IT-Prozessmanagement für kleine und mittlere Unternehmen

Viele kleine und mittelre unternehmen haben ihre IT-Abläufe nicht im Griff, oftmals geht es drunter und drüber. Und die angebotenen Prozessmodellierungsmodelle sind entweder zu klobrig oder zu simpel. Wer CMMI- und IT-Grundsatzaspekte geschickt kombiniert, kann einen großen Schritt nach vorn machen.

Ein gängiges Szenario: Der technisch versierte Chef eines keleinen Unternehmens freut sich über nichts mehr als darüber, immer nah am Puls der Zeit zu sein. Zum Glück hat er einen fähigen Admin, der sich von Fall zu Fall das nötige Wissen aneignet und alle Neuerungen und Erweiterungen der Unternehmens-IT schnell umsetzt. Sobald eine neue Idee realisiert ist und funktioniert, freuen sich beide und wenden sich neuen Projekten zu. Die Mitarbeiter jedoch, vielleicht weniger technikbegeistert, sind trotz der schönen neuen IT-Welt undankbar und maulen nur herum.

Oder so: Der Admin hat siene Server gut im Griff, sichert alle Serverdaten sorgfältig und sorgt für stabile IT-Einrichtungen. Aber die Mitarbeter sind trotzdem dauernd unzufrieden, denn sie verwenden unterschiedliche Mail-Clients, Browser und Multimediaprogramme, und bei irgendwem klemmt’s immer gerade mit irgendeiner Software. Als ein Abteilungsleiter aus Versehen eine wichtige Datei gelöscht hat, stellt sich heraus, dass ausgerechnet von diesem Ordner keine Datensicherung existiert. Der Administrator bekommt seine gute Arbeit nicht honoriert, es gibt im Gegenteil dauernd Knatsch.

Diese beiden schlichten Beispiele zeigen, dass technisches Know-how der IT-Veranwtortlichen alleine nicht ausreicht (nicht mal in Kombination mit einem ordentlichen Budget), zufriedenstellende IT-Services im unternehmen bereitzustellen. Der technische Teil der Aufgabe wird möglicherweise tadellos erledigt, trotzdem laufen Anwendungen und Projekte nicht reibungslos oder fressen Zeit und Geld ohne Ende.

Kleine Brötchen backen

Die Gefahr mangelnder Qualität oder Kalkulierbarkeit von IT-Services droht überall. Konzerne mögen über einen längeren Zeitraum ein kleines Heer von Beratern beschäftigen oder ein ganzes Team darauf ansetzen und es auf wochenlange Kurse schicken. Die Beteiligten sind am Ende, wahrscheinlich mit einem schicken Zertifikat am Revers, glückliche Besitzer eines dicken Handbuchs voll mit Prozessbeschreibungen und Anweisungen. Wenn dann mal etwas schiefgeht, kann man jedem Mitarbeiter nachweisen, dass er selbst daran schuld ist.

Kleinere Unternehmen leiden ebenso unter mangelnder Qualität ihrer IT-Services. Sie finden aber nicht so leicht ein passendes Rezept, ihre IT-Landschaft mit angemessenem Aufwand zu beschreiben, zu bewerten und vor allem zu verbessern. Auf der einen Seite gibt es High-Level-Modelierungen (zum Beispiel nach ITIL) und unfassbar umfangreiche Kataloge von Zutaten (etwa die Bausteine der BSI-Grundschutzkataloge), die gigantische Dokumentationsprojekte hervorbringen können. Auf der anderen Seite bietet das Bundesamt für Sicherheit in der Informationstechnik knappe Richtlinien wie den „Leitfaden IT-Sicherheit“ an, die den Verantwortlichen kaum zu einer besseren Qualität der IT-Services verhelfen. Beide Varianten bringen den Mittelstand nicht nach vorn.

