das T-Systems Rechenzentrum.

das T-Systems Rechenzentrum. T-Systems Austria GmbH Version 1.0 Stand 15.12.2010 Status Freigegeben

Allgemeine Informationen für Kunde Musterstrasse 1 A 1111 Wien Österreich Vorgelegt von Ihr Ansprechpartner: Telefon: E-Mail: T-Systems Austria GesmbH Rennweg 97-99 1030 Wien Austria Max Mustermann Position +43 (676) 8642 xxx Max.mustermann@t-systems.at T-Systems, Stand 15.07.2010 2

Inhaltsverzeichnis 1 DataCenter... 5 1.1 Standort T-Center (Haupt-Rechenzentrum)...5 1.1.1 Data Center @ T-Center...6 1.1.2 Security...8 1.1.3 Fire-Protection...8 1.1.4 Power Management...9 1.1.5 Klimaanlage... 10 1.1.6 Green IT... 10 1.2 Standort On Demand Center (Ausfall-Rechenzentrum):... 11 1.2.1 Data Center @ ODC... 12 1.2.2 Security... 12 1.2.3 Fire-Protection... 13 1.2.4 Power Management... 13 1.2.5 Klimaanlage... 13 1.3 Verbindung zwischen den Rechenzentren... 14 2 Qualitätssicherung und Informationssicherheit... 15 2.1 Qualitätsmanagement bei T-Systems... 15 2.2 Methoden und Werkzeuge des Qualitätsmanagements... 16 2.2.1 Kontinuierlicher Verbesserungsprozess... 16 2.2.2 Prozessverbesserung durch Process Improvement Teams... 16 2.2.3 CMMI... 17 2.2.4 Six-Sigma... 17 2.2.5 Zentrale Maßnahmenverfolgung... 17 2.2.6 Audits... 17 2.3 Zertifizierungen... 18 2.3.1 Qualitätsmanagement nach ISO 9001... 18 2.3.2 Information Security Management System nach ISO 27001... 19 2.3.3 ISO 20000... 20 2.3.4 SOX Konformität nach SAS70 II... 21 2.3.5 ITIL... 22 T-Systems, Stand 15.07.2010 3

2.3.6 Fotoserie Rechenzentrum T-Systems T-Center... 23 2.3.7 Fotoserie Rechenzentrum T-Systems ODC... 26 Abbildungsverzeichnis Abbildung 1: Lageplan vom T-Center...6 Abbildung 2: Rechenzentrum T-Center 2. und 4. Kellergeschoss...7 Abbildung 3: Argon Gaslöschanlage...8 Abbildung 4: Dieselaggregat im T-Center...9 Abbildung 5: Kälteanlage 10 Abbildung 6: Luftbild Ausfall-Rrechenzentrum ODC... 11 Abbildung 7: Rechenzelle T-Systems im Ausfall-Rechenzentrum... 12 Abbildung 8: LAN/SAN-Verbund der Twin Core Rechenzentren... 14 Abbildung 9: Die Zertifizierungen von T-Systems im Überblick... 18 Abbildung 10: ITIL Prozessübersicht nach ISO 20000... 20 Abbildung 11: T-Center WIEN... 23 Abbildung 12: Batterieraum 1... 23 Abbildung 13: Redundante UPS Steuerung... 24 Abbildung 14: Redundante Kühlsysteme... 24 Abbildung 15: RZ-Raum 25 Abbildung 16: RZ-Raum 25 Abbildung 17: Rechenzentrum 2 (ODC)... 26 Abbildung 18: Eingangsbereich ODC (RZ 2)... 26 Abbildung 19: Dieselaggregat im ODC (RZ 2)... 27 Abbildung 20: RZ-Raum ODC (RZ 2)... 27 Abbildung 21: Löschanlage ODC (RZ 2)... 28 Abbildung 22: Stromeinspeisung ODC (RZ 2)... 28 T-Systems, Stand 15.07.2010 4

