Überraschungen vermeiden: Lebenszyklus berücksichtigen

Abgelegt in: Antworten

Plötzlich sollte die Anwendung höchstverfügbar sein. Plötzlich? Wirklich plötzlich? Nun gut, explizit hatte dies niemand gefordert, aber implizit hätte es eigentlich bekannt sein können – bei einer geschäftskritischen Online-Applikation.

Was auch immer die Ursache gewesen sein mag: der dringende Wunsch, die Anwendung genehmigt zu bekommen, was bei höheren Kosten chancenärmer gewesen wäre, die Erwartungshaltung der Anwender, die Höchstverfügbarkeit bei einer geschäftskritischen Online-Anwendung als selbstverständlich vorausgesetzt und nicht explizit formuliert hatten. Wie auch immer: Ursachenforschung bringt nur dann etwas, wenn sie zur künftigen Ursachenvermeidung führt. Da die Ursache in der Vergangenheit liegt, lief dort etwas schief. Und damit sind wir beim Lebenszyklus.

Lebenszyklus hat nicht immer etwas mit Leben, aber oftmals mit einem Beginn und einem Ende von etwas zu tun. Der Begriff Lebenszyklus kommt heute in diesem übertragenem Sinne in unterschiedlichen Bereichen zum Einsatz. So auch im BCM und ISM. Doch wie wird er verwendet und was sagt er aus?

Vielen ist aus BS 25999 der BCM Life Cycle bekannt. In dessen Mittelpunkt steht das BCM-Programmmanagement, umrankt von den vier Phasen: Verständnis des Unternehmens und seiner Bedarfe, Festlegung der BCM-Strategieoptionen, Entwicklung und Implementierung von Reaktionen und Business Continuity Plänen, Übung und Wartung sowie Review. Die äußere Hülle bildet die Einbettung des BCM in die Unternehmenskultur.

Auch die IT-Grundschutzkataloge des BSI haben das Thema Lebenszyklus aufgegriffen und zwar erstmals im Jahr 2005 in den Bausteinen. Es weist einerseits Parallelen zum Lebenszyklusmodell im Buch „IT-Sicherheit mit System“ bzw. im „Handbuch Unternehmenssicherheit“ auf, andererseits Unterschiede, indem es kompakter ist und „Notfallvorsorge“ als zusätzliche Lebenszyklusphase betrachtet. Das Lebenszyklusmodell der IT-Grundschutzkataloge geht beim Lebenszyklus aus von „Planung und Konzeption“, über „Beschaffung“, „Umsetzung“ und „Betrieb“ bis hin zur „Aussonderung“ und „Notfallvorsorge“.

Zusätzlich haben die IT-Grundschutzkataloge im Jahr 2006 die Maßnahme „System-Entwicklung“ als eigenständiges Element aufgenommen. Hier gibt es die Phasen Anforderungsdefinition, Architektur- oder Fach-Entwurf, Fein-Entwurf und Realisierung. Phasen in der Entwicklung von IT-Systemen bezeichnet [2] als Lebenszyklus.

Verschiedene Normen verwenden den Begriff Lebenszyklus ebenfalls, z. B. die ISO 12207 im Rahmen der Software-Lebenszyklus-Prozesse und die ISO 15288 im Hinblick auf die System-Lebenszyklus-Prozesse. Die ISO 27034-1:2011 fordert, dass Sicherheit in jeder Phase des Anwendungslebenszyklus zu berücksichtigen ist.

COBIT kennt ebenfalls einen Lebenszyklus, zu dem die Phasen Planung und Organisation, Beschaffung und Implementierung, Betrieb und Support sowie Überwachung gehören.

Seit Version 3 gibt es in ITIL den Service Life Cycle. In dessen Mittelpunkt befindet sich die Service Strategy. Umrahmt wird sie von Service Design, Service Transition und Service Operation. Den äußeren Rahmen bildet das Continual Service Improvement.

Wer das Thema Lebenszyklus entsprechend [1], [2] umfassender betrachtet, stellt fest, dass nicht nur Anwendungen oder IT-Systeme zu berücksichtigen sind, sondern die Elemente von Kategorien wie z. B. von Produkten und Services sowie Prozessen, Ressourcen und Organisation. Charakteristisch für die Elemente dieser Kategorien ist, dass sie über eine Entstehungsphase und eine Betriebs-, Erbringungs- bzw. Nutzungsphase verfügen, bis sie schließlich im übertragenen Sinne ihr „Lebensende“ erreichen.

