderungen an ein effizientes IT-Security Management zugenommen. die erfolgreich implementiert worden sind und einen Großteil des Aufgabenspektrums abdecken.und Kommunikationstechnik (IT). S. Trotz dieser Entwicklung herrscht in vielen Fällen eine weit verbreitete Fehleinschätzung über den eigenen Schutzbedarf bei den Unternehmen. Im gleichen Maße gilt dies für Prozesse der Informations. bedeutete nicht. Im Zuge sinkender IT-Budgets werden Maßnahmen nur noch implementiert.1 Einleitung Sicherheit und Schutz sind Grundbedürfnisse der Menschheit. nehmen ebenso Gefahren und Risiken für Informationstechnologien zu. sofern sie die Produktivität der Geschäftsprozesse erhöhen oder einen Wettbewerbsvorteil generieren. 6] Unternehmen suchen oftmals nach praxisbewährten Lösungen. Dies bietet einerseits die Möglichkeit Informationssicherheit vorteilhafter in die ITProzesse zu integrieren und andererseits eine bessere Arbeitsverteilung zwischen IT-Bereich und Security Management zu ermöglichen. Tim Kattner 3.Kapitel 3 ITIL und IT-Sicherheit Synergien zwischen Security Management und Service Support nutzen Björn Borgmeier.[Bsi07. Die Bedrohungen sind vielfältiger Art und reichen von Wirtschaftsspionen und Hackern über Viren bis hin zu eigenen Anwendern. sondern ein dynamischer Prozess. Die Tatsache alleine. Während in Zeiten immer größere Vernetzung die Komplexität und Abhängigkeit von der IT stetig wächst. IT-Prozesse gemäß ITIL neu zu entwickeln bzw. Security Management ist kein statischer Zustand. Der momentane Trend geht dazu. Eine solche Best Practice Lösung ist ITIL. zu restrukturieren.

wird zunächst der Begriff Informationssicherheit definiert und die einzelnen Dimensionen der Informationssicherheit vorgestellt. Geraten wichtige Informationen in die falschen Hände.[Bru06. indem die für den weiteren Verlauf notwendigen Begrifflichkeiten des Security Managements erörtert werden. 2 AktG) nicht mehr nur Aufgabe der IT-Abteilung ist. der operativen Ebene beschrieben wird.1 Informationssicherheit Oftmals sind es bestimmte Informationen oder fachspezifisches Know-how. Da die IT-Sicherheit unter anderem bedingt durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (§ 91 Abs. Das dritte Kapitel stellt den Hauptteil der Arbeit dar. 3.2 Grundlagen des IT-Security Management Das nachfolgende Kapitel stellt eine Einführung in den Bereich des Security Managements dar. Ein IT-System gilt als sicher. 346] geprägt. 12].82 ITIL und IT-Sicherheit Akzeptanz seitens der Unternehmensleitung zu erhöhen. Nachdem Ziele und Aufgaben des Security Managements präsentiert werden. welche durch die drei Dimensionen Verfügbarkeit. S. . einen kurzen Überblick über das Thema IT-Sicherheit zu liefern. 347] Es handelt sich bei diesen Bedrohungen um unbefugten Informationsgewinn. Vertraulichkeit und Integrität gekennzeichnet ist. 3. das den Unternehmen auf den hart umkämpften Märkten einen Wettbewerbsvorteil gegenüber ihren Konkurrenten verschafft. Die vorliegende Arbeit gliedert sich dabei in vier Kapitel.2. werden zusätzlich gesetzliche Anforderungen und Vorschriften an die Informationssicherheit und den Datenschutz vorgestellt. sofern es den drei Grundbedrohungen jeder Informationsverarbeitung Stand hält. S. Ziel dieser Arbeit soll es zum einen sein. Der Begriff IT-Informationssicherheit ist stark durch die Sicht der Verlässlichkeit [Die04. Hier werden die einzelnen Prozesse des Service Supports kurz vorgestellt und anschließend die sich bietenden Synergieeffekte mit dem Security Management aufgezeigt. findet das Kapitel seinen Abschluss mit einer Einordnung des Security Managements in ITIL. dafür Sorge zu tragen [Köh06. Hierbei stehen nicht die konkreten Maßnahmen des Security Managements im Vordergrund. S. Vertraulichkeit. S. aber vor allem sollen die positiven Effekte des Zusammenwirkens von IT-Security und IT-Service Management aufgezeigt werden.[Die04. Einen Abschluss findet die Arbeit in einem kurzen Fazit und der Zusammenfassung der gewonnenen Erkenntnisse. 204]. unbefugte Veränderung der Funktionalität und unbefugte Modifikation. sondern auch die Unternehmensleitung gesetzlich verpflichtet ist. Vorwort des Verfassers] Aus diesem Grund kommt der Sicherung und dem Schutz dieser Informationen und deren Systemen eine hohe Bedeutung zu. Unbefugter Informationsgewinn geht einher mit dem Verlust der Vertraulichkeit. welches exemplarisch am Beispiel des Service Supports. sondern ein prozessorientiertes Vorgehen. Um eine Diskussionsgrundlage für die weiteren Kapitel zu schaffen.[Bsi05. Nach der Einleitung folgt ein Grundlagenkapitel.

dass bewusste Veränderungen an Informationen vorgenommen wurden. Die Etablierung redundanter Einheiten (Backup Server. S. gibt es diverse Möglichkeiten. beweisbar. Korrektheit und Unverfälschtheit der Informationen zu gewährleisten. wie es bspw. die zusammen die Sicht der Beherrschbarkeit bilden. Löschen von Daten durch unbefugte Personen. 14] Verfügbarkeit.) sind die bereits vorgestellten Hauptmerkmale der Informationssicherheit (Integrität. . wie etwa Robustheit. 208] Ebenso ist denkbar. Um diesem Datendiebstahl/ -missbrauch entgegen zu wirken. Auch in diesem Fall sind eine restriktive Vergabe der Nutzungsrechte und Zugangskontrollen Alternativen.Synergien zwischen Security Management und Service Support nutzen 83 kann dieses schwerwiegende wirtschaftliche Schäden nach sich ziehen. Sabotage der Verarbeitungsprozesse und Zerstörung bzw. Verfügbarkeit. geht verloren.). sondern die Sicherheit der Betroffenen (Schutz vor dem System) im Vordergrund. um die Vollständigkeit.[Die04. Programme oder Geräte unerlaubt verändert bzw. Im Zeitalter des Internets und der damit verbundenen Nutzung für Rechtsgeschäfte (Online-Banking. S. die er für seine tägliche Arbeit benötigt. Es handelt sich hierbei um Zurechenbarkeit und Rechtsverbindlichkeit/Revisionsfähigkeit. Flexibilität oder Beobachtbarkeit. modifiziert. MalWare1 tut. Das Security 1 Als Malware bezeichnet man Computerprogramme. wenn die Funktionalität unbefugt oder durch technisches Versagen gestört wird. Integrität. PIN. Wartbarkeit. etc. Werden sensible Daten. Mögliche Indikatoren für eine solche gestörte Verfügbarkeit sind der Ausfall der Informationsverarbeitung. Zurechenbarkeit und Rechtsverbindlichkeit)2 können auch als Qualitätsmerkmale eines IT-Systems verstanden werden. schädliche Funktionen ausführen. Die fünf vorgestellten Dimensionen der Informationssicherheit (Vertraulichkeit. 249] Ist es möglich Daten oder Vorgänge einem Verursacher oder eine auslösende Instanz eindeutig zu zuordnen und sind diese darüber hinaus von unabhängigen Personen oder Instanzen nachvollziehbar bzw. Neben der Verlässlichkeit schützenswerter Informationen hat in der jüngeren Vergangenheit auch deren Beherrschbarkeit mehr und mehr an Bedeutung gewonnen. Integrität. etc. angefangen bei der Nutzung sicherer Informationskanäle über Verschlüsselungsalgorithmen bis hin zur Schaffung von Zugangsbarrieren (Passwörter. wenn Informationen unbewusst falsch verarbeitet oder verfälscht werden.[Köh06. so sind Zurechenbarkeit sowie Rechtsverbindlichkeit gewährleistet. um diesem entgegen zu treten.) oder die Verschärfung der Zugangsrestriktionen für Unbefugte sind zwei von mehreren Optionen. Stabilität. welche vom Benutzer unerwünschte und ggf. so tritt eine Beeinträchtigung oder der Verlust der Integrität ein. S. Ein solcher Verlust der Integrität liegt bspw. Obendrein sollte in diesem Zusammenhang nach dem sogenannten „Need-toknow-Prinzip“ verfahren werden. vor.[Bsi07. E-Commerce.. Dabei steht nicht die technische Sicht (Sicherheit der Systeme). Vertraulichkeit und Verfügbarkeit) deshalb um zwei Dimensionen zu erweitern. 2 Neben diesen fünf Dimensionen wurden in der letzen Zeit eine Reihe weiterer möglicher Dimensionen diskutiert. etc. Die Verfügbarkeit eines DV-Systems ist gefährdet bzw. nach dem jeder Benutzer (auch der Administrator) lediglich die Berechtigungen (Zugriffe auf Datenbestände und Programme) erhält.

wenn es aufgrund eines nicht angemessenen IT-Sicherheitsniveaus zu wirtschaftlichen Schäden kommt. Kommt der Vorstand dieser Forderung nicht nach. 4 HGB) Des Weiteren verpflichtet § 317 Abs. 2 HGB Abschlussprüfer zu prüfen. welche betroffen sein kann. ist der Paragraph 43 Abs. welches verschiedene Gesetze wie das HGB oder AktG ändert bzw. Der Umgang mit personenbezogenen Daten wird in den Datenschutzgesetzen des Bundes und der Länder geregelt. Für bestimmte Berufsgruppen. um den Fortbestand der Unternehmung zu gewährleisten. Gemäß § 91 Abs. wie Ärzte. 2 AktG) Der Geltungsbereich dieser Vorschriften erstreckt sich auch auf das HGB. ein unternehmensweites Früherkennungssystem für Risiken (Risikomanagement) einzuführen und zu betreiben sowie Aussagen bzgl. Risiken und Risikostruktur des Unternehmens im Lagebericht des Jahresabschlusses der Gesellschaft zu veröffentlichen. wenn vertrauliche Daten ihrer Patienten oder Klienten ohne deren . insbesondere ein Überwachungssystem einzurichten.und Haftungsverpflichtungen für die Unternehmung (vor allem für die Geschäftsleitung) ableiten lassen. ist das Ziel des Datenschutzes die freie Entfaltung der Persönlichkeit. Vorschriften und Standards Ein IT-Sicherheitsvorfall kann nicht nur wirtschaftliche Schäden nach sich ziehen.2 Gesetzesanforderungen. Verwendung und Weitergabe seiner persönlichen Daten sichergestellt sein. ergänzt. diese Qualitätsmerkmale entsprechend der jeweiligen Anforderungen zu gewichten und anhand definierter Kriterien auf allen Unternehmensebenen umzusetzen. Aus diesem Grund soll in diesem Abschnitt kurz auf die gesetzlichen Anforderungen und Vorschriften an die IT-Sicherheit sowie Standards. Eine weitere Regelung.2. Kern des KonTraG ist eine Vorschrift.84 ITIL und IT-Sicherheit Management sollte bestrebt sein. welche das IT-Security Management betreffen. so haftet er persönlich. die die Unternehmensleitungen von Kapitalgesellschaften dazu zwingt. 9] 3. 1 des GmbHG. eingegangen werden. sondern es bestehen mittlerweile auch gesetzliche Regelungen. muss ein Schutz des Einzelnen vor Erhebung. dass der Aufwand für die Implementierung im Verhältnis zum Nutzen stehen muss. ob die Risiken auch zutreffend dargestellt werden. Damit liegt der Wirkungskreis des Datenschutzes in der Sicherstellung der informellen Selbstbestimmung des Einzelnen. Es gibt eine Reihe von Rechtsvorschriften. wonach für die Geschäftsführung die „Sorgfalt eines ordentlichen Geschäftsmannes“ gilt. die sogar Freiheitsstrafen vorsehen. Anwälte oder Angehörige sozialer Berufe. 210] Um dies zu gewährleisten. Dieses Gesetz ist ein sogenanntes Artikelgesetz. Vertraulichkeit und Integrität von Daten im Vordergrund steht.(§ 93 Abs. S. 2 des Aktiengesetzes hat der Vorstand einer Aktiengesellschaft geeignete Maßnahmen zu ergreifen. damit gefährdende Entwicklungen früh erkannt werden. In Verbindung mit anderen gilt dies insbesondere für das Gesetz zur Kontrolle und Transparenz in Unternehmensbereichen (KonTraG). Während bei der Datensicherheit die Gewährleistung der Verfügbarkeit. Dabei darf jedoch nicht außer Acht gelassen werden.[Bru06.(§ 317 Abs.[Köh06. S. gibt es im Strafgesetzbuch Sonderregelungen. Speicherung. welche die verantwortlichen Personen einer Unternehmung zur Rechenschaft ziehen. Dies umfasst ebenfalls IT-Risiken. aus denen sich Handlungs.

2. die Informationssicherheit zu gewährleisten. die helfen sollen. In kompakter Form werden eine Zusammenfassung der wichtigsten Sicherheitsmaßnahmen sowie Praxisbeispiele und Checklisten geliefert. in denen die IT-Infrastruktur hinter sicheren Mauern vor den Blicken der Umwelt geschützt war und einige wenige Sicherheitsmaßnahmen genügten. Wartung und Überwachung detailliert dargestellt.“[Vog02.3 Bereits einen fahrlässiger Umgang mit der Informationstechnik (z. Der ISO/IEC 27001:2005 dagegen beschreibt den Aufbau eines Information Security Management Systems (ISMS) und referenziert im Anhang auf die Maßnahmen. durch unsichere Passwörter oder ungeeignete Verschlüsselungsalgorithmen) kann unter Umständen diesen Tatbestand erfüllen. auf Basis dessen im späteren Verlauf der ISO/IEC 17799:2005 entwickelt wurde. Neben den Gesetzesanforderungen und Vorschriften gibt es zugleich diverse Standards (BS/ISO). auch die Wirtschaft fragt dieses immer stärker nach. Diese können dann mit den Security Baselines verglichen werden. um die Datensicherheit zu gewährleisten.Synergien zwischen Security Management und Service Support nutzen 85 Zustimmung an die Öffentlichkeit gelangen. 3. die Notfallplanung. woraufhin das Bundesamt für Sicherheit in der Informationstechnik (BSI) das IT-Grundschutzhandbuch herausgab und später zu den IT-Grundschutzkatalogen weiter entwickelte. die Arbeit des Security Managements sinnvoll zu strukturieren. ebenfalls herausgegeben vom BSI. Dabei beschreibt das IT-Grundschutzhandbuch die Vorgehensweise von der Erstellung eines Sicherheitsprozesses über die Implementierung bis hin zur Definition der konkreten Aufgaben. die oben angesprochenen gesetzlichen Vorgaben zu erfüllen. Einer der ersten dieser Art war der britische Standard BS 7799. die durch den ISO/IEC 17799 detailliert beschrieben werden. B. Genau wie die Urfassung des britischen Standards beruht der ISO/IEC 17799 auf einem Best Practice Ansatz. Verbesserung. sind längst vorbei. In der heutigen Zeit wird das Grundschutzhandbuch nicht nur in Behörden angewandt. „Sicherheit ist heute mehr als das Abschlie[ß]en von Serverräumen und die peinlich genaue Beachtung von Passwortregeln. 213] Der große Vorteil der ISO-Standards ist die internationale Akzeptanz und damit besonders für global agierende Unternehmen von Bedeutung. die übergeordnete Prozesse und Verfahren. wie z. deren Ziel es ist. Eine weniger detaillierte Darstellung liefert der Leitfaden zur IT-Sicherheit. Diese enthalten Gefährdungs. S. S. Erhaltung. In seiner aktuellsten Version wurde es mit dem ISO/IEC 27001:2005 kompatibel gemacht. Weiterhin werden sogenannte Bausteine beschrieben. Jeder Baustein beschreibt ein Szenario. B. weist ihm Gefährdungen zu und leitet daraus Maßnahmen ab.3 Ziele und Aufgaben des IT-Security Management Die Zeiten.[Bru06. 270] Die Anforderungen an das Security 3§ 203 StGB. die so genannte Schweigepflicht . Dabei werden Anforderungen an ein dokumentiertes Informationssicherheits-Managementsystem im Hinblick auf Implementierung. Auch in Deutschland hat man sich dieser Thematik angenommen.und Maßnahmekataloge. ITSecurity Management und Organisation darstellen. welcher die Aufstellung von Maßnahmen umfasst. welche das IT-Security Management thematisieren und es unter anderem ermöglichen sollen.

[Köh06. Security Policy. 210] Während der Datenschutzbeauftragte den Schutz personenbezogener Daten als Ziel verfolgt. liegt es im Interesse des Sicherheitsbeauftragten diese Informationen möglichst detailliert zu erfassen. um einem Missbrauch vorzubeugen oder für den Fall eines Missbrauchs die Nachvollziehbarkeit zu ermöglichen. Viren oder Datendiebstahl ergriffen werden können. das IT-Grundschutzhandbuch des BSI geeignete Anhaltspunkte. Beide vertreten unterschiedliche Auffassungen im Hinblick auf die Protokollierung persönlicher Zugriffe von Mitarbeitern. Ferner werden auch Sicherheitsrichtlinien in der Policy definiert und festgehalten. Zudem ist bei der Erstellung mit dem Auftreten von Interessenskonflikten zwischen den jeweiligen Prozessverantwortlichen zu rechnen. sind zunächst die Anforderungen an die jeweiligen Prozesse zu ermitteln und in Form konkreter Sicherheitsziele zu definieren. 4 Englischer Begriff für IT-Sicherheitspolitik . S. Verantwortung und Rechte der einzelnen Rollen • Beschreibung der Sicherheitsstufen für Daten und DV-Verfahren • Verfahren bei Sicherheitsverstößen • Berichtswesen und Abstimmungsverfahren • Datenschutz und Fernmeldegeheimnis Bei der Ausarbeitung der Security Policy ist große Sorgfalt geboten. Für die konkrete Ausgestaltung der Sicherheitsrichtlinien liefert bspw. Ziele und Maßnahmen des Security Managements vorgestellt werden. 203] Aus diesem Grund sollen im Folgenden Anforderungen. Bevor Maßnahmen zum Schutz der IT-Infrastruktur vor potenziellen Bedrohungen. S. zwischen Datenschutz.und Sicherheitsbeauftragten. S. Mit ihr wird die Basis für ein effizientes und funktionierendes Security Management gelegt. erheblich zugenommen.[Köh06. Neben den langfristigen Sicherheitszielen beinhaltet sie die Personalverantwortlichkeiten und Sicherheitsstufen für die jeweiligen Prozesse und Daten eines Unternehmens. Dennoch sollte sie dabei nicht mit den Unternehmenszielen konfligieren.86 ITIL und IT-Sicherheit Management haben in unserer heutigen hochtechnisierten und auf den eigenen Vorteil ausgerichteten Welt. 210]) • Sicherheitsziele • Zweck und Geltungsbereich • Personalzuständigkeit und Rolle • Aufgaben. bspw. Elementarer Baustein innerhalb des Security Managements ist in diesem Zusammenhang die Security Policy 4 . wie etwa Hackerangriffen. In der Regel umfasst die Security Policy folgende Aspekte: ([Köh06.

dass die Ressourcen des Security Management optimal verteilt werden können. Geschäftsleitung Security Policy IT-SicherheitsManagement Informations und Prozesssicherheitsstandards Fachbereiche Datensicherheit Sicherheitsadministrator System. Neben der Behebung von Sicherheitsvorfällen reicht das Aufgabenspektrum dabei von der Auswahl adäquater Firewalls.und Anti-Malware-Programmen über die Schulung des Sicherheitsbewusstseins der Mitarbeiter bis hin zu Risikoanalysen. Für den reibungslosen Ablauf bzw. Gefahren und Auswirkungen für Geschäftsprozesse frühzeitig zu identifizieren und rechzeitig präventive 5 siehe 6 siehe dazu ausführlicher Kapitel 3. Aufgaben und Aktivitäten des Security Management. 270] Daher verfolgt das IT-Security Management als primäres Ziel. die geeignet sind. S. Vorschriften und Standards . die gesetzlichen Auflagen einzuhalten. Bei Risikoanalysen werden Betriebsmittel auf Schwachstellen und potentielle Bedrohung untersucht und diesbezüglich Bewertungen vorgenommen. die Informationssicherheit5 von Daten und Prozessen gemäß ihrer Bedeutung für die Unternehmung zu gewährleisten. das Funktionieren eines Unternehmens sind aktuelle und fehlerfreie sowie konsistente Informationen unerlässlich.2. Maßgeblich ist in diesem Zusammenhang das gesetzliche Rahmenwerk. Der Schutz der Vertraulichkeit. Zu den Maßnahmen des Security Managements zählen alle Vorkehrungen.1: Sicherheitsziele nach Hierarchieebenen. 216].2.2 Gesetzesanforderungen. aufrecht zu halten.6 Zielsetzung in diesem Kontext ist es. Eine solche Einstufung in Risikoklassen (Klassifizierung) hat den Vorteil. S. Die Risikobewertung richtet sich einerseits nach dem Schadenspotenzial und zum anderen nach der Bedeutung für das Unternehmen.1 IT-Informationssicherheit dazu ausführlicher Kapitel 3. [Vog02. Quelle: [Köh06. den durch die definierten Ziele vorgegebenen Sicherheitsgrad zu erreichen bzw.und Netzwerksicherheit Mitarbeiter im Produktionsprozess Sicherheitsbewusstsein und Sicherheitskompetenz Abbildung 3.Synergien zwischen Security Management und Service Support nutzen 87 Ziele. Neben der Datensicherheit stehen auch Aspekte des Datenschutzes im Fokus des Security Managements. Letztlich bietet eine Risikoanalyse die Möglichkeit. Verfügbarkeit und Integrität vor potenziellen Bedrohungen soll dabei auf effiziente und ressourcenschonende Weise erfolgen (Wirtschaftlichkeit). Anti-Viren.