1 DataCenter T-Systems betreibt in Wien zwei Rechenzentrumsstandorte mit einer geografischen Distanz von rund 10km, wodurch Desaster tolerante Betriebskonzepte ermöglicht werden. Die Entfernung der beiden Standorte ist einerseits groß genug um höchsten Schutz gegen Elementarereignisse und terroristische Anschläge zu bieten, gleichzeitig liegen die Standorte aber auch nahe genug zueinander, um synchrone Datenspiegelungen und Clusterkonfigurationen zu ermöglichen. Beide Standorte übererfüllen die Tier3 Spezifikation des Uptime Institutes und sind nach ISO 9001: 2000, ISO 20000, ISO IEC 27001 und nach SAS70 II zertifiziert. T-Systems nennt einen solchen Rechenzentrumsverbund einen Twin Core Standort. An beiden Standorten wurden Vorbereitungen getroffen, um den Betrieb der gesamten Systemlandschaft auch im Katastrophenfall sicherstellen zu können. Beide Standorte verfügen außerdem über ein komplett ausgerüstetes Lagezentrum. 1.1 Standort T-Center (Haupt-Rechenzentrum) Der Rechenzentrumsstandort T-Center befindet sich in unmittelbarer Nachbarschaft zur Media Quarter Marx, einem Wiener Stadtentwicklungsgebiet auf der Fläche der ehemaligen Schlachthofgründe in Sankt Marx. Seit August 2004 ist das T-Center der Unternehmenssitz der T-Systems. Das vom Planungsteam Architektur Consult ZT GmbH und dessen Architekten Günther Domenig, Hermann Eisenköck und Herfried Peyker entworfene Gebäude umfasst eine Bruttogeschossfläche von rund 134.000m². Neben T-Systems ist auch das Schwester-Unternehmen T-Mobile als größter Mieter im T-Center untergebracht. Die auffallende Architektur des T-Centers erregt nicht nur in Österreich Aufsehen, sondern findet auch international Beachtung. Das T-Center hat bereits einige Rekorde aufgestellt: Größtes privates Bauvorhaben Österreichs. Rekordbauzeit von 26 Monaten. Während der Bauzeit waren ständig 1.200 Menschen auf der Baustelle beschäftigt. T-Systems, Stand 15.07.2010 5

Abbildung 1: Lageplan vom T-Center Weitere Zahlen & Fakten des T-Centers: Grundfläche ca. 21.000m². 5 Keller- und 10 Obergeschosse. Bürofläche ca. 97.000m². Länge: 200m, Breite: 125m, Höhe: 60m. Parkplätze für rund 850 Autos. 1.1.1 Data Center @ T-Center Im Hauptrechenzentrum T-Center verteilen sich 16 Rechenzentrumszellen symmetrisch auf zwei baulich getrennte Fundamentplatten. Diese statische Entkoppelung in zwei getrennte Gebäudeteile stellt selbst beim Einsturz einer Gebäudehälfte die weitere Nutzbarkeit des Standortes sicher. Darüber hinaus bleiben die Rechenzentrumszellen selbst im eingestürzten Gebäudeteil nach dem sogenannten Schüttkegelprinzip statisch intakt und über Tunnelzugänge weiterhin erreich- und begehbar. Im Rechenzentrum stehen folgende Flächen zur Verfügung 2.913 m² Serverraumfläche. 6.000 m² Infrastrukturfläche (für NEA, Klima, Kaltwasser, USV und Batterien, etc.). T-Systems, Stand 15.07.2010 6

Die 16 Zellen erstrecken sich über 2 Etagen. Acht Zellen befinden sich im 2. Untergeschoss, 8 weitere Zellen im 4. Untergeschoss rund 35m unter Straßenniveau. Derzeit sind 14 Zellen nutzbar und 2 Zellen für künftige Erweiterung vorbereitet. Für die Erweiterungsflächen sind alle baulichen Voraussetzungen einschließlich Verkabelung und Verrohrung der Infrastruktur vorhanden, es fehlen lediglich die Gewerke (wie z.b. Doppelboden, Umluftkühler, etc.). Abbildung 2: Rechenzentrum T-Center 2. und 4. Kellergeschoss Das DataCenter verfügt außerdem über wettergeschützte Anlieferungsmöglichkeit für LKWs im Untergeschoss. Über die Zufahrt auf der Seite des Rennwegs gibt es einen Lastenaufzug für Lieferungen in die Räumlichkeiten des 2. Untergeschoss. T-Systems, Stand 15.07.2010 7

1.1.2 Security Im Bereich der Sicherheit wurden im Data-Center die folgenden Maßnahmen ergriffen: Elektromagnetisches Zutritts-System (Magnetkarte + PINCODE, Vereinzelungsanlage) Kameraüberwachung mit digitaler Aufzeichnung mit ca. 400 Kameras. 7 x 24 Stunden Überwachung der Rechenzentrumsflächen in Gebäudeleittechnik integriert 7 x 24 Stunden Sicherheitsdienst durch 4 Personen vor Ort. Gesichertes Kommunikations-System über optisches und wireless Netzwerk. 1.1.3 Fire-Protection Zum Schutz gegen mögliche Brände verfügt das Rechenzentrum über eine hochmoderne Argon- Gaslöschanlage welche brandfallgesteuert (automatisch) in Betrieb geht und durch die Sicherheit weiter erhöht. Abbildung 3: Argon Gaslöschanlage weitere Brandschutzmaßnahmen im Rechenzentrum des T-Centers: RAS Anlagen (Brandfrüherkennung). 2 separate Rauchmeldeleitungen für jede Alarm Zone. Direkte Alarm-Anbindung zur Feuerwehr. T-Systems, Stand 15.07.2010 8

