Während in großen IT-Organisationen System-Management-Werkzeuge einen elementaren Bestandteil der IT-Strategie darstellen, sind mittelständische Organisationen in dieser Disziplin deutlich zurückhaltender. Die vermeintlich hohen Kosten für den Betrieb einer solchen Lösung wirken immer noch abschreckend. Doch auch für kleinere bis mittlere IT-Abteilungen gibt es System-Management-Strategien, nach denen sich die Werkzeuge wirtschaftlich einsetzen lassen.
Fazit: Was Pflicht ist und was Kür
• Bei der Auswahl von System-Management-Werkzeugen sind auch für mittelständische IT-Abteilungen Funktionen zum Schutz vor Angriffen, zur Datensicherung und Softwareverteilung unabdingbar.
• In den Bereichen Verfügbarkeit und Performance sowie Benutzerverwaltung und Storage-Optimierung verspricht die Tool-Unterstützung Mittelständlern ebenfalls große Einsparungen.
• Funktionen zum automatisierten Provisionieren von Systemen eignen sich dagegen nur für bestimmte Fälle.
• Eher die Ausnahme im Mittelstand sind Service-Management-Funktionen, die für einen wirtschaftlichen Betrieb ein hohes Maß an Automation erfordern.
• Die Zusammenführung der gesamten Konfigurationsdaten in einer zentralen CMDB birgt heute noch hohe Risiken, da sich die Techniken in einer frühen Entwicklungsphase befinden.
Identity-Management in Zahlen (Angaben in Euro)
Kosten Initial Jahr 1 Jahr 2 Jahr 3
Implementierung intern 0 32 000 0 0
Implementierung extern 0 92 000 0 0
Schulung 6000 6000 0 0
Lizenzen und Wartung 200 000 0 40 000 40 000
Hardware und Wartung 10 000 0 1000 1000
Laufender Betrieb 0 38 500 39 000 39 500
Gesamtkosten 216 000 168 500 80 000 80 500
Kumulierte Gesamtkosten 216 000 384 500 464 500 544 000
Direkter Nutzen
Einsparungen L1 - Helpdesk 0 17 000 23 000 23 000
Einsparung L2 - Operation 0 83 500 121 000 135 500
Einsparungen L3 - Specialists 0 29 000 86 500 115 500
Einsparungen Hardware/Wartung 0 0 0 0
Einsparungen Lizenzen/Wartung 0 0 0 0
Gesamtnutzen (direkt) 0 129 500 230 500 274 000
Kumulierter Gesamtnutzen 0 129 500 360 000 634 000
Indirekter Nutzen
Reduzierte Ausfallzeit 0 70 000 100 000 100 000
Geringere Eigenbelastung der 0 50 000 75 000 75 000 Endanwender
Gesamtnutzen (indirekt) 0 120 000 175 000 175 000
Kumulierter indirekter Nutzen 0 120 000 295 000 470 000
Bei der Ermittlung der Wirtschaftlichkeit sind direkt messbare Einsparungen das entscheidende Kriterium. Hier das Beispiel einer Wirtschaftlichkeitsbetrachtung im Bereich Identity-Management für ein mittelständisches Unternehmen. Die Tabelle bildet ein allgemein nutzbares Gerüst für solche Berechnungen. Unter "initiale Kosten" versteht man häufig Lizenzkosten, da sie vor Beginn eines Projekts anfallen.
Hier lesen Sie …
• welche System-Management-Disziplinen für eine Wirtschaftlichkeitsbetrachtung herangezogen werden sollten;
• was typische, aus Projekterfahrung abgeleitete Eckdaten für eine Wirtschaftlichkeitsberechnung sein können;
• wie ein RoI-Beispiel mit seinen direkten und indirekten Einsparungen sowie Kosten über einen Zeitraum von drei Jahren aussieht.
Die Basis solcher Strategien bilden die vier Grundpfeiler des System-Managements:
• Bereitstellen der IT-Leistung (Provisioning),
• Sicherstellen der Verfügbarkeit und Performance (Availability),
• Zugriffsschutz und Vertraulichkeit (Security) sowie
• Wiederherstellbarkeit im Fehlerfall (Backup und Restore - heute generell Storage oder Optimization genannt).
Daneben ist für IT-Organisationen, die als Profit-Center arbeiten, noch zwingend ein Business-Service-Management erforderlich, das für Kunden die in Leistungsscheinen oder Service-Levels garantierte Dienstleistung auswertet und in Rechnung stellt. Typischerweise wird dieser Bereich durch ein zentrales Helpdesk- oder Service-Center ergänzt.
Security und Storage sind in erster Linie durch ihre zwingende Notwendigkeit gekennzeichnet, mögliche Einsparungen spielen eine untergeordnete Rolle. Denn erst der nicht erwünschte Fehlerfall würde den konkreten Nutzen aufzeigen. Entsprechend geht es in beiden Bereichen primär darum, die Vorkehrungen so effektiv und effizient wie möglich zu gestalten, um das notwendige Maß an Schutz und Sicherheit zu gewährleisten.
Nachdem diverse Viren- und Wurmattacken das Sicherheitsbewusstsein gesteigert haben, haben sich inzwischen auch im Mittelstand Tools zur Abwehr (Virenscanner, Intrusion Detection, Firewall, etc.) durchgesetzt. Doch dabei bleibt es vielfach. Sehr viel seltener finden sich Werkzeuge zur Benutzerverwaltung (Identity-Management) und Zugriffskontrolle (Access-Management). Accounts werden häufig noch manuell gepflegt, dasselbe gilt für die Rechtevergabe.
Zentrale Benutzerpflege
Die Werkzeuge für Identity-Management bieten in der Regel eine zentrale Pflege der Benutzer und Gruppen mit ihren Rechten über rollenbasierende Konzepte. Grundlage sind LDAP-Directories, teilweise als reine Directory-Ansätze (damit für ältere Anwendungen nur begrenzt einsetzbar) und teilweise mit heterogenen Agenten (universell). Die Einsparungen durch solche Lösungen ergeben sich direkt aus dem deutlich geringeren Aufwand für das Zurücksetzen von Kennworten (Self-Service-Funktionen) und der generell einfacheren Administration. Der mögliche indirekte Nutzen wie etwa die Zeitersparnis durch ein Single-Sign-on wird hier nicht voll berücksichtigt. Auch ist es in der Praxis derzeit unerheblich, ob in diesem Bereich Open-Source- oder kommerzielle Systeme eingesetzt werden, da Letztere deutlich mehr Funktionen bieten, die bei Open-Source-Software mit den entsprechenden Kosten erst noch entwickelt werden müssen.
Erfahrungsgemäß kann die Erstellung der notwendigen Security-Policies, die Aufnahme der bestehenden Rechtestrukturen sowie die interne organisatorische Sensibilisierung für ein derartiges System je nach verwendetem Produkt Personentage in dreistelliger Zahl beanspruchen. Die reine Implementierung der Lösung dauert dagegen wenige Tage.
Im Zusammenhang mit den Kosten für Lizenzen, Hardware mit Testumgebung sowie dem laufenden Aufwand für die Betreuung der Applikationen lässt sich folgende Faustregel aufstellen: Wird eine Amortisation innerhalb von drei Jahren erwartet, ergeben sich die dafür notwendigen Einsparungen erst ab rund 2000 Mitarbeitern, die im Durchschnitt über vier Accounts verfügen (zum Beispiel E-Mail, SAP-System, Unix und Windows). Ausnahmen bilden Organisationen mit großen Fluktuationsraten oder mit einem hohen Anteil an eigenentwickelter Software.
Die Bedeutung der Datensicherung hat sich in den letzten Jahren aufgrund des technischen Fortschritts stark gewandelt. Grundsätzlich geht es noch immer um das Vorhalten der aktiven Daten und deren Sicherung in mindestens einem redundanten Zweitsystem.
Datensicherung
Spielten früher in diesem Zusammenhang schnelle Festplatten und preiswerte Bandgeräte eine Rolle, kommen heute virtualisierte Speichersubsysteme, Network Attached Storage (NAS) und andere Techniken für Speichernetze ins Spiel, insbesondere weil die Zeitspannen für die Sicherung zu klein geworden sind oder im Falle eines 7-mal-24-Stunden-Betriebs gar nicht mehr existieren.
Moderne Systeme zur Datensicherung schreiben daher nur jeweils geänderte Daten neu, statt auch die unveränderten Daten immer wieder neu zu sichern. Auch das Sicherungsmedium Band ist nicht mehr zwingend, da die Preise von einfachen Festplatten unter Umständen bereits ein Sichern von Disk (leistungsfähig) zu Disk (preiswert) sinnvoll erscheinen lassen. Hier liegt auch die Bedeutung der Virtualisierungstechnik: Sie bietet die Möglichkeit, ohne eine Umstellung der Anwender oder Benutzer die Daten von einem teureren auf einen preiswerten Speicher zu verlagern und damit die Investitionen in Speichersubsysteme zu reduzieren. Als Nebeneffekt kann zum Beispiel die Wartung auch während der normalen Arbeitszeit und nicht am Wochenende erfolgen.
Kein Halt vor Virtualisierung
Berechnungen zeigen, dass insbesondere kleinere Organisationen mit entsprechend großen Datenbeständen auf hochwertigen Speichersubsystemen aus Virtualisierungssoftware und preiswerten NAS-Speichern einen Nutzen ziehen können. Der Implementierungsaufwand der Virtualisierung ist gering - entscheidend ist eine zuverlässige Planung und Analyse der Datenbestände. Die Lizenzkosten der Systeme sind so gestaltet, dass ein Return on Investment (RoI) innerhalb von ein bis zwei Jahren eintritt. Open-Source-Lösungen sind in diesem Bereich praktisch nicht präsent.
Seit gezielte Attacken gegen Sicherheitslücken in Betriebssystemen und Anwendungen aufkommen, ist die automatisierte, regelmäßige Pflege und Wartung der Systeme zu einer Pflicht für jede IT-Organisation geworden. Entscheidend ist die gezielte Steuerung und Ausführung der Vorgänge, wobei zunehmend zentral operierende Systeme diese Aufgabe übernehmen. Sie ermöglichen eine Verteilung notwendiger Korrekturen auch ohne Einwilligung der Benutzer. In diesem Bereich wird eine Entscheidung für kommerzielle Lösungen meist von den benötigten Zusatzfunktionen getrieben, so wie eine effektive Bandbreitennutzung oder ein breiteres Plattformspektrum. Die meist kostenlosen betriebssystem- und hardwarenahen Lösungen bieten solche Features nicht.
Wenn die Komplexität steigt
Neben diesen elementaren Bestandteilen jeder IT-Tool-Strategie gewinnt das Einrichten und Steuern von virtualisierten Systemen (VMware, LPARs etc.) zunehmend an Bedeutung. Hier erhöht sich die Komplexität dergestalt, dass neben dem reinen Image für die Anwendung auch Netzwerk- und Storage-Komponenten bereitgestellt werden müssen. Die manuelle Verwaltung dieser Systeme erfordert viel organisatorische Disziplin. Größere Organisationen verwenden hierzu bereits Konfigurationsdatenbanken (CMBD) nach dem Vorbild der IT Infrastructure Library (Itil).
Kleine Schritte
Der Aufwand, um solche Systeme einzurichten und zu pflegen, ist für mittelständische Organisationen noch mit hohem Risiko verbunden, zumal die Techniken zurzeit rasch weiterentwickelt werden. Sinnvoller ist deshalb der Start mit einfachen Provisionierungssystemen und deren Eingrenzung auf bestimmte Aufgaben wie etwa für SAP-Applikationen, Web-Anwendungen oder Citrix-Installationen. Hierfür bietet der Markt ausgereifte Produkte, die eine einfache und schnelle Bereitstellung solcher Provisioning-Bereiche ermöglichen. Ein wirtschaftlicher Betrieb ergibt sich allerdings nur in weitgehend homogenen und standardisierten Landschaften mit mindestens 50 gleichartigen Systemen.
Während für Virtualisierungstechniken mehrere Open-Source-Projekte Alternativen zu den gängigen kommerziellen Lösungen versprechen, sind für das Provisioning nur kommerzielle Lösungen vorhanden. Zum Teil gibt es sie kostenlos, weil sie an die Hardware gebunden sind.
