Informationssicherheit. als Qualitätsmerkmal eines IT Service. nach ITIL

Transkript

1 Universität Hannover Wirtschaftswissenschaftliche Fakultät Institut für Wirtschaftsinformatik Informationssicherheit als Qualitätsmerkmal eines IT Service nach ITIL Vorlagedatum: Verfasser: Sylvio Zapf Prinzhornweg Burgdorf 0176 / Sylvio.Zapf@web.de Betreuer: Robert Pomes Informationsmanagement und sicherheit im Sommersemester 2007

2

3 Seite I Inhaltsverzeichnis 1 Einleitung Herausforderung Informationssicherheit Relevanz Abhängigkeiten Vorgehensweise und Zielsetzung Informationssicherheit als Querschnittsfunktion von ITIL Grundlagen der Informationssicherheit Ziele der Informationssicherheit Aspekte der Informationssicherheit Möglichkeiten der Sicherstellung ITIL als Standardregelwerk Darstellung der Version 3 von ITIL Etablierung von Informationssicherheit Qualitätssicherung durch ITIL Was ist Qualität? Die ITIL Hinterlegung Der Zusammenhang der dargestellten Teilbereiche Informationssicherheit und seine Auswirkungen im und für das Unternehmen Bewusstsein von IT Sicherheit, ITIL und Qualität in der Praxis Inhalte und Auswertung ITIL und die Einführungsproblematik in Unternehmen Anforderungsanalyse Vorstellung einer erfolgreichen Vorgehensweise Informationssicherheit und Qualitätssicherung Fazit und Ausblick Literaturverzeichnis Anhang...III

4 Seite II Abbildungsverzeichnis Abbildung 1: Nutzung von IKT in Unternehmen durch Beschäftigte von 2002 bis 2006 in %...1 Abbildung 2: Objekte der Bedrohung; Abbildung 3: Lifecycle von ITIL Version Abbildung 4: Zusammenhang der Bereiche und der IT...16 Abbildung 5: Vorteile von ITIL Abbildung 6: Größte Hürden für die Implementierung von ITIL...22 Abbildung 7: Hürden bei der Implementierung von ITIL...23 Abbildung 8: Phasenmodell zur ITIL Implementierung...24 Abbildung 9: Vorteile von Zertifizierungen Abbildung 10: Angaben bezüglich Qualität...27 Tabellenverzeichnis Tabelle 1: Semantische Dimensionen von Verlässlichkeit und Beherrschbarkeit...5 Tabelle 2: deutsche Vorgaben und deren abgeleiteten Anforderungen an die IT Sicherheit...7 Tabelle 3: ausländische Vorgaben und deren abgeleiteten Anforderungen an die IT Sicherheit...7 Tabelle 4: Inhalte der neuen Core Books....13

5 1 Einleitung Seite 1 1 Einleitung 1.1 Herausforderung Informationssicherheit Relevanz Unternehmensprozesse basieren immer meh auf IT Lösungen, IT steht hierbei für Informationstechnik. Vielfach ist ohne funktionstüchtige IT das Tagesgeschäft eines Unternehmens nicht zu bewältigen. Je höher die Abhängigkeit von der IT ist, desto wichtiger ist die Sicherheit von Informations und Kommunikationstechnik im und für das Unternehmen. Sicherheit stellt zu dem ein Grundbedürfniss der Menschheit dar, dies muss auch in der IT Welt Einzug erhalten. Dabei wird in dieser Zeit der stärkeren Vernetzung ein immer größeres Risikopotenzial eröffnet, dem mit geeigneten Mitteln begegnet werden sollte. Um diesen Risiken entgegen wirken zu können, sind das Bewusstsein im ganzen Unternehmen zu etablieren und zu fördern. Wie in oben schon angedeutet, ist im 21. Jahrhundert sehr viele Geschäftsbereiche und tätigkeiten nicht mehr ohne IT zu erfüllen. Dies lässt eine hohe Abhängigkeit erkennen. Die Schäden bei nicht Sicherstellung der Informationssicherheit und der IT allgemein, können ein zerstörerisches Potenzial für das Unternehmen haben. Abbildung 1: Nutzung von IKT in Unternehmen durch Beschäftigte von 2002 bis 2006 in % Quelle: Statistisches Bundesamt (2007), S. 5 Diese Gefährdung hat auch den Gesetzgeber veranlasst sich tiefer gehend mit diesem Bereich zu befassen. So existieren zahlreiche Regelungen, die dem Ziel folgen, den Einzelnen zu schützen. Unternehmen sind aufgefordert dies auch in ihrer IT umzusetzen, wodurch es einen entsprechenden Stellenwert im Unternehmen einnimmt. Es ist nicht geschäftsfördernd, wenn