Verbesserung der Prozesse Act Plan Do Bedrohungsanalysen. Auswahl geeigneter Software/ Tools zum Schutz vor Viren. Um solchen Anforderungen gerecht zu werden. den Prozess des Security Managements zu veranschaulichen und verdeutlicht.[Bru06. 28] Weitere wichtige Aufgaben des Security Management sind: • Durchführung von Security Audits7 • Erstellen von Management Reports zur IT-Sicherheit • Überprüfen. Dokumentation von Sicherheitsvorfällen Report Plan Security Policy. MalWare. Priorisierung. 3.4 Einordnung von Informationssicherheit und Security Management in ITIL Heutzutage sind Unternehmen und Organisationen zunehmend dem Druck ausgesetzt. Sicherheitsbewusstsein schulen/fördern. Operational Level Agreement Act Notwendige Änderungen herbeiführen. etc. S. führt kein Weg an Standardisierung vorbei.2. Security Audits. ihre IT-Prozesse zu überarbeiten und zu verbessern. dass die IT-Sicherheit kein statischer Zustand ist. wodurch 7 Security Audits sind regelmäßige Prüfungen des Softwarebestands und gleichzeitiger Abgleich mit Securitylisten. Dynamische Geschäftsprozesse und der steigende Informationsbedarf sind Auslöser zur Neustrukturierung und stellen ein Unternehmen vor Probleme in Bezug auf deren Umsetzung.Sicherheit. Service Level Agreement. wodurch Gefahren frühzeitig erkannt werden können. sondern ein dynamischer Prozess. Nicht zuletzt trägt der technologische Fortschritt in der Informationsübertragung und -verarbeitung zusätzlich dazu bei. .88 ITIL und IT-Sicherheit Maßnahmen einzuleiten.[Bsi07. S.2: Erweiterter PDCA-Zyklus des Security Management Prozesses. Würmern.Risiken und IT. 6] Report ManagementReport zu IT. Interne u. Externe Überprüfung Check Do Abbildung 3. ob die eingeführten Sicherheitsmaßnahmen eingehalten werden Die nachfolgende Abbildung dient abschließend dazu. Check Einhaltung der Security Policy überprüfen.

ob ein Security Management aufgebaut wird und gegebenenfalls werden Verantwortlichkeiten festgelegt. dritten Version (V3) kein eigenes Buch gewidmet. um eine gesamtheitliche Akzeptanz und Unterstützung zu gewährleisten. die das Top-Management betreffen.Synergien zwischen Security Management und Service Support nutzen 89 nicht nur versucht wird Geschäftsprozesse und Verhaltensweisen. Die zweite Ebene wird auch taktische Ebene genannt und dient der Qualität der Services. Das Top-Management stellt die oberste. zählen hierzu beispielsweise Datenschutz. Operative Ebene. Zudem sollte die von dem Security Management erarbeitete Security Policy an die Geschäftsleitung herangetragen werden. bilden das Service Level Agreement (SLA). Die ITIL hat sich dieser Thematik angenommen und dient als Orientierung für eine solche Prozessstandardisierung. Aus den. ergeben sich viele Chancen für einen effizienten Umgang mit sicherheitsrelevanten Ereignissen. Ein oft vernachlässigter Bereich ist in diesem Zusammenhang das Thema Informationssicherheit. sondern auch serviceorientiertes Management aneinander anzupassen. Auf ihr werden alle Prozesse des Service Delivery zusammengefasst. die strategische Ebene dar. Strategische Ebene. die die Erbringung von Serviceleistungen betreffen. Strategische Ausrichtung. also die zu erbringenden IT-Dienstleistungen. der die Verantwortung diesbezüglich trägt und Ansprechpartner der Geschäftsleitung ist. ITIL beruht auf Best Practice Ansätzen und sieht Sicherheitsaspekte als unverzichtbaren Bestandteil eines ordnungsgemäßen IT-Betriebes an. ist das Security Management. welches sich dieser Thematik widmet und versucht eine Verbindung zwischen Sicherheitsanforderungen und Geschäftsprozessen zu schaffen. Informationssicherheit betrifft alle Personen und Bereiche innerhalb einer Organisation. Das Service Level Management bestimmt die Anforderungen an das Service Delivery. Taktische Ebene. Finanzierung und Kontrollfunktion sind weitere Aufgaben. Auf ihr wird entschieden. sondern findet in Teilbereichen der fünf Buchbände Berücksichtigung. Als „IT-Infrastructure Library“ hat sich dieses Rahmenwerk als Instrument zur Planung und Umsetzung etabliert. Wie im vorigen Kapitel bereits erläutert. Ebenfalls auf dieser Ebene anzusiedeln. . vom einfachen Mitarbeiter bis hin zur Chefetage. welche in der Security Policy zusammengefasst werden. Wird diese Thematik nach ITIL eingeführt und allumfassend umgesetzt. Hier tritt der Kunde als Auftraggeber der Leistungen auf und kann über seinen Bedarf die Serviceangebote der IT-Abteilung beeinflussen. in den SLAs definierten. Auch dieser Problematik hat sich ITIL angenommen und versucht ein Leitfaden für den sicheren Umgang mit Informationen im Service Management zu sein. ITIL unterteilt deswegen seine Prozesse in drei Ebenen. gesetzliche Bestimmungen oder Sicherheitsstufen. Gegebenenfalls wird zusätzlich ein Security Officer ernannt. dessen Aufgabe es ist die gesamte Netzwerkstruktur in puncto Sicherheit zu betreuen und zu überwachen. Im Gegensatz dazu wird dem Thema Sicherheit in der aktuellen. Diese Ebene steht in direktem Kontakt mit Anwendern und verwaltet alle Wünsche. Die operative Ebene ist für die konkrete Umsetzung dieser Ziele verantwortlich und beinhaltet die Prozesse des Service Supports. Eines davon ist das Buch „Security Management“. In der Version V2 umfasst das komplette ITIL-Paket sieben Bücher. Anforderungen leiten sich Sicherheitsziele ab. Diese Vereinbarungen.

3 Security Management mit ITIL auf operativer Ebene Nachdem im vorherigen Kapitel grundlegende Aspekte.1 Service Desk Hat ein Anwender eine Anfrage oder treten Komplikationen in Bezug auf bestimmte Anwendungen oder Services auf. Auftrag oder Störfall .und Configuration Managements. Hier laufen Anfragen zusammen und es wird die Funktion des Incident Managements mit Schnittstellen zu Problem-. werden sogenannte Incidents 9 aufgenommen und bearbeitet. 13] Ein Beispiel dafür sind Änderungsanträge.90 ITIL und IT-Sicherheit Anfragen und Änderungen. konkrete Sicherheitsmaßnahmen vorzustellen.[Bmi06. Ziel dieses Kapitels ist es nicht. so dass Geschäftsleitung oder Kunden schnell und zuverlässig Informationen bereitgestellt werden können. um Überschneidungen mit dem folgenden Kapitel zu vermeiden.6 ausführlicher eingegangen wird. ist der Service Desk die erste Station. soll nun im Folgenden aufgezeigt werden. die eine Schnittstelle zwischen Anwendern und IT-Organisation bildet. auf die in Kapitel 3. Ferner soll explizit dargestellt werden.3. die zuvor bereits standardisiert wurden und nun direkt umgesetzt werden können. unterstützt das Release Management bei der Rollout-Phase oder stellt von sich aus Kontakt zu Anwendern her. ohne an entsprechendes Fachpersonal 8 Auf eine detaillierte Darstellung der operativen Ebene wird an dieser Stelle verzichtet. das BSI-Grundschutzhandbuch tut. wie es bspw. Neustrukturierung der Geschäftsprozesse nach ITIL bieten. „Faceto-Face“-Kommunikation oder wie in den meisten Fällen per Telefon. Mittels Email. Zwar sollen auch solche Aspekte angesprochen werden. Das können unter anderem triviale Fragen zu Soft. Der Mitarbeiter am Service Desk ist nun gefragt weitere Schritte zur Behebung dieser Incidents einzuleiten und Ereignisdaten in einer Datenbank zu speichern. Er ist der zentrale Anlaufpunkt einer IT-Organisation und soll eine professionelle Anwenderunterstützung garantieren. Des Weiteren übernimmt der Service Desk Routineaufgaben des Change. S. Change. Der zentrale Anlaufpunkt ist der Service Desk. 9 Englischer Begriff für unvorhergesehenes Ereignis.3. der Fokus dieses Kapitels liegt jedoch eindeutig auf der Darstellung der prozessorientierten Maßnahmenplanung.und Hardware sein oder auch Meldungen zu Produktfehlern oder Servicestörungen. wie sich diese Synergieeffekte nutzen lassen.[Bmi06. S.und Release Management etabliert. Dazu werden in den folgenden Abschnitten die einzelnen Prozesse des Service Supports kurz erläutert und anschließend die Vorteile der wechselseitigen Beziehung aufgezeigt. sondern eine Funktion.8 3. an die er gelangt. 3. Gemäß ITIL ist dies die Configuration Management Database (CMDB). 13] Über den gesamten Zeitraum der Bearbeitung kann der aktuelle Status des Incidents abgerufen und kontrolliert werden. Im Gegensatz zu den nachfolgenden Servicemanagement-Prozessen in ITIL stellt der Service Desk keinen eigentlichen Prozess dar. wie IT-Security Management oder Informationssicherheit erläutert wurden. wo sich Chancen und Möglichkeiten des Zusammenwirkens von Security Management und Service Support im Zuge der Restrukturierung bzw.

Die Bearbeitung von Störungen. in diesem Fall Security Incidents. um eine Sicherheitslücke zu schließen. Der Service Desk ist aufgrund seiner Schnittstellenfunktion auch für sicherheitsrelevante Themen zuständig.oder Hardwareinstallationen.Synergien zwischen Security Management und Service Support nutzen 91 weitergeleitet zu werden. Früher wurden dazu Bücher geführt. wie z. Aussagen darüber zu machen.3. Im Gegensatz dazu werden heutzutage moderne. um die IT-Spezialisten möglichst rasch zu alarmieren und Fehleinschätzungen vorzubeugen. diese zu verwalten und eine Übersicht über den aktuellen Status aller Incidents zu gewährleisten. bei dem je nach Qualität einer Störung eine oder mehrere Support-Stufen durchlaufen werden. bei denen mehrere Benutzer gleichzeitig auf einen Incident zugreifen können. Der Service Desk ist somit ein Teil des Security Management und sollte Anforderungen wie hohe Erreichbarkeit und Reaktionsgeschwindigkeit gerecht werden. lässt sich in mehrere Arbeitsschritte untergliedern. computergestützte Verfahren eingesetzt. B. B. Auf dem Markt erhältlich. ist das Incident Management als Teilbereich des Security Managements anzusehen. In Verbindung mit der Leistungstransparenz. S. ITIL liefert hierzu einen Prozessansatz. 17] 10 Ein Patch ist eine Korrekturauslieferung oder Nachbesserung für Software aus Endanwendersicht. Um Auswirkungen auf die Geschäftsprozesse so gering wie möglich zu halten und Imageschäden zu vermeiden. Die Mitarbeiter des Service Desk sind ein wichtiger Aspekt in diesem Prozess. Flächenstörungen) auszuarbeiten. alle Anfragen und Vorfälle schnellstmöglich zu behandeln und potentielle Fehler zu beheben. um die Behandlung einer Vielzahl von Datensätzen zu ermöglichen. sind dazu einige Softwarelösungen. bspw. Durch seine vielfältigen Anforderungen kann er allgemeine Aufgaben erfüllen und sogar spezifische Lösungen bereitstellen. welche ITIL mit sich bringt. Durch Soft. Zusammen mit dem für die Sicherheit zuständigem Management ist es ratsam Strategien zur Sensibilisierung der Mitarbeiter bei hoch sicherheitsrelevanten Vorfällen (z. Patches10 oder Updates. ist es Ziel dieses Vorgangs. Bei entsprechender Umsetzung kann der Service Desk einen großen Beitrag zu der Incidentbearbeitung leisten. die mit Ticket-Systemen arbeiten. die zentral abgelegt und nur einen Zugriff zur selben Zeit zuließen. Veränderungen von Zugriffsrechten oder auch Benutzerkonten angesprochen und bearbeitet. ob die Anzahl an Security Incidents rückläufig ist oder um wie viel Prozent diese zurückgegangen sind. da durch ihre Entscheidung Arbeitszeit und Aufwand gespart oder vergeudet wird. Da Störungen die Informationssicherheit beeinflussen können oder ein unerkannter Sicherheitsvorfall Störungen hervorrufen kann. können bestimmte Störungen schon vom Service Desk behoben werden und entlasten somit das Release Management. So werden über Security Incidents Prozesse der ITSicherheit wie Passwortvergabe. Letztendlich ermöglicht ein funktionierender Service Desk sogar die Leistung des Security Management zumindest in Teilen messbar zu machen. ermöglicht es die Erfassung von Security Incidents bspw.2 Incident Management Nachdem eine Anfrage aufgenommen wurde. . 3. [Bmi06. Jeder Incident wird dadurch einem Ticket zugewiesen und ist über eine Netzwerkverbindung jederzeit abrufbar. ist es die Aufgabe des Incident Managements. Derartige Standardprozesse können direkt vom Service Desk durchgeführt oder aber an Experten weitergeleitet werden.

die in der Vergangenheit aufgetreten sind. Anhand der vorher definierten Security Policy. Handelt es sich um ein Fehler. welche Sicherheitsziele betroffen sind. Ein weiterer Aspekt ist die Erkennung einer Störung durch ein System. Wie oben bereits erwähnt.und Serviceprozesse so gering wie möglich zu halten. Zum einen wäre da der Anwender (Kunde.92 • Erkennen und erfassen von Incidents • Klassifizierung und Erstlösungsversuch • Analysieren und Lösungsvorschlag • Incident lösen • Überwachen und steuern • Abschließen des Incidents ITIL und IT-Sicherheit Erkennen und erfassen von Incidents. Das Erkennen von Störfällen kann auf verschiedenen. Netzwerke mit ihren Peripheriegeräten können über eine Software überwacht werden (Monitoring) und senden bei Überschreitung eines bestimmten kritischen Wertes eine Fehlermeldung.. Es kann in der Praxis sinnvoll sein. es wird ein Bearbeitungszeitraum zur Lösung des Problems eingeplant und eine erste Priorisierung vorgenommen. kann er an dieser Stelle direkt behoben werden und es kommt zu keiner weiteren Bearbeitung. wird der damals benutzte Workaround vorgeschlagen oder eine entsprechende Eskalationsstrategie angewandt. Die andere Möglichkeit ist eine zentrale Annahme aller Incidents. Mitarbeiter). Durch eine Klassifizierung wird Status und Art der Störung eingeordnet und festgestellt. Security Incidents getrennt von anderen Störungen an einer separaten Meldestelle aufzunehmen. Analysieren und Lösungsvorschlag. Diese Prioritätseinstufung dient nur als eine erste Orientierung und kann später durch genauere Analyse von Fachpersonal oder im Change Management korrigiert werden. Einflüsse auf Geschäfts. D. h. dem eine Unregelmäßigkeit bekannt wird und diese an den Service Desk heranträgt. um der weiteren Lösungsfindung mehr Zeit . festzustellen. Grundsätzlich gilt es Aktionismus zu vermeiden. Vorteil dieser Maßnahme ist es. Der Workaround dient dazu. eine Einschätzung gemäß ihrer Bedeutung für die Organisation zu tätigen. ob ein Vorfall sicherheitsrelevant ist oder nicht. Dieser erste Schritt in der Bearbeitung der Störungen wird First-Level-Support genannt. dass sensible Informationen weniger schnell an die Öffentlichkeit gelangen. sollte es dem Mitarbeiter des First-LevelSupport möglich sein. Die Prüfung des Störfalls beginnt mit der Recherche über bereits bekannte Störungen oder ähnliche Vorfälle. Über eine Risikoanalyse wird ermittelt. Zulieferer. dezentralen Wegen erfolgen. werden diese Ereignisse von dem Service Desk erfasst und in der CMDB gespeichert. Klassifizierung und Erstlösungsversuch. der die Security Policy verletzt und dessen Lösung in der Configuration Management Datenbank dokumentiert ist. Ist dies der Fall. Auf der anderen Seite wird von einem Anwender erwartet. welche Schadensauswirkung entstehen kann und wie dringend das Sicherheitsziel wieder hergestellt werden sollte.

Ist eine Problemlösung jedoch nicht bekannt und es kann keine schnelle Lösung gefunden werden. diese Ebenen der ITIL-Einführung zu strukturieren und aufgrund des fachlichen Wissens Verantwortlichkeiten verteilen. sollte das Incident Management in der Lage sein. Eine explizite Betrachtung des Change Managements wird an einer anderen Stelle beschrieben. Durch eine strenge Authentisierung kann Missbrauch der Daten verhindert und die Integrität sichergestellt werden. Dazu gehört die Kontrolle über korrekte Bearbeitung und Nutzung der vorgegebenen Support-Ebenen. Nach Lösung des Störfalls wird der Incident vom Service Desk abgeschlossen. Falls Daten einem speziellen Schutz in Bezug auf die Informationssicherheit unterliegen. im Vorfeld einen Notfallplan auszuarbeiten. sollte das Security Management das Incident Management darüber informieren. Regelmäßig sind die Incidents zu Überprüfen. Sofern ein Incident nur durch eine Änderungsmaßnahme (z. wird es praktisch kaum möglich sein dem Support zu jedem Vorfall eine entsprechende Handlungsvorschrift bereitzustellen. um die Wiederherstellung der Sicherheitsziele in der dafür vorgesehenen Zeit nicht zu gefährden. die auf zweiter oder dritter Ebene agieren. Die Verantwortung liegt bei Vorfällen diesen Ausmaßes bei dem Notfallmanagement. Ist ein Missbrauch jedoch nicht auszuschließen. Auch in diesem Fall ist das Security Management gefragt.und Konfigurationsproblemen denkbar ist. Komplettausfälle von Netzwerken oder auch Stromausfall sein. kann es zu Zielkonflikten zwischen forensischer Analyse und Servicemanagement kommen. einen Notfall rechtzeitig zu erkennen und angemessen reagieren. Die Überwachung der Störungen ist Aufgabe des Service Desks. Incident lösen. Die CMDB sollte um eine Handlungsvorschrift ergänzt werden. Die Forensiker konzentrieren sich auf genutzte Sicherheitslücken und Spurensicherung. diese einzusehen. Vielmehr sollten absehbare oder schon bekannte Sicherheitslücken dokumentiert vorliegen. Entwickelt sich eine Störung zu einem Notfall. wie solche Daten übermittelt werden und welche Personen berechtigt sind. ähnlichen Incidents schneller behoben werden können.Synergien zwischen Security Management und Service Support nutzen 93 zu verschaffen. damit nachfolgenden. Umgestaltung einer Netzwerkstruktur) gelöst werden kann. B. Da eine Fülle von möglichen Anwendungs. Notfälle können Flächenstörungen. Sofern ein Standardproblem nicht schon im Vorfeld gelöst wurde. während Mitarbeiter vom Service alle Energien zur Wiederherstellung betroffener Services einsetzen. In den meisten Fällen der Security Incidents sind das IT-Spezialisten oder Systemadministratoren. ist eine ausführliche Dokumentation von großer Wichtigkeit. Das Security Management sollte zu Beginn helfen. sollte der Umgang mit sensiblen Informationen geklärt sein. Zusätzlich wird der 11 Englischer Begriff für Änderungsanfrage . Wurde ein Störfall erfolgreich gelöst. wird der Vorfall an eine nächste Support-Ebene weitergeleitet. Da zur Bearbeitung der Störung vielfach externe Dienstleister oder Personen zu Rate gezogen werden. Abschließen des Incidents. wie zum Beispiel Serverausfall. wird ein Request for Change 11 (RfC) beim Change Management eingereicht. wird es von Fachkräften auf nächster Ebene behandelt. Überwachen und steuern.

versucht das Problem Management das Auftreten solcher zu vermeiden. S. Während das Incident Management einen Fehler schnellstmöglich beseitigen möchte. Bspw. die sie zwar schnell beheben können.3. kann das Incident Management ein Netzwerkfehler schnell beheben. . S. Anschließend wird die Dokumentation auf Vollständigkeit geprüft.3 Problem Management Die Aufgabe des Problem Managements ist die Forschung nach den Ursachen für Probleme12 Durch sogennante Ursachen-Wirkungsanalysen soll verhindert werden. 32]) • Wie hoch sind die Eintrittswahrscheinlichkeiten? • Welche Schäden entstehen wirklich? • Greifen die technischen und organisatorischen Maßnahmen? • Wie hoch ist die Wiederholungsrate des gleichen Sicherheitsvorfalls? • Sind die Investitionen in die Sicherheit richtig gesteuert? 3. wird aus dem Incident ein Problem und an das Problem Management weitergeleitet. Dazu zählen beispielsweise Erfassungsdatum. die noch unbekannte Ursache für einen Störung. was mehrere Stunden dauern 12 Nach ITIL. um Präventivmaßnahmen durchzuführen oder in Zukunft schneller reagieren zu können. Das Problem Management wird aber möglicherweise eine Auswechslung der gesamten Switches beantragen. Durchlaufzeit. Dabei kann dies mitunter zu Interessenskonflikten führen. Es können vom Incident Management auch Anfragen für spezielle Probleme eingehen. Hier macht sich der generelle Unterschied bemerkbar. Das Incident Management hat die CMDB zu pflegen und sollte nach Security Policy und Security Management über mehrere Aspekte Auskunft geben können. Im Problem Management gibt es zwei unterschiedliche Verfahren. dass sich Fehler wiederholen. zu beseitigen. die Ursache dafür zu finden bzw. Eine solche Datenauswertung ermöglicht es ferner über folgende Fragestellungen Auskunft zu geben: ([Bmi06. Auf diese Weise kann ein funktionierendes Problem Management die Anzahl von Incidents reduzieren und somit ein erheblicher Teil zur Zuverlässigkeit und Wirtschaftlichkeit eines IT-Services beitragen. sich aber nicht in der Lage sehen.[Bsi05.Definition sind Probleme. die nicht behoben werden können. 18] 13 Ein Switch ist eine Netzwerkkomponente. indem ein entsprechender Switch13 neu gestartet wird. auf die in den nächsten Absätzen eingegangen wird. • Antrag aus dem Incident Management • Das proaktive Problem Management Antrag aus dem Incident Management. Kurzbeschreibung und Effektivität der Untersuchung. Wenn bei der Bearbeitung einer Störung durch das Incident Management die Ursache nicht festgestellt werden kann. Dabei muss es sich nicht immer zwangsläufig um Probleme handeln. Anhand dieser Daten ist eine Auswertung möglich. die mehrere Computer verbindet.94 ITIL und IT-Sicherheit Anwender über den Hergang informiert und es wird gegebenenfalls ein Feedback angefordert.