1.1.4 Power Management Der reibungslose Betrieb eines Unternehmens ist heute von einer funktionierenden IT abhängig. Netzstörungen der verschiedensten Art verursachen Unterbrechungen, die zu erhebliche Kosten und Schäden von Unternehmen führen können. Daher wurden im Bereich des Power-Managements folgende Anlagen integriert: USV-Anlagen mit Batterieanlagen für 45 Minuten Überbrückungszeit bei Volllast. Redundante USV-Anlage für jeden DataCenter-Block. 8 Serverräume pro DataCenter Block. 2 Produktive / 1 Backup USV Anlage pro Block (6x 625 kva). Abbildung 4: Dieselaggregat im T-Center 4 Dieselaggregate, davon 3 ausschließlich für das Rechenzentrum. 43.000 Liter Dieselkraftstoff in Tanks vor Ort. Automatischer Start bei Stromausfall. Nach 90 Sekunden 100% der Kapazität verfügbar. getrennte EVU Einspeisungen (2 x 10 kv Leitungen / 4000 KW) mit LoadSharing und Automatic Failover. 14 redundant ausgelegte Transformatoren (10 kv) nach dem n+n+1 Prinzip (1 Transformator im Cold-Standby ). 1,8 MW (redundant) im RZ verfügbar. Stromschienen System, Rack-Zuführung redundant ausgelegt. T-Systems, Stand 15.07.2010 9

1.1.5 Klimaanlage Die Kälteversorgung ist hocheffizient ausgelegt. Die Klimatisierung arbeitet mit einer Leistungszahl von ca. 6. Das bedeutet dass mit einem Leistungsinput von 1 Kilo Watt rund 6 Kilowatt Kühlleistung bereitgestellt werden können. Abbildung 5: Kälteanlage 3 Kälteanlagen mit je 2.500kW redundant ausgelegt. 2 getrennte Kühlkreisläufe zu den Umluft-Kühlern plus 1 Backup-Kühlkreislauf 1.1.6 Green IT Das T-Center Rechenzentrum weist höchste technische Standards in sämtlichen Bereichen auf. Großes Augenmerk legt T-Systems zudem auf das zentrale Thema Ressourcenschonung und Umweltschutz. Eine optimierte Energie- und Kälteversorgung und energieeffiziente Hardware halten den CO2-Ausstoß auf einem niedrigen Niveau. Mit dem so genannten Power Usage Effectiveness Quotienten (PUE) von 1,5 zählt das T-Center Rechenzentrum zu den weltweit effizientesten seiner Art. Durchschnittliche Rechenzentren weisen hier einen PUE- Wert von 2,5 auf. Diese branchenübliche Kennzahl beschreibt die Effizienz des Energieeinsatzes und der - bereitstellung. Von 1.500 Leistungseinheiten Energie werden 1.000 Einheiten für den Betrieb der Infrastruktur verwendet, nur 500 Einheiten durch Kühlung, Beleuchtung, Streuverluste und andere Faktoren aufgebraucht. T-Systems, Stand 15.07.2010 10

Neben der bereits erwähnten, hocheffizient ausgelegten Energie und Kälteversorgung setzt T-Systems auch verstärkt auf Virtualisierungstechniken. Bei einem großen Teil der betriebenen Server handelt es sich um so genannte virtuelle Server, die auf gemeinsam genutzten Hardwareplattformen laufen wodurch die bestehende Hardware optimal ausgelastet wird. Auch bei der Beschaffung von neuer Hardware achtet T- Systems besonders auf Effizienz- und Emmissions-Werte. T-Systems hat sich generell auf nationaler und internationaler Ebene zu einer nachhaltigen Entwicklung verpflichtet. Dieses Engagement wurde durch die Verleihung des Green IT Awards 2008 durch die IDC sowie durch den Umweltpreis der Stadt Wien 2009 bestätigt. 1.2 Standort On Demand Center (Ausfall-Rechenzentrum): Der Standort des Ausfall-Rechenzentrums ist das Gebäude der ODC On Demand Center IT Dienstleistungen GmbH in 1210 Wien, Richard-Neutra-Gasse 10. Abbildung 6: Luftbild Ausfall-Rrechenzentrum ODC T-Systems betreibt in dieser Niederlassung als Backup Standort eine Fläche von 300 m² welche noch erweiterungsfähig ist. Die Luftlinie zum Hauptrechenzentrum beträgt rund 10km wodurch ein erhöhter Schutz gegen Elementarereignisse und terroristische Anschläge besteht. T-Systems, Stand 15.07.2010 11