6 1.1 Herausforderung Informationssicherheit Seite 2 Konkurrenten beispielsweise die einzigartige Rezeptur für ein Produkt in die Hände bekommen oder die Kundenliste des Unternehmens. Die Gefahr steigt nicht nur durch die immer stärkere Vernetzung, sondern fängt mit dem Bewussten Umgang mit Informationen im Unternehmen an Abhängigkeiten Informationssicherheit ist ein ständiger Prozess und muss sich an Veränderungen anpassen können.1 Das Betrachtungsfeld ist hier das Mensch Maschine System, welches durch Fehler oder Fremdeinwirkung beeinträchtigt werden kann, wobei unterschiedlich vorgegangen werden muss. Bei der Komponente Maschine mit all ihren Bauteilen und Verbindungselementen kann der Mensch mithilfe von Überwachungs und Steuerungsmechanismen arbeiten. Wobei berücksichtigt werden muss, dass alles vom Menschen beeinflusst werden kann. Wodurch ihm ist diesem eine besondere Stellung in diesem Themenbereich zugesprochen werden muss, da er Sicherungsposten und Angreifer darstellen kann. Dieses Gefüge ist ein komplexerer Zusammenhang als bei der Maschinellen Komponente, bei der über ein Konfigurationsdatei gesteuert wird. Der Mensch ist ein selbständig denkendes und handelndes Wesen, was nicht von anderen gesteuert werden kann. So sind Unternehmen gefordert den Faktor Mensch im Unternehmen in die richtige Richtung zu lenken. Es gibt zahlreiche weitere Einflussgrößen die in Abbildung 1 dargestellt sind. Danach sind die Angriffe auf Informationssicherheit, nicht von denen auf physische Systeme zu Abbildung 2: Objekte der Bedrohung; Quelle: in Anlehnung an Humpert (2004) unterscheiden, jedoch sind diese vielfältiger.2 Die Vielzahl von Szenarien können unterschieden werden zwischen Gefahren von Innen und Außen auf das Unternehmen. Der Mensch übt dabei 1 Vgl. Hornung (2005) 2 Vgl. Humpert (2004)

7 1.1 Herausforderung Informationssicherheit Seite 3 eine sehr stark Rolle auf die Sicherheit aus. So wurde 2007 eine Umfrage von CIO.de durchgeführt, wobei die größte Gefährdung durch eigene Mitarbeiter ausgeht, so 66 Prozent der 316 Teilnehmer sahen es 60 Prozent so Vorgehensweise und Zielsetzung Im ersten Teil der Arbeit sollte verdeutlicht werden, warum der Bereich Informationssicherheit ein sehr wichtiges Themengebiet darstellt. Daran anschließend soll eine Definition zur Informationssicherheit gegeben werden und welche Umsetzungsmöglichkeitet es gibt. Aus diesen soll die Information Technologie Infrastructur Libary, kurz ITIL vorgestellt werden, als eine Möglichkeit. Des weiteren wird sich mit dem Gebiet der Qualität befasst. Danach soll das Zusammenwirken der Komponenten betrachtet werden und Folgen bei Verlust von Informationssicherheit aufgezeigt werden. Um Aussagen zu bekräftigen, soll im dritten Teil eine Studie mit Chief Informations Officers's, kurz CIO's, in Unternehmen gemacht werden. Diese Daten und die der vorherigen Abschnitte sollen helfen Fragen bezüglich ITIL zu beantworten Die Arbeit endet mit der Beantwortung der Ausgangsfrage: Stellt Informationssicherheit ein Qualitätsmerkmal eines IT Services nach ITIL dar? 2 Informationssicherheit als Querschnittsfunktion von ITIL 2.1 Grundlagen der Informationssicherheit Ziele der Informationssicherheit Um sich näher mit mit Informationssicherheit oder als synonym verwendet IT Sicherheit zu befassen ist eine Definition nötig. Nach Eschweiler/ Atencio Psille gibt es diese nicht. Viele Autoren versuchen das Thema zu umgehen oder setzen eine allgemeine Definition voraus.4 Um sich die Begrifflichkeiten besser zu verdeutlichen, ist es wichtig sich klar zumachen dass sich Informationssicherheit mit dem Mensch Maschine System beschäftigt. Dabei handelt es immer 3 Vgl. (im Anhang befindet sich die ganze Befragung von 2007) 4 Vgl. Eschweiler/Atencio Psille (2006) S. 11

8 2.1 Grundlagen der Informationssicherheit Seite 4 um eine Zusammenarbeit von Mensch und Maschine. Wobei diese zwei Fehlerquellen beinhaltet kann, den Faktor Mensch und die Maschine als komplexes System verstanden. Wie im ersten Kapitel versucht wurde darzustellen, ist es nicht abzustreiten, dass Informationssicherheit für das Unternehmen von Elementarer Bedeutung ist.5 IT umfasst hierbei alle notwendigen Komponenten, dabei geht es nicht nur um Hard und Software, sondern auch um Kommunikationstechnik, Arbeitsabläufe, Dokumentationen und vorhanden fachspezifische Ressourcen im Unternehmen.6 Federrath und Pfitzmann haben IT Sicherheit wie folgt Zusammangefasst: IT Sicherheit bezeichnet die Funktion und Prozesse zur Schaffung und Erhaltung von Systemzuständen eines informationstechnischen Systems (IT System), in denen Bedrohungen, die auf das IT System einwirken, keine negativen Auswirkungen auf das System oder dessen Umwelt haben, d.h. das IT System verbleibt in einem sicheren Systemzustand. 7 Dieses betrachtet nur die Richtigkeit der Informationen. Jedoch wird in unserer heutigen Zeit, durch eine Vielzahl von Gesetzen, auch eine Nachweisbarkeit gefordert. Somit ergeben sich zwei Zielstellungen für Informationssicherheit, die Verlässlichkeit und die Beherrschbarkeit. Verlässlichkeit auf der einen Seite beschäftigt sich mit Schutz der Informationen, währenddessen sich die Beherrschbarkeit dem Schutz der Personen widmet. Beide haben semantische Dimensionen die in Tabelle 1 dargestellt sind. Verlässlichkeit kennzeichnet die Sicherheit der Informationen, bei der weder die Systeme noch die mit ihnen verarbeiteten Informationen, noch die Funktionen und Prozesse in ihrer Nutzung, ihrem Bestand oder ihrer Verfügbarkeit unzulässig beeinträchtigt werden. Verfügbarkeit impliziert, dass Benutzer auf das Informationssystem und seine Objekte ohne Einschränkung zugreifen können. Integrität bedeutet, dass sämtliche Informationen vollständig, korrekt und unverfälscht vorliegen. Die Vertraulichkeit ist gegeben, wenn Objekte bezüglich 5 Vgl. vom Brocke/Budendick (2005), S Vgl. Materna (2007), S.4 7 Vgl. Federrath/Pfitzmann (2006), S. 273

9 2.1 Grundlagen der Informationssicherheit Seite 5 Informationsinhalten und verhalten, in zulässiger Weise nur einem definierten Nutzerkreis bekannt sind. Dabei lassen sich die Dimensionen je nach eigenem Interesse unterschiedlich stark Definieren und im Unternehmen implementieren, um ein eigens definiertes Maß an Sicherheit zu gewährleisten. Dies sollte mit den eigenen Ansprüchen abgedeckt sein, so ist es für ein Webportal wichtig jederzeit erreichbar zu sein und somit ein hohes Maß an Verfügbarkeit aufzuweisen muss. Verlässlichkeit - Sicherheit des Systems Verfügbarkeit Integrität Vertraulichkeit Beherrschbarkeit - Sicherheit vor dem System Zurechenbarkeit Revisionsfähigkeit Tabelle 1: Semantische Dimensionen von Verlässlichkeit und Beherrschbarkeit Quelle: in Anlehnung an Dierstein (2004), S. 347ff Beherrschbarkeit beschreibt die Sicherheit der Betroffenen, bei der Rechte oder schutzwürdige Belange der Betroffenen durch die Nutzung oder das Vorhandensein von Informationen nicht unzulässig beeinträchtigt werden darf. Als semantische Dimensionen lassen sich hier zum einen die Zurechenbarkeit und die Revisionsfähigkeit, auch als Rechtverbindlichkeit verstanden, nennen. Zurechenbarkeit fordert eine eindeutige personale Verantwortungszuordnung ausgeführter Aktionen, sowie deren Ergebnisse und Auswirkungen. Die Notwendigkeit einer hinreichend verlässlichen Beweiskraft von Informationen fordert die Revisionsfähigkeit, wodurch jeder Vorgang und dessen Ergebnis zweifelsfrei für Dritte erkennbar und beweisbar ist. Beide Sichtweisen ergänzen sich und bilden so eine umfassende Darstellung. Diese sind zueinander Komplementär sind und von Dierstein als duale Sicherheit bezeichnet werden Aspekte der Informationssicherheit In den vorherigen Abschnitte wurde schon versucht Themenbereiche aufzuzeigen die Informationssicherheit für ein Unternehmen erforderlich machen. Dies soll hier gezielter 8 Vgl. Dierstein (2004), S. 343ff