In diesem Zusammenhang sollte darauf geachtet werden. Eine weitere Aufgabe des Problem Managements ist das proaktive Suchen nach Fehlern und Schwachstellen. Über die dazugehörigen Updates sollten dann die Kunden informiert und ihnen zur Verfügung gestellt werden. S. dass auf lange Sicht die Verfügbarkeit und die Wahrscheinlichkeit auf Erreichung der SLA erhöht wird. Kurzfristig wird dadurch die Verfügbarkeit gestört.) in ein System einzuloggen. Die nachfolgende Abbildung verdeutlicht eine Problematik. Die Suche nach Schwachstellen mittels Security Audits ist eine der Maßnahmen des Security Managements. Ziel dabei ist es. Hat man z. Diese Frage sollte deshalb bereits bei der Entwicklung der internen Sicherheitsrichtlinien beantwortet und die Vorgehensweise standarisiert werden.Synergien zwischen Security Management und Service Support nutzen 95 kann und somit auch das Netzwerk für diese Zeit abgeschaltet werden muss. Unter einem Penetrationstest versteht man.3 Ziele und Aufgaben des IT-Security Management . wann das Security Management in den Prozess des Problem Managements eingebunden werden soll. dass die Schwachstelle erst dann an die Öffentlichkeit gelangt. den Versuch sich mit den Mitteln eines Eindringlings (Hacker. ob dieser Auswirkungen auf die Informationssicherheit hat oder nicht. Daher muss abgewogen werden. sollte eine Überprüfung auf Schwachstellen in regelmäßigen Abständen mit Hilfe von Penetrationstests erfolgen. Das proaktive Problem Management. Durch die Integration des Security Management in den ITIL-Prozess Problem Management entstehen potenzielle Synergieeffekte. Nicht jedem Incident kann zu Beginn eindeutig zugeordnet werden. Da aber Lösungswege 14 Dabei 15 siehe kann dieses Verhältnis auch betriebsintern bestehen. durch präventive Maßnahmen Fehler zu verhindern. Kapitel 3. Das Security Management sollte aufgrund seiner speziellen Funktion somit bereits in die Analyse mit einbezogen werden. ist schnell zu erkennen.[Bsi05. Wird eine Schwachstelle gefunden. 18] Durch die Verflechtung beider Prozesse und deren Aufgaben lässt sich eine deutliche Kompetenzsteigerung erreichen. um damit die Synergieeffekte optimal auszunutzen und ein bestimmtes Sicherheitsniveau gewährleisten zu können.2. Geht man aber weiter und führt sich vor Augen welche Zielsetzung das Problem Management verfolgt. Es sei nun angenommen. ermöglicht dies Verletzungen von Sicherheitsrichtlinien frühzeitig zu erkennen und mögliche Ursachen für Fehler zu verhindern. Erfahrungsgemäß ist dabei die Analyse von Sicherheitslücken und deren Beseitigung eine große Stärke des Security Managements. bevor sie auftreten. wenn diese beseitigt ist. dass der oben beschrieben Netzwerkfehler nicht auf einem defekten Switch beruht. mit der sich eigentlich primär das Change Management konfrontiert sieht. Virus. eine eigene Software oder bietet eine solche Kunden an14 .15 Ergänzt man die Verfahrensweisen des proaktiven Problem Managements um diese Methode und optimiert diese für den eigenen Zweck. Durch sein Know-how kann das Security Management bei der Problem-Analyse und Lösungsentwicklung einen wesentlichen Beitrag zu besseren Ergebnissen leisten. sollte umgehend eine Lösung gefunden und gegebenenfalls die Software geändert werden. B. In diesem Fall ist die Informationssicherheit des Netzwerkes der Unternehmung gefährdet. etc. um eine bestmögliche Effizienz zu erreichen. sondern auf einem Angriff von außen (etwa durch einen Hacker oder Virus).

soll auf die möglichen Auswirkungen vorgenommener Änderungen auf die Informationssicherheit bereits an dieser Stelle eingegangen werden. Es kann ein potenzieller Kreislauf entstehen. unternimmt Lösungsversuche oder schlägt Lösungswege vor.3: Auswirkungen von Änderungen auf die Informationssicherheit. Ziel ist .3. Handelt es sich bei einer Sicherheitslücke nicht um einen dokumentierten Fehler.und Security Management kann eine höhere Effizienz bei Änderungen erreicht und somit auch Kosten gesenkt werden. 3. durch den permanent die Informationssicherheit gefährdet ist. Häufig entstehen hieraus konkrete Änderungsvorschläge (RfC). Diese Änderungen können Auswirkungen auf die Informationssicherheit haben und im schlimmsten Fall letztlich neue Sicherheitslücken verursachen. Das Problem Management versucht die Ursachen hierfür zu ermitteln. Dies steht jedoch im Widerspruch zu den eigentlichen Zielsetzungen des Problem Managements (vor allem die Reduzierung der Incidents). Durch dieses Zusammenspiel von Problem.96 ITIL und IT-Sicherheit für bestehende Probleme schon im Problem Management entwickelt werden und sie damit eine gewisse Vorarbeit für das Change Management leisten. Änderungen Sicherheitslücken Informationssicherheit Fehler Probleme Abbildung 3. Aus diesem Grund hat das Problem Management großes Interesse daran. welches die Ursache oder Wirkung von Service-Beeinträchtigungen sein und die Informationssicherheit gefährden kann. Die Mitarbeiter des Security Managements können schon bei der Entwicklung von Änderungsvorschlägen eingreifen und diese auf sicherheitstechnischen Aspekten überprüfen. diesen potenziellen Kreislauf gar nicht erst entstehen zu lassen.4 Change Management Die Zuständigkeit des Change Managements erstreckt sich von der Erfassung über die Priorisierung bis hin zur Auswertung aller eingehenden RfCs. liegt im Allgemeinen ein Problem vor. Wird nun das Security Management zusätzlich in den Prozess der Lösungsentwicklung einbezogen. kann im Change Management eine Reduzierung der abgelehnten RfCs erreicht werden.

Synergien zwischen Security Management und Service Support nutzen 97 es dabei. Das Security Management nach ITIL ist sowohl als Initiator. Letzteres ist möglich.[Bsi05. so ist auch der dazu gehörige RfC in den meistens dringlich. weil z.und Freigabeinstanz von Changes in den Change Management Prozess eingebunden. S. Infrastruktur. Dieses wird vom Change Manager zusammengerufen. die Erfüllung einer Servicevereinbarung nicht gewährleistet ist. die verhindern sollen. So werden Security Maßnahmen entwickelt und realisiert.[Bsi05.und Freigabeinstanz. Realisierer sowie als Planungs.und Abnahmeverfahren bereit. Im zweiten Schritt wird überprüft. S.[Bsi05. Als Planungs. ob die Informationssicherheit betroffen ist. 20] Hier müssen mit besonderer Vorsicht genaue Vorgaben definiert werden. h. dass jeder RfC auf sicherheitsrelevante Merkmal überprüft wird. d. Wie im Kapitel 3. Wurde ein Incident als dringlich eingestuft. sollte das Security Management sowohl bei der Planung als auch bei der Freigabe von Änderungen mit eingebunden werden. Häufig hat dies technische oder organisatorische RfCs zur Folge. B. das Security Management herangezogen. dass durch Änderungen Sicherheitslücken entstehen. die keinen angemessenen Nutzen liefern. auf der anderen Seite stellt das Security Management geeignete Test. S. Änderungen. Die zentrale Instanz des Change Managements ist das Change Advisory Board (CAB).4 veranschaulicht. die durch das Security Management im Laufe der Problem-Analyse angeordnet und an das Change Management weitergeleitet werden. Hierbei findet das Change Management in gleicher Weise wie in anderen Bereichen des IT-Betriebs Berücksichtigung. Dokumentationen. Änderungen vermieden werden. Auf diese Weise ist einerseits sichergestellt. 19] In diesem Kontext vollzieht das Change Management geeignete Tests. Verlaufen die Tests positiv. Besonders bei Sicherheitspatches besteht eine hohe Brisanz. wobei hier die Sicherheit nicht vernachlässigt werden darf. wie das Security Management bei der Überprüfung und Abnahme von RfCs unterstützend mitwirken kann. veränderte Eingriffe in Anwendungen. die die Informationssicherheit betreffen. B. durchläuft der RfC ein verkürztes Verfahren. Das Security Management hat konkrete Verantwortungen für Teile der IT-Infrastruktur. Abbildung 3.3 (Problem Management) beschrieben. Diese sind meistens dringend und greifen teilweise tief in bestehende Funktionalitäten und Prozesse ein. um ein Ausgleich zwischen dem Termindruck und der Sicherheit zu erzielen.3. Prozesse und Verfahren steuerbar und kontrollierbar zu machen. 20] Als Initiator von Changes. ein oder mehrere Mitarbeiter des Security Managements in das Änderungsgremium mit aufzunehmen. Als Realisierer von Changes. wird bei Incidents. die einen Nachweis über Nutzen und Kompatibilität mit anderen Systemen ermöglichen. Wenn der . Schon im Service Desk werden Incidents bezüglich ihrer Dringlichkeit priorisiert. um gemeinsam die gerade beschriebenen Aufgaben zu bewältigen. Um Auswirkungen auf die Informationssicherheit und den Datenschutz zu vermeiden. so kann der Change freigegeben und ausgeführt werden. Ist dies der Fall. Sinnvoll ist es in diesem Zusammenhang. nicht gewünscht sind oder mangels Durchführbarkeit wieder zurück genommen werden. wenn z. Störungen infolge von Änderungen sollen vermieden und die Effizienz der Änderung gesteigert werden.

dass bei der Planung der RfCs das Security Management einbezogen werden soll. können sie aus Sicht des Security Managers freigegeben werden. In vorherigen Kapitel 3. Im dritten Schritt wird überprüft ob der Datenschutz betroffen ist. Bei einer schnelleren und .4: Abnahme von RfCs. um die Informationssicherheit zu gewährleisten. Im Falle des Scheiterns der RfCs bei diesen Tests. sollten. S. Können diese nicht eingehalten werden oder ist die Einhaltung der Verfügbarkeit.98 ITIL und IT-Sicherheit Request for Change Dringender Change ? Informationssicherheit betroffen ? Datenschutz betroffen ? Test der Informationssicherheit Smoke Test Abnahme Abbildung 3.3. mit denen der ursprünglichen Zustand schnell wieder hergestellt werden kann. ob die Sicherheitsziele des SLA berührt werden. wie z. Der Smoke-Test ist eine oberflächliche Überprüfung bzgl.3 (Problem Management) wurde schon erwähnt. legt. muss das Security Management diesen Change ablehnen. sondern auch die Erreichung und Einhaltung der Sicherheit. Integrität oder Vertraulichkeit nicht gewährleistet. RfC Auswirkungen auf die Informationssicherheit hat. Das liegt daran. Im Falle der Ablehnung ist eine Kompromisslösung durch das CAB zu finden. B. dass nicht neue Lücken oder Hintertüren in Software-Applikationen entstehen und die einmal erreichte Sicherheitsstufe nicht beeinträchtigt werden. Dabei muss ein RfC nicht zwangsläufig vom CAB abgelehnt werden. Nachdem diese Schritte durchlaufen sind. Durch diese Einbindung sinkt die Wahrscheinlichkeit für die Entstehung neuer Sicherheitslücken und damit für die Ablehnung der RfCs enorm. angemessene Rückfallverfahren bereit stehen. Diese werden auch bei dringenden Changes angewandt. 82]. der Grundfunktionalität einer Software nach deren Fertigstellung oder Reparatur. wird überprüft. dass das CAB Schwerpunkte auf andere Aspekte. das Kosten-Nutzen Verhältnis eines Change. In der letzten Phase werden beim Rollout durch ausgiebige Tests nicht nur die Korrektheit einer bestimmten Funktion getestet. muss das Security Management Abnahmekriterien definieren. Wenn die RfCs positiv bezüglich der Sicherheitsziele getestet wurden. Insbesondere muss darauf geachtet werden. Quelle: [Bru06. Hierbei sollte z. die in Form eines sogenannten Smoke-Tests durchgeführt werden. bei Änderungen der Zugriffsrechte oder bei Software zur Verwaltung der persönlichen Daten des gesamten Personals geprüft werden. B. anhand derer die Freigabe durch das Security Management erfolgt. ob diese ausreichend vor Fremdeingriffen geschützt sind. wenn es vom Security Management abgelehnt wurde.

000 Euro an potentieller Arbeitsleistung verloren. 3. von 500 Usern eines DV-Verfahrens mit einem Durchschnittsstundenlohn von ca. lässt sich dabei im Allgemeinen in drei Phasen einteilen: • Planungs. Geht man bspw. Die zentrale Aufgabe des Release Management in diesem Bezugsrahmen ist es. 90]. in denen Unternehmensnetzwerke durch das Update eines Anti-Virenprogramms lahm gelegt wurden. Planungsphase. liefert das Release Management die „Verfahren von der Anforderungsbearbeitung über die Planung der Umsetzung. Diese Aspekte zeigen die Chancen. 3]. die sich bieten.3.“[Bsi05. 50 Euro/Stunde aus. welcher durch einen vom CAB freigegebenen RfC. mit Hilfe geeigneter Maßnahmen sicherzustellen.und Entwicklungsphase • Testphase • Planung und Autorisierung des Rollouts Die Möglichkeit Security Aspekte in das Release Management mit einfließen zu lassen.und Change Management früh eingebunden wird. ausgelöst wird [Bru06. 103]) Dieses Beispiel verdeutlich unter anderem.5 Release Management Während das Change Management der Initiator aller Änderungen innerhalb einer IT-Infrastruktur ist. Auf dieser ersten Stufe werden zunächst grundsätzlich Regeln hinsichtlich eines Release oder der Release Unit definiert und in der Release 16 Release: Englischer Begriff für Version . S. fälschlicherweise Sicherheitslücken aufstoßen. diese realisiert und die Verantwortung dafür trägt. So gab es in der Vergangenheit Fälle. so gehen mit jeder Ausfallstunde 25. dass RfCs. S. dass die Notwendigkeit besteht Sicherheitsüberlegungen in den Prozess des Release Managements mit einzubeziehen. 20] Dabei werden die Konfigurationselemente üblicherweise nicht einzeln implementiert. dass bei der Einführung eines Release keine unerwünschten Nebeneffekte oder Fehler auftreten. die ursprünglich nichts mit der Informationssicherheit zu tun haben. ergibt sich während all dieser drei Phasen. Dieser soll verhindern.und Hardwareversionen bis hin zur organisatorischen und technischen Vorbereitung der Einführung einer Komponente. Der Prozess des Release Managements. Dafür muss zwingend ein Mitarbeiter aus dem Security Management ein ständiges Mitglied im CAB sein. Die Einführung solcher Release Units hat den Vorteil. da dieses irrtümlicherweise unternehmenseigene Software als Virus erkannte und schließlich deaktivierte [Bsi07.Synergien zwischen Security Management und Service Support nutzen 99 wahrscheinlicheren Freigabe der RfCs aus sicherheitstechnischen Aspekten kann zusätzlich die Verfügbarkeit im Unternehmen gesteigert werden. dass der Aufwand für das Testen und die Inbetriebnahme erheblich reduziert werden kann. Der wirtschaftliche Schaden kann in solchen Fällen schnell ein immenses Ausmaß annehmen. S. (Beispiel ähnlich zu [Köh06. sondern zu einem Paket. Test und Abnahme von Soft. der sogenannten Release Unit 16 gebündelt. S. wenn das Security Management in das Problem.

in dem es Risiko. dass sofern sicherheitsrelevante Patches verfügbar sind. Der Rollout Plan 17 Englischer Begriff.Kommunikation. das sogenannten Rollout 17 . Ausliefern und Ausführen von Soft. S. 91] sichergestellt werden. erteilt das Security Management die erforderliche Freigabe aus seinem Blickwinkel.2. 21] Hierbei kann auf das Know-how des Security Management zurück gegriffen werden. dass durch das Release keine der. Verfügbarkeit und Integrität eingehalten werden. Rollout-Planung Mit der Freigabe des Releases beginnt die letzte Phase des Release Management Prozess. diese eingespielt werden und nicht erst bis zum nächst größeren Update gewartet wird. Sofern das Release die Anforderungen erfüllt. Damit der reibungslose und funktionierende Ablauf des Systems nicht gestört wird. Es liefert die entsprechenden Testverfahren. Das Security Management kann hierbei entwicklungsbegleitend und unterstützend tätig werden. werden auf der zweiten Stufe die jeweiligen Releases vor ihrer Einführung diversen Tests sowie einer Qualitätsprüfung unterzogen. in der Planungsphase definierten. S.[Bsi05. sollte ebenfalls fest verankert werden. der in Kapitel 3.1 vorgestellten Hauptwerte der Informationssicherheit. sofern dieses Sicherheitsrichtlinien verletzt. Dieses standardisierte Vorgehen ermöglicht es.5: Phasen des Release Management Prozesses und Aufgaben. 12] im Vorfeld eines Release. In der Release Policy. Testphase. oder Installation Training und konfigurieren Abnahme beauftragen Abbildung 3. Dabei soll in einer möglichst „produktionsidentischen Testumgebung“[Bru06. Sicherheitskriterien verletzt und die Anforderungen an Stabilität. Das Security Management sollte schon in dieser frühen Phase wirksam werden und dem Release Management Vorgaben über bestimmte Sicherheitsanforderungen machen. die ein wesentlicher Bestandteil des Release Management Prozesses ist.und Hardwarereleases beschreibt. Ansonsten bleibt dem Security Management nur noch die „Rolle des Verhinderers“[Bsi05.Software und Grundsätze Planung entwickeln zusammenstellen und Planung Verbreitung.und Sicherheitskriterien fixiert. potenzielle Sicherheitslücken frühzeitig zu beseitigen.100 ITIL und IT-Sicherheit Planungsphase Testphase Rollout-Phase ReleaseRelease Test Rollout. S. . Schließlich kann das Security Management noch bei der Planung lösungsspezifischer Releases mit einbezogen werden. der das Verteilen. Verteilung Release. die während der Release Planung einzuhalten sind. Policy festgehalten. etwa bzgl.