Doch was bringt diese trivial anmutende Erkenntnis? Wer den Lebenszyklus berücksichtigt, kann seine Anforderungen, z. B. an Sicherheit und Kontinuität von Geschäfts-, Produktions- oder Fertigungsprozessen oder von Anwendungen von Anfang an berücksichtigen. Er vermeidet so unliebsame Überraschungen – z. B. bei Kosten, Termintreue, Compliance und Risiken – bei der Inbetriebnahme oder – was andernfalls noch schlimmer wäre – im Betrieb. Und noch etwas gerät bei der Lebenszyklusbetrachtung in den Fokus: die Außerbetriebnahme. Denn mit anschließendem einfachem „Wegwerfen“ ist es selten getan, so dass Folgekosten entstehen. Gerade im Hinblick auf Daten bestehen verschiedentlich Aufbewahrungsfristen, die einzuhalten sind und über längere Zeit betriebsbereite Anwendungen und IT-Systeme erfordern – und Kosten verursachen …

 

Literatur / Quellen:

[1] Klaus-Rainer Müller, Handbuch Unternehmenssicherheit, VIEWEG+TEUBNER, 2010

[2] Klaus-Rainer Müller, IT-Sicherheit mit System, VIEWEG+TEUBNER, 2011

Geschrieben von

Als Autor von Fachbüchern und zahlreichen Artikeln bin ich Ihnen – zumindest namentlich – vielleicht bereits bekannt. Doch welche Vita verbirgt sich hinter diesem Namen?
Studium und Promotion machten mich bereits früh mit der IT vertraut. Meine berufliche Laufbahn startete ich im Bereich der Softwareentwicklung und –Spezifikation als Gruppenleiter. Als Ingenieur hatte ich gelernt, dass methodisches Vorgehen ein entscheidender Erfolgsfaktor ist, wenn Fehler vermieden und Aufgaben ohne unnötige Iterationen richtig und effizient gelöst werden sollen. Dies zumal dann, wenn die Aufgabenstellung – wie bei Software – komplex ist. Daher führte ich in meiner damaligen Entwicklergruppe das Software-Engineering ein. In meinem weiteren beruflichen Werdegang stellten sich die gemachten Erfahrungen beim Einstieg in ein internationales Softwarehaus als tragfähige Basis heraus. Zu Entwicklung und Spezifikation von Software kamen Teilprojektleitung, (Krisen-)Projekt-management, Test- und Qualitätsmanagement sowie Beratung und Prüfung, aber auch die Rollen Key Account Manager und Career Manager hinzu.
Bei der ACG Automation Consulting Group GmbH in Frankfurt (www.acg-gmbh.de), einer Unternehmensberatung für Organisation und Informationsverarbeitung, übernahm ich den Fachbereich Qualitäts- und Sicherheitsmanagement. Heute verantworte ich hier das Fach Competence Center Unternehmenssicherheit. Als Senior Management Consultant berate ich das Management zu den Themenfeldern (IT-)Sicherheits-, Kontinuitäts- und Risikomanagement, IT-Governance, IT-Service und IT Service Level Management sowie Sourcing.
Um die genannten Themen effizient, durchgängig und integrativ behandeln zu können, entwickelte ich in meiner Freizeit eine Vorgehensweise, in die meine langjährigen Praxis- und Beratungserfahrungen eingeflossen sind. Diese veröffentlichte ich gegen Ende des letzten Jahr-hunderts ;-). Die Anfrage des Vieweg-Verlags und mein Faible für’s Schreiben führten zur detaillierteren Veröffentlichung dieser Vorgehensweise in Buchform. Leserinnen und Lesern meiner Bücher „IT-Sicherheit mit System“ (4. Auflage, 2011) und „Handbuch Unterneh-menssicherheit“ (2. Auflage, 2010) sind die Sicherheitspyramide bzw. Sicherheitsmanagementpyramide sowie die Kontinuitäts- und die Risiko(management)pyramide bekannt.
Wenngleich diese Managementdisziplinen auch einzeln betrachtet werden können, habe ich sie aufgrund der vielfältigen Abhängigkeiten und zur Steigerung der Effizienz nicht nur im Handbuch Unternehmenssicherheit zusammengeführt. Die ganzheitliche Betrachtungsweise der Unternehmenssicherheit führt darüber hinaus zur Konsolidierung und Integration von Prozessen und Ressourcen unterschiedlicher Organisationseinheiten von der Arbeits-, Betriebs-, IT- und Gebäudesicherheit über BCM und ITSCM bis hin zum Risikomanagement für das Unternehmen und seine IT.
Ein weiteres Ergebnis meiner Autorentätigkeit ist das Buch „IT für Manager“, bei dessen Haupttitel – warum auch immer – inzwischen Verwechslungsgefahr besteht ;-).

    0 Responses

      Schreibe einen Kommentar