1.2.1 Data Center @ ODC Die Fläche des Ausfall-Rechenzentrums beträgt ca. 3000m² reine Serverraumfläche. Derzeit werden von T- Systems knapp 300m² genutzt. Aufgrund der bis dato gering genutzten Gesamtfläche ist eine Erweiterung problemlos möglich (1000m² wurden vorab für T-Systems reserviert). Sämtliche Infrastruktur Systeme für das Ausfall-Rechenzentrum befinden sich in einem eigenen Brandabschnitt und belegen eine Gesamtfläche von ca. 1500m² Abbildung 7: Rechenzelle T-Systems im Ausfall-Rechenzentrum 1.2.2 Security Im Bereich der Sicherheit wurden im Data-Center die folgenden Maßnahmen ergriffen: Elektromagnetisches Zutritts-System (Magnetkarte + PINCODE, Vereinzelungsanlage) Automatisches Videoüberwachungssystem. Komplette Kameraüberwachung in den Außenbereichen und partielle Kameraüberwachung innerhalb des Gebäudes. 7 x 24 Stunden Überwachung der Rechenzentrumsflächen in Gebäudeleittechnik integriert 7 x 24 Stunden Sicherheitsdienst vor Ort. T-Systems, Stand 15.07.2010 12

1.2.3 Fire-Protection Als Brandschutzmaßnahmen im Ausfall-Rechenzentrum können folgende Anlagen genannt werden: 2 separate Rauchmeldeleitungen für jede Alarm Zone. RAS Anlagen (Brandfrüherkennung). Automatische Gaslöschanlage (INERGEN). Direkte Alarm-Anbindung zur Feuerwehr. 1.2.4 Power Management Die Energieversorgung ist auch im ODC DataCenter gegen jegliche Unterbrechung gesichert. Hier können folgende Anlagen aufgezählt werden: Redundante Dieselaggregate. 100.000 Liter Dieselkraftstoff in Tanks vor Ort. 2 x 2000 kva Automatischer Start bei Stromausfall. Nach 90 Sekunden 100% der Kapazität verfügbar. USV-Anlagen mit Batterieanlagen für 20 Minuten Überbrückungszeit bei Volllast. Redundante USV-Anlage. 2 Produktive / 1 Backup USV Anlage pro Block. Redundante EVU Einspeisungen (10 kv Leitungen / 4000 KW). 2 redundant ausgelegte Transformatoren nach dem n+1 Prinzip mit je 4MW. 1.2.5 Klimaanlage Die Kälteversorgung kann durch folgende Daten charakterisiert werden: 2 x 3 Kälteanlagen mit je 640kW. 2 getrennte Kühlkreisläufe zu den Umluft-Kühlern. T-Systems, Stand 15.07.2010 13

1.3 Verbindung zwischen den Rechenzentren Die Verbindung der beiden Standorte T-Center sowie ODC erfolgt mittels Single Mode Fasern (Dark Fibre) und ist wegredundant ausgeführt. Die gebäudeseitige Einspeisung erfolgt von 2 unterschiedlichen Punkten. Die Donauquerung erfolgt sowohl über die Reichsbrücke als auch über die Floridsdorfer Brücke. Im Bereich des SAN Storage wird ein Verbund über eine 4GBit Anbindung mit dem T-Center betrieben. Das Netzwerk kann transparent mit 10GBit durchgeschaltet werden wodurch ein Betrieb von synchronen Clustern sichergestellt werden kann. Durch die Kopplung dieser beiden Rechenzentren entsteht der sogenannte Twin Core - Rechenzentrumsverbund. Core Switch A 2UG SAN Director 1 RZ T-Center Weg über Reichsbrücke RZ ODC SAN Director 1 Core Switch B 2UG ÜG-IT 4.UG Distribution Switch 1 Core Switch B 4UG ÜG-IT 2.UG Distribution Switch 2 Core Switch A 4UG SAN Director 2 Weg über Floridsdorferbrücke SAN Director 2 Abbildung 8: LAN/SAN-Verbund der Twin Core Rechenzentren T-Systems, Stand 15.07.2010 14