Datenträger sowie Dokumentationen dazu. Dieser wird im Folgenden an Stelle des Begriffs Konfigurationselement verwendet. wie im Falle eines nicht erfolgreichen Rollouts zu verfahren ist. welche weiteren CIs unter Umständen ebenfalls von dem Vorfall betroffen sind. Revisionsfähigkeit der Änderungen an der IT-Infrastruktur sichergestellt werden. wie etwa Problem. Drucker oder Tastatur) zu verstehen. Immer mehr Detailinformationen. Scanner. deren Attribute sowie deren Beziehungen zueinander. geliefert wird. die einzelnen Changes eines Release schrittweise rückgängig zu machen. dass nicht nur das Release Management von der Berücksichtigung sicherheitsrelevanter Aspekte profitiert. S. etwa ein Server oder Arbeitsplatz-PCs sowie einzelne Peripheriegeräte (Beamer. 93] 19 „Ein Backout ist ein Verfahren. Archiviert und bereitgestellt. S. um abschätzen zu können. .[Bru06. so genügt ein Blick in die CMDB. Ferner muss bei der Rollout Planung die Nachvollziehbarkeit bzw. ob ein Fallback 18 oder ein Backout 19 durchzuführen ist. 93] 20 Englischer Begriff für Konfigurationselement. Zusätzlich gehören auch Netzwerkkomponenten. etwa bzgl. d. die sogenannten Configuration Items 20 (CI) einer IT-Infrastruktur zu erfassen sowie deren Beziehungen zueinander darzustellen.3. die in einem Release zusammengefasst waren. festgehalten.“[Bru06. Genau an diesem Punkte setzt das Configuration Management an. Durch ein Backout wird ein neues Release definiert. h. wodurch alle Changes. Unter einem CI sind sowohl ganze IT-Systeme. kontrolliert und verifiziert werden. risikobehaftete Releases zu unterschiedlichen Zeitpunkten zu implementieren. Abschließend sei angemerkt.“[Bru06. Eine Übersicht über alle Änderungen liefert dem Security Management die Grundlage für eine releaseübergreifende Risikobetrachtung. Auf SoftwareEbene etwa werden Sicherheitslösungen und -patches im Rahmen des Release Management Prozesses geplant und realisiert. auf die ebenfalls andere Prozesse. bei einem bestimmten CI ein Incident oder Problem auf. Das Configuration Management ist der zentrale Prozess innerhalb des Service Supports. S.6 Configuration Management Die Erfordernisse an die Datenverarbeitungsverfahren aus Sicht der Geschäftsprozesse eines Unternehmens haben in den letzten Jahrzehnten erheblich zugenommen. Die CMDB liefert 18 „Ein Fallback ist die Wiederherstellung des vorherigen Releases. die bei der Implementierung des Releases durch das Change Management beachtet werden müssen. darauf bedacht sein. wird diese Vielzahl an Information in der Configuration Management Database (CMDB).[Bru06. Tritt bspw. Die zentrale Aufgabe des Configuration Management besteht darin. welches in diesem Kontext beachtet werden muss. 84] Um bei der Vielzahl an CIs Verwechselungen auszuschließen. S. Das entscheidende Kriterium.Synergien zwischen Security Management und Service Support nutzen 101 beinhaltet alle Regeln und Vorgaben. ist jedes CI grundsätzlich durch einen eindeutige Identifikationsnummer gekennzeichnet. ist die Verfügbarkeit des Systems. Er schafft die Informationsgrundlage für die weiteren Prozesse. indem eine Übersicht über alle CIs. So wird bspw. rückgängig gemacht werden. der Konfigurationselemente müssen erfasst. 92] So sollte man bspw. 3. sondern sich auch vorteilhafte Synergieeffekte für das Security Management ergeben. um nicht zusätzlich die Verfügbarkeit des Systems zu gefährden. Von einer kooperativen Zusammenarbeit profitieren sowohl Release als auch Security Management.oder Incident Management zugreifen können.

die eine bestimme Klassifikation hinsichtlich der Informationssicherheit erhalten haben. Dokumentation). Ferner wird es möglich. Zurechenbarkeit und Rechtsverbindlichkeit werden ebenfalls durch eine gut geführte Dokumentation innerhalb der CMDB unterstützt. etc. Kontrolle. um verschiedene Aspekte des Security Management darin zu integrieren.21 Standort Name und Beschreibung ID-Nummer Version Configuration Item Verantwortlichkeit Beziehung zu anderen CI´s Klassifikation bzgl. 21 Die in Kapitel 3. 60] Zusätzlich werden. die Abhängigkeiten zu anderen CIs erfasst. S. Ergänzt man dieses bestehende Beziehungsgeflecht um die drei Hauptwerte der Informationssicherheit (Verfügbarkeit. verschiedene Attribute. Eine um diese Faktoren erweiterte CMDB liefert Transparenz über die sicherheitsrelevanten Abhängigkeiten der CIs. wie bereits erwähnt.als auch Configuration Management. B. InformationsSicherheit Abbildung 3. . Bevor ein CI in die CMDB aufgenommen wird. muss er anhand bestimmter.102 ITIL und IT-Sicherheit somit neben der Infrastrukturtransparenz eine Servicetransparenz.2. Software.[Bsi05. ermöglicht es Schwachstellen innerhalb des Configuration Management zu identifizieren und liefert die Basis für Ausfallanalysen. spezielle Maßnahmen und Verfahren für CIs zu planen bzw. 22] Klassifikation. da nur diese die notwendigen Kenntnisse über die bereichsspezifischen Sicherheitsanforderungen haben. Durch die Verzahnung mit den anderen Prozessen des Service Supports bietet das Configuration Management optimal Voraussetzungen. klassifiziert werden.[Köh06. Hardware. Möglichkeiten dazu ergeben sich bereits und vor allem während der Configurations-Planung. eröffnet dies Chancen und Möglichkeiten sowohl für Security. wie etwa Standort. fehlerhaft. Verantwortlichkeit oder Version sowie einen Status (funktionsfähig. in der Designphase festgelegter Kriterien. zu ergreifen. Integrität und Vertraulichkeit). In der Planungsphase wird unter anderem das Design der CMDB festgelegt. Eine gut geführte und aktuelle CMDB kann sich innerhalb kurzer Zeit zu einem universellen Werkzeug auch aus Sicht des Security Management entwickeln. Die Klassifizierung der CIs muss hierbei von den jeweiligen Prozessverantwortlichen vollzogen werden.6: Erweiterte Attribute eines Configuration Item.). welches für ein funktionierendes Configuration Management von elementarer Bedeutung ist.1 vorgestellten Dimensionen. Dabei erhält ein CI grundsätzlich eine bestimmte Kategorie (z. S.

Ein Anfang kann hierbei mit den CIs gemacht werden. die durch Dritte eingesehen werden können. Klassifikation Streng geheim Kriterium Zusammenhang mit strategischen Informationen. Aus diesem Grund findet deshalb in der Regel ein zweistufiges Klassifizierungssystem Anwendung. wie in den Tabellen 3. Patenten und Kalkulationen Zusammenhang mit interne Informationen. sondern dass überhaupt eine solche vollzogen wird.1 und 3.2: Mögliche Klassifikation Verfügbarkeit. aber nicht für diese bestimmt sind Vertraulich Eingeschränkt Tabelle 3.[Bru06.1: Klassifikation Vertraulichkeit. der Informationssicherheit in Form von Klassifizierung im Prozess des Configuration Management Berücksichtigung finden. die sich nach den jeweiligen Anforderungen des CIs richtet. 87]. Eine davon sind so genannte Audits der CMDB . Besprechungsnotizen. Betriebsgeheimnissen. Der aktuelle Grad an Integrität lässt sich ebenfalls schwer quantifizieren. Klassifikation Absolut Hoch Mittel Niedrig Kriterium keine Ausfallzeiten gestattet maximale Ausfallzeit 30 Minuten maximale Ausfallzeit 4 Stunden maximale Ausfallzeit 2 Tage Tabelle 3. S. schon alleine im Hinblick auf die Beherrschbarkeit der stetig wachsenden Datenmenge eines Unternehmens. bspw. Quelle: [Bru06. Rezepturen. eine bestimmte Anzahl tolerierter Verbindungsabbrüche oder die Anzahl fehlerhafter Datensätze und auf zweiter Stufe eine erweiterte Integrität. 88] Dabei wird zunächst für alle CIs eine Baseline Integrität festgelegt. Vertraulichkeit und Integrität gilt. In Bezug auf die Klassifikation bleibt abschließend anzumerken. Im Vordergrund sollte dabei nicht eine möglichst exakte Klassifizierung stehen. S. Preislisten. Personaldaten Zusammenhang mit Informationen. da der Aufwand im Verhältnis zum Nutzen zu groß ist. dass es nicht erstrebenswert ist. Vielmehr sollten überhaupt Risikoüberlegungen bzgl.B. Große Aufmerksamkeit bedarf es bei der Klassifikation der Integrität eines CIs. vorgenommen werden.2 dargestellt. wie viele falsche Daten eine Datenbank verkraftet oder wie viele Verbindungsfehler in einem Netzwerk auftreten dürfen. da in diesem Kontext schwer zu definieren ist. z. für alle CIs eine solche vorzunehmen. Weitere Synergieeffekte. Neben der vorgestellten Klassifizierung gibt es eine Reihe weiterer Möglichkeiten die Schnittstellen zwischen Security und Configuration Management zu nutzen. Ebenso sprechen Praktikabilitätsgründe gegen die Einstufung eines jeden CIs. für die besondere Aufmerksamkeit in puncto Verfügbarkeit.Synergien zwischen Security Management und Service Support nutzen 103 Die Einteilung in Hinblick auf Verfügbarkeit und Vertraulichkeit eines CI kann.

104 ITIL und IT-Sicherheit in Bezug auf die Sicherheit. da in der CMDB die Historiendaten inklusive aller Changes revisionssicher gespeichert sind. desto früher können diesbezüglich Sicherheitsmaßnahmen eingeleitet werden. S. welche letztlich im Zusammenhang mit der CMDB geklärt werden muss. Somit ist auch die Rechtsverbindlichkeit als eine weitere Dimension der Informationssicherheit sichergestellt. Mit Hilfe dieses standardisierten Vorgehens werden automatisch Gefahren reduziert. können im Falle eines Hacker-Angriffs frühzeitig unbefugte Veränderungen am System identifiziert werden. 89] Je eher solche Hardwarekomponenten identifiziert werden. Darunter versteht man einen Soll-Ist-Vergleich zwischen dem dokumentierten/geplanten Bestand der CMDB und dem tatsächlichen Bild. 3.und Systemdokumentationen nicht nur im Wiederholungsfall eine schnellere Installation. Durch diese regelmäßigen Scans/Audits und Abgleich mit der CMDB lässt sich mit relativ geringem Aufwand installierte. Zudem ermöglichen ausführliche Installations. Darüber hinaus erleichtert ein funktionierendes Configuration Management die Analyse von Security Incidents. Auf Hardwareebene steigt die Transparenz mit jedem Incident oder RfC.Infrastruktur liefert. 25] Eine ganz entscheidende Frage. aktives Modem in einem Notebook eine erhebliche Sicherheitslücke dar. die bspw. dass noch nicht erfasste CIs in die CMDB aufgenommen werden. Integrität oder Vertraulichkeit dieser Daten kann mit erheblichen wirtschaftlichen Konsequenzen verbunden sein. prozessorientierten Ansatz. ergibt sich aus der Tatsache.[Bsi07. Dazu wurden zu Beginn der vorliegenden Arbeit grundlegende Begrifflichkeiten von der Informationssicherheit bis hin zum Se- . dass die CMDB streng vertrauliche Informationen (physisch. Die Auswahl und Implementierung eines geeigneten Tools liegt dabei im Verantwortungsbereich des Security Managements. bspw. wie ihn das Rahmenwerk ITIL bietet. Die Verantwortung dieses sicher zu stellen tragen sowohl Security als auch Configuration Management.4 Fazit Die Auseinandersetzung mit dem Thema Informationssicherheit ist ein absolutes Muss für die Zukunftssicherung einer Unternehmung. die Chancen und Möglichkeiten des Zusammenwirkens von IT-Security Management und den Prozessen des Service Supports darzustellen. Ferner sollte ein kurzer Überblick über das Thema ITSicherheit geliefert werden.[Bru06. finanziell) über die jeweiligen Geschäftsprozesse enthält. sondern helfen auch bei der Ursachenforschung im Problemfall. Ein funktionierendes IT-Security Management liefert hierzu einen wesentlichen Beitrag. ist: Wer erhält hierauf Lesezugriffsrechte und wer darf den Datenbestand verändern? Die Notwendigkeit die Zugriffsrechte zu beschränken und zu kontrollieren. S. von nicht erkannten Verbindungen ausgehen. organisatorisch. welches die IT. Ein Verlust der Verfügbarkeit. Eine andere Herangehensweise ist die Integration dieser Maßnahmen und Ideen in einen standardisierten. da nur für bekannte CIs solche aufgegeben werden können. unautorisierte Software identifizieren. Jeder Change oder Incident führt dazu. Für viele ist der Begriff Security Management dabei gleichbedeutend mit dem Einsatz von Tools und Sicherheitslösungen zum Schutz vor potenziellen Bedrohungen. So stellt ein unbekanntes. Vordergründiges Ziel dieser Arbeit war es.

die durch ein wirksameres und effizienteres Security Management entstehen.Synergien zwischen Security Management und Service Support nutzen 105 curity Management erläutert. Aus Sicht des Security Managements liegt die Stärke dieses Ansatzes in der frühzeitigen Berücksichtigung der Sicherheitsaspekte und -anforderungen während aller Support Stufen sowie der ausführlichen Dokumentation von Sicherheitsvorfällen und deren Lösungen. dass das Security Management bereits bei der Implementierung der Service Support Prozesse einzubeziehen ist und sich die größten Potenziale während der Gestaltungs. dass eine Wirtschaftlichkeitsbetrachtung nicht außer Acht gelassen werden darf. wie bspw. die Prozentzahl der zurückgegangenen Sicherheitsvorfälle und durch die gestiegene Transparenz und Messbarkeit der IT-Leistung dürfte diese Wirtschaftlichkeitsprüfung letztlich unproblematisch sein. Trotz dieser Möglichkeiten. Mit Hilfe geeigneter Key Performace Indikatoren.und Abnahmeverfahren. die das Security Management bereitstellt. Im dritten Kapitel. bleibt abschließend anzumerken. dem Hauptteil der Arbeit. den Kosten für die Implementierung gegenüber zu stellen. Im Rahmen dieser Analyse hat sich gezeigt.und Kritikalitätsüberlegungen von geeigneten Test. die die Verknüpfung von Service Support und Security Management im Zuge der Neustrukturierung gemäß ITIL bietet. . Hierzu sind die Einspareffekte. wurden dann zunächst die Prozesse des Service Supports vorgestellt und anschließend die sich bietenden Synergieeffekte aufgezeigt.und Planungsphasen bieten. Der Service Support profitiert neben den Risiko.

106 ITIL und IT-Sicherheit .

IT Services kundenorientiert stuern und planen. TSO.pdf.bund. [18.itil. 2006. 343-353 ITIL.org: Das Portal für Informationen rund um ITIL und ISO20000.12. Auflage.08] [Bsi07] [Die04] [Iti07] [Köh06] Köhler. 1. URL: www. [15. [09.02. 1.01. [18.Literaturverzeichnis [Bmi06] Bundesministerium des Innern: ITIL und Informationssicherheit. Rüdiger: Sicherheit in der Informationstechnik .08] Dierstein. 2005. Auflage 2002 107 . In: Informatik Spectrum August 2004 S. 1. URL: www.bsi.: ITIL.Auflage 2006 Bundesamt für Sicherheit in der Informationstechnik: ITIL und Informationssicherheit.de/gshb/Leitfaden/GS-Leitfaden. Peter T. Springer Verlag. Jochen: ITIL Security Management realisieren. Walter: fIT for benefit .12.pdf. URL: http://www.pdf. URL: http://www. 2. Auflage 2007 [Vog02] Vogt.org/de. Berlin [OfG07] Office of Government Commerce: ITIL .niedersachsen.der Begriff IT-Sicherheit. Aspekte der Integration von Incident und Security Management.de/literat/studien/ITinf/itil. Vieweg Verlag.07] Bundesamt für Sicherheit in der Informationstechnik: Leitfaden IT-Sicherheit.de/IT-Sicherheit/ downloads/BMI-itil_und_informationssicherheit_v101. 2007.bsi.iznnet-kom. 2006.Service Design.07] [Bru06] [Bsi05] Brunnstein. Perseo Consult.

108 ITIL und IT-Sicherheit .

Gleichzeitig ist auch eine stärkere Serviceorientierung seitens der Unternehmen zu nennen. Im Grundlagenteil wird zunächst das Verständnis der Begriffe ITIL und Werkzeuge für diese Arbeit aufgeführt. Ziel dieser Arbeit ist es. die für eine verstärkte Standardisierung der IT sprechen. sowohl Anforderungen an ein potentielles Werkzeug entlang des ITIL-Prozesses im Service Support herauszuarbeiten. sind nur einige Gründe. ob softwareunterstützende Werkzeuge bei der Umsetzung und zur Effizienzsteigerung eingesetzt werden.1 Einleitung Der Übergang von einer technischorientierten zu einer dienstleistungsorientierten IT-Organisation hat in den letzten Jahren an Bedeutung gewonnen.und einen Hauptteil sowie in ein Fazit. Im Zusammenhang mit diesem Übergang ist auch der Begriff der IT Infrastructure Library (ITIL) in den letzten Jahren in Deutschland verstärkt im Fokus des Interesses.[Its07] Bei der Einführung von ITIL stellt sich unter anderem die Frage. Interessant ist dann. Kathrin Stegmann 4.Kapitel 4 ITIL-unterstützende Werkzeuge Formulierung von Anforderungen entlang des Service Supports Sonja Bozionek. ob ein eingesetztes Werkzeug die Arbeit erleichtert und sie effizienter gestalten kann. ob unterstützende Werkzeuge verwendet werden sollen oder nicht.[Nie07] Die Schaffung von standardisiertem Informationsfluss und das Bestreben gewonnene Informationen für eine optimalere (Kunden-)Nutzung in geregelte Formen zu bringen. Die Arbeit gliedert sich in einen Grundlagen. Grundsätzlich ist es nach ITIL freigestellt. als auch die sich ergebenden Anforderungen mit den Funktionen von zwei ausgewählten Werkzeugen zu vergleichen. Im Anschluss daran werden im Hauptteil die Funktionalitäten des Service Supports und die dazugehörigen spezifischen 109 . Linda Gerstenberger.

den Anforderungen einer ITInfrastruktur innerhalb von Unternehmen zu genügen und auf einem bestimmten Qualitätsniveau zu halten. Für jedes Unternehmen ist es daher wichtig.1: Überblick ITIL.2. ITIL ist somit kein Programm. . 4. Quelle: Eigene Darstellung.1 Begriffsabgrenzungen ITIL In der heutigen Zeit wird es immer schwieriger. in denen ein Rahmenwerk von IT-Service-Managementprozessen beschrieben wird. ITIL hat sich im Laufe der Zeit als defacto Standard etabliert und ist mittlerweile weiträumig verbreitet. Die Arbeit bezieht sich auf den Bereich des Service Supports. Abbildung 4. Um diese Dienstleistung zu gewährleisten. ITIL ist eine Sammlung von Büchern. Dieser Ansatz wird auch als IT Service-Management bezeichnet und wird durch den ITIL-Leitfaden unterstützt.[Pfl05] Die folgende Abbildung gibt einen Überblick über die ITIL-Inhalte. die Struktur innerhalb der IT bezüglich der Ausfallhäufigkeit oder der Verfügbarkeit zu optimieren. sondern fungiert als Richtlinie zur Strukturierung der eigenen IT-Abteilung im Unternehmen. die IT-Struktur an neue Anwenderbedürfnisse auszurichten und den neuen Anforderungen anzupassen. zeigt die folgende Abbildung. Welche Prozesse innerhalb dieses Bereichs stattfinden. In einem Fazit werden die wichtigsten Ergebnisse dieser Arbeit abschließend pointiert wiedergegeben.2 4. Es existiert zu jedem Prozess ein Leitfaden sowie Empfehlungen zur Umsetzung. An dieser Stelle schließt sich die Betrachtung der Werkzeuge an. wird versucht. wobei eine Unterscheidung in kommerzielle und open-source Werkzeuge vorgenommen wird.110 ITIL-unterstützende Werkzeuge Anforderungen an die Werkzeuge näher betrachtet.

