Archiv für den Monat: November 2024

Unternehmens-Identitäten: Leitlinien für die Sicherheit

Identitäten (alle Benutzerkonten, die in einem Unternehmen zur Erreichung des Geschäftszieles notwendig sind) müssen besonders geschützt werden. Denn sie sind primäres Ziel der Cyber-Angriffe.

Sie sind Ziel interner, nicht autorisierter Maßnahmen wie das Ausspähen von Geschäftsgeheimnissen und unkontrollierter Abfluss von strategischen und operativen Daten.

Leider sind Schutzmaßnahmen der IT-Organisationen i.d.R. sehr begrenzt. Sie orientieren sich meist an Software-Schwachstellen und rudimentär vorhandenen Prozessen.

Einen umfassenden Schutz erreicht man, wenn Architekturthemen wie die Anpassung der Authentifizierungs- & Autorisierungs- Infrastruktur und deren Prozesse an die aktuellen Herausforderungen in die Betrachtung aufnimmt.

Grundlage der Betrachtungen ist das Microsoft Active Directory (ADDS), das in dem weitaus größten Teil der Unternehmen als Identitätsdatenspeicher zum Einsatz kommt. Darüber hinaus werden Technologien, die in der Cloud – Welt ihren Anfang nahmen und für den sicheren Betrieb notwendig sind (ADFS / Entra-ID, SAML, Oauth etc.) einbezogen.

ADDS ist im größten Teil der Unternehmen das zentrale Tool für Authentifizierung und Autorisierung und damit ein zentraler Sicherheits-Bestandteil dieser Unternehmen. Deshalb ist es sinnvoll sich an folgenden Prämissen zu halten. Die Prämissen sind in drei thematische Blöcke zusammengefasst.

Sichere Identitätsverwaltung

Es gibt nur einen Ort zur Verwaltung von Unternehmens- Identitäten
Rollen und Berechtigungen sind strikt zu trennen
Die Administration von Infrastruktur und Fachanwendungen ist stets streng von der Bürokommunikation zu trennen.
Der Status des AD muss jederzeit transparent und nachvollziehbar sein.

Authentifizierung und Autorisierung

Direkter Zugriff auf das Active Directory ist nicht zulässig
Anzahl der Anmeldungen / Passwörter ist auf ein Minimum zu reduzieren
Service Accounts sind besonders zu schützen
Die Identität muss bei der Authentifizierung überprüfbar sein.

Generelle Sicherheit der Infrastruktur

Ein einzelnes ADDS Objekt muss wiederhergestellt werden können
Das Active Directory und die Umsysteme müssen schnell reinstalliert werden können.
Die Produktionsumgebung darf nicht ohne Change Prozess verändert werden
Kerberos – Kommunikation ist auf ein Mindestmaß zu reduzieren.
Alle Kommunikationsverbindungen sind verschlüsselt
Alle Computer sind durch Zertifikate identifizierbar

Sichere

Identitätsverwaltung

Prämisse: Es gibt nur einen Ort zur Verwaltung von Unternehmens- Identitäten

Alle Identitäten im Unternehmen sind zentral in einem Repository – Active Directory – zu verwalten. Dadurch ist der Einfluss auf jede Identität zu jedem Zeitpunkt gewährleistet.

Unter Identitäten versteht man alle Konten, die notwendig sind, um den Betrieb der Unternehmens- Infrastruktur zu gewährleisten.

Eine transparente Verwaltung aller Identitäten ist nur möglich, wenn die Hoheit über die Konten in einer Hand liegen. Dazu ist eine zentrale Verwaltung unabdingbar.

Maßnahme: Alle Endgeräte sind Mitglied der Active Directory Domäne

Damit die Berechtigungen für die Maschine und der darauf laufenden Dienste verwaltet werden können, sind die zugehörenden Service Accounts im Active Directory verortet. Lokale administrative Konten sind ein Einfallstor für Angreifer. Da sie i.d.R. nicht genutzt werden, sind diese Build-In lokal Accounts disabled.