Aber jetzt kommt’s: Seit 1986 entwickelt die Software Engineering Institute (SEI) an der Cernegie Mellon University (Pittsburg, USA) das Reifegradmodell CMMI (das Akronym steht für die schaurige Anhäufung von Sustantiven „Capability Maturity Model Integration“). Zunächst kümmerte es sich um die Beurteilung von Softwareentwicklungsprozessen (CMMI-DEV), dann auch um das Beschaffen von Produkten und Dienstleistungen (CMMI-ACQ). Dass die Initiative dazu und die finanzielle Ausstattung vor allem vom amerikatnischen Department of Defense stammen, muss nicht stören. Im Jahr 2009 erhielt dieses Sortiment von Referenzmodellen eine weitere Geschmacksrichtung: CMMI-SVC (Capability Maturity Model Integration for Services). Das CMMI-SVC bietet einen einfachen und praktischen Ansatz für das Optimieren von IT-Dienstleistungen. Im CMMI wird die Qualität von sogenannten Prozessgebieten nach Fähigkeitsgraden klassifiziert. Die Qualität von Abläufen einer Organisation über mehrere Prozessgebiete hinweg teilt man hingegen nach Reifegraden ein. Diese getrennten Sichtweisen führen hier zu nichts.

Treppe der Perfektion nach CMMI

Level 5 : optimierter Prozess — Quantitative Maßnahmen werden verwendet, um den Prozess kontinuierlich zu verbessern.

Level 4 : quantitativ geführter Prozess — Metriken ermögliche die Kontrolle der Durchführung und der Ergebnisse.

Level 3 : definierter Prozess — Vordefinierte Prozesse werden an spezifische Gegebenheiten angepasst.

Level 2 : geführter Prozess — Prozess ist institutionalisiert und wird „gemanagt“

Level 1 : durchgeführter Prozess — Spezifische Ziele werden erreicht, aber nicht sicher oder reproduzierbar

Level 0 : unvollständiger Prozess — chaotische Prozesse

Das Gute am Bewertungsmodell des CMMI ist in diesem Zusammenhang: Jedes Unternehmen kann es anwenden, ohne dazu diverse Abstraktionsebenen einrichten zu müssen oder komplexe Prozessschemata zu entwickeln. Die fundamentalen IT-Prozesse lassen sich direkt einer systematischen und objektiven Beurteilung unterziehen.

Zutaten gut verrühern

Was heißt das in der Praxis? CMMI-SVC verhandelt immerhin seit Satz 24 definierten Prozessgebieten auf hohem Abstrationsniveau, hinzu kommen ungezählte generische sowie spezifische Ziele und Maßnahmen für jedes Prozessgebiet. Für kleinere Unternehmen ist das unnötig abstrakt un kompliziert, einige Teile sind jedoch sinnvoll einzusetzen. Man kann die überflüssigen Prozessgebiete ohne schlechtes Gewissen einfach ignorieren. Die Reifegrade des CMMI lassen sich dann hervorragend mit den „übergeordneten Aspekten“ des BSI-Grundschutzkatalogs verrühren.

Grundschutzbausteine

Dieses sind die übergeordneten Aspekte im BSI-Grundschutz mit der in den BSI-Katalogen verwendeten systematischen Bezeichnung B 1.0 bis B 1.13 („B“ steht für „Baustein“): IT-Sicherheitsmanagement, Organisation Personal, Notfallvorsorgekonzept, Datensicherungskonzept, Datenschutz, Computervirenschutzkonzept, Kryptokonzept, Behandlung von Sicherheitsvorfällen, Hard- und Softwaremanagement, Standardsoftware, Outsourcing, Archivierung sowie IT-Sicherheitssensibilisierung und -schulung. Ergänzt wird as Ganze für den beschriebnen Zweck mit „B 1.14 Netzwerkkomponenten“, der technische Einrichtungen wie Firewall, Content-Filter und WLAN erfasst.

