IT-Service-Management und IT-Sicherheit
Zusammenfluss erfolgt nur behäbig
Die Informationstechnik an sich gilt vielen als innovativ. Der genaue Blick auf einzelne Bereiche enthüllt jedoch, dass auch hier die Mühlen langsam mahlen. Das trifft besonders für angeblich progressive Bereiche wie das IT-Service-Management und die IT-Sicherheit zu. Diese bewegen sich ausgesprochen behäbig auf das gemeinsame Ziel zu: ein durchgehendes Service-Management, an dessen Ende eine abgesicherte Einwahl der Benutzer aus Intranet, Extranet und Internet in die Unternehmensapplikationen steht.
Der kritische Blick auf IT-Service-Management (ITSM) und IT-Sicherheit verdeutlicht, welche
Wegstrecke in beiden Bereichen noch bis zum gemeinsamen Ziel zurückzulegen ist: Selbst große
ITSM-Plattformen lassen bisher die PCs am Endpunkt von Geschäftsabläufen weitgehend außen vor. Ihre
einzige Integration besteht meist darin, deren generelle Verfügbarkeit sowie mittels
Ende-zu-Ende-Messungen Antwortzeiten zu erheben. Nicht registrierbar sind auf den Desktops weitere
Ereignisse, die lokale Agenten bei anderen Systemen wie Netzwerkkomponenten, Servern, Netzdiensten,
Anwendungen, Datenbanken und Speichergeräten automatisch verfolgen. Diese Agenten übermitteln
Alarme an die zentrale Service-Managementkonsole. Dabei lassen sich die Alarme parallel zur
Problemrecherche in die Korrelations-Engine einspeisen.
Mangelhafte Desktop-Abdeckung
Dieser Zustand ist für das von vielen Herstellern propagierte durchgängige Service-Management
einfach zu wenig – zumal auf den Clients wichtige Dienste und Anwendungen laufen und mittlerweile
60 Prozent aller Geschäftsdaten liegen. Noch gravierender: Das Service-Management lebt förmlich von
einer benutzerbezogenen Sicht. Denn letztlich stehen die Mitarbeiter am Ende der Prozesskette mit
der Erfüllung ihrer Geschäftsaufgaben in der Pflicht. Derweil behalten die meisten ITSM-Plattformen
weiterhin eine systembezogene Sicht bei, die die Mitarbeiter weitgehend von den Vorzügen des
Service-Managements ausschließt.
Bei Dienstleistern wie Service-Providern und Outsourcern ist die Lage nicht besser: Auch deren
Service-Managementdienste enden zwangsläufig vor den Desktops ihrer Kunden. Denn auch die meisten
Plattformen für das Telekommunikationsmanagement halten bis auf die Registrierung von Verfügbarkeit
und Antwortzeiten nicht mehr Überwachungs- und Steuerungsfunktionalität für die Endgeräte vor.
Etwas anders stellt sich für die Unternehmen die Situation bei der IT-Security dar. Hier stehen
mit Identity- und Access-Management (IAM) bereits die Mittel bereit, um die Sicherheit von
Geschäftsdaten, -systemen und -prozessen aus Benutzersicht anzulegen und zu steuern. In die
richtige Richtung – also zum PC – weist ein zentrales Benutzer-, Rechte- und Rollenmanagement. Dazu
gesellt sich Single-Sign-on, um die generelle Einwahl ins Netz (Authentisierung) automatisch mit
der Zugriffskontrolle für Unternehmensapplikationen (Autorisierung) zu kombinieren.
Hier ist es die installierte Technik, die die Sicherheit der Unternehmen in eine gefährliche
Schieflage bringt und ihnen die Perspektive eines benutzerbezogenen Zusammenspiels von
Service-Management und IT-Security raubt. Mit gebanntem Blick auf das gefährliche Internet
investieren viele Unternehmen vor allem in die Perimeter-Sicherheitswerkzeuge: Sie forcieren den
technischen Ausbau von VPNs (Virtual Private Networks), Firewalls, Content-, Spam- und
E-Mail-Filtern, Viren-Scannern, Intrusion-Prevention-Systemen und Authentisierungsservern.
Dies birgt zahlreiche negative Folgen für die Unternehmen: Sie opfern damit die notwendige
Benutzer-/Applikationssicht einem systemzentrischen Ansatz. Zudem laufen sie in einen immer höheren
Administrationsaufwand hinein, weil die meisten dieser Systeme eine separate Überwachung,
Verwaltung und Wartung erfordern. Die Unternehmen steigen mit den vielen proprietären
Sicherheitswerkzeugen in einen Update-Wettlauf ein, den sie auf Kosten der Sicherheit ihrer
Geschäftsdaten, -systeme und -prozesse nicht gewinnen können.