10 2.1 Grundlagen der Informationssicherheit Seite 6 anhand rechtlicher, technischer und opperativer Gesichtspunkten dargestellt werden. In vielen Artikeln bezüglich dieses Themas ist zu lesen, dass Informationssicherheit Chefsache ist. Dies ist auch die Position des Gesetzgebers in seinen Regelungen.. Durch Gesetzte, die die rechtlichen Aspekte beschreiben, werden meist gleichzeitig die organisatorischen und technischen mit genannt.9 In Unternehmen ist festzustellen, dass meist nur der Bereichen Technik und Organisation besteht und nur wenige den Bereich Recht berücksichtigen.10 In diesem Abschnitt soll ein kurzer Überblick über heranzuziehende Gesetzte und deren Auswirkungen auf das Unternehmen dargestellt werden. Zur besseren Darstellung geschieht dies anhand Tabelle 2 und 3.11 Beim Gesetzgeber erlangt diese Thematik eine immer höhere Aufmerksamkeit, durch die immer häufiger auftretenden Schadensfälle und deren Bedeutsamkeit für die Wirtschaft. Dabei ist festzustellen, dass die gesetzlichen Regelungen immer in Beziehung mit Informationssicherheit stehen, dies erklärt den oben genannten Zusammenhang.12 Dabei können die einzuhaltenden Vorschriften unterteilt werden in deutsche und ausländische Regelungen. Regelungen in Deutschland Gesetze/ Vorschriften Inhalt/Ziel Aufgaben der IT Sicherheit BGB Bürgerliches Gesetzbuch regelt Ansprüche bei Schädigung des Selbstbestimmungsrechts, zwischen dem Unternehmen und den betroffenen Personen Regelung zum Zugang von Dritten Vertraulicher Umgang mit Daten HGB Handelsgesetzbuch Recht und Pflichten im Handel Sicherstellung der ordnungsgemäßen Abbildung der Buchführung mit der IT StGB Strafgesetzbuch IT einerseits als Werkzeug, andererseits als Opfer Schutz der IT Systeme BDSG Bundesdatenschutz gesetz Schutz der Daten, die in Datenschutzbeauftragten berufen jeglicher Form gespeichert oder Pflicht des Personals zur Beachtung von lesbar sein können (Papier, Regeln Digital) GoBS verbindliche gesetzliche Rollen und Berechtigungskonzepte 9 Vgl. BITKOM(2005b), S. 4 oder Forthmann/Höfling (2007) 10 Niedermeier/Junker (2004), S Einen genauen Überblick über die Haftung der Beteiligten hat BITKOM im Jahre 2005 anlässlich der Cebit eine Haftungsmatrix aufgestellt 12 Vgl. Eschweiler/Atencio Psille (2006), S. 12

11 2.1 Grundlagen der Informationssicherheit Seite 7 Grundsätze Regelung für die elektronische ordnungsgemäßer DV Buchhaltung von Unternehmen gestützer Buchführungs systeme Datenhaltung technische Authentisierung GmbH Gesetz/ Aktien Gesetz Pflichten zur Führung eines Unternehmens Sicherstellung einer bedarfs und rechtskonformen IT Nutzung Einfürhung und Aktualisierung eines Sicherheitskonzeptes Verhinderung von Schäden an Dritten durch die eigene IT KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Informationsbedarf an Überwachungssysteme zur Erfassung, Anforderungen von Kommunikation und Handhabung von internationalen Kapitalmärkten Risiken anpassen Tabelle 2: deutsche Vorgaben und deren abgeleiteten Anforderungen an die IT Sicherheit Quelle: in Anlehnung an Eschweiler/Atencio Psille (2006), S. 129ff Je nachdem wie und wo das Unternehmen agiert sind die geltenden Bestimmungen einzuhalten. Dabei wird hier nicht darauf eingegangen für wenn und ab wann welche Regelungen zutreffen. Einige, wie das BGB, HGB, StGB und die GoBS sind immer verpflichtend. In Untersuchungen wurde dabei festgestellt das kleinere Unternehmen eher dazu neigen sich nicht mit dieser Ausländische Reglungen Gesetze/ Vorschriften Inhalt/Ziel Aufgaben der Informationssicherheit Basel II Investitionsicherheit für Kreditgeber Kontroll, Mess, und und nehmer gewährleisten und soch Risikobewertungsverfahren einführen für die Finanzmärkte stabil halten Kreditinstitute SOX effektive Vermeidung von Fehlhandlungen und somit den Schutz von Unternehmen und deren Partner durch Verbesserung der Berichterstattung Kontrollmaßnahmen Tabelle 3: ausländische Vorgaben und deren abgeleiteten Anforderungen an die IT Sicherheit Quelle: in Anlehnung an Eschweiler/Atencio Psille (2006), S. 135ff Thematik zu beschäftigen. Meist begründet durch die eingeschränkten Ressourcen im Unternehmen, wie Zeit, Geldmittel oder Personal.13 In Tabelle 3 werden Regularien vorgestellt die für so genannte Global Player unter den Unternehmen beachtet werden müssen, beispielsweise durch Börsennotierung in den USA. 13 Vgl. Sunner (2007), S.1

12 2.1 Grundlagen der Informationssicherheit Seite 8 In den Tabellen 2 und 3 werden unter dem Punkt Aufgaben der Informationssicherheit, einige organisatorische und technische Aufgaben genannt. Dabei sind unter den technischen Gesichtspunkten alle Maßnahmen und Mittel zu verstehen, die mit hilfe von Hard und Software helfen, Sicherheit zu gewährleisten. Diese müssen aufeinander abgestimmt werden und auch zusammenarbeiten, um das System vor internen und externen Eindringlingen zu schützen. Dabei sind aktive und pro aktive Maßnahmen zu erkennen, beispielsweise sind Virensoftwarelösungen überwiegenden pro aktiv, das heisst sie werden erst nach der Infizierung tätig. Teilweise sind sie durch vorab scans, von Dokumenten, auch aktiv tätig um Schadsoftware an der Ausführung zu verhindern. Wie am Anfang schon heraus gearbeitet wurde, ist bei Mensch Maschine Systemen der Mensch als Schwachstelle zu identifizieren. Dieser Umstand trägt dazu bei, wie auch durch die gesetzlichen Regelungen, dass organisatorische Maßnahmen im Unternehmen zu implementieren sind. Dies soll helfen die Daten im System zu schützen. So wird versucht Technik und menschliches Verhalten aufeinander abzustimmen, um den effektiven Schutz zu erhöhen. So sind Sicherheitsrichtlinien, die auf das Unternehmen abgestimmt sind zu verfassen und dem Mitarbeiter in einer verständlichen und umsetzenden Weise zu kommunizieren. Dabei darf keine Überforderung auftreten und als Checkliste verstanden werden. Die Mitarbeiter müssen aktiv mit eingebunden werden, um Sicherheit wirkungsvoll zu verankern und zu leben Möglichkeiten der Sicherstellung Informationssicherheit kann durch verschiedene Wege und Absichten im Unternehmen etabliert und sichergestellt werden. Hier soll ein Überblick über Sicherheitsrichlinien gegeben werden.14 Bei diesen handelt es sich um die Normen BS 7799 und ISO 17799, das IT Grundschutzhandbuch und die Information Technologie Infastructure Libary, kurz ITIL. Die Normen BS 7799 und ISO sind sehr ähnlich, da der britische Standard in eine ISO Norm übernommen wurde. Diese Normen geben das Vorgehen zum Aufbau eines Informationssicherheitsmanagement an. Dabei geben sie eine Definition praxisorientierter Mindestanforderung und schaffen die Basis für die Entwicklung, Implementierung und 14 Vgl. Sauer (2005), S. 1ff

13 2.1 Grundlagen der Informationssicherheit Seite 9 Messung einer effektiven Sicherheitsorganisation. Das IT Grundschutzhanbuch des Bundesministeriums der Sicherheit in der Informationstechnik, kurz BSI, stellt Standardsicherheitsmaßnehmen, Umsetzungshinweise und Hilfsmittel bereit für die Informationssicherheit. Die bisher erläuterten Sicherheitsrichtlinien betrachten nur den Bereich der Sicherheit an sich. Wohingegen ITIL versucht den Themenbereich Informationssicherheit prozess und serviceorientiert zu betrachten. Dabei verfolgt ITIL das Ziel der Standardisierung von Abläufen, um so Qualität, Sicherheit und Wirtschaftlichkeit von IT Prozessen nachhaltig zu sichern und zu verbessern. 2.2 ITIL als Standardregelwerk Darstellung der Version 3 von ITIL Die Information Technologie Infastructure Libary stellt ein Referenzmodell auf der Basis von Best Practies für IT Servicemodelle dar. Entstanden ist es Mitte der achtziger Jahre in Großbritannien und wird dort vom britischen Office of Goverment Commerce (OGC) ständig weiterentwickelt und verfeinert. Informationssicherheit wird als unverzichtbar angesehen, wobei die Sicherheitsanforderungen an die Geschäfts und IT Prozesse koordiniert werden. So lassen sich gleichzeitig Synergiepotentiale erkennen und nutzbar machen. Ein Grund für den Einsatz von ITIL sind veränderte Herausforderungen in der IT, die in anderen Bereichen schon durchlaufen wurden.15 ITIL wird weltweit als de facto Standard Rahmenwerk anerkannt und erfreut sich immer größerer Beliebtheit.16 Das Ziel von ITIL ist es die IT Services kunden, prozess und serviceorientiert zu gestalten und schlägt so ein Brücke zwischen geschäftlichen Anforderungen und der IT im Unternehmen.17 Dabei ist es unabhängig von Anbietern und Technologie, da es sich um ein generisches Modell handelt. Zum anderen ist es organisationsneutral und definiert durch sein Rollenkonzept Verantwortlichkeiten sowie Prozesse und Funktionen.18 Es beinhaltet meist nur das WAS aber nicht das WIE. Bei der Umsetzung wird auf die oben beschriebenen Normen ISO und BS 7799 verwiesen, die Vgl. BSI (2005), S. 5f Vgl. Materna Monitor (01/2007), S. 3 Vgl. Köhler (2006), S. 37f Vgl. Materna (2007), S. 4

14 2.2 ITIL als Standardregelwerk Seite 10 ITIL bezüglich Informationssicherheit mit Leben füllen. ITIL wurde beziehungsweise wird einer Neuerung unterzogen, von ITIL Version 2 die im Jahr 2000 in Kraft trat, in ITIL Version 3 die seit Mai/Juni diesen Jahres gestartet wurde. Dabei wird mit diesem Refresh das Rahmenwerk einer völligen Neuordnung unterzogen. Die Basisthemen der IT, die IT Services, sollen einen stärkeren Fokus bekommen.19 Die Neuerung der Umgestaltung ist das strukturgebende Element der Service Lifecycle. Somit wird nicht mehr der Prozess, sondern der Service in den Mittelpunkt gestellt. Dabei waren die Gedanken des Services in Version 2 schon im ICT Infrastructure Management vorhanden und wurden stärker herausgestellt. Der Service ist dabei das Zusammenwirken von Technologie und Prozessen.20 Dabei bilden sich Elementarketten von einzelnen Komponenten wie Netzwerk, Server und Anwendungen, die insgesamt den Service für den Anwender ermöglichen. Die neue Vorgehensweise hilft dabei den Blick auf das Ganze nicht zu verlieren. Dies geschah oft durch punktuelle Anwendungen von Teilbereichen in der Version 2. Zum anderen wurden nur Prozesse betrachtet, ein Service aber wie oben beschrieben beinhaltet mehr.21 Die Version 3 besteht aus Kern Publikationen, Ergänzungen und dem Internet, als Informationsquellen. Diese gemeinsame Nutzung der Medien soll helfen ITIL aktuell zu halten. Die Kernkometenzen umfassen jetzt fünf Bücher, die den Service Lifecycle ergeben und die einzelnen Phasen widerspiegeln wie in Abbildung 322 zu sehen ist. Die Phasen geben dabei die Vorgehensweise des ITIL Implementierungsprozesses wieder, angefangen vom Service Design bis zur Service Stilllegung. Genau sind dies die Service Strategies (Service Strategien), Service Design ( Modelle für den Betrieb), Service Transition (Service Implementierung beziehungsweise Einführung), Service Operation (Operativer Betrieb von Services) und Continual Service Improvement (kontinuierliche Verbesserung von Services). Die Bücher sollen einen geringeren Umfang aufweisen und nur Inhalte abgehandelt werden, die sich bewährt haben und keiner Änderungen unterliegen.23 Viele der alten Bücher werden nur neu einsortiert, Vgl. Wisotzky (2007), S. 1 Vgl. Materne Monitor (02/2007), S. 13 Vgl. Materna Monitor (02/2007), S. 11ff Darstellung von ITIL Version 2 im Anhang Vgl. Bause (2006a), S. 1f

15 2.2 ITIL als Standardregelwerk Seite 11 so sind sechzig Prozent der neuen Version aus der alten übernommen wurden. Die Neuerung bringt soweit Vorteile, dass Probleme mit Inkonsistenzen innerhalb der Bücher und die fehlende Struktur behoben wurden.24 Die einzelnen Inhalte sind in Tabelle 4 aufgezeigt. Dabei kann nicht vertiefend auf die einzelnen Abbildung 3: Lifecycle von ITIL Version 3 Quelle: in Anlehnung an Bause (2006a), S. 1 Inhalte eingegangen werden, da diese zum Zeitpunkt der Erstellung der Arbeit nicht verfügbar waren. So sind beispielsweise die Bereiche Service Support und Service Delivery, die mit die Haupteinstiegsprozesse in ITIL sind, mit übernommen wurden unter dem Bereich Service Opperation im Service Lifecycle.25 Die Ergänzungen sollen helfen das gesamte Rahmenwerk aktuell halten zu können, ohne dass alle Bereiche überarbeitet werden müssen. Dabei werden spezielle Interessengruppen angesprochen, beispielsweise die Einführung in kleinen Unternehmen. Das Internet soll Hilfestellungen für Anwender zur Verfügung stellen.26 Zielsetzung des Rahmenwerkes ist dabei die enge Zusammenarbeit mit dem Kunden und der ständige Dialog. Dabei trifft die Neuerung das IT Management, aber auch IT Verantwortlichen, um den Begriff IT Service Rechnung tragen zu können. Da alle Beteiligten die Verzahnung innerhalb der IT und dessen Einflussnahme auf die Services kennen müssen. Denn Service Lifecycle Management ist ohne ständige, enge Kommunikation zwischen IT Dienstleistern und Anwendern nicht möglich Vgl. Ostler (2007), S. 1f Vgl. Materna Monitor (02/2007), S. 12 Vgl. Bause (2006b), S. 1f Materna Monitor (02/2007), S. 12

16 2.2 ITIL als Standardregelwerk Seite 12 Der Vorteil der Version 3 ist seine bessere Struktur und den höheren Praxisbezug, die durch gezielte Gespräche herausgearbeitet wurden.28 So soll dies die Einführung und Anwendung vereinfachen. Teilweise sind auch Empfehlungen zum genauen Vorgehen gegeben und somit nicht nur ein rein generisches Modell.29 Trotz Veränderung sind alle bestehenden Zertifikate gültig und durch die Nutzung von ITIL in Version 2 entsteht gegenüber der Neuerung kein Nachteil, durch den hohen Übernahmeanteil und den unverändeten Kernbereichen. Eine Veränderung tritt in der Zertifizierung auf, bisher konnten sich nur Personen zertifizieren lassen und seit kurzem, Anfang 2006, über ISO auch Unternehmen und ihre Prozesse. Dies soll sich mit ITIL Version 3 ändern. So sollen sich Unternehmen und ihre IT Abläufe zertifizieren lassen können, um Kunden nach außen hin ein Zeichen der Abläufe geben zu können.30 Service Strategies Service Design Service Transition Service Operation Service Management Strategie und Planung der Wertschöpfung Verbindung der Businesspläne und der Ausrichtung auf die IT Service Strategie Planung und Implementierung einer Service Strategie Rollen und Verantwortlichkeiten Herausforderungen, kritische Erfolgsfaktoren und Risiken Der Service Lifecycle Service Design Ziele und Elemente Auswahl des Service Design Modells Service, Menschen, Prozesse, Knowhow und Tools Nutzen / Risikoanalyse Rollen und Verantwortlichkeiten Kostenmodell Nutzen / Risiko Analysen Implementierung Service Design Herausforderungen, kritische Erfolgsfaktoren und Risiken Managing von organisatorische und kulturelle Veränderung Knowlegde Management Service Management Kowledge Base System Lifecycle Stufen Risiko Analysen und Management Methoden und Tools Messung und Steuerung Sammlung von Best Practices Herausforderungen, kritische Erfolgsfaktoren und Risiken Service Operation Lifecycle Stufen Prinzipen, Prozessgundlage und Funktionen Application Management 28 Vgl. ITIL Refresh News (2006), S. 7f 29 Vgl. Ostler (2006), S. 1f oder ITIL Refresh News (2006), S Vgl. Wisotzky (2007), S. 3