. Aus der Vielzahl kommerzieller Produkte wird beispielhaft das Programm Remedy vorgestellt. die im Internet frei verfügbar sind und kommerzielle Angebote.2 Werkzeuge Unter (ITIL)-Werkzeugen1 werden im Verlauf dieser Arbeit Computerprogramme verstanden. die die veränderte Situation im Unternehmen jetzt und in Zukunft unterstützt. mit der mehrere Personen gleichzeitig Kundenanfragen und -aufträge verwalten können.[Här07] Die betrachteten Werkzeuge in dieser Arbeit basieren auf dem Ticket-System. diese Aufträge zu klassifizieren.2: Überblick Service Support. Zu unterscheiden sind opensource Lösungen. Der Supportleistende kann das Ticket öffnen. Innerhalb dieser Software besteht die Möglichkeit. unter einem Tool wird eine Software verstanden. Die Auswahl von Tools gestaltet sich insofern als schwierig. Entlang dieser Prozesse werden im Kapitel 4. Wird eine bereits bekannte Anfrage an das System geschickt. Im Rahmen dieser Projektarbeit wird die Software Open Ticket Request System (OTRS) näher betrachtet. Wesentlicher Bestandteil dieser Software ist das Ticket.[Bre07] Am Markt ist verschiedene Software erhältlich.h.2. 2 Synonym wird die Bezeichnung Trouble-Ticket-System verwendet.[Nie07] D. zu bearbeiten oder sie weiterzuleiten. erstellt das Programm automatisch eine Verknüpfung zu dem schon gespeicherten Vorgang. über welche Medienart die Anfrage im System eingeht. Dabei ist es unerheblich. 4. Quelle: Eigene Darstellung.3 die Anforderungen an ein Werkzeug herausgearbeitet. und sich vorab Informa1 Die Bezeichnungen "Werkzeug" und "Tool" werden in dieser Arbeit im weiteren Verlauf synonym verwendet. welche die Implementierung und Umsetzung von ITIL in den Unternehmen unterstützen. Ein Ticket-System2 ist eine Verwaltungssoftware. als dass in den ITIL-Büchern keine Bewertung der vorhandenen Tools vorgenommen wird und konkrete Aussagen ausbleiben.Formulierung von Anforderungen entlang des Service Supports 111 Abbildung 4.

welche keine Störungen . Prinzipiell besteht durchaus die Möglichkeit. den IT-Service bei einem Incident wieder herzustellen und aufrecht zu erhalten.3 4. Primäres Ziel ist es. kann es sich lohnen. Ursächlich für eine Störung und auch einen Service Request sind jeweils auftretende Anliegen. werden im Folgenden die einzelnen Prozesse von ITIL näher betrachtet.4 die Funktionen der Werkzeuge OTRS und Remedy darzustellen. da eine umfassendere Betrachtung im Rahmen dieser Arbeit aus zeitlichen Gründen nicht möglich ist." [Its07] Anfragen. Für die weitere Betrachtung werden zunächst die Begriffe Störungen und Service Requests definiert. Sobald Tätigkeiten gehäuft und wiederholt vorkommen. um den Menschen zu entlasten und dabei die einzelnen Prozesse des Service Support funktionsfähig und zielführend abzubilden? Diese Anforderungen an ein Tool werden jeweils in den einzelnen Kapiteln herausgearbeitet. die Grundsätze von ITIL im einfachsten Fall mit Papier und Bleistift umzusetzen. dem Problem Management.3. spricht man vom Schließen des Tickets. Es werden allgemeine Daten gespeichert. das nicht zum standardmäßigen Betrieb eines Service gehört und das tatsächlich oder potentiell eine Unterbrechung oder Minderung der Servicequalität verursacht. sondern vielmehr ist an dieser Stelle von Bedeutung. um in Kapitel 4. welche Anforderungen sich jeweils für eine mögliche Softwareunterstützung durch ein eingesetztes Tool ergeben. Der Fokus liegt hier ausschließlich auf dem Bereich des Service Support. welche wiederum zur Problemlösung verwendet werden können. Es wird jedoch nicht nur ein Einblick in den jeweiligen Prozess gegeben.[Här07] Auf die genauere Ausgestaltung eines Ticket-Systems wird bei der Betrachtung von OTRS und Remedy näher eingegangen. 4. Die Möglichkeit zur Dokumentation der gesamten Daten wird auch Historiefunktion genannt. da ein größerer Informationsfluss schneller verarbeitet werden kann.[Cla] Ist das Problem letztendlich gelöst. dem Release Management und dem Configuration Management. dem Incident Management.2 Incident Management mit Service Desk Das Incident Management bildet in Verbindung mit dem noch zu erläuternden Service Desk die Schnittstelle zwischen Anwender/ Kunden und dem Unternehmen.1 Service Support und Anforderungen an die Werkzeuge Vorgehensweise Nachdem bisher ITIL und das Verständnis von Werkzeugen erläutert wurde. 4.112 ITIL-unterstützende Werkzeuge tionen zu dem vorliegenden Problem verschaffen.[Mar04] Durch eine Softwareunterstützung aber kann sich bei passendem Einsatz eine erhebliche Effizienzsteigerung ergeben. Dieses Kapitel gliedert sich somit in die einzelnen Prozesse des Service Support. ITIL fasst unter der Bezeichnung Incident Störungen und Service Requests zusammen. Unter einer Störung wird dabei "ein Ereignis [verstanden]. Doch was genau müsste eine ITIL-konforme Software können? Welche Fähigkeiten müsste sie haben. sowie dem Change Management. Aktivitäten durch Einsatz einer geeigneten Software zu automatisieren.3.

dass es eine klare Abgrenzung der Kompetenzen geben muss. Es besteht auch die Möglichkeit. wenn es nicht sofort erledigt werden kann. er dient als Kontaktpunkt für den Kunden bzw. . d. Diese werden durch den Service Desk bearbeitet und abgeschlossen. sondern auch für die Organisation aller weiteren Prozesse. dass der Kunde nur einen SPOC als Kon3 Darunter wird der Service zur Unterstützung oder auch zur Hilfe von Anwendern von Hard.3 Zu den allgemeinen Aufgaben des Service Desk zählen im Wesentlichen die Entgegennahme der Anliegen des Kunden. Einfache Probleme oder Anfragen können oftmals direkt gelöst werden und werden als First-Level-Support bezeichnet. Jeder dieser Vorgänge wird umfangreich dokumentiert und gespeichert.[Fis06] Synonym zum Service Desk wird auch die Bezeichnung Help Desk verwendet. Im weiteren Verlauf wird das Anliegen konkretisiert. werden die Anliegen über einen SPOC koordiniert und bearbeitet.Formulierung von Anforderungen entlang des Service Supports 113 im eigentlichen Sinne sind. und den Abschluss bildet dann die Wiederherstellung des Service. egal ob es sich um ein Incident oder um ein Request for Change (RFC) handelt. oder ob es sich um eine Störung (Incident) handelt. Diese Kommunikationsstelle wird auch als Single Point of Contact (SPOC) bezeichnet. Hier wird deutlich. Zum einen als zentrale Einheit. die Kunden über den Verlauf des Anliegens zu benachrichtigen. Kompliziertere oder umfassendere Anliegen werden vom Service Desk weitegeleitet und dort durch Fachkräfte oder Teams im Rahmen des Second-LevelSupports gelöst. Vorteilig ist hier. sondern auch den Service Support-Prozessen Problem Management. also ob es sich um eine Anfrage eines Kunden im Sinne einer Änderung (Request for Change) handelt. Es gibt unterschiedliche Möglichkeiten einen Help Desk zu organisieren. wird es an das Third-Level weitergegeben. Change Management. Dies gilt nicht nur für das Incident Management. Außerdem liefert er nicht nur dem Incident Management. Darunter fallen unter anderem Statusnachfragen und Fragen zur Handhabung. zum anderen als dezentrale Einheit. um bei Bedarf jederzeit darauf zurückgreifen zu können. Kann das Problem auch an dieser Stelle nicht gelöst werden. wird er in dieser Arbeit innerhalb dieses Kapitels betrachtet. Der Service Desk ist also in erster Linie die Schnittstelle für den Anwender. Eine zentrale Stellung hat in diesem Bereich der bereits erwähnte Service Desk. Release Management und Configuration Management wichtige Informationen. Die Aufnahme einer Störung im Service Desk ist dabei als Ausgangspunkt für das Incident Mangement zu nennen. welcher nun im Folgenden betrachtet wird. Noch nicht abgeschlossene Vorgänge werden permanent überwacht und deren weiterer Verlauf verfolgt. dessen grobe Einschätzung im Service Desk stattfindet.h.[Its07] Service Desk Da der Service Desk nach ITIL kein Prozess sondern eine Funktion ist und damit eine Aufgabe erfüllt. Bezeichnet wird das als Multi-Level-Support-Modell. Ist der Help Desk zentral organisiert. für den Anwender zum gewünschten IT-Service. in dem sich Experten damit befassen. werden unter dem Begriff Service Requests zusammengefasst.und Software verstanden. Es erfolgt häufig eine Gliederung in verschiedene Ebenen oder Bearbeitungsstufen. Bei der Bearbeitung der Störung unterscheidet man zwischen verschiedenen Leveln.

Hinter dieser verbergen sich jedoch dezentral weitere Service-Desk Supports. also wie die Daten erfasst werden sollen. [Els06. ohne dass es in einer Datei gespeichert wird. der innerhalb der Service Desk abläuft. Es lässt sich somit festhalten. Hier erhalten die Kunden meist schnellere Hilfe als im zentralisierten Fall. sondern kann seine Anliegen einer Stelle zutragen. Es muss also entschieden werden. der innerhalb des Service Desks abläuft. haben dadurch aber auch mehrere Kontaktstellen. . Ist dieses Wissen nicht vorhanden. Hier existiert aus Sicht des Kunden nur ein Help Desk. weil der Kunde länger auf seine Antwort warten muss. Eine Lösungsmöglichkeit könnte der zentralisierte dezentrale Ansatz. Für die Zuweisung sind allgemeine Daten zum Kunden. um den Kunden kompetent zur Seite zu stehen. kontaktieren die Kollegen aus dem First-Level-Support öfter die Kollegen aus den anderen Supports. Des Weiteren müssen natürlich die spezifischen Gegebenheiten des aktuellen Anliegens erfasst werden. Nachteilig bei dieser Variante ist.und Verarbeitung sind. Uhrzeit der Kontaktaufnahme relevant. Bre07] Um im Folgenden aus den Aufgaben und Zielen des Service Desk und damit auch des Incident Managements Anforderungen an mögliche Software-Tools abzuleiten. so dass es zu einzelnen Überschneidungen kommt und ggf. Name. Bei einem dezentralen oder lokalen Help Desk gibt es einen Service-Support für verschiedene Kundengruppen oder verschiedene Produktgruppen. Kundennummer und Datum inkl. Eine klare Grenze zwischen den Bereichen kann nicht immer gezogen werden. Kann ein Mitarbeiter ein Anliegen nicht selber bearbeiten. zentral und geregelt vorzugehen. dass der Prozess. Für die Erfassung von Anliegen ist es ratsam. Der Ablauf innerhalb des Service Desks gliedert sich in verschiedene Punkte. Dabei soll stets die Frage im Hintergrund stehen: An welchen Stellen ist eine Unterstützung durch ein Software-Tool besonders sinnvoll? Und welche Aufgaben müsste dieses Tool im Einzelnen übernehmen? Hierbei ist anzumerken.a. eng mit anderen Abläufen verknüpft ist. Für dieses Wissen benötigen die Mitarbeiter weitere und permanente Schulungen. Mehrere Supporter arbeiten an einem Problem. Dokumentation der Anliegen sind im Vorfeld grundsätzliche Entscheidungen zu treffen.114 ITIL-unterstützende Werkzeuge taktpunkt hat. Problematisch kann sich hier die nicht einheitliche Datenbank erweisen. Adresse. Für eine sinnvolle Erfassung bzw. wird der Prozess. dass die Support-Mitarbeiter ein breiteres und umfassenderes Wissen für die verschiedenen Anfragen benötigen. also u. Es stellt sich die Frage nach der Art der Dokumentation. First-Level-Support. können in verschiedener Form vorliegen. wird es an den zuständigen Help Desk weitergeleitet. im Einzelnen durchgegangen. so dass keine Abhängigkeit von der willkürlichen Arbeitsweise eines Service Desk-Mitarbeiters besteht. auf die anderen Prozesse verwiesen wird. Des Weiteren kommt es so zu einer Überlastung in den anderen Supporteinheiten. welcher auch als virtueller Ansatz bezeichnet wird. Hier wären Anfragen in Form von E-Mail oder Telefon denkbar. Er muss sich nicht verschiedene Kontaktadressen merken. die im Service Desk als erste Anlaufstelle eingehen.[Els06] Diese werden im Hinblick auf die obigen Fragen betrachtet: Anliegen entgegennehmen und registrieren: Die einzelnen Anliegen. also nur eine Kontaktstelle. wobei es zu einer Verzögerung gegenüber dem Kunden kommen kann. sein. welche Daten von Relevanz für die effiziente Be.

Um eine Klassifizierung vorzunehmen. dass eine gute und problemfreie Kommunikation erfolgt. Die Dokumentation der Anliegen in einer Datenbank ist eine sinnvolle Vorgehensweise. Wichtig ist hier. muss er eine erste Einordnung des Anliegens vornehmen. Liegt jedoch eine akute Störung beim Kunden vor. die Anliegen der Kunden zu identifizieren. die zwar bekannt ist. zu dessen Lösung der Service Desk Mitarbeiter alleine in der Lage ist. dass der Mitarbeiter dies ohne technische Unterstützung leisten kann. um welche Art von Störung es sich handelt. Liegt bei dem Kunden keine Störung vor. entscheidet sich sein weiteres Vorgehen. Sobald der Mitarbeiter die Störung an dieser Stelle klassifiziert hat. oder gibt es eine unbekannte Störung. Handelt es sich jedoch um eine bekannte Störung. Liegt eine Störung vor. dass der Mitarbeiter auch alle relevanten Informationen des Kunden strukturiert erfasst. So sind die Anliegen. wenn er die einzelnen Daten in einer bereits fertigen Maske in die dafür vorgesehenen Felder eintragen kann. Der weitere Ablauf in diesem Fall wird somit bei der Behandlung des Change Managements wieder aufgegriffen. so muss der Mitarbeiter weitere Schritte einleiten. sollte er für eine weitere Unterstützung des Kunden sorgen. Hierbei ist es ein Vorteil für den Mitarbeiter. Es sollte möglich sein. wenn das manuelle Suchen in langen Archivlisten entfällt und ein Tool ihm die Möglichkeit bietet. um die Störung möglichst schnell weiter zu klassifizieren und bestenfalls sogar gleich zu beheben. wenn er auf ein gutes Archiv vergangener Fälle zurückgreifen kann. zum Problem Management. wie bei allen Interaktionen zwischen den einzelnen Prozessen. sogar schon bekannt ist. Klassifizierung des Anliegens: Sobald der Mitarbeiter alle relevanten Daten des Vorgangs aufgenommen hat. Je größer ein Unternehmen jedoch ist oder je mehr Störungsfälle auftreten. Dies kann in kleinen Unternehmen oder in einem überschaubaren Umfeld natürlich eine selbst erstellte Liste oder einfach das Gedächtnis eines Mitarbeiters sein. Auch die Behandlung dieser Fälle wird an entsprechender Stelle wieder aufgegriffen. sondern handelt es sich um eine Anfrage für eine Änderung. er selbst jedoch nicht lösen kann. der aufgrund der Eingaben des Mitarbeiters auch eine Klassifizierung erleichtert. So ist es für ihn an dieser Stelle hilfreich. erfolgt eine Weiterleitung im Incident bzw. die sich im Unternehmen wiederfinden. sondern es ist zudem noch gewährleistet. leitet der Mitarbeiter des Service Desks die Daten zum Change Management weiter. so dass eine mehrmalige Registrierung eines Anliegens ausgeschlossen werden kann. welche im Service Desk eines Computerlieferanten auftreten natürlich andere. Dies ist natürlich stets verbunden mit den jeweiligen spezifischen Gegebenheiten. . Dazu muss er herausfinden. umso schwerer wird es sich vorzustellen. oder ob das Problem evtl.Formulierung von Anforderungen entlang des Service Supports 115 dass die Mitarbeiter einheitlich vorgehen müssen. kann eine Art Bewertungsbogen generiert werden. als die bei einem Telekommunikationsunternehmen. dass eine strukturierte Erfassung des Anliegens möglich ist. So ist es für den Mitarbeiter zeitsparend. per Schlagwortsuche nach vorherigen Störungsfällen zu suchen. die nicht nur von der Entscheidung des Mitarbeiters abhängt. Das Tool soll den Mitarbeiter des Service Desk dahingehend unterstützten. Im Gegensatz zu einer einfachen Niederschrift des Problems kann mit Hilfe der Datenbank strukturiert vorgegangen werden. Dadurch kann nicht nur Zeit gespart werden.

Ggf. Falls das Problem innerhalb des First-Level-Supports nicht abgeschlossen werden kann. Abschluss & Speicherung des Lösungsweges in der Datenbank: Ist der Service wieder hergestellt. Ist auch hier der Abschluss nicht möglich. Hat der Mitarbeiter eine Lösung gefunden. Bei dieser Tätigkeit ist es möglich. Dieser besteht aus Spezialisten-Teams. so erfolgt eine Weiterleitung an den Third-Level-Support. Third-.3 Problem Management Vorangehend wurde das Incident Management betrachtet. Abschluss oder Weiterleitung: Sobald eine Lösung gefunden wurde. die sich analog zum Ablauf im Second-Level-Support mit dem Anliegen befassen. findet hier eine intensivere Suche statt. Second-. Dort beschäftigen sich spezialisiertere Support-Teams. d. Dieser Vorgang wird auf N-Leveln wiederholt. und N-Level-Support. die Datenbank noch vielfältiger zu nutzen. Auch dies setzt das Vorhandensein und die kontinuierliche Pflege eines guten und vollständigen Archivs voraus. kann dem Kunden geholfen werden und eine schnelle Wiederherstellung des Service erfolgen. Wie zuvor erläutert spart es viel Zeit. dies nützt jedoch nichts. Die Anforderungen an ein eingesetztes Tool sind ähnlich zu denen des Service Desk. So gilt es auch an dieser Stelle Zeit zu sparen und die Suche nach einer Lösung durch den Einsatz eines Software-Tools zu beschleunigen. wenn bei der vorherigen Suche nach einer Störung auch gleich eine oder mehrere mögliche Lösungsvorschläge dazu vermerkt sind. Ein Tool kann die Suche innerhalb dieser Daten vereinfachen. dessen oberste Priorität die Wiederherstellung des Services ist. So ist es sinnvoll.h. bis die Störung abgeschlossen wird. da eine schnellstmögliche Wiederherstellung des Service das oberste Ziel des Service Desk ist. gilt es nun eine Lösung zu finden und die Störung zu beheben. dessen Ziel die Diagnose der Störung ist. 4. der Mitarbeiter im Service Desk das Anliegen nicht lösen kann. weiter mit dem Problem. Dieser muss natürlich auch in der Datenbank dokumentiert werden.116 ITIL-unterstützende Werkzeuge Bearbeitung von Störungen: Nachdem die Störung klassifiziert wurde und bekannt ist. findet ein Abschluss der Störung statt. die nach Fachbereichen gegliedert sind. wenn der Mitarbeiter auf eine gut gepflegte Datenbank zugreifen kann. Da bisher keine sofortige Lösung der Störung vorhanden ist.3. wenn sie nicht durch die Mitarbeiter ständig gepflegt und aktualisiert wird. muss der Vorgang abgeschlossen und das Problem mit der Lösung in einer Datenbank vermerkt werden. Nur durch die korrekte und vollständige Erfassung des Vorgangs durch den Mitarbeiter können für zukünftig auftretende Probleme zeitnah Lösungen gefunden werden.[Its07] Analyse und Diagnose: In diesem Bereich beschäftigen sich die Experten mit der weiteren Analyse. An dieser Stelle knüpft die Aufgabe . Da sie ein größeres Fachwissen besitzen als die Service-Desk Mitarbeiter. erfolgt eine Weiterleitung an das Problem Management. so dass er für spätere Anliegen auch als Recherche zur Verfügung steht. erfolgt nun die Weiterleitung an den Second-LevelSupport. so wird es an den Second-Level-Support weitergeleitet.

So ist es Aufgabe des Problem Managements. das Problem ist jedoch noch nicht behoben. Für diese Vorkommnisse können unterschiedliche Ursachen vorliegen. In dieser ersten Phase des Problem Managements werden die vom Service Desk und Incident Management weitergeleiteten Probleme beschrieben. so dass durchaus zeitgleich verschiedene Experten einzubinden sind. soll nun im Einzelnen herausgearbeitet werden. das Auftreten von Störungen durch vorbeugende Maßnahmen zu minimieren. Während das reaktive Problem Management nach Ursachen bereits eingetretener Störungen sucht und Verbesserungsvorschlägen macht. Ist die Ursache gefunden liegt nun kein Problem mehr vor. also proaktiv. die Error-Control und das Proactive Problem Management. Soweit möglich sollen hier die Ursachen gefunden werden. die eigentliche Ursache für das Auftreten von Störungen zu ermitteln. Man . Beispiele in der IT gibt es viele. Die Lösung dieser Probleme ist vielfach kompliziert und aufwendig. Daran anschließend erfolgen die Untersuchung des Problems und dessen Auswirkungen auf den Service. Die fehlerhafte Komponente ist identifiziert. meist nur sehr selten festgestellt. bekommt ein Incident die Bezeichnung Problem. klassifiziert und abgespeichert. Um diese komplexen Vorgänge erfassen zu können. versucht das proaktive Problem Management Schwachstellen aufzuspüren und Störungen im Vorfeld zu verhindern. Außerdem sollen hier durch vorausschauendes Handeln Probleme und längerfristige IT-Systemunterbrechungen vermieden werden. Dort werden die Ursachen. sondern ein Known Error. die durch das Incident Management von einer Störung zu einem Problem deklariert und weitergeleitet worden sind. Die Problem-Control befasst sich mit der Problembearbeitung. bedarf es anderer Prozessverläufe als beim Incident Management. Die Tätigkeitsfelder der Problem. Als Known Error wird dann ein Problem (oder Incident) bezeichnet. die einer Störung zugrunde liegen. Wie die Abläufe der einzelnen Prozesse des Problem Managements nun genau aussehen und welche Anforderungen sich an ein Software Tool dadurch ergeben.und Error-Control sind verknüpft.[Els06] Problem-Control. Sobald für einen Fall keine Ursache festgestellt werden kann.Formulierung von Anforderungen entlang des Service Supports 117 des Problem Managements an und bildet somit eine Art zweite Ebene des Incident Managements. eine Aufrechterhaltung der ITDienstleistungen. In ITIL wird das Problem Management in drei Subprozesse unterteilt. Außerdem sollte das Problem Management versuchen bereits im Vorfeld. Dies ist zum einen die Eliminierung der Ursachen der auftretenden Probleme und zum anderen.[Fis06. Els06] Mit dem Problem Management werden verschiedene Ziele verfolgt. da unter anderem ein Problem durchaus auf mehrere Incidents zurückgeführt werden kann und sie wiederholt auftreten. Die Auswirkungen dieses Problems sollen minimiert und ein Lösungsweg zur endgültigen Beseitigung der Störung erarbeitet werden. So kann ein bestimmter Abbruch durch ein Aufeinanderfolgen bestimmter Fehlerquellen herbeigeführt werden. wie Hardware-Fehler. dessen Ursache bekannt ist. Für eine genauere Analyse wird der Prozess der Problem-Control vereinfacht dargestellt. Netzwerkfehler oder Betriebssystemabstürze. die Problem Control. Diese umfassen sowohl reaktive als auch proaktive Aktivitäten. ähnlich wie beim Incident Management. Gegebenenfalls werden durch das Problem Management notwendige RFCs in der IT-Infrastruktur eingeleitet.[Els06] Klassifizierung und Kategorisierung des Problems: In dieser ersten Stufe treffen die Probleme ein.