Damit der Server oder der Client verwaltet werden kann, muss er zwingend Mitglied des der Domäne sein.

Maßnahme: Alle Identitäten werden zentral gepflegt. Es gibt keine operativen lokale Accounts auf Servern und anderen Endgeräten.

Diese Prämisse ist unbedingt einzuhalten. Deshalb ist es sinnvoll, die lokalen Benutzerverwaltungen zu überwachen.

Das gilt auch für „hybride Identitäten“, wie sie in Verbindung mit Cloud Anwendungen wie M365 und Azure auftreten.

Prämisse: Rollen und Berechtigungen sind strikt zu trennen

In vielen Fällen wird zu Berechtigung eines Mitarbeiters in einer Fachanwendung direkt zugeteilt. Das wird dann über den Benutzernamen und einer teils sehr granularen Berechtigungsvergabe erledigt. Das funktioniert erstmal, hat aber entscheidende Nachteile:

Der manuelle Aufwand ist sehr hoch, da die Berechtigungsvergabe sehr kleinteilig ist.

Es bedarf tiefgehender Kenntnisse der Berechtigungsvergabe für die Fachanwendung, d.h. jede Anpassung, Neuanlage etc. muss durch den Fachanwendungs- Administrator durchgeführt werden.

Das es ein manueller Vorgang ist, werden sich mit der Zeit Fehler und Abweichungen ergeben. Auch gewollte Abweichungen entstehen auf diese Weise.

In der Folge entsteht eine nicht durchschaubare Berechtigungsstruktur, die im schlechtesten Fall Einstiegsmöglichkeiten für Angreifer bietet.

Die Berechtigung auf Funktionen einer Anwendung muss primär im ADDS über Berechtigungsgruppen durchgeführt werden. Berechtigungsgruppen, die thematisch zusammengehören, werden einer Rolle zugewiesen. Die Vergabe an Personen wird durch Rollen durchgeführt.

Niemals wird eine Berechtigung einer Identität direkt zugewiesen !

RBAC

RBAC (role based access control) ist die Methode, die die Berechtigungsvergabe aufgrund der Rollenzugehörigkeit eines Mitarbeiters regelt. Eine Rolle kann beispielsweise die Zugehörigkeit zu einem Fachbereich, einer Abteilung oder einem Arbeitsbereich sein.

„AGDLP“ ist die technische Umsetzung von RBAC im Active Directory. AGDLP bedeutet:

A	Account	das Active Directory Konto der Identität / Mitarbeiters
G	Globale Gruppe	Architekturelement im AD. Diese Gruppe stellt die Rolle (Abteilung, Arbeitsbereich etc.) dar.
DL	(Domain) Lokale Gruppe	Diese Gruppe stellt die Berechtigung dar, eine Ressource innerhalb des Institutes zu nutzen
P	Permission	Berechtigung: beschreibt das Recht, eine Ressource zu nutzen wie Nutzung als Mitarbeiter einer Anwendung, oder Nutzung der Dateiablage oder ….

Namenskonventionen, Gruppentypen und Verschachtelungsstrategien werden empfohlen, um die Berechtigungsverwaltung zu optimieren.

Prämisse: Die Administration von Infrastruktur und Fachanwendungen ist stets streng von der Bürokommunikation zu trennen.

Lösung: PAM – Privileged Access Management

Alle Maßnahmen der Verwaltung von erweiterten Rechten werden unter dem Begriff „Privleged Access Management“ PAM zusammengefasst.

Maßnahme: PAW – Privileged Access Workplace

Virtuelle Workplaces, die auf administrative Aufgaben ausgerichtet sind, einzurichten. Sie haben keinen Bezug zur allgemeinen Kommunikation des Unternehmens. Sie sind in eigenen Sicherheitszonen verortet. Diese Sicherheitszonen sind nur per Jump-Server, der in der gleichen Zone wir die PAW steht, zu erreichen.

Maßnahme: PAA – Privileged Access Accounts

Wird ein Mitarbeiter Administrator einer Anwendung oder Komponenten in der Infrastruktur, erhält er für diese Aufgabe ein zusätzliches Konto mit erweiterten Rechten zur Erfüllung seiner Aufgabe.

Der Account eines Mitarbeiters hat niemals erweiterte, administrative Rechte.
Erweiterte Rechte werden ausschließlich an „privileged access account“ PAA vergeben. PAA’s sind immer nur für einen Security Level zulässig. Der Zugriff mit einem PAA aus einem niederwertigen Level auf ein Level mit höherem Schutzbedarf ist nicht zulässig.

Enterprise Access Management (EAM)

PAA’s für Enterprise- und Domänen- sowie Datenbank- Administratoren sind sehr stark limitiert. (z.B. maximal drei Personen im Unternehmen sowie Vertreter).
Die Benutzung der PAA dieser Administratoren wird immer überwacht. Das sind Teile des EAM. Die Themen des EAM werden an anderer Stelle beleuchtet.

Prämisse: Der Status des AD muss jederzeit transparent und nachvollziehbar sein.

Objekte im Active Directory, die nicht genutzt werden oder niemandem gehören, stellen eine potentielle Gefahr dar. Wenn diese leicht zu identifizierenden Objekte und unautorisierte Personen genutzt werden, fällt das in der klassischen Umgebung erstmal nicht auf. Nur kann dann schon der Schaden entstanden sin. Aus diesem Grund sind sie unbedingt zu vermeiden.

Maßnahme: Vermeidung von Leichen und Aliens im AD

Monitoring und Reporting am besten Tag- genau.
Jedes Objekt im AD hat eine definierte Aufgabe
Jedes Objekt im AD muss nachvollziehbar dokumentiert sein.
Jedes nicht mehr genutzte Objekt im AD muss unverzüglich entfernt werden.

Authentifizierung &

Autorisierung

Prämisse: Direkter Zugriff auf das Active Directory ist nicht zulässig

Der direkte Zugriff durch Anwendungen (z.B. über die Protokolle Kerberos und LDAPs ) oder die direkte Manipulation durch Administratoren sind Schwachstellen in der Architektur. Dier Schwachstellen können geheilt werden, wenn es keinen direkten Zugriff auf das Active Directory gibt.

Ausnahmen sind Enterprise- und Domänen-Administratoren zur Wartung sowie Eruierung und Behebung von Fehlern.

Maßnahme: Definition der Authentifizierungs- Zugriffswege

Named User müssen da, wo es möglich ist, über berührungslose Authentifizierungsverfahren wie SAML oder oAuth Authentifiziert werden.
Kerberos ist nur bedingt zulässig. (wenn kein höherwertiges Protokoll einsetzbar ist.)

Maßnahme: Change Management & Automatisierung

Änderungen an allen ADDS Objekten sind zu autorisieren und zu überwachen.

Alle Assets (Server, Clients, Drucker, aktive Komponenten) im Unternehmen sind mit dem ADDS über entsprechende Accounts verbunden.

Änderungen an allen ADDS Objekten (in der Produktionsumgebung) werden immer automatisiert durchgeführt. Der manuelle Eingriff ist im Betrieb strikt verboten.

Prämisse: Anzahl der Anmeldungen / Passwörter ist auf ein Minimum zu reduzieren

Named User haben es meist mit einer größeren zweistelligen Anzahl von Accounts zu tun, die sie für Ihre Arbeit benötigen. Das führt zu unsicheren und mehrfach genutzten Passwörtern. SSO ist hier eine Hilfe, diese Flut einzudämmen und Gefahren zu vermeiden.

Maßnahmen: SSO & VAULT & Identity Trust

Einführung von SSO wo möglich und sinnvoll.
Einführung eines Passwort Management Systems (Vault) für alle notwendigen Passwörter.
Einführung von Identity Trusts zwischen einem Identity Provider im Unternehmen und dem Service Anbieter im Internet. Damit entfallen Anmeldungen an Cloud Services, die im Unternehmen allgemein zur Verfügung stehen.

Prämisse: Service Accounts sind besonders zu schützen.

Service Accounts werden im Betrieb nicht durch Mitarbeiter genutzt. Sie dienen im Verborgenden der Authentifizierung und Autorisierung von automatischen Prozessen. Damit sind sie i.d.R. aus dem Focus der täglichen Arbeit. Das prädestiniert sie als Angriffsziel.

Maßnahmen: Verantwortliche, Passwort Generierung und Password Vault

Service Accounts haben immer einen Verantwortlichen im Unternehmen.
Service Account Passwörter sind zu generieren und in einem Vault (virtueller Tresor) zu hinterlegen.
Service Account Passwörter sind nach X Tagen automatisch zu ändern. Sie sind nur den korrespondierenden Systemen bekannt.

Prämisse: Die Identität muss bei der Authentifizierung überprüfbar sein.

Der Identitätsdiebstahl ist einer der gängigen bekannten Methoden, unautorisierten Zugriff auf Inhalte der Unternehmensinfrastruktur zu erlangen. Hier muss sichergestellt werden, das tatsächlich die Person Zugang bekommt, die nach der Identität auch Zugang erhalten soll.

Maßnahme: Mehr-Faktor-Authentifizierung

Eine Mehr-Faktor Authentifizierung ist mindestens an den Stellen, an denen ein Security Level verlassen wird, notwendig.

Maßnahme: Benutzerzertifikate

Das Benutzerzertifikat stellt sicher, dass die Identität zum Unternehmen gehört.

Sicherheit der

Infrastruktur

Prämisse: Ein einzelnes Objekt muss wiederhergestellt werden können.

Backup und Restorte auf Objektebene sind zwingend. Da gibt es keine Diskussion.

Prämisse: Das Active Directory muss mit dem aktuellen Stand schnell reinstalliert werden können.

Für den Katastrophenfall muss es einen Wiederanlaufplan geben, der u.a. die erneute Bereitstellung des AD innerhalb kürzester Zeit ermöglicht. Die Wiederherstellung sollte im Stundenbereich liegen. Sie muss in regelmäßigen Abständen getestet werden.

Prämisse: Die Produktionsumgebung darf nicht ohne Change Prozess verändert werden.

Änderungen an der Produktionsumgebung können nur im Rahmen eine regulären Change Prozesses durchgeführt werden. Das hat den Vorteil, das zum einen alle Stakeholder in den Change involviert sind, zum, anderen die notwendigen Maßnahmen zur sicheren und nachvollziehbaren Änderung getroffen wurden.

Das schieß ad-hoc Änderungen, wie sie für Entwicklung und Test notwendig sind strikt aus.

Maßnahme: Staging

Für jeden Stage gibt es ein ADDS, eigenes ADCS und ADFS. So können Entwicklungs- und Testaufgaben bis zur Produktionsreife gebracht werden, ohne das ADDS In der Produktion zu kompromittieren.

Es sollte mindestens zwei Stages geben: Test & Entwicklung in einem Stage sowie Produktion. Je nach Größe des Unternehmens und dem betriebenen Entwicklungsaufwand sind drei Stages ideal: Entwicklung, Test, Produktion.

Maßnahme: Einführung ITIL Change Prozess

Der Change unterstützt bei der Bereitstellung von Änderungen an den produktiven Systemen durch die genaue Beschreibung der Ausgangssituation, der notwendigen Arbeiten und des Ergebnisses. Er zeigt den Fallback im Detail auf und holt alle Stakeholder ab. Das Ergebnis ist eine architektonische und organisatorische Transparenz, die den Betrieb stark unterstützt und Entscheidungen vereinfacht.

Prämisse: Kerberos- Kommunikation ist auf ein Mindestmaß zu reduzieren.

Auf das Kerberos-Protokoll gab es in der Vergangenheit verschiedene erfolgreiche Angriffe, die bei vorausschauender Architektur nicht erfolgreich gewesen wären. Deshalb ist es nicht per se abzulehnen, mit Kerberos zu arbeiten.

Zudem lässt sich Kerberos – Nutzung nicht vollständig verhindern. Man denke nur an die Maschinen Authentifizierung an das ADDS.

Maßnahme: SAML & oAuth & …..

Kerberos sollte so weit als möglich durch berührungslose Authentifizierungsverfahren ersetzt werden. Insbesondere gilt das für den Übergang von einem niederwertigen in einen höheren Security Level.

Prämisse: Alle Kommunikationsverbindungen sind verschlüsselt.

Damit Informationen nicht durch „Man in the Middle“ Attacken kompromittiert werden kann, ist jegliche Kommunikation zu verschlüsseln.

Maßnahme: Prüfen und Einführen von TLS 1.3

Active Directory verschlüsselt automatisch die Kerberos Kommunikation. Alle weiteren Systeme wie Identity Provider oder die CA sind auf verschlüsselte Kommunikation zu prüfen und ggfls. anzuheben.

Prämisse: Alle Computer sind durch Zertifikate identifizierbar

Voraussetzung für viele Prämissen ist ein gültiges, durch eine CA signiertes Maschinenzertifikat.

Maßnahme: Alle Computer werden automatisch mit einen gültigen Maschinenzertifikat ausgestattet.

Die Zertifikatsstelle (Certificate Authority) ist dabei auf jeden Fall on-Premise zu verorten. Die Maschinen- Zertifikate sind in zu bestimmenden Abständen automatisch zu aktualisieren. Das kann über verschiedene Wege erfolgen: Autoenrollment via ADDS oder über das ACME Protokoll. Das Thema Zertifikatsverwaltung ist aber so komplex, dass es dazu einen eigenen Artikel braucht.

Fazit

weiterführende Links

Management- Landkarte Teil1: organisatorische Methoden

Management-Landkarte Teil2: technische Methoden

Management- Landkarte Teil2: technische Methoden

Schreibe eine Antwort

Bei den technologischen Methoden und Verfahren ist es extrem wichtig, die Menge der eingesetzten Methoden so gering wie möglich zu halten. Dennoch sollen sie so umfangreich wie nötig sein. Konkurrierende Methoden führen zu Intransparenz und stark erhöhtem Aufwand.

Beispiel:

Setzt man als Autorisierungsinstanz Microsoft Active Directory und ein oder mehrere andere Directoires (IBM RACF, SAP ID oder Oracle LDAP Server) gleichermaßen ein, führt das auch bei stringentem Einsatz von Richtlinien und Prozessen auf beiden Seiten über kurz oder lang zu Abweichungen in den Berechtigungen. Auch werden die Accounts (named User) kontextbezogen nicht deckungsgleich bleiben. Strukturelle Sicherheitslücken sind eine sichere Folge. Und Software- Migrationen werden unnötig erschwert, weil Authentifizierungsverfahren nicht kompatibel sind.

Komplexität in den Griff bekommen: Keep IT simple

Erfolgreiche IT-Organisationen gestalten ihre Prozesse so einfach und transparent wie möglich. Sie benutzen wesentlich weniger Softwareplattformen und Anwendungen, darüber hinaus setzen sie auch bei der Hardware auf einfache, effiziente Lösungen.

Gesenkte Komplexität in der IT verbessert auch die Prozesse anderer Abteilungen. Dabei setzen Sie vor allem auf Standardlösungen und auf möglichst einheitliche Datenbestände On-Premise und in der Cloud. Es gibt immer nur eine wahre Daten-Quelle.

Technische Methoden für den Erfolg

Die nachfolgenden Methoden sind die das Mindestmaß an Struktur, die eine IT Organisation benötigt. Sicherlich gibt es weitere Methoden, die notwendig werden können, wenn kann im konkreten Fall erfolgreich IT betreiben will.

User Life Cycle Management / Identity Access Management

Ein Großer Teil der Angriffe erfolgen über Identitätsklau. Verschiedene Methoden zielen darauf ab, Identitäten im Unternehmen zu erspähen. Mit diesen Identitäten sollen weitere Identitäten mit höheren Rechten erlangt werden. ULC & IAM helfen hier, den validen Überblick über die Identitäten zu jedem Zeitpunkt zu halten.

Enterprise Access Management

Ein wichtiger Bestandteil des User Life Cycle Managements ist die Sorge um Identitäten. Diese Identitäten haben erhöhte Privilegien bis hin zur Enterprise Administration. Sie sind die eigentlichen Angriffsziele von Hackern. Deshalb ist die konsequente Einbeziehung von Authentifizierung & Autorisierung im Enterprise Access Management sehr wichtig. Ebenso wichtig ist der Schutz unternehmenswichtiger Daten und Informationen.

Software Life Cycle Management

Die Menge der Software bestimmt die Lizenz- und – noch wichtiger – die Prozesskosten.
Denn Software muss verteilt, in das Berechtigungskonzept eingepasst, gewartet und aktualisiert werden. Hier hilft das Software Life Cycle Management, die Angriffsflächen und Betriebsaufwände zu minimieren.

Vulnerability Management

Schwachstellen (Vulnerability-) Management ist die zentrale Methode, Schwachstellen in der IT-Infrastruktur zu erkennen, zu bewerten und zu sanieren. Das gilt nicht nur für programmatische Schwachstellen. Sie treten immer wieder in jeglicher Software auf. Es gilt auch für das Design der IT-Infrastruktur und alle damit eingesetzten Prozesse.

Certification Management

Neben User Life Cycle Management / IAM ist der gezielte Einsatz und Pflege von Zertifikaten existentiell für eine sichere IT-Infrastruktur. So sollten nicht nur alle Devices und User mit Zertifikaten abgesichert werden. auch alle Kommunikationsbeziehungen sind verschlüsselt auszuführen.
Darüber hinaus sind alle Skripte, die z.B. der Automation dienen, mit einem Zertifikat zu signieren.

Aufbau der IT-Infrastruktur nach Security Levels

Security-Levels bilden die Vertrauenswürdigkeit eines Netzwerkes ab. Je höher der Security-Level ist, desto vertrauenswürdiger ist der Level. Hohe Security-Levels haben per Default Zugriff auf niedrige Security-Level, andersrum wird der Zugriff verwehrt. Kommunikation zwischen Zonen desselben Security-Level werden per Default geblockt. Folgende Security- Level bilden aus meiner Sicht das Mindeste an Sicherheit.

DATA (Level 5)
DATA ist mit der höchsten Vertraulichkeitsstufe belegt. Hier werden alle strukturierten und unstrukturierten Daten (Datenbanken, Dateien), das Active Directory und die Zertifikatsserver untergebracht. Darüber hinaus sind Backup- , Deployment- und Automationsumgebungen in diesem Level, aber technisch getrennt, unterzubringen. Alle Systeme in dieses Levels sind existentiell für das Unternehmen.
APPLICATION (Level 4)
Im Security Level APPLICATION sind die Applikationsserver und Web-Frontends zu finden. Interne Mitarbeiter kommunizieren mit ihnen. Die Applikationsserver kommunizieren wiederum mit den Datenbankservern in DATA (Multi-Tier-Anwendung).
Im Best Case können diesen Systeme on Demand neu deployed werden. Alternativ müssen sie aus einem aktuellen Backup jederzeit wieder hergestellt werden können, um den Betrieb zu gewährleisten.
WORKSPACE (Level 3)
Im WORKSPACE sind alle Arbeitsplätze (intern wie extern) zu finden. Sie kommunizieren in der Regel nur mit den Systemen im Security Level APPLICATION.
DMZ / PERIMETER (Level 2)
Die Kommunikation mit externen Partnern B2B oder B2C wird in der Regel über die DMZ abgehandelt. Hier stehen Frontends, wie beispielsweise Shop Systeme, die die Kommunikation mit Kunden und Partnern ermöglichen. Diese Systeme haben keinerlei Datenhaltung (Ausnahme: Konfigurationsdaten). Sie bedienen sich abgesicherter System in APPLICATION. Sie sind im Schadenfall innerhalb kürzester Zeit durch automatisch neu aufgesetzte Systeme ersetzbar.
INTERNET (Level 1)
Das Internet ist grundsätzlich Böse! -:). Natürlich ist das Internet nicht grundsätzlich böse, hat es doch in den letzten Jahrzehnten zu Prosperität und Wohlstand signifikant beigetragen. Es ist jedoch wichtig, sich umfassend und permanent vor den Gefahren zu schützen. Diese Gefahren können durch das Internet bis in das Unternehmen getragen werden.

Staging

In den Anfängen der IT hieß es „Never touch a runnnig system!“ Das gilt in abgewandelter Form auch heute noch:

„Never touch a prodution system without a Change“

Das bedeutet, dass Entwicklung und Test aus dem Produktionsnetzwerk verbannt werden müssen. Dies geschieht, um die höchst mögliche Stabilität der Produktionsumgebung zu erreichen. Erst die fertig ausentwickelte Lösung darf in das Produktionsnetz eingebracht werden. Und das nach festen Regeln, meist im Rahmen eines Change Request und nach Freigabe und der Umsetzung, dem Change.

Um Entwicklung und Test zu unterstützen sind eigene, vollständig unabhängige Umgebungen, die nach an der Produktions- Realität sind, notwendig. Dort können dann neue Methoden und technologieren bis zur Produktionsreife entwickelt, konfiguriert und getestet werden.

Fazit

die beschriebenen Maßnahmen stellen wie auch in Teil 1 beschrieben, das absolute Minimum dar. Mehr geht immer.
Technische Methoden schaffen Klarheit im Umgang mit Technik. Sie bilden das Rückgrat für alle Entscheidungen innerhalb der IT. Was noch wichtiger ist: Endlich muss nicht jede Entscheidung lang und breit besprochen werden. Alle Mitarbeiter orientieren sich an den gewählten Methoden.

weiterführende Links

Management- Landkarte Teil1: organisatorische Methoden

Management – Landkarte Teil3: Big Picture

Management- Landkarte Teil1: organisatorische Methoden

Schreibe eine Antwort

IT- Organisation benötigen – wie jede andere Organisation auch – verlässliche Management- Methoden. Sie müssen transparent und messbar sein und den betrieblichen Ablauf und die Weiterentwicklung maßgebend stützen. Insofern sage ich hier nichts neues.

Je nach Größe der IT-Organisation kommen mehr oder weniger IT Service Management- Methoden zum Einsatz. Ich beschreibe hier das Mindeste für ein mittelständisches Unternehmen. Dabei ist es unerheblich, ob die Methoden intern durch die eigene Organisation oder extern, durch einen Dienstleister erbracht werden.
Vorab: Diese Methoden müssen nicht neu erfunden werden, es gibt sie schon sehr lange: ITIL V3 teilt Services in folgende Gruppen ein:

Service Strategy
Service Design
Service Transition
Service Operation
Continual Service Improvment

ITIL V4 verlässt das Feld der statischen Gruppen und bildet stattdessen vier Dimensionen. Neben der höheren Flexibilität sollen sie ein ganzheitlichen Ansatz für das Management der IT-Organisation ermöglichen.

Organisationen und Personen (‚Organizations and people‘)
Informationen und Technologien (‚Information and technology‘)
Partner und Lieferanten (‚Partners and suppliers‘)
Wertströme und Prozesse (‚Value streams and processes‘).

Welchem Model man auch folgen mag, aus meiner Sicht sollten die nachfolgenden Services aus „Service Operation“ eingeführt werden. Ebenso sind die Services aus „Service Strategy“ mit der höchsten Dringlichkeit umzusetzen. Wenn die IT – Organisation erfolgreich mit diesen Services arbeitet, kann man über die Erweiterung des Service Angebotes nachdenken.

Incident Management / Service-Request

Incident Management befasst sich mit allen Ereignissen, die Abweichungen vom erwarteten Verhalten eines Services beinhalten. Incident Management ist verantwortlich für den gesamten Lebenszyklus aller Incidents.
Wichtigstes Ziel des Incident Management ist die schnellstmögliche Wiederherstellung des SLA-konformen Servicebetriebs. Auch Workarounds werden genutzt. Ein weiteres Ziel ist die Minimierung negativer Auswirkungen auf die Geschäftsprozesse.
Incident Management / Service-Request sind die im Unternehmen am meisten gesehenen Dienstleistungen. Sie bilden einen sehr wichtigen Teil der Reputation der IT-Organisation.