17 2.2 ITIL als Standardregelwerk Continual Service Improvement Seite 13 Infrastructur Management Operationsmanagement Steuerung von Prozessen und Funktionen Skalierbare Vorgehensweisen Messung und Steuerung Herausforderungen, kritische Erfolgsfaktoren und Risiken Business Driver für Verbesserungen Technologie Driver für Verbesserungen Ausrichtung Business, finanzielle und organisatorische Benefits Prinzipien der kontinuierlichen Verbesserung von Services Rollen und Verantwortlichkeiten Methoden und Tools Implementierung von Service Improvement Messung und Steuerung Herausforderungen, kritische Erfolgsfaktoren und Risiken Sammlung von Best Practices Tabelle 4: Inhalte der neuen Core Books Quelle: in Anlehnung an ITIL Refresh News (2006), S. 4f Etablierung von Informationssicherheit Durch den hohen Aktualitätsgrad der Version 3 und die noch nicht veröffentlichten Bücher wird auch hier auf die Version 2 zurückgegriffen. Dort ist Informationssicherheit im Security Management hinterlegt. Dabei wird versucht die Ziele der Informationssicherheit, wie sie oben beschrieben worden sind, sicherzustellen. Es beinhaltet Tätigkeitsbereiche der Softwareauswahl zur Sicherung, Zuweisung von Verantwortlichkeiten und auch den Umgang mit Passwörtern im Unternehmen sowie das Einführen und Prüfen von Sicherheitsmaßnahmen.31 Dabei ist zu beachten, dass sich Informationssicherheit durch das Security Management erst im Unternehmen etablieren lässt, wenn schon ITIL Prozesse eingesetzt oder in Planung sind. Da auf andere Prozesse der Bereiche Service Support und Service Delivery zurückgegriffen wird. Diese werden um Sicherheitsmerkmale und prozesse erweitert. So wird das Rahmenwerk mit anderen Prozessen verknüpft, um einen umfassenden und weitreichenden Schutz zu verwirklichen.32 Erst diese Verzahnung von ermöglicht Überwachungssysteme und mechanismen hilfreich im Unternehmen einzusetzen.33 Festzustellen ist, dass Informationssicherheit einen immer höheren Stellenwert durch den 31 Vgl. Köhler (2006), S. 203ff 32 Vgl. Sauer (2005), S. 4f 33 Vgl. Greiner (2006), S. 1f

18 2.2 ITIL als Standardregelwerk Seite 14 Gesetzgeber bekommt.34 In Version 3 sollen auch neue Sachverhalte wie IT Outsoucring beinhaltet sein und nicht in jedem einzelnen Buch berücksichtigt werden, sondern als eigenständiger Bereich, der somit bei allen Entscheidungen mit Einfluss nimmt Qualitätssicherung durch ITIL Was ist Qualität? Qualität beschreibt die Beschaffenheit, die Eigenschaft und den Zustand von etwas, wobei keine Bewertung vorgenommen wird. Sie wird jedoch meist mit einer Wertung behaftet und damit versucht das Produkt oder die Leistung zu bewerten. Dies findet sich aber eigentlich in der Norm DIN EN ISO 9000:2000 wieder, wo Anforderungen mit den tatsächlichen Eigenschaften verglichen werden.36 Diese Norm beschreibt die Anforderungen an das Qualitätsmanagement, wobei sich acht Grundsätze ergeben. Diese beinhalten die Kundenorientierung, Führung, Prozessorientierung, ständige Verbesserung, sachliche Entscheidungsfindung und Lieferantenbeziehungen zum gegenseitigen Nutzen.37 Nach DIN EN ISO 8402 ist Qualität die Gesamtheit der Merkmale und Merkmalswerte eines Produktes oder einer Dienstleistung bezüglich ihrer Eignung, festgelegte und vorausgesetzte Erwartungen zu erfüllen. 38 Festzuhalten ist, das Qualität den Erfolg des Unternehmens beeinflusst und Wettbewerbsvorteile generieren kann.39 Anwender, die die Technik nutzen wollen kümmern sich meist nicht um die Komplexität der Zusammenhänge, erst bei einem Problem zeigen sich die Qualitätsmängel. Im Bereich der Leistungsfähigkeit der IT sieht es der Awender besonders. Hier wird die Arbeits und Leistungsfähigkeit direkt beeinflusst. Ein weiterer Bereich wo sich die Servicequalität zeigt, ist bei der Anwenderbetreuung und der Störungsbearbeitung, um wieder produktiv das System nutzen zu können. Auch die Messbarkeit der Services ist meist nicht gegeben, was eine Bewertung zu liese. Um dies zu erreichen, muss die Servicequalität gesteigert, Prozesse Vgl. Köhler (2006), S. 206f Vgl. Materne Monitor (02/2007), S. 11 Vgl. Vgl. Köhler (2006), S.1 Vgl. Materna (2007), S. 3

19 2.3 Qualitätssicherung durch ITIL Seite 15 standardisiert und Kostensenkung realisiert werden.40 Servicequalität bedeutet zugleich Leistungsvereinbarungen zwischen zwei Parteien. Dies wiederum bringt soziale Interaktionen mit sich und muss somit gleichzeitig die benötigte Berücksichtigung von Sicherheitsfragen im Unternehmen bekommen Die ITIL Hinterlegung Wie oben dargestellt wurde, geht es bei Qualität nicht nur um Prozesse sondern auch um den Service.42 Dieser wird auch durch das ITIL Refesh, wie es im Kapitel vorgestellt wurde, näher in den Fokus gestellt und kommt somit den aktuellen Herausforderungen der IT Abteilungen entgegen. Die Unterscheidung zwischen Prozess und Services ist hierbei sehr hilfreich für die Betrachtung der Berücksichtigung in ITIL. Ein Prozess betrachtet nur einzelne Komponente, wie etwa das Netzwerk und auf diese werden Anforderungen vereinbart, die die IT Abteilungen zu erbringen haben. Diese Anforderungen gehen dabei mit auf Informatisonssicherheitsziele ein, wie die Verfügbarkeit. Wohingegen ein Service aus dem Prozess und den Komponenten besteht, somit das Zusammenspiel mit abbildet. Das bedeutet wiederum, dass ein Prozess alleine, so gut und sicher er im Sinne von Informationssicherheit etabliert ist, den Service für die Endanwender nicht sicherstellen kann.43 Durch die Einzelbetrachtungen werden die Zusammenhänge und Abhängigkeiten nicht wirklichkeitsgetreu dargestellt. Somit geht die Version 3, von ITIL, einen Schritt weiter zur qualitativen Betrachtung. Kundenwünsche und Anforderungen, wo auch die Qualität dazu zählt, können so besser durch die IT Abteilung als Servicedienstleister, bedient werden Vgl. BSI (2007b), S. 15 und S. 21 Vgl. Höfling (2005), S. 2 Vgl. Materna Monitor (02/2007), S. 17 Vgl. Materna Monitor (02/2007), S. 12f

20 2.4 Der Zusammenhang der dargestellten Teilbereiche Seite Der Zusammenhang der dargestellten Teilbereiche In den obigen Abschnitten wurde alle drei Gebiete vorgestellt und dargestellt wie Informationssicherheit und Qualität in ITIL implementiert ist. Die Zusammenhänge und Einflussmöglichkeiten dürfen jedoch nicht nur auf die IT gerichtet sein, sondern beinhalten noch mehr. Zu nennen sind hier die Entscheider, Mitarbeiter, Kunden, sozusagen alle die einen Einfluss auf den IT Bereich oder auf einzelne Bereiche selbst haben. Dies wird versucht in Abbildung 4 zu verdeutlichen. Daraus geht hervor das Abhängigkeiten zueinander und Abbildung 4: Zusammenhang der Bereiche und der IT Quelle: eigene Darstellung insgesamt bestehen. Wie oben aufgezeigt wurde ist Informationssicherheit für alle Bereiche ein muss oder notwendig für die Gewährleistung der Arbeit, wie durch gesetzliche Anforderungen vorgegeben. Informationssicherheit ist ein wichtiger Bestandteil, von ITIL und Servicequalität, der berücksichtigt werden muss.44 Nur so kann gewährleistet werden, dass die IT Services sichergestellt sind. Durch diese Sicherstellung des IT Betriebs ist Informationssicherheit für die Qualität notwendig. Gleichzeitig aber auch für ITIL erforderlich, da sonst keine Sicherstellung der Prozesse nötig wäre, dies aber durch oben erwähnte Normen, die sich ITIL bedient, gefordert wird. Um eine Aussage bezüglich der Wirksamkeit von Informationssicherheit und dessen abgeleiteten Maßnahmen machen zu können sind Messgrößen wichtig. Hierdurch wird die Verzahnung mit ITIL verdeutlicht, denn durch die Standardisierung werden Anhaltspunkte für Messgrößen ersichtlich und durch die einheitliche Umsetzung im Unternehmen auch 44 Vgl. Höfling (2005), S. 2