Bereits jedes dritte Unternehmen hat Erfahrungen im Bereich der Information Technology Infrastructure Library (ITIL, ![[externer Link]](../../../../images/link.gif)
www.itil.org.uk) gesammelt [1]. Die Vorteile von ITIL, die zum internationalen Erfolg geführt haben, liegen auf der Hand: Der plattform- und branchenunabhängige Ansatz von ITIL passt sich an jede IT-Organisation an und ist durch die Schirmherrschaft des britischen Office of Government Commerce (OGC) ohne proprietären Hintergrund. ITIL ist organisationsneutral und skalierbar, das heißt in Organisationen verschiedener Branchen und Größe einsetzbar.
ITIL ist ein De-facto-Standard mit Methoden und Prozessen, die langjährige und etablierte Erfahrungen im Service-Management bei den besten Dienstleistungsunternehmen dokumentieren. Auch dem Good-Practise-Ansatz wird die entsprechende Daseinsberechtigung zugesprochen, um durch punktuelle Maßnahmen den Unternehmenserfolg in Teilgebieten wesentlich zu verbessern, ohne die Organisation komplett umzustrukturieren oder das Budget gegenüber einer vollständigen Umsetzung der Best-Practises voll auszureizen [2].
Der in ITIL beschriebene Servicelebenszyklus ist ein Ansatz für das IT-Service-Management, der die Bedeutung der Koordination und Steuerung für die verschiedenen Funktionen, Prozesse und Systeme betont, die zum Management des gesamten Lebenszyklus von IT-Services notwendig sind. Dieses Modell berücksichtigt die Strategie, das Design, die Service-Überführung, den operativen Betrieb sowie die nachhaltige Verbesserung für IT-Services [3]. In ITIL Version 3 wird auf diese Weise das IT-Service-Management in seine "natürlichere" Umgebung eingebettet, die sich am Lebenszyklus von Services orientiert.
Im Jahr 2004 beginnt das britische OGC ( www.ogc.gov.uk) den zweiten großen Wurf und die Aktualisierung des ITIL-Rahmenwerks auf die Version drei (ITIL V3). Die Vorgängerversion (V2) besteht aus neun Büchern und Ergänzungsliteratur wie zum Beispiel "ITIL-Security-Management". Die Initiative zollt dem rasanten Wandel in der Informationstechnik und den massiven Anforderungen an IT-Dienstleistungen Tribut: Neue Architekturen, Virtualisierung und Outsourcing rücken immer mehr in den Fokus und werden auf die Bedürfnisse des Service-Managements abgestimmt, eingeordnet und betrachtet [2].
Die überarbeitete ITIL-Reihe ist nun in drei Hauptbereiche aufgeteilt: in den Kern-Leitfaden (Core-Guidance), der den Servicelebenszyklus in sechs Publikationen beschreibt, einen weiteren dynamischen Leitfaden (Complementary-Guidance), welcher auf dem zuerst genannten aufbaut und ergänzende Beispiele für verschiedene Branchen, technische Infrastrukturen und so weiter liefert und in den letzten Bereich, die ITIL-Web-Support-Services, die das Thema mit interaktiven Inhalten, weiteren Mustervorlagen und Fallstudien sowie Foren abrunden [5].
Der ITIL-Kern-Leitfaden beschreibt in insgesamt sechs Büchern weitestgehend einheitlich die Phasen des Servicelebenszyklus: Die Grundlagen beschreiben für jede einzelne Publikation die Relevanz für einen bestimmten Anwendungsfall und die Notwendigkeit der Sichtweise des Service-Managements im Lebenszyklus-Modell. Die Prinzipien umranden die Richtlinien und rechtlichen Anforderungen, um die strategischen Ziele zu erreichen. Danach werden die Prozesse und Methoden für den konsistenten, messbaren und reproduzierbaren Einsatz im Kontext des Modells beschrieben. Die Organisation und die Rollendefinitionen werden für die spezifischen Phasen benannt, Verantwortlichkeiten geklärt und auf die Organisationen skaliert.