Aus Angst vor dem Internet bringen viele Unternehmen so ihr gesamtes Sicherheitssystem
strategisch wie auch technisch in eine gefährliche Schieflage. Zugleich verbauen sie sich auf diese
Weise die Perspektive eines benutzerbezogenen Zusammenspiels zwischen Service-Management und
IT-Security.
Dabei würde die Strategie, die IT-Sicherheit stattdessen über IAM von innen nach außen
aufzuziehen, diese Nachteile beheben oder zumindest entschärfen. In diesem Fall konzentriert sich
der Sicherheitsfokus zurecht auf die Benutzer und auf deren Arbeitsplatzrechner mit allen darauf
laufenden Netzdiensten und Applikationen.
Von innen nach außen aufräumen
Der Sicherheitsblick von innen nach außen ermöglicht es, mit unnötigen Security-Werkzeugen im
Perimeter aufzuräumen. So erspart IAM an der Internetfront Authentisierungsserver, weil die
benutzerbezogene Netzzugangskontrolle ohnehin Teil des Identity- und Access-Managements ist.
Außerdem ist bereits abzusehen, dass vielerorts pflegeleichtere SSL-VPNs (Secure Sockets Layer)
IPSec-VPNs ablösen werden. Sie sind wie IAM auf der Anwendungsebene angesiedelt und harmonieren mit
der Zugriffskontrolle im Sinne einer abgesicherten, durchgängigen Prozessabwicklung bis in die
Unternehmensapplikationen. Dadurch können im Perimeter unter anderem Zusatzfunktionen wie NAT
(Network Address Translation) zur Verschleierung realer IP-Adressen entfallen.
Neue integrierte Sicherheitslösungen vereinen Werkzeuge wie VPN, Firewall, Antivirus-Software,
Content-und Spam-Filter sowie IDS (Intrusion Detection System) auf einer Plattform. Damit helfen
sie, am Perimeter auzuräumen – zumal wenn alle integrierten Sicherheitswerkzeuge unter einer
Managementoberfläche bedienbar sind und jedes neue Update automatisch alle Werkzeuge an Bord
einschließt. Zudem lässt sich die gemeinsame Benutzerverwaltung solcher Werkzeug-Sets viel
einfacher ins zentrale Benutzermanagement integrieren als zahlreiche, proprietäre
Einzeladministrationen. Genau diese Integration ist maßgeblich für eine benutzer- und
applikationsbezogene Sicherheitssicht von innen nach außen, ebenso wie für eine effiziente
Steuerung des gesamten IT-Sicherheitsgefüges. In dieser Form ausgerichtet, passt die IT-Sicherheit
zur anstehenden Evolution im IT-Service-Management, nämlich zu einer ebenfalls benutzerbezogenen
Sicht mit dem Desktop als vollwertigem Prozessmitglied.
Auch Service-Provider und Outsourcer werden dieser benutzerbezogenen Sicht mit IAM im Zentrum
ihrer Sicherheitsleistungen folgen müssen, um für ihre Kunden Ende-zu-Ende-Prozesse übernehmen und
parallel absichern zu können. Für sie wird diese Strategie die einzige Möglichkeit sein, solche
Prozesse im Rahmen von BPO (Business Process Outsourcing) zu übernehmen, ohne dass die Unternehmen
ihre komplette Hard- und Softwareverantwortung an den Dienstleister abtreten müssen.
Wichtig im Bereich Service-Management ist für die Entscheider, dass der ITSM-Plattformanbieter
bereits den Wandel zu einer benutzerbezogenen Sicht eingeleitet hat. Als Merkmale dienen können
unter anderem der Einsatz von Administrationsrollen für unterschiedliche Applikations- und
Servicesichten sowie benutzerbezogene Auswertungen von SLAs und anderen Aktivitäten wie
Webzugriffen. Wichtig ist für das Unternehmen zudem, dass die Überwachungs- und
Steuerungsfunktionalität unter der Service-Managementplattform über den Enterprise-Bereich
hinausgeht und das Telekommunikationsmanagement der Service-Provider-Domäne ebenfalls mit einer
erkennbaren Benutzerausrichtung umfasst.
Nur eine durchgehende Lösung erschließt die Perspektive, den Gedanken eines durchgängien
Service-Level-Managements hinreichend mit funktionalem Leben zu erfüllen. Gerade die Lösungen der
großen Hersteller weisen im WAN-Bereich klaffende Lücken auf, weil ihre Funktionalitäten weitgehend
auf das Enterprise-Management beschränkt geblieben sind.
Lesen Sie mehr zum Thema