2 Qualitätssicherung und Informationssicherheit 2.1 Qualitätsmanagement bei T-Systems Qualitätsmanagement steht für die Konzeption und Durchführung von Maßnahmen, die als Ziele die Verbesserung von Arbeitsabläufen sowie die Erhaltung und Entwicklung der Qualität von Produkten und Dienstleistungen haben. Grundsätzlich verfolgt das Qualitätsmanagement bei T-Systems fünf Hauptziele: Die Kundenperspektive wird in Qualitätsziele für T-Systems übersetzt (Kundenzentrierung). Qualität wird proaktiv gewährleistet, indem durchgängig Qualitätsziele in die Planungs- und Implementierungsphasen (Plan und Build) eingebaut werden. Qualität wird reaktiv gewährleistet, indem die Kundenlösung ständig auf übergreifende oder spezifische Qualitätsdefizite überwacht und auf Abweichungen reagiert wird (Qualität in der Run Phase). Es wird ein Überblick über die aktuelle Qualitätssituation und die Leistungsqualität der leistungserbringenden Einheiten aus Sicht des Kunden geschaffen. Die Qualitätsstandards werden über alle leistungserbringenden Einheiten harmonisiert. Um diese Ziele zu erreichen, hat T-Systems die ständige Verbesserung der Servicequalität auf mehrere Pfeiler gestellt: Integriertes Managementsystem: Dieses fördert und entwickelt kunden- und qualitätsorientiertes Handeln. Dadurch ist gewährleistet, dass alle bestehenden und zukünftigen Normanforderungen in ein einheitliches Managementsystem integriert werden und die vorhandenen Synergien zwischen den bestehenden Normen, Standards und Systemen optimal genutzt werden. Kundenorientierung: Der Kunde entscheidet, was Qualität ist. Best Practices und Excellence-Modelle dienen als Richtschnur für Kundenorientierung. Die externe Schnittstelle zum Kunden ist das Service Management (bei T-Systems getragen vom Customer Business Manager und Service Delivery Manager). Über das Service Management werden die Kundenanforderungen in die Prozesse und das Qualitätsmanagement eingebracht, sowie die notwendigen Informationen (Reporting, Berichte, Vorlagen, Konzepte usw.) dem Kunden übergeben und diskutiert. T-Systems, Stand 15.07.2010 15

Corporate Process Management: Exzellentes Prozessmanagement ist ein entscheidender Hebel zur Steigerung der Kundenzufriedenheit. T-Systems ist international aufgestellt. Prozesse und Methoden werden zentral definiert und global in allen Ländereinheiten eingeführt. Über einheitliche Prozesse und Methoden wird eine fortlaufende Serviceverbesserung gewährleistet. Projektmanagement als Kernkompetenz: Nur mit einem effektiven Projektmanagement lassen sich Kundenanforderungen erwartungsgemäß erfüllen. Einheitliche und bewährte Projektmanagement-Methoden und Standards werden über ein Excellence-Programm (Project in Excellence) ständig weiterentwickelt. Im Rahmen des Project in Excellence Programms werden die Best Practices in Trainings und Zertifizierungskursen an die Mitarbeiter vermittelt. Erfolgreiches Service Management: Dies bedeutet schnell auf Probleme zu reagieren und die Qualität und Wirtschaftlichkeit eines Services laufend zu verbessern. T-Systems hat sein Service Management an ITIL ausgerichtet. Auch für das Service Management gibt es ein konzernweites Excellence-Programm mit standardisierten Trainingseinheiten und Zertifizierungen. 2.2 Methoden und Werkzeuge des Qualitätsmanagements Die Qualitätsziele werden mit den folgenden Methoden und Werkzeugen des Qualitätsmanagements von T-Systems umgesetzt: 2.2.1 Kontinuierlicher Verbesserungsprozess Das Managementsystem von T-Systems basiert auf dem Prinzip des kontinuierlichen Verbesserungsprozesses (KVP). Der kontinuierliche Verbesserungsprozess ist Bestandteil des Process & Quality Management Cycle (PQMC) der T-Systems und in allen Prozessen über die Process Improvement Teams (PIT) implementiert. 2.2.2 Prozessverbesserung durch Process Improvement Teams Process Improvement Teams sind Qualitätszirkel für Prozesse und damit Treiber des kontinuierlichen Verbesserungsprozesses für Prozesse, des Process & Quality Management Cycle (PQMC).Der PQMC ist ein zyklischer Prozess, um Best-in-Class-Prozesse zu schaffen. Er bildet die Grundlage für kontinuierliche und effiziente Prozessverbesserung. Die Priorisierung der Anforderungen an Prozesse, Qualität und IT- Unterstützung erfolgt durch ein Priority Management Team (PMT). T-Systems, Stand 15.07.2010 16

2.2.3 CMMI Um den Marktanforderungen nach höheren Qualitätsansprüchen und dem Ziel der Effizienzsteigerung der Prozesse zu entsprechen, wurde 2007 die CMMI-Methodik bei T-Systems SI eingeführt. Die Bereiche Automotive & Manufacturing sowie Individual Software Systems haben das CMMI Level 3 Appraisal Ende 2008 erfolgreich bestanden. 2.2.4 Six-Sigma Als Standardmethode zur ständigen Verbesserung der Services und Prozesse ist Six-Sigma in T-Systems eingeführt. Six-Sigma gewährleistet die Ausrichtung der Maßnahmen auf die Anforderungen des Kunden, sowie Prozessorientierung, ein faktenbasiertes, strukturiertes Vorgehen und die Messbarkeit der Erfolge (Wirksamkeitsprüfung, Controlling). Der Erfolg der Six-Sigma-Projekte und die aus Six-Sigma-Projekten entwickelten Kennzahlen werden, neben dem Reporting im Programm selbst, im monatlichen Quality Reporting (Quality Cockpit) überwacht und sind Bestandteil der Management Reviews. 2.2.5 Zentrale Maßnahmenverfolgung Um eine unternehmensweite Transparenz über laufende Vorhaben und Entwicklungsprojekte zu schaffen, werden in einem IT-Tool alle relevanten Maßnahmen des Qualitätsmanagements zusammengeführt. 2.2.6 Audits Audits dienen der kontinuierlichen Weiterentwicklung der etablierten Prozesse, Methoden und Verfahren sowie der Unterstützung des kontinuierlichen Verbesserungsprozesses (KVP). Ebenso wird mit ihnen festgestellt, ob die ausgeführten Tätigkeiten die Forderungen der zum Managementsystem gehörenden Elemente der Normen/Standards der DIN EN ISO 9001, ISO 27001, ISO 14001, ISO 20000 bzw. weiteren spezifischen Vorgaben/ Gesetzen erfüllen. Details dazu im folgenden Kapitel. T-Systems, Stand 15.07.2010 17

2.3 Zertifizierungen Beide T-Systems Rechenzentrumsstandorte übererfüllen die Tier3 Spezifikation des Uptime Institutes und werden in regelmäßigen Abständen nach unterschiedlichen Standards zertifiziert. Die Zertifizierungen können auf Wunsch jederzeit in der aktuell gültigen Version vorgelegt werden. Abbildung 9: Die Zertifizierungen von T-Systems im Überblick ISO 9001:2008. ISO IEC 27001. ISO 20000:2007 (IT-Service Management). SAS70 Typ II / SIA. Enhanced IT Security (BSI Bundesamt für Sicherheit in der Informationstechnik). ISO 14001 (Ende 2010). OHSAS 18001 (Ende 2010). 2.3.1 Qualitätsmanagement nach ISO 9001 T-Systems ist seit 1995 ein nach DIN EN ISO9001 zertifiziertes Unternehmen und verfügt daher auf diesem Gebiet über umfassende Erfahrung. Über den allgemeinen ISO-Normenrahmen hinaus gelten für unsere Prozesse zusätzlich die strengen Prozessrichtlinien unseres Eigentümers, der Deutschen Telekom AG. Durch die Verankerung der Qualitätsthemen und fragen in den Managementgremien von T-Systems und durch die Aufstellung spezifischer Qualitätsrollen (Qualitätsmanager, Qualitätsbeauftragter, Prozessverantwortlicher, Auditoren, etc.) wurde eine umfassende Qualitäts-Organisation zur Lenkung und Steuerung unserer Geschäftsprozesse implementiert. Sämtliche Aufträge von T-Systems werden nach den geltenden Prozessrichtlinien abgewickelt und unterliegen durch ein umfassendes internes und externes Audit- und Reviewwesen einem ständigen Überprüfungs- und Verbesserungsprozess. T-Systems, Stand 15.07.2010 18

Durch nationale und internationale Befragungen und Analysen werden laufend die Zufriedenheit und die Anforderungen der Kunden evaluiert und die Prozesse danach ausgerichtet. Durch jährliche Qualitätsziele werden die Prozesse und Strukturen kontinuierlich verbessert und Schwachstellen ausgebessert, und durch umfangreiche Ausbildungsmaßnahmen werden die T-Systems -- Mitarbeiter ständig weiterqualifiziert, um die sich laufend verändernden Forderungen der Kunden auch zukünftig erfüllen zu können. Durch die Prozesse, ein umfangreiches Qualitäts- und Auditorenteam und über die qualifizierten und qualitätsgeschulten Projektleiter und Projektmitarbeiter stellt T-Systems höchste Qualitätsansprüche bei der Erfüllung der Kundenaufträge sicher. In den Kundenaufträgen stellt der Projektmanagement- bzw. Servicemanagement-Prozess die Klammer für die zur Anwendung kommenden Entwicklungs- bzw. Betriebsprozesse dar. Der Human Ressource Management-Prozess sorgt durch kontinuierliche Begleitung für ein qualifiziertes Projektteam. (Zertifikat siehe Beilage). 2.3.2 Information Security Management System nach ISO 27001 Im Gleichklang mit den wachsenden Anforderungen an die Informationstechnik ist auch deren Komplexität und das damit verbundene Risikopotential ständig gewachsen. Die Zertifizierung unseres Informations-Sicherheits-Management-Systems (ISMS) nach ISO 27001 durch eine unabhängige Prüfinstanz stellt für T-Systems und seine Kunden einen Garant für ein angemessenes IT- Sicherheitsniveau dar. Das Information-Security-Management-System deckt dabei die folgenden Bereiche ab: Sicherheitsstrategie: Richtungsvorgabe für und Unterstützung durch die Geschäftsführung bei der Informationssicherheit. Organisation der Sicherheit: Verwaltung von Informationssicherheit innerhalb der Organisation. Einstufung und Kontrolle der Werte: Aufrechterhaltung eines angemessenen Schutzes für organisationseigene Werte. Personelle Sicherheit: Reduzierung der Risiken durch menschlichen Irrtum, Diebstahl, Betrug oder Missbrauch der Einrichtungen. Physische und umgebungsbezogene Sicherheit: Verhinderung von unberechtigtem Zutritt, Beschädigung und Störung der Geschäftsräume und Informationen. Management der Kommunikation und des Betriebs: Gewährleistung des korrekten und sicheren Betriebs von Geräten zur Informationsverarbeitung. T-Systems, Stand 15.07.2010 19

Zugangskontrolle: Gewährleistung des korrekten und sicheren Betriebs von Geräten zur Informationsverarbeitung. Systementwicklung und wartung: Verhinderung von Verlust, Änderung oder Missbrauch von Benutzerdaten in Anwendungssystemen. Management des kontinuierlichen Geschäftsbetriebs: Einleitung von Maßnahmen gegen Unterbrechungen von Geschäftsaktivitäten und Schutz der kritischen Geschäftsprozesse vor den Auswirkungen großer Ausfälle oder Katastrophen. Einhaltung der Verpflichtungen: Vermeidung von Verletzungen jeglicher Gesetze des Straf- oder Zivilrechts, gesetzlicher, behördlicher oder vertraglicher Verpflichtungen und jeglicher Sicherheitsanforderungen. Die Umsetzung des ISMS (Informations-Security-Management-System) deckt auf der Maßnahmenebene das BSI Grundschutzhandbuch ab. Die Stärke der Maßnahmen wird hierbei durch die Anforderung des Kunden über Sicherheitskonzepte und Risikoanalysen bestimmt. Der Mindestsicherheitsstandard des Leistungserbringers wird in jedem Fall gewährleistet. 2.3.3 ISO 20000 T-Systems ist seit 2008 als eines der ersten Unternehmen in Österreich ein nach ISO/IEC 20000 zertifiziertes Unternehmen. Die Zertifizierung dient als messbarer Qualitätsstandard für das IT-Service- Management. Über den allgemeinen ISO-Normenrahmen hinaus gelten für unsere Prozesse zusätzlich die strengen Prozessrichtlinien unseres Eigentümers, der Deutschen Telekom AG. Abbildung 10: ITIL Prozessübersicht nach ISO 20000 ISO 20000 ist ein neuer Standard für Effizienz und Qualität von IT-Dienstleistungen. Der Standard ist auf Prozessbeschreibungen ausgerichtet, wie sie durch die IT Infrastructure Library (ITIL) beschrieben sind und ergänzt diese. Während ISO 20000-1 die Forderungen an ein IT-Service Management formuliert, T-Systems, Stand 15.07.2010 20

