CMDB bildet technische Wirkketten ab
Datenbasis für die Risikoeinschätzung
Laut Angaben der Marktforscher von IDC haben die weltweiten IT-Ausgaben 2005 die magische Grenze von einer Billion Dollar erreicht, Tendenz steigend. Ein Viertel dieser Summe entfällt auf Software. Informationstechniken sind wesentliche Treiber der Wirtschaft, daran wird sich nichts ändern. Was sich hingegen ändern muss, ist die Haltung vieler Unternehmen zu IT-Risiken. Ein umfassendes IT-Controlling auf der Basis einer CMDB (Configuration Management Database) hilft bei der Beurteilung IT-relevanter Risiken.
Nur etwa zehn Prozent der Unternehmen betreiben ein aktives Risikomanagement, so die Nifis
(Nationale Initiative für Internet-Sicherheit) unter Bezug auf eine Marktanalyse der IT Advisory
Group. Die wenigsten Organisationen können heute beziffern, welche Kosten der Teil- oder
Totalausfall von IT-Systemen verursachen würde, und dies nach Aspekten wie Produktivitätsverlusten,
Umsatzeinbußen etc. detailliert klassifizieren. Besonders im IT-Risikomanagement herrscht noch eine
reaktive Betrachtungsweise vor, konstatiert ein Papier der Gartner Group vom Februar 2006. Die
Analysten fordern einen Bewusstseinswandel, um IT-Risikomanagement als proaktive Disziplin in den
Unternehmen zu etablieren. Es geht darum, IT sicherer zu machen, Projekte mit Blick auf IT-Risiken
zu priorisieren, drohende Verluste (so genannte "Drohverluste") zu ermitteln und eine realistische
Portfoliobewertung zu erreichen.
Für die operative Umsetzung von IT-Risikomanagement stehen heute verschiedene standardisierte
Vorgehensmodelle zur Verfügung. Zum Beispiel befassen sich das Business Risk Model von Ernst &
Young oder Richtlinien nach BS 7799 beziehungsweise ISO 17799 mit dem allgemeinen Risikomanagement.
Das Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bietet
nicht nur für den öffentlichen Sektor Unterstützung bei der Bearbeitung von Risikofragestellungen
der IT. Nicht zuletzt liefern strategische Planungselemente und Best Practices wie die IT
Infrastructure Library (ITIL) oder die Control Objectives for Information and Related Technology
(Cobit) wichtige Beiträge für ein effektives Management von IT-Risiken. Während Cobit einen
Methodenkatalog für IT-Risiken beinhaltet, konzentriert sich ITIL durch die idealtypische
Beschreibung von Themen wie Configuration-, Service-Level- und Security-Management auf Teilbereiche
des Risikomanagements und unterstützt damit insbesondere die Risikovermeidung.
Es gibt verschiedene Ausprägungen von IT-Risiken, darunter neben den klassischen IT-Risiken
durch Ausfall oder Nichtverfügbarkeit der IT durch Defekte, Sicherheitslecks etc. (Betriebsrisiko,
Operational Risk) auch regulatorische, rechtliche sowie finanzielle Risiken, also Risiken aufgrund
von Kostenfallen und verpassten Chancen. Der Beitrag konzentriert sich im Folgenden auf das
Configuration-Management als Voraussetzung für IT-Risikomanagement.
Daten für das operative IT-Risikomanagement
Zu welchen Anwendungen liegen keine Service-Level-Agreements (SLAs) vor? Welche Anwendungen sind
länger als drei Jahre im Einsatz? Ein System für Risikomanagement muss zu solchen Fragen auf
Knopfdruck Antworten liefern. Es lebt von der Aktualität seiner Daten, die – in verschiedenen
Prozessen gewonnen, gewichtet und konsolidiert – die Grundlage für Entscheidungen bilden. Ein
solches Werkzeug für das Risikomanagement unterstützt folgende Aufgaben:
die Erfassung, Bewertung, Verwaltung und Steuerung risikorelevanter Assets und
IT-Services aus technischer wie kaufmännischer Sicht,
die Bewertung, Priorisierung und Kosten-/Nutzen-Analyse der vorgeschlagenen
Maßnahmen,
den regelmäßigen Soll-/Ist-Abgleich,
die Dokumentation von Risiken und Maßnahmen zu deren Behebung,
das Reporting sowie
den rollenbasierten Zugang zu einem IT-Wissensportal.
Die Datenquelle für die komplette IT-Topologie und Kern einer Anwendung für das
IT-Risikomanagement ist die Configuration Management Database. Mit den Informationen über sämtliche
IT-Komponenten entlang deren Lebenszyklus und Abhängigkeiten gibt die CMDB einen Überblick über
IT-Bestände, Verträge und Softwarelizenzen. Gerade umfassendes Know-how über die installierte
Software fehlt in der Regel, und viele Unternehmen gehen vorsätzlich das Risiko einer Über- oder
Unterlizenzierung ein. Die CMDB kann also auch als Eckpfeiler eines wirtschaftlicheren und
revisionssicheren Softwaremanagements dienen.
Idealerweise füttern so genannte Application Dependency Mapping Tools die CMDB. Diese Werkzeuge
erkennen die logischen Beziehungen und Abhängigkeiten in der Anwendungs- und Servertopologie,
mitunter auch die weiterer Infrastrukturkomponenten wie Router und Switches. Durch diese
Informationen lassen sich die Zusammenhänge von Produkten, Geschäftsprozessen und Services unter
zeit- und funktionsgerechtem Einbezug der unterstützenden Technik abbilden und somit besser
überwachen. Verantwortliche können so beispielsweise vorhersagen, welche Risiken eine geplante
Änderung einer Konfiguration birgt.
Der Markt für Dependency Mapping oder technische Wirkketten ist als Unterdisziplin des
Configuration-Managements noch klein, sein Potenzial jedoch umso größer. Nach Prognosen der Gartner
Group wächst der Markt von zirka 100 Millionen Dollar in diesem auf knapp 200 Millionen im
kommenden Jahr. Mittelfristig werde es jedoch dieses Produktsegment nicht mehr geben: Es wird in
verschiedenen Bereichen wie Configuration-Management, Application Development oder
Business-Service-Management aufgehen.
Im Rahmen der ITIL-Disziplinen ist Configuration-Management kein Selbstzweck: Es verschafft den
Überblick über die Configuration Items – die eingesetzten Vermögenswerte mit den Informationen über
Hardware, Software, Dokumentationen, Prozeduren, Servicedaten etc. – und deren Status, Historie
sowie deren Verbindungen. Damit unterstützt das Configuration-Management nachhaltig
Service-Support- und Service-Delivery-Prozesse. Die CMDB ist als Hilfsmittel jedoch nur einsetzbar,
wenn sie ein hohes Maß an Aktualität und Vollständigkeit erreicht. Der hierfür notwendige Aufwand
ist nicht zu unterschätzen. Als Informationsdrehscheibe für ein umfassendes IT-Controlling ist die
CMDB die Voraussetzung für ein IT-Risikomanagement. Komplexe Wechselwirkungen, wie sie sich bei der
aktiven Verwaltung von IT-Risiken darstellen, kann jedoch nur ein Gesamtsystem, das auch andere
IT-Disziplinen unterstützt, hinreichend abbilden. So ist es entscheidend, dass auch die Daten aus
dem Problem- und dem Change-Managementprozess aktualisiert in die CMDB zurückfließen, um eine
dynamische Informationsversorgung zu gewährleisten.
Um Drohverluste zu quantifizieren und entsprechende Maßnahmen einleiten zu können, ist die enge
Verzahnung mit dem IT-Kostenmanagement unabdingbar: Zum Beispiel muss der Controller in einer
Lebensversicherung wissen, wie groß der Aufwand für den Serverbetrieb ist, wie sich die Kosten für
einen SAP-Arbeitsplatz im Einzelnen zusammensetzen und welchen Anteil IT-Leistungen an einem
Lebensversicherungsvertrag haben. Dadurch lassen sich die kritischen Faktoren für solche Prozesse
herausfiltern und proaktiv steuern, beispielsweise indem man bestimmte Eskalationsmechanismen für
eine Störung definiert und integriert.
Nicht die Technik per se steht bei einer Risikobetrachtung im Mittelpunkt, sondern der Wert, den
diese IT-Komponenten für die Produktivität und Wertschöpfung haben. Diesen Wert gilt es mithilfe
einer einheitlichen Datenbasis zu erhalten.
Lesen Sie mehr zum Thema
