IT Management

Governance = [blank_start]Steuerung[blank_end]

Business-IT-Alignment: • IT muss [blank_start]Geschäftsprozesse[blank_end] bestmöglich unterstützen • IT selbst muss [blank_start]prozessorientiert[blank_end] organisiert sein • IT als [blank_start]Enabler[blank_end] Align: Verbesserung bestehender Geschäftsprozesse durch… • A[blank_start]utomatisierung[blank_end] • Z[blank_start]eitvorteile[blank_end] • [blank_start]Kostensenkung[blank_end] Enable: Ermöglichen neuer Geschäftsprozesse & -modelle durch Nutzung • n[blank_start]euer Technologien[blank_end] • b[blank_start]estehender Technologien auf andere Weise[blank_end]

[blank_start]strategisch[blank_end] die richtigen Dinge tun & [blank_start]operativ[blank_end] die Dinge richtig tun

IT-Sicherheit "[blank_start]Authentizität[blank_end] einer Information ist die sichere Zuordnung zum Sender und der Nachweis, dass die Informationen nach dem Versand nicht mehr verändert wurden."

IT-Sicherheit: "[blank_start]Integrität[blank_end] ist auf dem Gebiet der Informationssicherheit ein Schutzziel, das besagt, dass Daten über einen bestimmten Zeitraum vollständig und unverändert sein sollen." Veränderungen können entstehen: • absichtlich • unabsichtlich • durch technischen Fehler Integrität umfasst also • Datensicherheit = Schutz vor [blank_start]Verlust[blank_end] • Fälschungssicherheit = Schutz vor [blank_start]Veränderung[blank_end]

IT-Sicherheit: "[blank_start]Vertraulichkeit[blank_end] ist die Eigenschaft eines Systems, [blank_start]nur Berechtigten[blank_end] den Zugriff auf bestimmte Objekte (elektronische oder physische Dokumente oder Informationen) [blank_start]zu gestatten[blank_end] und Unberechtigten den Zugriff auf diese Objekte zu verwehren."

IT-Sicherheitskonzept • IT-Sicherheitsp[blank_start]olitik[blank_end] • IT-Sicherheitsr[blank_start]ichtlinien[blank_end] • IT-Sicherheitso[blank_start]rganisation[blank_end] • IT-Sicherheitsa[blank_start]rchitektur[blank_end]

IT-Sicherheitsarchitektur Beispiele: • [blank_start]Firewall[blank_end] -Typ - Wartung - Zugriff • Intrusion Detection • Virtual Private Network ([blank_start]VPN[blank_end]) • [blank_start]Virenschutz[blank_end] • Spam-[blank_start]Abwehr[blank_end] • Mehrstufigkeit

Zentrale Fragen bei neuen Architekturen Früher Einstieg: Chancen -[blank_start]Wettbewerbsvorsprung[blank_end] -[blank_start]Image[blank_end] -[blank_start]Know-How-Vorsprung[blank_end] -[blank_start]Anwenderspezifisch[blank_end] -[blank_start]Motivation der Mitarbeiter[blank_end] -[blank_start]Unterstützung durch Hersteller[blank_end] Risiken -[blank_start]Preis / Leistung[blank_end] -[blank_start]Erfolg unsicher[blank_end] -[blank_start]Technologiefixierung[blank_end] -[blank_start]Mangelnde Kompatibilität[blank_end] -[blank_start]Unsichere Technologieentwicklung[blank_end]

Konsolidierungs-ARTEN [blank_start]Hardware-Konsoldierung[blank_end]: Zusammenlegung Dienste, Applikationen, Datenbanken auf möglichste wenige, hochverfügbare Systeme • [blank_start]Applikationskonsolidierung[blank_end]: Zentralisierung von Funktionalitäten der Anwendungssysteme und Konzentration auf wenige Komponenten • [blank_start]Datenkonsolidierung[blank_end]: Zusammenlegung der in einem Unternehmen an verschiedenen Orten liegenden, fehlerhaften, redundanten Daten • [blank_start]Prozesskonsolidierung[blank_end]: Optimierung von IT-Leistungsprozessen