Problem Management

Problem Management zielt darauf ab, die Auswirkungen von Incidents zu minimieren, indem es Incidents möglichst verhindert. Für bereits eingetroffene Incidents versucht das Problem Management, deren erneutes Auftreten zu unterbinden.
Problem Management tritt in Erscheinung, wenn Incidents zu einem Sachverhalt gehäuft auftreten. Dies geschieht auch, wenn der Incident durch einen Workaround geklärt wird, die Ursache der Störung aber (noch) nicht ermittelt ist. Die Behebung kann langwierig sein.

Problems werden i.d.R. im Second Level Support bearbeitet, Die abschießende Bearbeitung der Incidents liegt im First Level Support.

Die Trennung von sofortiger Abhilfe durch Incident-Management schafft Transparenz in die Arbeit der IT-Organisation. Die langfristige Stabilisierung der IT-Infrastruktur durch das Problem-Management sorgt ebenfalls für Klarheit. Sie ermöglicht es dem First Level Support, sich voll und ganz auf die kundennahen Aufgaben zu konzentrieren.

Problem Management arbeitet immer auf eine nachhaltige Lösung zu. In der Regel werden die Lösungen durch einen Change begleitet, da sie Eingriffe in den laufenden Betrieb .

Change Management

Keine Änderung an der produktiven Umgebung ohne Change!
Change Management ist die ultimative Hilfe zur störungsfreien Einführung und Änderung von Services im laufenden Betrieb. Die verbindliche inhaltliche und zeitliche Abstimmung mit allen betroffenen Stakeholdern bringt die notwendige Sicherheit für den Betrieb der Services.

Requirements Management

Requirements- Management ist die Unterstützung der systematischen Erfassung, Analyse und Aufbereitung von Anforderungen an ein System mit Methoden und Tools. Requirements-Management entwickelt die Methoden und Tools. Diese werden genutzt, um eindeutige, verständliche und verlässliche Anforderungen zu definieren. Sie gewährleisten auch deren Berücksichtigung im Lösungsdesign. Folgende Ziele sind für das Requirements- Management gesetzt.

Aufwände transparent darstellen
Auftragsbearbeitung beschleunigen
Hohen Automationsgrad ermöglichen
Fehlerbehebungsaufwände minimieren
Kundenvertrauen aufbauen
Erfolg messbar machen

Die oben genannten Ziele werden durch folgende Aufgaben unterstützt.

Reporting
Entwicklung / Weiterentwicklung der Requirements- Engineering Strategie.
Festschreibung von Definitionen.
Entwicklung, Verbesserung und Bereitstellung von Methoden und Tools.
Schulungen vorbereiten und durchführen.
Unterstützung des Requirements Engineers bei komplexen Aufträgen.

Service Katalog

Die oben angegebenen Services lassen sich nicht einführen, ohne die Leistungen der IT-Organisation in einem Service Katalog zu beschreiben. Es ist möglich, Incident- und Service-Request, Problem- und Change- Management auch ohne einen Service Katalog zu etablieren. Dies gilt für aber nur für kleine IT Organisationen. Dann fehlt die Auswertungs- und die strategische Steuerungsmöglichkeit die sich aus den gewonnenen Informationen ergeben.

Fazit

Ich möchte es an dieser Stelle nochmal betonen: die beschriebenen Maßnahmen stellen das absolute Minimum dar. Mehr geht immer. Sie bilden auch nicht sklavisch ITIL ab, sondern orientieren sich daran.
Es schafft das Organisations- Chaos ab und bringt Ruhe und Verlässlichkeit in der IT-Organisation. Am Ende wird die Leistung der IT signifikant steigen, ohne große personelle Veränderungen durchführen zu müssen.

weitere Links

Management- Landkarte Teil2: technische Methoden

Management – Landkarte Teil3: Big Picture