Versteckter Nutzen
Mit der Verfügbarkeit und Performance von Anwendungen gehen große und mittelständische Unternehmen sehr unterschiedlich um. Im Mittelstand ist aus den Zeiten der ersten System-Management-Frameworks oft noch der Eindruck präsent, dass integrierte Lösungen sehr aufwändig zu implementieren sind und umgekehrt eine Vielzahl von Einzellösungen nicht handhabbar ist. Hier wird ein Faktor deutlich unterschätzt: Der Nutzen eines zuverlässigen Availability-Managements liegt nicht nur in der direkten Erkennung und möglicherweise automatisierten Beseitigung von Störungen, es liefert auch die Datenbasis für Kapazitätsplanung und Ressourcenauslastung. Viele IT-Abteilungen folgen bei Planung und Prognose dem Prinzip "Wer schreit am lautesten", anstatt ihre IT-Budgets an objektiv nachvollziehbaren Kriterien auszurichten.
Die heute führenden Availability- und Performance-Systeme bestehen nicht mehr aus einer Fülle unterschiedlicher Einzelkomponenten, die mühsam zusammengeführt werden müssen, sondern bieten leistungsfähige integrierte Management-Portale, in denen alle Informationen zusammenlaufen. Nach einer zentralen aktiven Alarmierung kann man direkt in die Analysewerkzeuge verzweigen, es lässt sich auf historische Daten zugreifen - und das alles bei Bedarf von zu Hause aus via Web-Browser. Solche Systeme lassen sich auch in größeren IT-Landschaften mit einem zweistelligen Aufwand an Personentagen implementieren und bieten sofort einen Nutzen. In der Praxis ergibt sich eine Wirtschaftlichkeit bereits ab rund 25 Servern. Die Entlastung kommt dabei hauptsächlich durch die Isolation von Problemen und das proaktive Erkennen von Störungen, was die Anfragen der Endanwender signifikant reduziert. Darüber hinaus bieten aktive Alarme auch die Möglichkeit eines Bereitschaftsbetriebs ohne Anwesenheit. Typische RoI-Zyklen in heterogenen ERP- und E-Mail-Umgebungen mit 100 bis 300 Servern gehen von einem Breakeven nach neun bis 18 Monaten aus.
Sinnvoll ist der Einsatz einer einheitlichen Technik, die es erlaubt, mit dem vorhandenen Fachwissen die unterschiedlichsten Systeme parallel zu betreuen. Leider gibt es unter den Availability- und Performance-Lösungen heute immer noch Produkte, die unter einem Namen eine Vielzahl unterschiedlicher Tools mit diversen zu erlernenden Oberflächen anbieten.
Grenzen des Service-Desk
Die Bereitstellung eines zentralen Service-Desks zur Entgegennahme von Kunden- und Nutzeranfragen hat sich bewährt, weil er die Fachkräfte entlastet und ihnen ein störungsfreies Arbeiten ermöglicht. Dazu trägt auch die Tool-gestützte Verwaltung dieser Anfragen über ein Trouble-Ticket-System bei.
Auch der Service-Desk profitiert von den zugrunde liegenden System-Management-Tools, indem er zum Beispiel direkt Kennworte zurücksetzen oder aktiv über die ungeplante Nichtverfügbarkeit einer Anwendung informieren kann.
Weitergehende Anbindungen wie etwa die Bereitstellung der kaufmännischen und technischen Daten zu einem Benutzer zeitgleich zu dessen Anruf klingen in der Theorie viel versprechend, sind in der Praxis jedoch für den Mittelstand überdimensioniert, da solche Implementierungen häufig den synchronen Abgleich von drei bis vier Datenbeständen erfordern.
Sofern IT-Organisationen als selbständige Profit-Center etabliert werden sollen, bietet sich auch im Mittelstand die Einführung von automatisierten Service-Level-Auswertungen an. Die Implementierung dieser Lösungen erfordert ein hohes Maß an Automation und Standardisierung des IT-Betriebs, um eine Wirtschaftlichkeit zu gewährleisten. Doch das ist heute selbst in großen IT-Organisationen noch selten anzutreffen. (ue)