Ziele der Konsolidierung Reduzierte [blank_start]Gesamtkosten[blank_end] Gesteigerter [blank_start]Service[blank_end] Erhöhte [blank_start]Flexibilität[blank_end] Vereinfachung, Standardisierung, [blank_start]Optimierung[blank_end]

Konsolidierung Varianten [blank_start]Server[blank_end]-Konsolidierung • Reduzierung der Anzahl • Zusammenlegung mehrerer Systeme in ein großes = Scale-Up • Optimierung der Kapazitäten [blank_start]Storage[blank_end]-Konsolidierung • Optimierung von Speicherkapazitäten • Effizienzsteigerung bei der Speicherverwaltung [blank_start]Netzwerk[blank_end]-Konsolidierung • Strukturen der Netzwerke • Dienste im Netzbetrieb • Systemsoftware

Migration [blank_start]Software[blank_end]migration • zu einer anderen Version / einem anderen Hersteller • Zusammenführung von Beständen aus Systemen des gleichen Herstellers bzw. eines unterschiedlichen Herstellers [blank_start]Daten[blank_end]migration • Daten z. B. im Zuge eines Format-, Medien- oder Hardwarewechsels • Sonderform: Initial-Digitalisierung oder Altdatenübernahme von Papierdokumenten Abgrenzung zu Update / [blank_start]Upgrade[blank_end] • Migration geht über eine einfache Aktualisierung bzw. ein Upgrade hinaus und bezeichnet vielmehr einen grundlegenden Wechsel der Software-Infrastruktur Jede Migration braucht einen Migrations[blank_start]plan[blank_end] / ein Migrations[blank_start]konzept[blank_end]

Migrationsplan Grundlage und V[blank_start]erfahrenshandbuch für die Migration[blank_end] von Systemteilen eines Altsystems auf ein Neusystem [blank_start]Aufgaben, Verantwortlichkeiten[blank_end] und Abläufe zur Überführung relevanter Systemteile des Altsystems auf die neue Zielumgebung Inhalte: • Welche [blank_start]Teile des Altsystems[blank_end] sind betroffen? • Welche Änderungen sind zur Migration durchzuführen? • An welcher Stelle sind die migrierten Systemteile zu integrieren? • Stufenweiser Plan mit... • ...[blank_start]Strategie zur Migration[blank_end] • ...[blank_start]Rollbackstrategie für jede Stufe[blank_end] • ...[blank_start]Plan zur Datenmigration[blank_end]

Migrationsplan: unterschiedliche Strategien [blank_start]Weiche[blank_end] Migration • Sukzessive / Schrittweise Migration des alten Systems in neue Umgebung • Erfolgt im laufenden Betrieb: für die Zeitdauer der Migration werden Altund Neu-System parallel betrieben. Folge: Mehrbelastung der Anwender [blank_start]Integrative[blank_end] Migration • Erweiterung des neuen Systems um Funktionen, um auf das Altsystem zugreifen zu können (Beispiel: Dokumenten-Management-System) • Anwender nutzt dann nur noch das ẃneue Systemoe • Erweiterung: "On demand" • Anstoß der Migration der Daten bei Zugriff / durch Sachbearbeiter • Folge: hohe Verfügbarkeit aller Archive [blank_start]Harte[blank_end] Migration = Big Bang • Umstellung (Datenmigration / Systemteile) zu einem festen Zeitpunkt

Rollbackstrategie "Beschreibt alle Aktivitäten, die durchgeführt werden müssen, um Änderungen im Falle eines Scheiterns der Migration zeitgerecht zurückzusetzen." Für jede Migrationsstufe: • [blank_start]Kriterien[blank_end] für die Entscheidung eines Abbruchs • [blank_start]Aufgaben[blank_end] zur Vorbereitung des Abbruchs • [blank_start]Aktivitäten[blank_end] zur Durchführung des Abbruchs: Herstellung des ursprünglichen Datenbestands möglich? • Aktivitäten nach Ende des Abbruchs: Teststrategie zur Prüfung der vollen Funktionalität des Altsystems

Migration: Was wird gern falsch gemacht? [blank_start]Schulung[blank_end] Neusystem vergessen [blank_start]Tests[blank_end] vernachlässigt: • der eigentlichen Datenmigration • des Datenaltbestandes im Neusystem • des Neusystems • Funktionen • Performance • Schnittstellen [blank_start]Aufwände[blank_end] zu niedrig geschätzt [blank_start]Zeitplan[blank_end] zur Datenmigration unrealistisch

Risikomanagement I Was ist ein Risiko? "Ein Risiko ist eine nach Häufigkeit (Eintrittserwartung) und Auswirkung bewertete Bedrohung eines zielorientierten Systems. Das Risiko betrachte dabei stets die negative, unerwuenschte und ungeplante Abweichung von System-Zielen und deren Folgen." Charakter: • Jedes Risiko hat eine [blank_start]Chance[blank_end] • Mögliche [blank_start]Folgen[blank_end] bei Eintreten: • Abweichungen hinsichtlich Dauer, Budget, Qualität. • IT-Risiken: Abweichung von Vertraulichkeit, Integrität, Verfügbarkeit der Informationen und/oder der IT-Systeme • Schaden • Für jede [blank_start]Bedrohung[blank_end] gibt es eine oder mehrere mögliche Maßnahme(n).

Risiko-[blank_start]Analyse[blank_end] Risiko-Identifikation Risiko-Einschätzung Risiko-[blank_start]Bewertung[blank_end] -Risiken- Risiko-[blank_start]Bewältigung[blank_end] Risiko-Strategie Maßnahmen-Definition & -Umsetzung -Restrisiken-

[blank_start]VPN[blank_end] Virtual Private Network Sichere Verbindung mit dem Unternehmensnetzwerk Generell verschlüsselte Datenübertragung zwischen zwei Endpunkten eines VPN-Tunnels [blank_start]Quarantänefunktion[blank_end] wenn… • ...der Client nicht den Sicherheitsrichtlinien entspricht • ...Updates fehlen (Betriebssystem / Virenscanner) • ...Sicherheitseinstellungen nicht aktuell sind Keine Abspeicherung von Passwörtern auf dem Laptop

Mobile Device Management Je nach Plattform für Laptops, Smartphones & Tablets: • Einschränkung auf nur eine Plattform und/oder einen Hersteller? • [blank_start]Zentrale[blank_end] Administration aller Geräte • [blank_start]Globale[blank_end] Sicherheitsrichtlinien • Entfernte Verwaltung: • [blank_start]Sperrung[blank_end] • Löschung • Ortung • Regelung der privaten Nutzung (Fremde WLANs, Internet, Mobile Daten, Apps, [blank_start]Spiele[blank_end], Jailbreak/Rooten, …)

DMZ = [blank_start]Demilitarized Zone[blank_end] Entscheidendes Mittel zur Steigerung der [blank_start]Sicherheit[blank_end] des Unternehmensnetzwerks Vom internen Netz abgetrennter, eigenständiger Netzwerkbereich Funktioniert sowohl bei einstufiger, als auch bei mehrstufiger [blank_start]Firewall[blank_end]-Strategie

Total Cost of Ownership [blank_start]TCO[blank_end] [blank_start]Direkte Kosten[blank_end] • [blank_start]Anschaffungskosten[blank_end] für Hardware und Software • [blank_start]Aufwand[blank_end] für Installation • [blank_start]Schulungen[blank_end] der Mitarbeiter • Wartung und [blank_start]Support[blank_end] [blank_start]Indirekte Kosten[blank_end] • [blank_start]Fehlbedienungen[blank_end] • [blank_start]Produktivitätsverluste[blank_end] der Mitarbeiter z.B. fehlende Ausbildung • Ausfallzeiten z.B bei unzureichender [blank_start]Wartung[blank_end] oder Fehlfunktion

Total Cost of Ownership = [blank_start]TCO[blank_end] In der Summe beträgt der Kaufpreis eines typischen Arbeitsplatzcomputers nur etwa [blank_start]15[blank_end] Prozent der gesamten Kosten, die er im Laufe seiner Lebensdauer insgesamt verursacht. Bezeichnung dieses Phänomens: [blank_start]Total Cost of Ownership[blank_end] (TCO, vgl. Gartner-Group) Möglichkeit zur Kostenreduzierung: TCO-[blank_start]Analyse[blank_end] • durch externe Beratungsunternehmen • Checklisten, Vergleichswerte & Berechnungsalgorithmen • Erfassung der Kosten durch Beschaffung, Bereitstellung, Betrieb und Entsorgung von IT-Komponenten

Return on Investment [blank_start]ROI[blank_end] Modell zur Messung der Rendite (Kapitalrendite) Gemessen am • [blank_start]Gewinn[blank_end] im Verhältnis zum eingesetzten Kapital • erwarteten Mehrwert im Verhältnis zu den [blank_start]Kosten[blank_end] Unter Einbeziehung des gesamten gebundenen Kapitals einer Investition Zu beachten sind also beispielsweise auch: • [blank_start]Installationskosten[blank_end] bei der Anschaffung neuer Maschinen • [blank_start]Schulungskosten[blank_end] bei der Einführung neuer Software

Outsourcing Kunstwort aus den Worten "Outside" und "Ressource" Also: Nutzung externer Ressourcen Beispiele: • Ausgliederung des [blank_start]zentralen Rechenzentrums[blank_end] • Ausgliederung der [blank_start]Anwendungsentwicklung[blank_end] • Vergabe der Kantinenbewirtschaftung an ein externes Dienstleistungsunternehmen

Service Level Agreements Service Level Agreement ([blank_start]SLA[blank_end]): Vereinbarung über die termingerechte Erbringung von ITLeistungen in vereinbarter Qualität & zu festgelegten Kosten Überwiegend im Dienstleistungsbereich Unterscheidung: • [blank_start]Intern[blank_end]: Regeln das Verhältnis zwischen IT-Bereich (Auftragnehmer) und der Fachabteilung (Auftraggeber) • [blank_start]Extern[blank_end]: Regeln das Verhältnis zwischen der IT-Abteilung oder der Fachabteilung (Auftraggeber) und externen IT-Lieferanten beziehungsweise Dienstleistern (Auftragnehmer)

SLA Inhalte [blank_start]Leistungsspezifikation[blank_end]: Exakte Beschreibung der Art und des Umfangs der zu erbringenden Leistung [blank_start]Termine & Fristen[blank_end]: Leistungen sind zu bestimmten Zeitpunkten oder innerhalb festgelegter Fristen zu erbringen, z.B. Beseitigung von kritischen Störungen innerhalb eines bestimmten Zeitraums [blank_start]Konditionen[blank_end]: Vergütungen & Vertragsstrafen, Rechnungsstellung, etc. [blank_start]Organisatorische Rahmenbedingungen[blank_end]: Regelungen über die Abwicklung der Leistungen, z.B. welche Arbeits- und Bereitschaftszeiten Nachweis der Leistungserbringung [blank_start]Zulässige Ausreißerquote[blank_end]: maximale Anzahl der Leistungseinheiten, die außerhalb des vereinbarten Qualität-/Terminrasters liegen dürfen Konsequenzen von SLA-Verletzungen: Beschreibung von Maßnahmen, die bei Überschreiten der Ausreißerquote eingeleitet werden

SLA Einführung [blank_start]Anforderungen definieren[blank_end] • Art der Leistung • Gewünschter Service Level (z.B. Wiedereintritt der Arbeitsfähigkeit nach Störungsmeldung innerhalb von …) • Erwartetes Mengenvolumen [blank_start]Erstellung IT-Katalog[blank_end] (Liste der unterstützten, benötigten Produkte) [blank_start]Preisverhandlungen[blank_end] [blank_start]Vertragsabschluss[blank_end] • Berücksichtigung einer "Einschwingphase" • Definition kurzer Vertragslaufzeit (Abhängigkeit vermeiden)