Analyse und Diagnose des Problems: Nun erfolgt eine Analyse der für das Problem zuständigen Experten. welche Auswirkungen es auf geschäftliche Abläufe geben kann. Dazu werden wiederholt Tests durchgeführt. indem es durch eine fertige Maske dem Mitarbeiter die Eingabe der Daten erleichtert und außerdem dafür sorgt. die übrigen Mitarbeiter eigenhän- . dass außerdem eine gute und ständige Kommunikation zwischen den einzelnen Prozessen stattfindet. Hier müsste ein Tool in der Lage sein. wie eigentlich überall. die Daten der im Vorfeld aufgenommenen Störung vorliegen zu haben. welche Priorität es hat und wie der aktuelle Status des vorliegenden Problems lautet. welche Ursache einem Problem zugrunde liegt. Notwendige Informationen zur Untersuchung des Problems werden also von und zu den anderen ITIL. Abschluss des Problems oder Überleitung zur Error Control: Ist das Problem identifiziert. Wichtig ist zu diesem Zeitpunkt. Zuweisung zum Problem-Management Experten: Bevor die genaue Untersuchung und eine zeitnahe Lösung des Problems angestrebt werden kann. Die Untersuchung und die Diagnose des Problems kann ein langwieriger Prozess sein.[Its07] Auch zur Aufnahme dieser Daten kann ein Tool eine strukturierte Vorgehensweise ermöglichen und unterstützen. dass die Daten auch von anderen Mitarbeitern schnell wiedergefunden werden können. Des Weiteren müssen die Probleme insofern klassifiziert werden.118 ITIL-unterstützende Werkzeuge spricht von Problemen. dass auch die anderen Prozesse über den aktuellen Stand und die Identifizierung des Problems informiert werden. Die Lösung des vorliegenden Problems erfolgt dann in der sich anschließenden Error-Control. um das Problem immer weiter einzukreisen. Bei der Identifikation müssen die Daten. erfolgt ein Abschluss in der Problem Control. Wichtig ist hier. wenn mit einem wiederholten Auftreten gerechnet wird. sowohl den Verlauf eines Problems zu dokumentieren als auch die Interaktion mit den anderen Prozessen ausreichend abzubilden. z. mit dem die eingegebenen Informationen zu jeglichen Vorgängen prozessübergreifend eingesehen und verwendet werden können. indem es automatisch Rückmeldung über die identifizierten Probleme und den Problemlösungsfortschritt zu den anderen Prozessen gibt. Diese Arbeit kann ein Tool erleichtern. Auch hier ist ein Tool hilfreich. wobei es hilfreich ist. Das Problem wird beschrieben und erfasst. Auch hier kann ein eingesetztes Tool helfen. eine Verknüpfungen zu den zuständigen Problemlösern bereitstellt und diese Experten. erfasst und in eine Datenbank eingestellt werden. Es muss erfasst werden zu welcher Kategorie sie gehören. Dieses Vorgehen kann ein Tool insofern erleichtern. dass sie in unterschiedliche Gruppen unterteilt werden. Hierbei findet ständiger Kontakt mit den anderen Prozessen statt. B. welche Dringlichkeit dem Problem zugesprochen wird. die zu einem Problem gehören. Somit wird dem Mitarbeiter einerseits die Zeit erspart. müssen die Daten dem für das Problem zuständigen Experten zugewiesen werden. per E-Mail automatisch über das Problem inklusive aller darüber vorhandenen Daten informiert werden. ähnlich wie bei einer Störung. indem es nach der Klassifizierung des Problems die für das Problem verantwortliche Person kennt. bei dem versucht wird herauszufinden.oder ManagementProzessen geliefert. die Daten strukturiert und vollständig zu erfassen.

dass der Mitarbeiter auf bereits vorhandenes Lösungswissen einer Datenbank zugreifen kann. Datensammlungen und Programmen benötigt. dass die Lösung umfassend dokumentiert wird. ggf. Eine Lösung kann auch so aussehen. für das Incident Management besonders wichtig. da somit eine schnelle Verwendung der neuen Lösungen dort gewährleistet ist. Error-Control. wird das Problem zu einem Fehler und die Fehlerbehandlung nimmt ihre Arbeit auf. um in der Zukunft Zeit zu sparen.[Its07] Dokumentation der gefundenen Lösung: Wie auch immer die vorher getroffene Lösung aussieht.a. mit einer Änderungsanforderung des Problem Managements an das Change Management. ist es wichtig. Diese führt bestenfalls zu einer Beseitigung des Fehlers. Der Fortschritt des Lösungswegs der bereits bekannten Fehler wird weiter überwacht. Auch hier muss er mit Unterstützung eines Tools in der Lage sein. In dem Augenblick. Nach der Lösungssuche wird dann eine optimale Lösung bestimmt. Somit kann sichergestellt werden. weil sie vorher nicht vollständig dokumentiert wurde und somit viel Zeit kostet. Dazu werden eine Reihe von Komponenten. welche Lösungsvorschläge ggf. Für die Ermittlung neuer Fehler sollten dem Mitarbeiter mehrere Hilfsmitteln zur Fehlersuche zur Verfügung stehen. in dem die Ursache des Problems festgestellt wurde. dass eine Lösung nochmals neu erarbeitet werden muss. die er vollzieht. Abschließend müssen die anderen Prozesse über die Lösung informiert werden. welches ihm bei der Ermittlung einer neuen Lösung helfen kann. sind die Lösungswege bereits bekannt und können aus einer gut gepflegten Datenbank entnommen werden. Eine automatische Benachrichtigung an die betroffenen Anwendergruppen durch ein eingesetztes Tool erleichtert und beschleunigt auch hier die Arbeit. Damit soll verhindert werden. dass auch die Lösungen in Zukunft auftretender Probleme schnell in einer Datenbank gefunden werden können. da er schnell behoben werden kann und eine endgültige Beseitigung zu zeit. dass niemand diese Informationen verspätet oder gar nicht erhält. Die Auswirkungen der gefundenen Lösung müssen weiter beobachtet werden. Dies ist u. Im Rahmen der Error-Control werden Lösungswege neu ermittelter Probleme erarbeitet und im Bedarfsfall ein RFC an das Change Management gestellt. Für die Known Errors sind die Ursachen und die Lösungsaktivitäten bereits bekannt und können eingeleitet werden. Auch hier wird der dort stattfindende Prozess vereinfacht dargestellt. Systemen. Alle Lösungsaktivitäten. dass der bekannte Fehler weiter auftreten kann. auch zu keiner Lösung führten.Formulierung von Anforderungen entlang des Service Supports 119 dig zu informieren und andererseits auch sichergestellt. Bei der Error-Control erfolgt nun eine Fehlerbearbeitung. damit auch im Nachhinein nachvollzogen werden kann. also einem RFC. müssen von ihm dabei natürlich auch festgehalten werden. die an dieser Stelle eintreffen.[Els06] Identifizierung des Fehlers : Für die Known Errors. Auch hier gilt es nochmals zu . auf die notwendigen Informationen der anderen Prozesse zugreifen zu können. Hierbei ist es notwendig. Ermittlung eines Lösungswegs: Für die ermittelten Fehler müssen nun neu initiierte Lösungswege gefunden werden.oder kostenintensiv wäre.

120

ITIL-unterstützende Werkzeuge betonen, dass eine stetige Kommunikation der einzelnen Prozesse für einen erfolgreichen Abschluss zwingend notwendig ist.

Proactive Problem Management. Das Proactive Problem Management behandelt die frühzeitige Identifikation eines Problems oder allgemein die Erkennung von Schwächen in der Infrastruktur durch Trendanalysen. Somit ist es kein Prozess im eigentlichen Sinn. Es sollen Vorkehrungen getroffen werden, um ein Problem bestenfalls gar nicht erst entstehen zu lassen. Dazu können bereits aufgetretene Störungen und deren Lösungen analysiert werden, um mögliche Probleme schon im Vorfeld zu erkennen. Das Proactive Problem Management erfüllt folgende Aufgaben ([Els06]): Erstellung von Trendanalysen: Zur Einführung des Problem Managements wird es überwiegend reaktiv sein, allerdings sollte eine Entwicklung hinsichtlich proaktiver Mechanismen erfolgen. Eine Aufgabe darin ist die Erstellung von Trendanalysen. Hierbei könnte ein Tool insofern hilfreich sein, als dass es bereits eine Funktion enthält, um eine Trendanalyse der einzelnen Tickets zu erstellen, d.h. Themen und Vorfälle, die wiederholt auftreten, sollten angezeigt werden und eine Auswertung der Daten somit erleichtert werden. Somit können Komponenten, die anfällig sind, oder bei denen eine Überlastung droht, genauer beobachtet werden. Genauso wird versucht, Störungen, die in einem Bereich auftreten, bereits im Vorfeld in anderen Bereichen zu verhindern. Weiterleitung von Auswertungen an das IT-Management: Die Analysen und Auswertungen sind natürlich nur dann nutzbar, wenn die Informationen auch allen anderen bereitgestellt werden. Genau wie die Lösungen eines Problems müssen auch die im Vorfeld ermittelten Schwächen an die anderen Prozesse weitergeleitet werden. Die Aufgabe eines Tools könnte es hierbei sein, sobald an einer Stelle eine Schwäche identifiziert wurde, die Informationen automatisch an die betroffene Stelle weiterzuleiten und zu informieren, ohne dass dies viel Zeit und Aufwand in Anspruch nimmt.

4.3.4

Change Management

Wie bereits im Kapitel 4.3.2. erwähnt, nehmen die Mitarbeiter des Service-Desk zunächst alle Anliegen entgegen. Diese werden aufgenommen, und strukturiert in einer Datenbank erfasst. Wenn sich bei der Kategorisierung nun herausstellt, dass es sich um einen RFC handelt, wird es an das Change Management weitergeleitet. In diesem Abschnitt geht es nun um die Aufgaben, Funktionen und Ziele des Change Managements. Die Erfahrung hat gezeigt, dass Probleme und Störungen häufig auf Änderungen zurückzuführen sind. Ursache dieser Probleme sind oftmals überstürzte und wenig durchdachte Änderungen, oder unzureichende Planungen im Vorfeld.[Its07] Das Change Management soll nun gewährleisten, dass die oben genannten beantragten Änderungsanforderungen in Form von RFCs geplant und kontrolliert ablaufen. Hierbei ist darauf zu achten, dass änderungsbedingte Störungen zu vermeiden oder wenigstens zu minimieren sind.[Fis06] Voraussetzung für Änderungen ist jedoch, dass diese im Vorfeld genau überprüft und kontrolliert werden, ob die Changes ohne weitere Rücksprache durchgeführt werden können. [Bre07] Die RFCs können im Wesentlichen in drei Bereiche aufgeteilt werden ([Its07]):

Formulierung von Anforderungen entlang des Service Supports

121

Neuerungen und Verbesserungen: Diese beinhalten neue Methoden und Konzepte, sowie technische Verbesserungen. Dadurch können neue strukturelle Fehler und Probleme entstehen, die vorher in dieser Art und Weise nicht bekannt waren. Änderungen: Änderungswünsche können sich auf Soft- und Hardwareänderungen beziehen oder auch auf Betriebssysteme. Aber auch Modernisierungen oder der Austausch von Kabeln und/oder Hardware gehört in diesen Bereich. Korrekturen: Diese sollen die strukturellen Fehler und Probleme beheben. Im weiteren Verlauf wird auf diese Unterteilung nicht weiter eingegangen, und zur Vereinfachung wird der Ausdruck Änderungen oder Change für alle Anliegen verwendet. All diese Änderungen sind mit einem gewissen Risiko behaftet und können zu einem Ausfall der Service-Leistungen führen. Es muss jedoch nicht nur darauf geachtet werden, dass die Änderungen schnell und ohne Komplikationen durchgeführt werden, ebenso wichtig ist es auch, dass das System hinterher konsistent und ohne Fehler und Probleme funktioniert. Aus diesem Grund muss eine Änderung geplant werden, und kann nicht ad hoc durchgeführt werden. Es ist auch darauf zu achten, ob nur ein Mitarbeiter betroffen ist, oder die ganze Belegschaft eines Unternehmens. Diese Faktoren zu berücksichtigen ist die Hauptaufgabe des Change Managements. Zusätzlich zu beachten ist, dass Soft- und Hardware selten kostenlos zur Verfügung gestellt werden. Es ist daher nicht ohne weiteres möglich, ohne Lizenzprüfung die Programme zur Probe zu installieren. Auch die Bevorratung der benötigten wichtigsten Ersatzteile ist Aufgabe dieses Supports. Zusammengefasst lässt sich sagen, dass sich die Aufgaben aus einem Zeitmanagement und aus vorbereitenden Aufgaben zur Implementierung von Änderungen zusammensetzen. Nicht zu vergessen ist die permanente schrittweise und aktuelle Dokumentation aller Handlungen von jedem Mitarbeiter. Nur durch diese sorgfältige Vorgehensweise wird eine effiziente und kostengünstigere Arbeitsweise auf Dauer gewährleistet.[Els06] Um nun auch hier aus den Aufgaben und Zielen des Change Manangement Anforderungen an mögliche Software-Tools abzuleiten, wird auch hier der Prozess, der innerhalb des Change Managements abläuft, im Einzelnen durchgegangen. [Els06] In einem ersten Schritt wurden die Daten im Service Desk als Change deklariert und dann an das Change Management weitergeleitet. Erfassung des RFC, Kontrolle und Speicherung in der Datenbank: Wichtig ist vor allem die korrekte Erfassung der Änderung in Form eines RFCs. Hier decken sich die Anforderungen an ein Tool mit den Anforderungen aus dem Service Desk. Hier wäre es demnach auch wieder von Vorteil, wenn für diese Erfassung eine vorgegebene Maske existiert, so dass die wichtigen und wesentlichen Elemente erfasst werden müssen, um überhaupt im Programm weiterzuarbeiten. Wichtige Informationen können eine Identifikationsnummer, der Auslöser des Changes, eine Begründung für die beantragte Änderung, Datum der Beantragung und Datum der geplanten Durchführung sein. Dieses Verfahren schützt den Benutzer vor der Gefahr, wichtige Daten bei der Eingabe zu übersehen. Im weiteren Verlauf muss noch geklärt werden, ob der Antragsteller auch

122

ITIL-unterstützende Werkzeuge berechtigt ist, diesen Änderungswunsch anzubringen. Ist das nicht der Fall, wird das RFC sofort abgelehnt. Wünschenswert wäre an dieser Stelle, wenn das Programm diese Kontrolle automatisch durchführt, indem sie den Antragsteller mit den hinterlegten berechtigten Personen abgleicht und bei entsprechendem Verstoß automatisch eine E-Mail verschickt, dass diesem Änderungswunsch nicht weiter nachgegangen werden kann. Dieser wird mit der entsprechenden Begründung versehen. [Its07] Nach der Erfassung erfolgt eine Kontrolle auf eventuelle Doppelerfassung oder auch auf nicht durchführbare RFCs. Diese Änderungen sollten dann automatisch mit einer entsprechenden Begründung abgewiesen werden. Zudem werden dann auch nach der Akzeptanz des RFCs weitere Informationen hinzugefügt, wie z.B. die Beurteilung der Auswirkungen. Das geplante Datum zur Umsetzung und auch der aktuelle Bearbeitungsstatus sollte angezeigt werden. Im weiteren Verlauf wird eine Prioritätsstufe bzw. eine Kategorisierung vorgenommen. Unter Priorität wird die Dringlichkeit des Changes verstanden. Die Kategorie bestimmt sich aus der Grundlage und den Auswirkungen der Änderungen. Nach ITIL werden die Prioritäten in vier Bereiche eingeteilt. Es reicht von der höchsten, über die hohe und normale Priorität bis zur niedrigen Priorität. Die Kategorien werden eingeteilt in geringfügige, erhebliche und weitreichende Folgen. Auch hier wäre es angenehmer, wenn das Programm schon einen Vorschlag für die Kategorie bzw. Priorität macht. Dieser Vorschlag könnte auf vorhandenen RFCs aufbauen, bei denen es zum Beispiel um eine ähnliche Angelegenheit geht, oder auch um eine gleiche Dringlichkeit.

Erstellung von Zeit-/Installationsplänen und deren Implementierung: Nachdem das RFC genehmigt wurde, muss nun bedacht werden, wie umfangreich diese Änderung ist, um daraus Rückschlüsse auf die benötigte Mitarbeiteranzahl und auf die benötigten Arbeitsstundenzahlen zu ziehen. In diesem Punkt arbeitet das Change Management eng mit dem Release Management zusammen, denn dieses ist dafür verantwortlich, dass genügend Ressourcen zur Verfügung gestellt werden. Von Vorteil ist es hier auch, wenn das Change Management im permanenten Kontakt zu den anderen laufenden Projekten steht, um sich auch hier immer wieder über den aktuellen Stand zu informieren. Ein weiterer Punkt ist das Erstellen eines Backout-Verfahrens. Dieses bietet die Möglichkeit, die Änderung wieder rückgängig zu machen, wenn diese nicht das erwünschte Ergebnis liefert. Das Change Management darf ein RFC nicht ohne Backout-Verfahren genehmigen. Auch hier ist es von Vorteil, wenn das Programm einen Hinweis gibt, wenn kein Backout-Verfahren verzeichnet ist, damit es nicht zu Schwierigkeiten nach einer unzulässigen Genehmigung kommt. Freigabe der Änderung, Evaluierung und Abschluss: Nach der Freigabe durch das Change Management sollte eine Evaluierung durchgeführt werden. Dabei ist allerdings zu beachten, dass standardisierte Änderungen nicht jedes Mal evaluiert werden müssen, bzw. dies in abgeschwächter Form erfolgen kann. Wünschenswert wäre hier ein Evaluierungsprogramm, in dem man gewisse Kriterien ausfüllen muss, so dass eine Vergleichs-

Formulierung von Anforderungen entlang des Service Supports

123

möglichkeit entsteht. Letztendlich liegt es im Verantwortungsbereich des Change Managements, die Änderung einzuführen und auch zu überwachen. Voraussetzung hierfür ist eine detaillierte Dokumentation und permanente Aktualisierung. Hilfreich ist somit eine Evaluierung in Form eines geeigneten, selbstentwickelten Fragebogens, der es ermöglicht, standardisiert vorzugehen.

4.3.5

Release Management

Die umfassende Planung und Durchführung von Hard- und Softwareeinführungen findet im Release Management seine Umsetzung. Das Hauptaugenmerk des Release Managements liegt auf der Stabilhaltung der IT-Infrastruktur.[Bre07] Unter einem Release wird eine „Reihe neuer oder geänderter KonfigurationsElemente 4 , die zusammenhängend getestet und in die Produktionsumgebung überführt werden“ [Its07] verstanden. Ein Release kann dabei ein vorhandenes CI ersetzen oder aber neu sein.[Els06] Releases werden unterteilt in MajorReleases, welche erhebliche Änderungen bzw. Erweiterungen der Funktionalität zur Folge haben, in Minor-Releases, welche geringfügige Änderungen bewirken, und in Emergency Fixes, welche vorübergehend kurzfristige Änderungen vornehmen.[Its07] Es werden drei Release Arten Full-, Delta- und PackageRelease differenziert.5 Die Dokumentation der Releases erfolgt innerhalb der Definitive Software Library (DSL) und dem Definite Hardware Store (DHS). In der DSL werden alle freigegebenen Software Releases, die Masterkopien der Software, und deren zugehörige Dokumente aufgeführt. Sie sollte von den im Folgenden noch zu erläuternden Prozessen des Release Managements losgelöst sein. Im DHS sind alle Hardware Ersatzteile enthalten. Diese beiden Datenbanken stehen in Verbindung zur Configuration Management Database (CMDB), welche den Prozess von der Planung bis zur Umsetzung dokumentiert und im Configuration Management erläutert wird.[Its07] Bezüglich der Erfassung innerhalb der Datenbanken muss man sich dann neben der Identifikationsnummer für verschiedene Datenfelder entscheiden, nach denen die Inhalte der Datenbanken aufgeführt werden sollen. Zu beachten ist, dass eine eindeutige Identifikation möglich wird. So kann zwischen Releases schon durch die Anordnung der Versionsnummer unterschieden werden.6 Außerdem gilt auch im Hinblick auf die Verwendung eines Tools, dass grundsätzliche Entscheidungen für die Arbeit mit den Datenbanken getroffen werden sollten. Da stets verschiedene Personen mit diesen Datenbanken arbeiten, ist ein standardisiertes Vorgehen auch für die spätere Verwendung und Anbindung an weitere Prozesse von Nutzen. Ein einheitliches Vorgehen erleichtert im weiteren Verlauf auch den Zugriff auf die vorhandenen Informationen. Darunter fällt neben Art der Darstellung auch die Pflege der Daten, d.h. dass sie sich stets auf dem neusten Stand befinden. Eine fortlaufende Kontrolle der Datenbanken ist somit zu empfehlen, sie stehen auch im fortwährenden Austausch mit den Aktivitäten, welche im Release Prozess angesiedelt
4 Konfigurations Elemente bzw. Configuration Items werden im weiteren Verlauf der Arbeit mit dem Akronym CI abgekürzt. 5 Ein Full-Release bezeichnet dabei einen kompletten Austausch eines Releases, während bei einem Delta-Release Changes an einem einzigen Release vorgenommen werden. Ein PackageRelease wiederum ist der Austausch zusammenhängender CIs.[Els06] 6 Beispiel: Version 1.0 für ein Major Release, Version 1.1 für ein Minor Release und Version 1.1.1 für einen Emergency Fix.