beschreibt ITIL an Hand von Best Practices ein systematisches, professionelles Vorgehen für das Management von IT-Dienstleistungen. Durch die Zertifizierung besteht die einzige Möglichkeit, die erfolgreiche Implementierung eines IT- Service-Managements anhand eines internationalen Standards objektiv zu messen und nachzuweisen. T-Systems hat bereits seit 2002 seine Betriebsprozesse gemäß ITIL (IT Infrastructure Library) V2 ausgerichtet, was eine Voraussetzung für die Zertifizierung nach ISO 20000 ist. Mit der ITIL-Methodik lassen sich die IT-Service Prozesse besonders an den Schnittstellen zwischen Kunden und Service-Management optimieren, wodurch die Abläufe eindeutig beschleunigt werden. Alle Service Manager der T-Systems haben die SDM-Ausbildung und die ITIL-Zertifizierung zu absolvieren. T-Systems ergänzt mit der ISO 20000 Zertifizierung konsequent die Prozess- und Serviceorientierung. 2.3.4 SOX Konformität nach SAS70 II 2.3.4.1 Sarbanes-Oxley Act Der Sarbanes-Oxley Act ist ein 2002 verabschiedetes US-Kapitalmarktgesetz, nach dem alle an den USamerikanischen Börsen notierten Unternehmen ihr Internes Kontrollsystem (IKS) überprüfen, dokumentieren und von den Wirtschaftsprüfern testieren lassen müssen. Der Abschnitt 404 des Gesetzes (SOX 404) schreibt vor, dass ein effektives Internes Kontrollsystem (IKS) die Zuverlässigkeit der Finanzberichterstattung dokumentieren und nachweisen muss. Die Umsetzung des Gesetzes ist nicht nur eine Pflicht, sondern hilft, interne Kontrollen stärker in den Fokus zu rücken und unterstützt auf diese Weise das Streben nach Top-Exzellenz. Für T-Systems ist eine nachhaltige, auf größtmögliche Transparenz angelegte Corporate Governance eine wichtige Grundlage für den Erfolg. Vorteile, die sich ergeben, sind die Chance, Verbesserungspotenziale in den Abläufen zu identifizieren und diese damit weiter zu vereinfachen und zu harmonisieren. T-Systems konnte sich somit mit den SOX-konformen IT-Basis-Prozessen positionieren. T-Systems unterstützt seine Kunden in ihren Bemühungen, die Konformität nach dem Sarbanes-Oxley Act herzustellen. Hierfür lässt T-Systems regelmäßig einen Report für die applikationsunspezifischen IT- Controls durch eine unabhängige Wirtschaftsprüfungsgesellschaft erstellen. 2.3.4.2 COBIT Grundlage der IT-Controls für den SAS70 Bericht sind die IT-Control Objectives for Sarbanes-Oxley (CoBIT; ISBN: 1-893209-67-9). Durch die Verwendung des CoBIT Standards für das Kunden Control-Set erleichtert sich der Abgleich mit dem auf CoBIT basierendem SAS70 Control-Set. T-Systems, Stand 15.07.2010 21

2.3.4.3 SAS 70 Type II Der SAS70 Type II Report wird jährlich Ende Oktober erstellt. Das dem SAS70 Type II Report zugrunde liegende Control-Set unterliegt einem Pflegeprozess. Es wird jährlich Ende Januar erstellt und gilt für die darauffolgenden 12 Monate. Den jeweils gültigen SAS70 Type II Report sowie das aktuelle Control-Set werden über das Sicherheitsmanagement zur Verfügung gestellt. Die für den SAS70 Type II Report zugrunde liegenden Kontrollen und Tests beziehen sich ausschließlich auf die IT-Basis-Infrastruktur. Dazu gehören alle Leistungen bis zur Betriebssystem-Ebene in über 30 Datacenter-Standorten, beispielsweise UNIX-System-Betrieb, Windows-System-Betrieb, Storage und Netzwerke. 2.3.5 ITIL Laufend erhält T-Systems zahlreiche Anfragen seiner Kunden, Funktionserweiterungen für Applikationen, neue Software für Arbeitsplätze oder auch Änderungen bestehender Umgebungen zu implementieren. Mitarbeiter aus verschiedenen Bereichen sind hier zur Zusammenarbeit aufgefordert. Das funktioniert nur über klare Verantwortungen und gemeinsam gelebte Prozesse. Die Einführung eines einheitlichen Service Level Management-Prozesses war die Aufgabe des Projektes Cross Service Line Service Management (SEM), welches im Rahmen des Strategieprogramms zur Unterstützung der strategischen Unternehmensziele realisiert wurde. Zu den Kernelementen der Strategie der T-Systems gehören die Bündelung von Services zu kundenorientierten Konvergenzlösungen und die Erhöhung des Cross Selling-Potenzials. Im Projekt wurde sowohl der SLM-Prozess neu definiert als auch die Prozessrollen und das Zusammenspiel zwischen den Service Managern, Account Managern und Delivery-Verantwortlichen beschrieben. Es wurden weiters Operation Level Agreements (OLAs) und eine SEM-Ausbildung unternehmensweit eingeführt. T-Systems orientiert seine IT-Service-Prozesse an den TS-Standards Services in Excellence und gestaltet sie nach ITIL (Information Technology Infrastructure Library), dem heute am weitesten verbreiteten Qualitätsstandard für IT-Service Management. Mit der ITIL-Methodik lassen sich die IT-Service Prozesse besonders an den Schnittstellen zwischen Kunden und Service-Management optimieren, wodurch die Abläufe eindeutig beschleunigt werden. Alle Service Manager der T-Systems haben die SEM-Ausbildung und die ITIL-Zertifizierung zu absolvieren. T-Systems, Stand 15.07.2010 22