Für die technische Automatisierung werden Anforderungen formuliert, um die richtigen Tools für das Service-Management einzusetzen. Der Umsetzungsplan grenzt nun die Organisationen, die bereits ITIL einsetzen und auf ITIL V3 umsteigen möchten, zu denen ab, die sich neu mit dem Thema auseinandersetzen. Eine Reihe von Handlungsvorschlägen für jede Phase im Servicelebenszyklus rundet den Umsetzungsplan ab. Da in jeder Organisation gewisse Hürden bei der Umsetzung des Servicelebenszyklus zu erwarten sind, gibt ein weiteres Kapitel Handlungsempfehlungen und Übersichten, mit welchen Herausforderungen zu rechnen ist, welche Risiken im Projektverlauf auftreten können und welche kritischen Erfolgsfaktoren zum Gelingen beitragen.
In der Ergänzungsbetrachtung werden Methoden und Praxisbezüge zu weiteren Rahmenwerken, die sich nahe an dem ITIL-Ansatz orientieren, aufgenommen und die Integration in das Modell beschrieben. Die Abrundung der Einzelwerke bildet ein Kapitel mit Beispielen und Mustervorlagen für die zielorientierte Adaption auf die eigene Organisation und den eigenen Servicelebenszyklus.
Die sechs Einzelbücher umfassen als Erstes die Einführung zum ITIL-Servicelebenszyklus, welche die Grundzüge des neuen ITIL-Ansatzes, die Abgrenzung zu den Vorgängerversionen sowie die Neuerungen übersichtlich darstellt. Das Buch "Service-Strategie" (Service-Strategy), stellt die strategischen Elemente innerhalb des Models vor, das Buch "Service-Design" beschreibt das Vorbereiten und Ändern der Dienstleistungen. Die Überführung der beschriebenen Services in den produktiven Betrieb (Service-Operation) wird in "Service-Überführung" (Service-Transition) beschrieben. Der gesamte Servicelebenszyklus wird dabei übergreifend ständigen und nachhaltigen Service-Verbesserungen (Continual-Service-Improvement) unterworfen.
![[Illustration]](07-6-055-1.jpg)
Abbildung 1: Einordnung des Information-Security-Managements (ISM) in ITIL Version 3
In Abbildung 1 wird der übergreifende Einfluss des Information-Security-Managements innerhalb des Servicelebenszyklus deutlich: Die schematische Darstellung der einschlägigen Elemente zeigt die Aktivitäten im Servicelebenszyklus je nach Phase auf.
Die Verzahnung des Information-Security-Managements (ISM) mit den Phasen des Servicelebenszyklus wird anhand der Schnittstellen zu oder von den anderen ITIL-Prozessen deutlich: Schnittstellen zum Incident- und Problem-Management ergeben sich bei der Aufklärung und Lösung von Sicherheitsvorfällen beziehungsweise bei der Klassifizierung von sicherheitsrelevanten Vorfällen und Problemen durch den Service-Desk sowie durch das Service-Betriebs-Team. Das Service-Continuity-Management (ITSCM) enthält das umfassende Notfallvorsorge-Konzept, welches zum Beispiel auf der Business-Impact-Analyse, der Risiko-Einschätzung, Fail-Over-Strategien und den Wiederherstellungsmaßnahmen beruht.
Im Rahmen des Service-Level-Managements werden durch das ISM Verantwortlichkeiten und Anforderungen an Service-Level-Agreements (SLAs) formuliert und die Untersuchung und Aufklärung von Sicherheitsvorfällen vorangetrieben. Das ISM unterstützt den Change-Management-Prozess bei der Beurteilung des Schutzbedarfs einer Änderung (Change) und den anzunehmenden Auswirkungen in Bezug auf Sicherheit. Weiterhin können Informationen über nicht berechtigte beziehungsweise unbefugte Änderungen dem Change-Management zur Verfügung gestellt werden. Das Konfigurations-Management stellt die zugehörigen Informationen zu den betrachteten IT-Elementen dar und erleichtert so die Klassifizierung von Schutzbedarfen innerhalb des ISM. Neben dem Verfügbarkeits-Management bietet ISM auch dem Notfallvorsorge-Management (ITSCM) einen Rahmen, indem es ein integriertes Risiko-Management und die dazugehörigen Analysen bereit stellt.
Das Kapazitäts-Management ist angehalten, die Anforderungen des ISM zu erfüllen beziehungsweise abzustimmen, wenn neue Technologie eingesetzt werden soll. Das Finanz-Management sorgt für die Zuteilung der Mittel bei der Umsetzung der Sicherheitsmaßnahmen. Das Lieferanten-Management sorgt für die Einbeziehung der Dienstleistungen, auf die von Lieferanten zugegriffen wird, deren Vereinbarungen und Verträge sowie der Regelung der Verantwortlichkeiten des Lieferanten [4].
Die Sicherheit ist nach ITIL eine Management-Funktion innerhalb der Organisation, welche die Grundwerte Verfügbarkeit, Integrität und Vertraulichkeit sicherstellen muss und somit die strategischen Ziele (z. B. Schutz der Unternehmensdaten) erreichen muss. ISM versteht sich als Verbindungsstück zwischen IT-Sicherheit und Sicherheit für die Unternehmung als Ganzes, um in allen Service-Prozessen und Management-Prozessen einbezogen zu werden.
Dabei ist das ISM angehalten, den Fokus auf alle IT-Sicherheits-Aspekte zu richten und die IT-Sicherheitsmaßnahmen zu koordinieren. Das ISM nimmt für sich in Anspruch, die gesamte IT- und Unternehmensumgebung zu verstehen, indem beispielsweise rechtliche Anforderungen, Risiken, aktuelle und zukünftige Business-Pläne berücksichtigt und der Einklang mit den angebotenen Services und den vereinbarten SLAs erreicht werden. Gegebene und zukünftige Sicherheitsmaßnahmen sollen kosteneffizient umgesetzt werden.
Das Management ist angehalten, diese Sicherheits-Ziele ebenso effektiv und umfänglich zu erreichen: Der Einzug des Information-Security-Management-Systems (ISMS) muss an dieser Stelle vorbereitet und umgesetzt werden, um den Entwicklungsvorgang kontinuierlich und nachhaltig auf die Geschäftsziele auszurichten. In dem ISMS sind die Standards, die Management-Regeln und Richtlinien implementiert, die eine geforderte Sicherheitsleitlinie (Information-Security-Policy) unterstützen.
Die Sicherheitsleitlinie wird als Bekenntnis der Unternehmensleitung zum Thema Sicherheit verabschiedet und enthält zum Beispiel Nutzungsrichtlinien für IT-Anwendungen und IT-Geräte sowie Zugriffsregelungen. Darüber hinaus erfasst die Sicherheitsleitlinie im ISM die Richtlinien zum Zugriff externer Lieferanten auf Informationen und Komponenten. Verweise auf die Sicherheitsleitlinie sollen in allen Verträgen und Vereinbarungen, zum Beispiel SLAs, einbezogen werden. Die Ausrichtung des ISMS ist anhand des ISO/IEC-Standards 27001:2005 gewählt [6].
Das ISM fordert eine effektive Sicherheitsorganisation, die am Beispiel der Rollenbeschreibung des Sicherheitsbeauftragten die organisatorische Verflechtung des ISM in den ITIL-Lebenszyklus und die Schnittstellen verdeutlicht: Der Sicherheitsbeauftragte fungiert hier als Bindeglied zwischen den Prozessen.
Die Rolle des Sicherheitsbeauftragten (Security-Manager) wird als verantwortliche Stelle für die Ziele des ISM definiert. Die Zielerreichung wird durch folgende Aktivitäten sichergestellt: Die Sicherheitsleitlinie (Information-Security-Policy) und die mitgeltenden spezifischen Richtlinien werden durch den Sicherheitsbeauftragten entwickelt und formuliert und zur Entscheidung und letztendlichen Verabschiedung dem Management vorgelegt. Die Sicherheitsleitlinie wird allen Beteiligten – zum Beispiel Mitarbeitern, Vertragspartnern und Gästen – zur Verfügung gestellt und veröffentlicht.
Die Identifizierung der IT- und Vermögenswerte sowie die Beurteilung des Schutzbedarfs werden federführend durch den Sicherheitsbeauftragten vorgenommen. Er unterstützt die Geschäfts- oder Behördenleitung bei der Business-Impact-Analyse (BIA) und führt die Sicherheits-Risiko-Analyse vor dem Hintergrund des Risiko-Managements, Verfügbarkeits-Managements und Notfallvorsorge-Managements durch. Durch eigenständig entwickelte Sicherheitskontrollen überwacht und dokumentiert der Sicherheitsbeauftragte Sicherheitsvorfälle. Er ist verantwortlich für die Umsetzung adäquater Maßnahmen für das zukünftige Unterbinden von Sicherheitsvorfällen sowie für die Prävention in Bezug auf eventuell angreifbare Schwachstellen.
Im Zusammenhang mit Problem-Management wird weiterhin die Anzahl und die Auswirkung von Sicherheitsvorfällen reduziert, zum Beispiel durch die Initiierung von Sensibilisierungs- und Schulungsmaßnahmen der Beteiligten. In Zusammenarbeit mit dem Change-Management sorgt der Sicherheitsbeauftragte für die Klassifizierung von Änderungen (Changes) im Sinne des Schutzbedarfes und somit für die Auswirkung einer Änderung auf den Betrieb sowie die Einhaltung der Sicherheitsleitlinie und die Sicherheitskontrollen.
Neben der Durchführung von Sicherheits-Tests sorgt der Sicherheitsbeauftragte für die Einhaltung der vereinbarten SLAs mit den Vertragspartnern bezogen auf die Grundwerte Verfügbarkeit, Integrität und Vertraulichkeit. Der Sicherheitsbeauftragte ist verantwortlich für die Einbeziehung jeder angebotenen Dienstleistung von Kunden und Lieferanten in schriftliche Verträge oder Vereinbarungen und ist der Ansprechpartner in allen Sicherheitsfragen [4].
Die Aktivitäten, die im Rahmen des ISM notwendig sind und eingehalten werden müssen, überdauern den gesamten Servicelebenszyklus und schließen alle Phasen mit ein. Dokumentiert werden Inhalte bezüglich der IT-Sicherheit an den relevanten Stellen im ITIL-Rahmenwerk; dabei dringt die Beschreibung des ISM in der Publikation "Service-Design" [4] am tiefsten in die Materie und somit die Integration in Standards wie ISO/IEC 27001:2005 vor. Eine tiefer gehende Auseinandersetzung mit dem Thema IT-Sicherheit erfolgt darüber hinaus jedoch nicht und somit bleiben die Verweise auf die Standards sowie ein kurzer Rundumblick alles zum Thema IT-Sicherheit.
ISM hat an dieser Stelle jedoch ein wichtiges Ziel erreicht: Die wichtigsten Schnittstellen und die Umgebung rund um die IT-Sicherheit werden durch ITIL definiert und können so die Bezüge auf viele andere Prozesse transparent machen. Als fester Bestandteil des Service-Designs ist ISM ein wichtiger Prozess bei der Anpassung und Etablierung neuer Anwendungen und Dienstleistungen geworden.
www.materna.com/DE/Presse/de/BUI/2007/MATERNA_20ver_C3_B6ffentlicht_20IT-Service-Management_20Executive-Studie_202007.html www.best-management-practice.com/gempdf/ITILV3_Glossary_German_v3.1.24.pdf www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=42103
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#6, Seite 55
tag:kes.info,2007:art:2007-6-055
| 