Die Tests erstrecken sich über Installationstests. die ähnlich seiner späteren ist. aber im Sinne einer strukturierten Planung sollte ein einheitliches Vorgehen angestrebt werden. so dass diesem Bereich ein hohes Maß an Aufmerksamkeit zukommen sollte. Change und Problem Management sind die konkreten Anforderungen an ein Tool innerhalb dieser Aktivitäten kaum zu formulieren. Die Aktivitäten des Release Managements sind in die Bereiche Entwicklungsumgebung. welches dann für einen einheitlichen Ablauf steht. Aufbau und die Formierung des Releases vorgenommen.[Els06] Für die Abnahme eines Releases muss dieses vorher ausführlich getestet werden. Denkbar sind für ein derartiges Vorgehen prozessbezogene Checklisten. In der Entwicklungsumgebung findet der Release Build statt. Die Bearbeitung der Releases ist in jedem Unternehmen sehr spezifisch. Einzeltests. Es kann daher nur Ziel bei der weiteren Betrachtung sein. Dem Release Management obliegt die Überwachung der Verteilung bis hin zur Installation und Übergabe von Software und Hardware an den Nutzer. Tests auf Anwenderfreundlichkeit. Jetzt muss ein genauer Zeitplan für das Roll-Out entworfen. Dies beinhaltet die Planung und Festlegung der Versionsgrundsätze. [Its07] Im Gegensatz zum Incident. Unzureichendes Testen gilt als die häufigste Ursache bei nicht erfolgreichen Änderungen. Empfehlenswert ist es hier. ein Aktionsplan erstellt und die Vorbereitung für die Kommunikation getroffen werden. so dass ein Release-Plan erstellt wird. Es muss darauf geachtet werden. am besten in einer Umgebung. Im Bereich der überwachten Testumgebung ist die Versionsprüfung und Abnahme des Realeses. Für die Roll-Out-Planung ist der bis hierhin erstelle Release-Plan der Ausgangspunkt. und die Erfassung der Testdaten muss für eine spätere Auswertung erfolgen. überwachte Testumgebung und Produktionsumgebung unterteilt.[Its07] Überwachte Testumgebung.[Its07] In dem Bereich der Kommunikationsvorbereitung und Schulung soll die Information der beteiligten Personen vorgenommen werden. den aktuellen Entwicklungsstand besser nachvollziehen zu können. die Planung des Roll-Out sowie die Kommunikationsvorbereitung und Schulung angesiedelt. Entwicklungsumgebung. dass die einzelnen Releases bereits nach bestimmten Kriterien gekennzeichnet werden. Produktionsumgebung. also die Erarbeitung der Release-Richtlinien. Bei der notwendigen Vielfältigkeit dieses Tests ist auch hier eine vorherige einheitliche Planung anzuraten. Weiterhin wird der grundlegende Entwurf. Zwar sind einige der Aktivitäten variierbar. welche von den involvierten Mitarbeitern ausgefüllt werden müssen und an die entsprechenden Stellen weitergeleitet werden.124 ITIL-unterstützende Werkzeuge sind. und einem die Möglichkeit gibt. Neben den Kunden müssen natürlich auch die Mitarbeiter des Service Desk als erste Schnittstelle zum Kunden über die Änderungen informiert werden. ein standardisiertes Verfahren zu entwickeln. welcher jetzt um die Implementierungspläne erweitert wird. Für eine Kontrolle und Überwachung des Transports . auf grundsätzliche Anregungen einzugehen. so dass die Identifikation jedes Release eindeutig möglich ist.[Els06] Im Folgenden wird näher auf die Bereiche und die darin angesiedelten Prozesse eingegangen.

die für eine CMDB denkbar ist. die zu einem CI gehören. den Kunden einzubeziehen und zu informieren. Dies könnte zum Beispiel über einen Statusbericht geschehen. wenn alle Regeln inklusive der Dokumentationen beachtet werden. wie die Infrastruktur aussehen müsste.und Softwareprodukte liefert. Ziel dabei ist es. Außerdem werden durch das Vorhandensein des Configuration Managements alle anderen Prozesse unterstützt. Diese Informationen sollen dabei stets auf dem aktuellen Stand gehalten werden. Bei der Installation wiederum ist ein einheitliches Vorgehen zu beachten. Das IT-Management benutzt diese Daten für Berichtsund Entscheidungsaktivitäten. Grundsätzlich ist anzumerken. Und zwar insofern.6 Configuration Management Das Configuration Management ist zuständig für die IT-Infrastruktur. sowie die Beziehungen zu denen es mit anderen CIs steht. Dies erfolgt. überwacht und kontrolliert das Configuration Management die CIs und ihre Versionen. Die einfachste Form. so dass er nachvollziehen kann. Damit diese Interaktion auch durchgeführt wird. Auch das im anschließenden Kapitel betrachtete Configuration Management ist für eine erfolgreiche Einführung ein wichtiger Kooperationspartner für das Release Management. in der CMDB abspeichert. So steht das Release Management in enger Verbindung zum bereits angesprochenen Change Management. 4. Dazu werden für die Informationsbeschaffung Hardund Software Datenbanken und Softwarepakete genutzt. welche im Release Management ablaufen. kann ein Tool hier helfen.3. muss darauf geachtet werden. und dass es nur durch autorisiertes Personal durchgeführt wird.[Its07] . in dem sämtliche IT-Betriebsmittel registriert sind und die Beziehungen zwischen den einzelnen Karten festgehalten werden. dass von der Planung bis zum Roll-Out ein entsprechendes Zeitfenster zur Verfügung steht. Die Vorteile des Configuration Managements liegen darin. nur durch eine angemessene Zeitspanne zu lösen sind. die mit Hilfe von Inventarisierungsprogrammen aktualisiert werden. An dieser Stelle ist es ratsam. dass die Vielzahl an Prozessen.[Its07] Bei der Betrachtung der Aktivitäten wird vor allem die notwendige und ständige Interaktion zwischen den verschiedenen angesprochenen Bereichen deutlich. wären Formulare. Die CMDB ist vorstellbar als große Kartei. dass die Auswirkungen von Changes vollständig sichtbar werden. in welchem Stadium sich die Entwicklung gerade befindet und wann er mit einer Installation rechnen kann. Dafür identifiziert.Formulierung von Anforderungen entlang des Service Supports 125 und der Auslieferung ist eine Dokumentation wünschenswert. Die CMDB unterscheidet sich von Datenbanken. dass sie nicht nur Informationen über die momentan aktiven Hard. sondern eher aufzeigt. an den entsprechenden Stellen daran zu erinnern. alle IT-Komponenten zu dokumentieren und gesicherte Informationen über die IT-Infrastruktur allen anderen Prozessen jederzeit zur Verfügung zu stellen. Alle weiteren ITIL-Prozesse nutzen diese Daten für ihre Zwecke und sind von seinen Leistungen abhängig. in der beispielsweise Status-Berichte oder auch Auslieferungsbelege aufgenommen werden. indem es die Attribute. Damit dies möglich ist. um Veränderungen innerhalb der IT-Infrastruktur korrekt zu erfassen. nicht autorisierte CIs oder illegale Software-Kopien identifiziert werden können und sinnvolle Analysedaten geliefert werden. welcher dem Kunden in regelmäßigen Abständen zukommt.

Da. sowie die Erfassung von Varianten geregelt werden. um Unstimmigkeiten aufzudecken. Kontrolle. die genaue Detaillierung und Priorisierung festgelegt. Obwohl die Daten aus dem Incident-. die Namenskonventionen festgelegt. mit deren Hilfe die CIs inklusive deren Attribute verwaltet werden können. Es sollte jedoch keine automatischen Aktualisierungen vornehmen. Problems und Changes ausgewiesen werden können. Hier erfolgt eine Pflege der Daten indem sichergestellt wird. ob die Daten in der CMDB noch mit der aktuellen Situation übereinstimmen. Problem. da diese Unstimmigkeiten auf eine Umgehung des Change Managements hindeuten und weiter untersucht werden müssen. Die Aktivitäten des Configuration Managements umfassen im Einzelnen: [Its07] Planung. sondern die einzelnen Aktivitäten laufen vielmehr parallel ab. Innerhalb der Statusüberwachung wird die Lebensdauer einer Komponente verfolgt. Um die Aktualität der CMDB zu gewährleisten. Es erfolgt eine Überprüfung. die Prozesse innerhalb des Configuration Managements oftmals parallel ablaufen. außerdem werden Auswertungen über aktuelle und veraltete CIs erstellt. dass Änderungen. Statusüberwachung.Management vorhanden sein. damit alle zugehörigen Incidents.[Its07] . sowie deren Beziehungen. automatisch Arbeitsplatz-PCs durchforsten. wie erwähnt. Das Tool sollte so ausgewählt werden. werden die Anforderungen allgemein formuliert und nicht spezifisch in die einzelnen Prozessabschnitte untergliedert.126 ITIL-unterstützende Werkzeuge Der Ablauf innerhalb des Configuration Managements wird nicht immer strikt eingehalten. vollständig und richtig in der CMDB erfasst worden sind. Unter die Identifikations-Phase fallen die Bestimmung und Pflege der Bezeichnungen und auch der Versionsnummern der einzelnen Komponenten. dass Änderungen und Erweiterungen innerhalb des Configuration Managements nicht behindert werden. sollte dennoch eine Verknüpfung zum Change.B. Zur Verifizierung der Audits könnte ein Audit Tool z. Verifizierung und Audits. die durch das Change Management erfolgt sind. Identifikation. autorisiert. geänderte Konfigurationen automatisch zu erfassen und zu kontrollieren. dass für den Aufbau eines Configuration Managements in einem eingesetzten Tool bereits eine integrierte CMDB vorhanden ist.und Change Management eigentlich nicht Bestandteil der CMDB sind. Dazu muss die Beschreibungstiefe der überwachten CIs definiert.und Release. Eine erste wichtige Anforderung ist. Im Rahmen der Planung des Aufbaus eines Configuration Managements wird dessen Zweck und Umfang bzw. sollte das Tool in der Lage sein. Für die Verwaltung sollten die Attribute und Klassen eines CIs bereits implementiert sein.

Denn hier können die Anfragen wie bereits erläutert miteinander in Zusammenhang gebracht werden. und diese mit zusätzlicher Information in einer separaten Mail auszustatten. Dies ist zum einen das open-source Werkzeug OTRS und zum anderen das kommerzielle Werkzeug Remedy. ob OTRS den oben genannten Anforderungen genügen kann. minimiert. Für das Incident Management mit dem Service Desk wird nun die weitere Betrachtung anhand der einzelnen Phasen innerhalb des Prozesses vorgenommen. Jedes noch so kleine Detail wird dokumentiert. Zudem bietet die Software Schnittstellen zu vielen Betriebssystemen wie Windows oder Linux.[Nie07] OTRS basiert auf dem oben dargstellten Ticket-System. Zum einen muss die Software in einer lesbaren und verständlichen Form vorliegen. Basierend auf den Daten. die dann je nach Dringlichkeit abgearbeitet werden können. Das Ticket beinhaltet alle Informationen zu einem bestimmten Kunden oder zu einem konkreten Problem. inwiefern die am Markt vorhandenen Werkzeuge diese Anforderungen auch erfüllen können. werden die Funktionen der Werkzeuge aufgeführt und exemplarisch mit den vorher herausgearbeiteten Anforderungen in Bezug gesetzt. ist so ein Ticket-System sinnvoller als reine E-Mailkorrespondenz. und kann jederzeit wieder aufgerufen werden.[Här07] Im weiteren Verlauf soll nun herausgearbeitet werden. Für jede Störung . Incident Management mit Service Desk. Es besteht auch die Möglichkeit Tickets an Kollegen weiterzuleiten. muss sie verschiedene Eigenschaften erfüllen. Bmc08] 4. Aufgrund der Datenmengen. Zum anderen muss die Software verändert werden können und auch in der geänderten Form weiter verbreitet werden dürfen. Auch die erwünschte Kategorienbildung ist möglich. Die Gefahr der doppelten Bearbeitung wird reduziert bzw.2 Das Open Source-Werkzeug OTRS OTRS gilt als der bekannteste Vertreter aus dem open-source Bereich und unterliegt der GNU.1 Betrachtung ausgewählter ITIL-Werkzeuge Vorgehensweise Nachdem in dem vorherigen Kapitel Anforderungen an ein Werkzeug formuliert wurden.Formulierung von Anforderungen entlang des Service Supports 127 4. Vielmehr werden exemplarisch zwei verschiedene Werkzeuge näher betrachtet. sowie beliebig oft kopierbar und nutzbar sein. Anliegen entgegennehmen und registrieren: Aufgrund des TicketSystems wird das Erfassen der Daten vereinfacht.4. einen Vergleich aller vorhandenen Werkzeuge vorzunehmen. Damit eine Software als open-source bezeichnet werden darf. die in einem Unternehmen eingehen. Dadurch fallen keine Kosten für Lizenzgebühren an. welche die Anbieter dieser Software auf ihrer Homepage und in den entsprechenden Handbüchern zur Verfügung stellen. in die das Incident Management bereits oben untergliedert wurde.4. kann es nicht Ziel dieser Arbeit sein. Außerdem können Tickets nach Prioritäten geordnet werden. Da es unzählige verschiedene Werkzeuge gibt. OTRS ist lizenzfrei im Internet als Download erhältlich. Zudem können unterschiedliche Zugriffsrechte definiert werden.4 4.[Otr08. stellt sich die Frage. der General Public License. Es ist einfach und schnell im Unternehmen zu implementieren.

dass die Kunden über eine entsprechende Maske im Programm Incidents und Changes selbstständig erfassen können und via E-Mail an die Supporter schicken. Quelle: http://otrs. in der alle wesentlichen und relevanten Daten strukturiert eingegeben werden können.3: Kundensicht OTRS. Aus den eingegangenen E-Mails wird automatisch ein Ticket erstellt. 7 Die Service-Desk Mitarbeiter werden in OTRS als Supporter bezeichnet. dass mehrere Mitarbeiter zeitgleich an einem Ticket arbeiten. der Supporter muss die Daten nicht aus der E-Mail heraus in ein Ticket übertragen. . Des Weiteren können sich die Kunden auch über den aktuellen Bearbeitungsstand ihrer eigenen Tickets informieren und auch weitere Anmerkungen eingeben. Den Supportern7 steht für die telefonische Entgegennahme eine Telefon-Maske zur Verfügung. Es ist auch nicht relevant. Es ist zu erkennen. Diese Vorgehensweise ist in der folgenden Abbildung dargestellt: Abbildung 4.0/customer-newTicket. oder ein Supporter an mehreren Tickets gleichzeitig. ob die Daten per Telefon oder per Mail eingehen.org/images/ screen-2. dass der Kunde sich nach dem Einloggen in dem Programm selbständig über OTRS ein Ticket erstellen kann. Diese Daten werden gespeichert und sind für alle anderen Mitarbeiter zu jeder Zeit ersichtlich.128 ITIL-unterstützende Werkzeuge oder für jede Änderung wird ein eigenes Ticket angelegt. Dieses erfolgt über eine E-Mail in einer vorgegebenen Maske. Es besteht natürlich auch die Möglichkeit. Natürlich können die Supporter auch jederzeit den aktuellen Bearbeitungsstand an die Kunden weitergeben. Die Daten dieser E-Mail werden dann automatisch in ein Ticket übertragen. Zudem bietet OTRS die Möglichkeit. h.png. D.

Change Management. Ebenso werden hier neu eingegangene E-Mails angezeigt. Quelle: http://otrs. bei einem Telefongespräch schon während der Datenaufnahme erfolgen. um den weiteren Verlauf des Telefonats zu beurteilen. Abbildung 4.org/images/ screen-2. In dem weißen darunterliegenden Bereich befinden sich verschiedene Icons zur Bearbeitung der Tickets. Ebenso hat der Kunde über diese Funktion die Möglichkeit sich über den Bearbeitungsstand seiner bereits vorhandenen Tickets zu informieren. wie die Benutzeroberfläche für den Supporter von OTRS aussieht. Aus der Abbildung ist ersichtlich. wird das Anliegen entweder sofort vom Supporter bearbeitet und abgeschlossen. B. In dem oberen schwarzen Balken werden allgemeine Daten. Durch die verbesserten Kommunikationsmöglichkeiten können Prozesse wie Incidents oder Changes schneller und effizienter weitergeleitet werden. wie der Name des Supporters. oder er leitet das Anliegen weiter an das Incident bzw. In dem darunterliegenden weißen Bereich werden die Inhalte zu . das Datum und die Uhrzeit angezeigt. Je nachdem ob es sich um ein Incident oder um einen Change handelt.png. In der folgenden Abbildung ist zu erkennen.4: Benutzeroberfläche OTRS. Nachdem die Klassifizierung erfolgt ist.0/queue. dass diese in verschiedene Bereiche gegliedert ist.Formulierung von Anforderungen entlang des Service Supports 129 sondern dies geschieht automatisch. wird das weitere Vorgehen beeinflusst. Des Weiteren stehen dem Kunden noch weitere Anwendungen zur Verfügung. Dieser Vorgang wird z. die hier jedoch nicht näher betrachtet werden sollen. Klassifizierung des Anliegens: Nach der Datenerfassung werden die Anliegen klassifiziert.

sondern. Diese Vereinfachung ist nur bei Standard-Anliegen möglich. um Überschneidungen zu vermeiden. Dadurch gerät kein Ticket in Vergessenheit. jedoch nicht separat. zusammengefasst betrachtet. Dadurch wird eine Entlastung der Mitarbeiter hervorgerufen. Was genau ein Standard-Anliegen ausmacht kann innerhalb der Software definiert werden. Bei Bedarf muss dann ein neues Ticket angelegt werden. leichtere. die innerhalb der Problem-Control. und es benötigt keine Rücksprache mit den anderen Levels. Dadurch ist es den Mitarbeitern im Service Desk möglich. Kann ein Incident oder ein Änderungswunsch nicht sofort erledigt werden. Abschluss und Speicherung des Lösungsweges in der Datenbank: Nachdem die Störung behoben ist. Eine weitere Bearbeitung des Tickets ist dann jedoch nicht mehr möglich. sich mit wesentlichen und schwierigeren Anliegen zu befassen und auch schneller und konkreter auf Kundenwünsche einzugehen. wie die Historiefunktion. Im Folgenden werden die oben formulierten Anforderungen an ein Tool im Rahmen des Problem Managements mit den angebotenen Funktionen von OTRS verglichen. Wenn diese Daten hinterlegt sind. Wie bereits beschrieben. die Mitarbeiterzufriedenheit steigt. gibt es bei OTRS auch eine Wiedervorlagemöglichkeit. um zu überprüfen. Diese werden wieder als Ticket innerhalb des Systems weitergeleitet. Dieser Automatisierungsvorgang entlastet die Mitarbeiter und ermöglicht es den Supportern. Des Weiteren erfolgt eine kundenfreundlichere Abwicklung. gehen im Problem Management die Störungen ein. Tickets zu einem bestimmten Event wieder aufzurufen. Interessant ist diese Funktion zum Beispiel nach einem Update. ob der Fehler behoben oder ein Änderungswunsch umgesetzt wurde. Viele Anliegen können schon vorab vom First-Level-Support geklärt werden. Auf der rechten Seite der Maske befinden sich weitere Angaben zu dem Ticket. wird das Ticket geschlossen. Hier werden die einzelnen Phasen. häufig auftretende Störungen schneller und kundenfreundlicher zu bearbeiten. zu dem Ticket dargestellt. ohne dass ein Mitarbeiter sich dieser E-Mail widmet. Problem Management. Die hier . dass vorformulierte E-Mails automatisch auf eine bestimmte Anfrage hin versendet werden.130 ITIL-unterstützende Werkzeuge dem aktuell geöffneten Ticket angezeigt. Im unteren Bereich der Maske werden Funktionen. Es besteht die Möglichkeit. weil die Wartezeiten sich nicht so lange hinziehen. Es wird in der Datenbank abgelegt. Unter anderem die Priorität und der Bearbeitungsstatus. und kann jederzeit wieder gelesen werden. integrierte Datenbank können alle Supporter auf das gespeicherte Wissen zugreifen. Diese Vereinfachung kann für alle bekannten und leicht korrigierbaren Incidents Anwendung finden. Des Weiteren gibt es die Möglichkeit. welches mit dem bestehenden dann verknüpft werden kann. der Error Control und des Proactive Problem Managements ablaufen. für die das Incident Management keine Ursache feststellen konnte und die somit als Problem klassifiziert werden. Bearbeitung von Störungen: Durch die gespeicherte. und dann entsprechend der Vorgabe einem Ticket oder einer Störung zuordnen. kann OTRS durch eine Schlagwortsuche eingehende E-Mails durchsuchen.