Damit fallen erstens die spezifischen Ziele und Praktiken des CMMI-SVC weg. Und zweitens sind für eine funktionierende IT in kleineren Umgebungen die drei oberen Fähigkeitsgrade für Prozessgebiete in aller Regel entbehrlich. Es genügt, sich auf die drei unteren Reifestufen „unvollständig“, „durchgeführt“ und „geführt“ zu beschränken (im Englischen etwas prägnanter bezeichnet als „incomplete“, „performed“ und „managed“).

Auf dem Weg zur Reife

Das Reifegradmodell CMMI definiert die Übergänge von einem Fähigkeisgrad zum nächsten präzise. Jder Übergang ist mit generischen Zielen (generic goal) und konkreten Maßnahmen (generic practise) verknüpft. Für den Übergang von Fähigkeitsgrad 0 „incomplete“ nach Fähigkeitsgrad 1 „performed“ gilt es, die spezifischen Ziele des entsprechenden Prozessgebietes zu erreichen. Dieses Ziel verlangt nur eine Maßnahme, nämlich „spezifische Praktiken durchführen“.

Erheblich komplexer ist der Übergang von Fähigkeitsgrad 1 „performed“ zu Fähigkeitsgrad 2 „managed“. Dem Ziel der Instutionalisierung des Prozessgebietes sind zehn generische Praktiken zugewiesen. Flankiert werden sie von den übergeordneten Managmentaufgaben „organisationsweite Leitlinien etablieren“ und „Umsetzung mit dem höheren Management prüfen“. Die übrigen Maßnahmen beinhalten zunächst die sorgfältige Vorbereitung und Durchführung der Prozesse, konkret: „Arbeitsabläufe planen“, „Ressourcen bereitstellen“, „Rechte und Pflichten zuweisen“ sowie „relevante Stakeholder indentifizieren und einbeziehen“. Es folgt ein geregeltes Management der laufende Prozesse in Form von „Arbeitsergebnisse verwalten“, „Prozess überwachen und steuern“ sowie „Prozesseinhaltung objektiv bewerten“. Und zu guter Letzt kommt „aus- und weiterbilden.“

Aus der Kombination von CMMI-SVC und BSI-Grundschutz entsteht ein gleichzeitig einfaches und umfassendes Bewertungsmodell. Es umfasst alle Maßnahmen, von einem Reifegrad zum nächsten zu gelangen. Der erste Schritt von „incomplete“ nach „performed“ ist einfach: Die geeigneten „spezifischen Praktiken“ müssen zunächst einmal „durchgeführt“ werden. Im zwieten Schritt wird es erheblich interessanter. Um vom Reifegrad „perfomed“ zu „managed“ zu gelangen, müss das Unternehmen eine ganze Reihe von Maßnahmen umsetzen. In der Sprache des CMMI werden die Prozessgebiete instutionalisiert.

Stabile Verbindungen

Die Frage, ob man die IT technisch betrachtet oder sich auf Workflows konzentriert, greift zu kurz. Denn das Entscheidende ist die Verzahnung von unternehmerischen Bedarf, technischen Lösungen und organisatiorischer Führung. Fast alle Maßnahmen für das Erreichen von Reifegrad 2 lasen sich den beiden Kategorien Kommunkation und Dokumentation zuordnen. Die Erfahrung bestätigt, das IT in solchen Unternehmen einen schweren Stand hat, in denen es an diesen beiden Komponenten hapert.

Zurück zu den Eingangsbeispielen. Das CMMI-Modell ermöglicht das einfache Beschreiben des Missstandes. Die Prozesse haben den Fähigkeitsgrad 1 erreicht, das heißt, der technische Teil wurde abgeschlossen, die Administratoren haben ihre Aufgabe scheinbar erledigt. Stimmt aber nicht, denn der Prozess ist nicht „gemanagt“ beziehungsweise institutionalisiert. In beiden Fällen lassen sich klar die verfehlten generischen Praktiken benennen.