Outsourcing Formen [blank_start]Auslagerung von Geschäftsprozessen[blank_end]: Business Process Outsourcing • Kernprozesse: Procurement, Logisitk, Vertrieb, ... • Querschnittsprozesse: Buchhaltung, Human Ressources, ... [blank_start]Auslagerung von Anwendungssoftware[blank_end]: Application Service Providing (ASP) [blank_start]Auslagerung technischer Plattformen[blank_end]: klassisches Plattform-Outsourcing • Rechenzentrumsbetrieb • Netzwerk-Services • Desktop-Services

Outsourcing: Chancen Trage die Bereiche ein [blank_start]Strategie[blank_end] • Konzentration auf betriebliche Kernkompetenzen • Erhöhung der Qualität durch Einsatz spezialisierter Dienstleister • Verbesserung der Flexibilität durch bedarfsabhängige Nutzung von Leistungen [blank_start]Finanzen[blank_end] • Kostenreduktion durch Nutzung von Skaleneffekten • Verbesserung der Kostenkontrolle durch feste vertragliche Vereinbarungen • IT-Kosten verwandeln sich von fixen in variable Kosten [blank_start]Personal[blank_end] • Flexible Ressourcenbereitstellung durch den Dienstleister • Personalabbau ohne Kündigung durch Transfer zum Dienstleister • Skillentwicklung und -bereitstellung (z.B: IT-Spezialisten) [blank_start]IT[blank_end] • Rechtzeitige Bereitstellung akteuller Technologien

Outsourcing: Risiken [blank_start]finanzielleAspekte[blank_end] • Realisierung geplanter Einsparungen nicht immer möglich • Planung und Kontrolle der Maßnahmen realisierbar? [blank_start]strategischeMotive[blank_end] • Abhängigkeit tolerierbar? • Kompetenzverlust kalkulierbar? • Rücknahme der Auslagerung kaum möglich [blank_start]operativeAspekte[blank_end] • Operative Kontrolle ohne Zugriff auf Fremdpersonal schwierig • Optimierung von Schnittstellen aufwändig [blank_start]rechtliche undvertraglicheAspekte[blank_end] • Problematischer Personaltransfer (§ 613a BGB) • Lange Vertragslaufzeiten • Datenschutz und Datensicherheit (kritisch bei Banken, Versicherungen, ...)

IT-Offshoring Die Modelle des IT-Offshorings sind Spezialfälle des eigentlichen IT-Outsourcings Typisch: Verlagerung von Aufgaben im Zusammenhang mit der Planung, Entwicklung und dem Betrieb von Informationssystemen auf Dritte Meist: Verlagerung von Programmier- und Testarbeiten Klassifizierung nach... • ...[blank_start]Ort[blank_end] der Leistungserbringung • ...[blank_start]Anzahl[blank_end] der beteiligten Partner • ...[blank_start]Zugehörigkeit[blank_end] des Leistungserbringers zum Unternehmen

Klassifizierung nach... • ...[blank_start]Ort der Leistungserbringung[blank_end] Onsite: Leistungserbringung am Ort der Nachfrage. • Onshore: Leistungserbringung im Land der Nachfrage. Beispielsweise Verbringung von IT-Spezialisten • Nearshore: Leistungserbringung im Nachbarland. Beispielsweise in Niedriglohnländern mit gleichem Kulturkreis, gleicher Zeitregion, Sprache, ... • Offshore: Leistungserbringung in einem weiter entfernten Land. Meistens verbunden mit weiter entfernten Ländern, anderen Kulturkreisen, Zeitzonen, Sprachen, … • Noshore: Leistungserbringung im eigenen Unternehmen / Entscheidung gegen Outsourcing • ...[blank_start]Anzahl der beteiligten Partner[blank_end] • Single: Ein Partner • Dual: Zwei Partner, einer davon Onsite • Multiple: Mehrere Partner • Ein Partner Onshore zur Verbesserung der Kundennähe und zur Vermeidung kultureller Distanzen • Die eigentliche Leistungserbringung findet aber Offshore beziehungs-weise Nearshore statt • ...[blank_start]Zugehörigkeit des Leistungserbringers[blank_end] zum Unternehmen • Intern: eigenes Unternehmen • Extern: fremdes Unternehmen