Hardware. Um proaktiv Störungen im Vorfeld verhindern zu können. Diese können durch ein chronologisches Life-Cycle-Management für die CIs verwaltet werden. Die weitere Vorgehensweise bzgl. die Daten strukturiert erfassen zu können. ständig auf vorhandenes Lösungswissen in der Wissensdatenbank zugreifen zu können. Des Weiteren kann durch den Einsatz von OTRS die IT-Infrastruktur virtualisiert abgebildet werden. dass ein Tool in der Lage sein sollte. oder führen zu dauerhaften Ausfällen. OTRS bietet zurzeit noch nicht die Möglichkeit das Change Management zu implementieren. Dabei ist es bei OTRS möglich. Somit lässt sich ermitteln.Formulierung von Anforderungen entlang des Service Supports 131 eingegangenen Probleme lassen sich nicht so einfach klären oder beseitigen. Software. Change Management. als auch aus allen weiteren ITIL-Prozessen. Alle Konfigurationsänderungen an CMDB-Daten werden durch das OTRS-Tool protokolliert. Anzumerken ist.Prozesse können integriert werden. sowohl aus dem Bereich des Problem Management. sowie ihre gegenseitigen Beziehungen und Abhängigkeiten erfasst und verwaltet werden. dass die RFCs über den in OTRS vorhandenen Service Desk erfasst werden können. der RFCs wird jedoch von OTRS nicht unterstützt. Mit Hilfe von OTRS kann die Anforderung umgesetzt werden. Configuration Management. Für eine tiefgehende Analyse der Probleme oder Fehler bietet OTRS die Möglichkeit. Darin sind alle aktuellen und historischen Problemlösungen dokumentiert und können somit zur Klärung des Problems beitragen. die CIs den verschiedenen Klassen. Mit Hilfe der CMDB können die CIs. um von den Trends innerhalb der Tickets auf mögliche Schwachstellen schließen zu können. Dabei werden alle relevanten Informationen zur Verfügung gestellt. Netze zuzuordnen. Bei OTRS ist mit dem Vorhandensein einer integrierten CMDB die Möglichkeit gegeben. die Möglichkeit Ticket-Trendanalysen durchführen zu können. automatische Benachrichtigung über den Problemlösungsfortschritt an die betroffenen Anwender. bietet OTRS u. Release Management. die im Rahmen der Statusüberwachung bei Problem-Diagnosen oder geplanten Changes hilfreich sein können. Die Lösungsentwicklung kann jederzeit von allen anderen Anwendern angeschaut werden und alle können jederzeit an dem Problem arbeiten. Auch Änderungen der Attribute der CIs können vorgenommen werden. Problem und Change Management be- . OTRS bietet durchgängige Unterstützung bei der Problemidentifizierung und -erfassung. Außerdem bietet OTRS eine Möglichkeit zum Management der historischen. aktuellen und zukünftigen CI-Status. a. wodurch die Probleme an die entsprechenden Experten weitergeleitet werden. Die Priorisierung dient hier als Grundlage der Ressourcenzuteilung. um Zeit zu sparen und eine vollständige Übermittlung der Informationen zu gewährleisten. Auch hier bietet OTRS noch nicht die Möglichkeit das Release Management umzusetzen. Die anderen ITIL. womit eine Verknüpfung zum Incident. nämlich Computer. Des Weiteren beinhaltet das OTRS-Tool eine gezielte. ob ein ähnliches Problem bereits bekannt ist und ob dafür schon eine Lösung gefunden wurde. sowie bei der Klassifizierung von Problemen. das Configuration Management umzusetzen.

4. Abschließend lässt sich zu OTRS festhalten. Die beiden Prozesse Change und Release Management werden gar nicht unterstützt. sowie zahlreiche Tochterfirmen weltweit. Da OTRS auf einem Ticket-System basiert. Das Configuration Management wird durch die Software wiederum abgedeckt. . die individuell auf das jeweilige Unternehmen abgestimmt wird. Remedy bietet eine Lösung an. Zusammenfassung. Die Beschreibung der Funktionen erfolgt jedoch nicht zu konkret. die von BMC Software Inc. Der Aufbau und der vorgegebene Ablauf von OTRS bieten die Möglichkeit der Verknüpfung der einzelnen Bereiche. wie es bei frei zugänglichen open-source Lösungen eher vorzufinden ist. Aus diesem Grund werden auch hier die meisten im Rahmen dieser Projektarbeit genannten Anforderungen beachtet. Die Grundanforderungen für die Umsetzung des Configuration Managements ist das Vorhandensein einer integrierten CMDB. So werden die Vorteile von Remedy besonders herausgestellt. Texas. dass die Informationspolitik eines kommerziellen Tools eine andere als bei einem Opensource Tool ist.8 entwickelt wurde und seitdem von dem Unternehmen vertrieben wird. das Incident Management sowie das Problem Management umfasst • Remedy Asset Management. Dazu offeriert Remedy das Baukastensystem Remedy IT Service Management. welches das Configuration Management in das Remedy IT Service Management implementiert • Remedy Change Management. dass es nur einige der von ITIL genannten Prozesse aus dem Bereich Service Support abbildet. da aber dieses Modul nicht Bestandteil der Prozesse des Service Supports ist. wird es in dieser Arbeit nicht weiter betrachtet 8 Die Firma hat ihren Hauptsitz in Houston. Es besteht aus den vier folgenden Modulen. Durch die übersichtliche Oberfläche von OTRS. erfüllt.3 Das kommerzielle Werkzeug Remedy Remedy ist eine kommerzielle Software. so dass für diese keine Informationen auf der Homepage bereitgestellt werden und eine Überprüfung der aufgestellten Anforderungen nicht durchgeführt werden konnte.132 ITIL-unterstützende Werkzeuge steht und damit alle zugehörigen Incidents. so dass eine prozessübergreifende Kommunikation und ein permanenter Datenzugriff ermöglicht wird. der den Service Desk. Für die weitere Betrachtung werden hauptsächlich die Informationen von der Webseite des Unternehmens verwendet. deckt es hauptsächlich die Prozesse des Incident Managements in Verbindung mit dem Service Desk sowie das Problem Management ab. mit dem der ITIL-Prozess des Change Managements unterstützt wird • Remedy Service Level Agreements. welche in diesem Werkzeug implementiert ist. die flexibel miteinander kombiniert werden können: • Remedy Help Desk. Problems und Changes mit einbezogen werden können. wie die strukturierte Erfassung und Verwaltung der Daten. Anzumerken ist in diesem Zusammenhang. werden die grundlegenden Anforderungen. 4.

Vor allem die angesprochene Automatisierung und die Vereinfachung der Support-Prozesse sind Eigenschaften. der Abgrenzung und der Reichweite des Incidents an. die Dringlichkeit. Die Umsetzng des Problem Managements erfolgt bei Remedy auch innerhalb des Moduls Remedy Help Desk. Ausgangspunkt ist die Aufnahme der Service Requests. diese dann an den Kunden weitergeben.Formulierung von Anforderungen entlang des Service Supports 133 Diese Bausteine sind unabhängig voneinander. So bietet das Tool von Remedy entlang des Ablaufs verschiedene Möglichkeiten. die Priorität und den Status des vorliegenden Problems zu erfassen. Da in diesem Modul ebenfalls die Umsetzung des Incident Managements enthalten ist wird sichergestellt. welche sowohl Mitarbeiter des Unternehmens hinsichtlich einer Effizienz. das Anliegen über verschiedene Kommunikationsmöglichkeiten (z. Diese Klassifikation ist wichtig. durch die automatisierte Weiterleitung der Tickets an die relevanten Support-Bereiche zeigt. welche allgemeine Lösungen und auch Lösungen für bereits bekannte Fehler zur Bearbeitung der Anliegen zur Verfügung stellt. die Aufnahme und Klassifizierung des Anliegens. um die Auswirkungen. ist es möglich. Der Mitarbeiter des Remedy Help Desk wird dahingehend unterstützt. so stehen sie dann miteinander in Beziehung und sind damit verknüpft. Wird keine Lösung gefunden. die nach den Informationen der Homepage. Aufgrund der angesprochenen Informationsproblematik ist es im weiteren Verlauf nicht möglich.und Produktivitätssteigerung des Services Supports. B. als auch die Kunden unterstützen sollen. Der Remedy Help Desk ist an dem bereits angesprochen Prozessablauf des Incident Managements ausgerichtet. Auch bei diesem Werkzeug wird nun untersucht. Grundsätzlich wird dabei ein hoher Automatisierungsgrad betont. den Status „seines“ Requests abfragen und kann sich so über den Status quo der Bearbeitung informieren. E-Mail.a. Des Weiteren ist für das Problem Management ein separates Klassifikationssystem enthalten. Des Weiteren wird die Datenbank angeführt. Telefon) aufzunehmen und ein Ticket zu erzeugen. erfolgt eine Weiterleitung an Spezialisten. Weitere Informationen zum Remedy Help Desk liefert auch die Betrachtung des Problem Managements. der Priorität. der sich u. den Ablauf innerhalb der einzelnen Prozesse detailliert zu betrachten. Wenn sie von einem Unternehmen eingesetzt werden. durch das die Probleme nun weiter beschrieben und klassifiziert werden können. Das Incident Management ist in Verbindung mit dem Service Desk innerhalb dem Remedy Help Desk angesiedelt. Problem Management. Remedy bietet ein System für die Klassifizierung bzgl. Mit dem Remedy Help Desk wird die Schnittstelle zur Kommunikation zwischen Kunden und Unternehmen geboten. Für den ersten Schritt. Um im Folgenden die einem Problem zugrunde liegenden Ursachen ausfindig zu machen. Incident Management mit Service Desk. dass das Problem Management auf die zuvor im Incident Management aufgenommenen Daten zugreifen kann. inwiefern die Software Remedy den aufgestellten Forderungen genügen kann. ist das Programm in der . Die Mitarbeiter können diese integrierte Datenbank durchsuchen und falls eine Lösung vorhanden ist. Der Kunde kann bspw. so dass die einzelnen Prozesse insgesamt betrachtet werden. als Pluspunkte für dieses Tool zu sehen sind. dass eine automatische Weiterleitung des Tickets an den zuständigen Support-Bereich erfolgt.

ist somit auch für die notwendige Kommunikation und Zusammenarbeit zwischen den Prozessen gesorgt. sodass es hier möglich ist. die einen Überblick über die vorhandenen CIs gibt und somit als Hilfsmittel bei der Fehlersuche eingesetzt werden kann. die Ressourcen sowie die Risiken. Erstellung von Zeit-/Installationsplänen und deren Implementierung: Im Rahmen der Implementierung muss bedacht werden. Im Folgenden sollen die genannten Forderungen im Einzelnen durchgegangen werden: Erfassung des RFCs. Diese Möglichkeit bietet Remedy Change Management. Problemen und Known-Errors zu überprüfen. Zudem bietet es einen Automatismus bzgl. ist es möglich den Analyseprozess neuer Probleme weiter zu unterstützen. Dieses gilt es jedoch zu minimieren. B. Remedy Change Management unterstützt die Arbeit dahingehend. um alle betroffenen Anwendergruppen über den aktuellen Stand informieren zu können. Freigabe der Änderung. um auch die anderen Prozesse über den aktuellen Stand und über die Lösungen der Probleme zu informieren. Gleichzeitig werden Audits erstellt. Remedy Change . Remedy IT Service Management bietet für diesen Bereich eine Unterstützung an. Change Management. Kontrolle und Speicherung in der Datenbank: Eine erste Anforderung war die ordnungsgemäße Erfassung der Tickets. Da eine Anbindung an die anderen Prozesse durch den kombinierten Einsatz z. Dadurch können die Gefahren wie die eines Ausfalls oder sonstige Unannehmlichkeiten minimiert werden. dass eine Klassifizierung hinsichtlich der Akzeptanz. Das Ticket kann durch das ganze System hindurch verfolgt werden und jederzeit aufgerufen und weiterbearbeitet werden. dass die Auswirkungen einer Änderung oftmals nicht vollständig vorhersehbar sind. Außerdem ist diese Dokumentation hilfreich. des Genehmigungsverfahrens. Da alle Schritte dokumentiert werden. dass ein vorhandenes Backout-Verfahren vor der Implementierung zugrunde liegen muss. Für das Modul Remedy Change Management wird genügend Information geboten. das aufgenommene Problem automatisch auf Übereinstimmungen mit bereits vorhandenen Incidents. der Erfassung sowie der Speicherung vorgenommen wird. Die Probleme werden mit Hilfe des Programms über die verschiedenen Stufen innerhalb des Problem Management Prozesses verfolgt und überwacht. Kunden. die durch diese Änderung betroffen sind. Hierfür bietet diese Software grundlegend die Möglichkeit jederzeit mit anderen Abteilungen in Kontakt zu treten und gemeinsam über die Ziele. der Module Remedy Asset Management und Remedy Change Management durch Remedy möglich ist. Der Vorteil ist hier das Vorhandensein einer CMDB. die Kosten. kann mit Remedy dieses Szenario durchgespielt werden. die Gültigkeit sowie die Auswirkungen einer Änderung zu kommunizieren. Um jedoch schon im Vorfeld das Risiko einer negativen Auswirkung gering zu halten. Evaluierung und Abschluss: Die Software bietet zudem Kontrollmöglichkeiten bezogen auf die Auswirkungen. Ein Restrisiko bleibt stets vorhanden. Das Ergebnis kann wiederum als Grundlage für weitere Änderungen verwendet werden.134 ITIL-unterstützende Werkzeuge Lage. Aus diesem Grund ist eine genannte Anforderung an das Werkzeug. eine detailliertere Vorgehensweise vorzunehmen. werden benachrichtigt und können sich somit darauf einstellen.

so dass hier keine Überprüfung von Anforderungen möglich war. Der Zugriff darauf ist prozessübergreifend möglich. wodurch die aufgestellten Anforderungen nach einer organisierten Erfassung und Verarbeitung der Daten umgesetzt werden. Im Rahmen der Funktion des Lifecycle Asset Management. Das Configuration Management wird durch das Remedy Asset Management unterstützt. Dies behandelt die Verwaltung der Assets (IT-Anlagegüter). Zusammenfassung. Configuration Management. 9 Für die Assets wurde bisher die Bezeichnung CIs verwendet . So umfasst der Remedy Help Desk das Incident Management in Verbindung mit dem Service Desk und das Problem Management. Durch das Modul Remedy Change Management erfolgt eine Umsetzung des Change Managements. Auf eine Umsetzung des Release Managements wird nicht näher eingegangen. Auch die genannten Anforderungen an das Configuration Management werden weitestgehend durch das Modul Remedy Asset Management umgesetzt. um einen Ausfall der Komponenten im Vorfeld zu verhindern. enthält Remedy zusätzlich die Möglichkeit Autoritätsüberprüfungen oder Namensübereinstimmungen durchzuführen.9 Als Ausgangspunkt für die Umsetzung des Configuration Managements verfügt Remedy über eine integrierte CMDB. Nach erfolgter Genehmigung wird die Bestellung durch das Programm automatisch generiert. Um die Sicherheit und Vollständigkeit der Daten zu gewährleisten. welches im Remedy Asset Management enthalten ist. So ist darin auch eine Erstellung von Zeitplänen für die Wartung und Prüfungen möglich. Hierbei kann aus vorgegebenen Standardkonfigurationen gewählt werden. Für Remedy lässt sich festhalten.und Hardware zu erneuern und damit Unstimmigkeiten zwischen der Datenbank und den tatsächlichen CIs aufzufinden. Auch der Remedy Help Desk basiert auf einem Ticket-System.Formulierung von Anforderungen entlang des Service Supports 135 Management bietet zudem nicht nur die Möglichkeit zur Ablaufplanung und Aufgabenzuweisung. dass mehrere der von ITIL genannten Prozesse im Service Support umsetzt werden. Release Management. Remedy hebt nicht explizit eine Umsetzung des Release Managements hervor. als Beispiel sei das in diesem Werkzeug vorhandene Backout-Verfahren erwähnt. damit die vorgegebenen Konfigurationen auch eingehalten werden. Durch diese Überwachung der einzelnen CIs ist es möglich. um die Quellen verschiedener Probleme möglichst schnell ausfindig zu machen. kann jederzeit der Bestand prozessübergreifend geprüft und Bedarfsmeldungen an die anderen Prozesse geben werden. Die oben erarbeiteten Anforderungen für diesen Prozess werden dabei im Wesentlichen umgesetzt. Durch eine Verknüpfung mit den Modulen Remedy Help Desk und dem Remedy Change Management. sondern stellt auch die Software für die anschließende Evaluierung zur Verfügung. Darin werden alle CIs sowie deren Beziehungen gespeichert. veraltete Soft. können die CIs während ihrer gesamten Dauer innerhalb des Unternehmens verfolgt und überwacht werden. Des Weiteren besteht mit Remedy die Möglichkeit für verschiedene Personen oder Abteilungen Standardkonfigurationen zu definieren.

dass verschiedene Punkte wiederholt auftreten. dass es innerhalb von ITIL freigestellt ist. Im Rahmen dieser Arbeit war es das Ziel. So gilt auch hier: „a fool with a tool is still a fool“. Anforderungen an ein ITIL-unterstützendes Werkzeug herauszuarbeiten.5 Fazit Abschließend lässt sich sagen. ob unterstützende Werkzeuge verwendet werden sollen oder nicht. Damit stellte sich die Frage. dass die Programme einige Prozesse bereits umsetzen und somit den aufgestellten Anforderungen teilweise genügen. Die Werkzeuge können unterstützend wirken. was ITIL-unterstützende Werkzeuge leisten sollten. es ist ein Irrtum zu glauben. Diese lassen sich folgendermaßen zusammenfassen: • Möglichkeit zur strukturierten Erfassung von Daten • Verwaltung der Daten innerhalb von entsprechenden Datenbanken • Permanenter Informationszugriff für die Anwendergruppen • Erleichterung der prozessübergreifenden Kommunikation und Information Am Markt gibt es verschiedene Werkzeuge von denen OTRS und Remedy in Kapitel 4. D. . So ist die Nutzung einer noch so strukturierten Datenbank nur dann erfolgreich. wenn die Menschen sie auch benutzen und bspw.4 näher betrachtet wurden. Die Betrachtung von Anforderungen innerhalb der Prozesse im Service Support hat aufgezeigt. Anhand dieser beiden ließ sich exemplarisch aufzeigen. Die Grundsätze von ITIL sind auch mit jeglichen Mitteln umsetzbar.136 ITIL-unterstützende Werkzeuge 4. h. im einfachsten Fall sogar mit Papier und Bleistift. dass allein der Einsatz eines Tools bereits zu einer erfolgreichen ITIL-Umsetzung führt. der Erfolg ist aber natürlich zum Großteil von der Fähigkeit des Menschen abhängig. Dennoch kann der Einsatz eines Tools zur Effizienzsteigerung und damit auch zu Zeiteinsparungen führen. die Aktualisierung der Datenbanken nicht vernachlässigen.

Datum der Abfrage: 18. R. Datum der Abfrage: 18.pdf. Auflage. Saarbrücken 2007. Zaltbommel 2007. Elsässer. Fraunhofer Institut für Informations. K.: ITIL Einführung und Umsetzen: Leitfaden für effizientes IT-Management durch Prozessorientierung.: Taking a page from ITIL’s best practices.: Werkzeugunterstützung für ITIL-orientiertes Dienstmanagement: Ein modellbasierter Ansatz.org/pub/Fopras/clau06/PDF-Version/clau06.01. Datum der Abfrage:04. M.L.: Konzeption und Unterstützung der technischen Unterstützung eines zentralen IT-Service-Desk mit OTRS an der TUM.com/article/04/09/24/39FEitil_1.und Datenverarbeitung. URL: http://www. URL: http://www. M. 2.08.html. DFN Tagungsband 2006. Seite 95-104. Ludwig-Maximilians-Universität München. Dissertation München 2007.: Beispielhafte Evaluierung der Anpassbarkeit von OTRS an Prozesse im IT Service Management am LRZ.07. und Lizenzgeber.hu-berlin. mnm-team. 2006.01.08.pdf. itSMF-NL: Foundations in IT Service Management. Härtl. Hanser Verlag.12. URL: http://edoc.infoworld. URL: http://www. Basierend auf ITIL. ITIL-unterstützende Service Management Tools.org/pub/Diplomarbeiten/haer07/ PDF-Version/haer07. 1. Verlag Dr. Datum der Abfrage: 06. 137 . Fortgeschrittenenpraktikum am Institut für Informatik. Diplomarbeit am Institut für Informatik 26. M.pdf.07. [Cla] [Els06] [Fis06] [Här07] [Its07] [Mar04] Margulius.Literaturverzeichnis [Bre07] Brenner. Fischlin.mnm-team. Müller e. D. Auflage. Van Haren Publishing. W. C. Network Operation Center NOC.de/conferences/dfn2006/ fischlin-roger-105/PDF/fischlin.12.07. [Nie07] Niestermann.: Leitfaden ITIL-Service Desk.07. Ludwig-Maximilians-Universität München.: Service Management-Lösungen für KMU. Clauss.

com/de.08.01. Support und Training rund um OTRS.de/pub/Diplomarbeiten/pfle05/ PDF-Version/pfle05.otrs.08.ifi. [Pfl05] [Bmc08] BMC Software Inc. Datum der Abfrage: 04.Consulting. URL: http://www.Remedy Service Management is now on BMC.02. Software Development. .02. B.pdf.138 [Otr08] ITIL-unterstützende Werkzeuge OTRS AG .: Evaluierung von Werkzeugen zur Unterstützung der ITIL Service Management Prozesse.bmc. Datum der Abfrage: 03. URL: http://www.lmu. URL: http://www. Ludwig-Maximilians-Universität München. . Diplomarbeit am Institut für Informatik. Datum der Abfrage: 26.com/remedy/.com.nm.08. Pfleger.

Sign up to vote on this title
UsefulNot useful