Im ersten Beispiel, das man betiteln könnte mit „fehlende Langfristigkeit in unternehmerischer Planung“, lassen sich die Versäumnisse dem BSI-Baustein IT-Sicherheitsmanagement zuordnen. Das Unternehmen hat weder organisationsweite Leitlinien etabliert noch sind seine Arbeitsabläufe langfristig planbar. Schulung und Weiterbildung bleiben hinter den Anforderungen zurück und die Prozesse werden nicht ausreichend überwacht und gesteuert. Eine objektive Bewertung der Prozesseinhaltung findet ebenso wenig statt wie die Prüfung der Umsetzung mit dem höheren Management.

Individuelle Backmischung

Der zweite Fall lässt sich als „fehlende gemeinsame Strategie von Geschäftsleitung und IT-Abteilung“ einordnen. Es mangelt an IT-Sicherheitszielen und IT-Richtlinien, Anforderungen für die Datensicherung gibt es nicht, oder es kennt sich niemand. Erforderliche Richtlinien über Software und sicherheitsrelevantes Verhalten sind entweder nicht vorhanden oder die IT-Administration kann sie nicht durchsetzen. In der Folge entsteht unnötiger Administrationsaufwand, womöglich bilden sich Sicherheitslücken, in jedem Fall sinkt die Servicequalität.

In diesen Fallbeispielen trifft die Charakterisierung von CMMI-Reifegrad 1 den Nagel auf den Kopf. Um das, obwohl es möglicherweise weder an technischer Kompetenz noch an finanziellen Mitteln fehlt. In beiden Beispielen passen die Versäumnisse zum übergeordneten BSI-Baustein IT-Sicherheitsmanagement. Die generischen Praktiken lassen sich jedoch ebenso gut auf technische Prozessgebiete, etwa den Baustein „Computervirene-Schutzkonzept“ oder organisatorische Maßnahmen wie „Behandlung von Sicherheitsvorfällen“ anwenden. Bestimmte Kombinationen von Bausteinen und generischen Praktiken ergeben freilich keinen rechten Sinn: Personal kann aus- und weitergebildet werden, ein Outsourcing-Partner aber wohl kaum. Hier sollte man in einige Felder der Matrix großzügig den Wert N/A eintragen. Das Vorteilhafte an diesem Modell bleibt bestehen: Die konkreten BSI-Bausteine zusammen mit den Maßnahmen des CMMI zeigen einen praktischen Weg, den Reifegrad von TI-Services durch Verbesserung der einzelnen Prozessgebiete zu erhöhen. Die notwendigen Schritte sind weder aufwendig noch stark abstrahiert, die Organisation kann sich die Prozessgebiete in beliebiger Reihenfolge und individuellem zeitlichen Rahmen vornehmen.

Übung macht nicht automatisch den Meister. Der Erfolg einer IT-Administration hängt (für manche überraschend) nicht von der Kombination aus technischer Kompetenz und guter finanzieller Ausstattung ab, wiewohl beides wünschenswert ist. Stabile IT-Prozesse mus das Unternehmen organisatorisch verankern, also insitutionalisieren. Mit dem CMMI-Reifegradmodell, zusammen mit Grundzügen des BSI-Grudnschutzkatalogs, bietet sich ein freies Werkzeug an, mit dem auch kleine Firmen „gemanagte“ Prozesse etablieren können, die langfristig funktionieren.

Und um noch in einem dritten Revier zu wildern, zum Abschluss die goldene Weisheit darüber, was dem Kunden schmeckt: Die Servicestrategie eines Diensteanbieters muss auf der klaren Erkenntnis beruhen, dass die Kunden kein Produkt kaufen, sondern die Befriedigung ihrer speziellen Bedürfnisse. Das gilt auch im Verhältnis zwischen IT- und Fachabteilung.

Quelle: