Der IT-Betrieb

Tipps zum professionellen IT-Betrieb, Best Practices, Data Management, Vorgangsweise bei Problemen mit dem IT-Lieferanten oder Support-Partner.

Professioneller IT-Betrieb

Ein professioneller IT-Betrieb setzt entsprechende IT Planung voraus (siehe IT-Management).

Applikationsverantwortlicher, Service-Management

Für alle wichtigen IT Anwendungen sollte es Applikationsverantwortliche (Application Manager) geben.

Die Aufgabe des Applikationsverantwortlichen ist, sich um alle Themen betreffend einer IT-Lösung zu kümmern. Dabei orientiert er sich am SLA, falls einer für die Anwendung vereinbart wurde.

Der Applikationsverantwortliche ist auch der Ansprechpartner für IT-Dienstleister.

Betrieb der IT-Infrastruktur

Der Betrieb der IT-Infrastruktur umfasst:

  • Netzwerk-Management
    • internes Netzwerk (LAN)
    • Internet-Anbindung (WAN)
    • Verbindung zu Außenstellen, Tunnel (VPN)
    • IT-Security-Systeme (Firewall)
  • Drucker-Management
    • Drucker und Kopierer
  • Client-Management (PCs, Notebooks, Smartphones, Tablets)
    • Standard-Installation
    • Softwareverteilung: Installation von Updates für Betriebssystem und Standard Software
    • Fernzugang (Remote Access)
  • Server- und Storage-Management
    • Überwachung und Korrektur von Fehlern
    • Installation von Updates
    • Anpassungen der Konfiguration
  • Inventory-Management
    • Hardware: Modelle und Seriennummern
    • Software: installierte Version und Lizenzen

Der Betrieb der IT-Infrastruktur durch eigene Mitarbeitern ist auch für KMU sinnvoll, da diese vor Ort sind und Fehler/Defekte schneller beheben können.

Je nach Größe des Unternehmens kann eine zentrale Verwaltung der Endgeräte (Client/Device Management) effizienter sein. Der Gesamtaufwand für das Management der Endgeräte muss damit geringer werden.

IT Support

Der IT Support unterstützt die Anwender bei der Nutzung der IT.

Auch für KMU ist es sinnvoll, ein (Open Source) Support-Ticketing System zu nutzen, um die Anfragen zu dokumentieren. Ein solches System hilft die Übersicht zu behalten, wenn mehrere Anfragen gleichzeitig eintrudeln.

Überlegungen zur Auslagerung des IT-Supports an einen IT-Dienstleister finden Sie unter IT-Management.

Erster Kontakt mit dem IT-Support

Den Erstkontakt übernimmt der First-Level-Support im Rahmen des Incident-Management (ITIL).

Alle User müssen wissen, wie sie den IT-Support (Servicedesk) erreichen und welche Informationen dieser benötigt, um Anfragen bearbeiten zu können. Die User sollen den Servicedesk auch per Telefon erreichen können, da eine schriftliche Problembeschreibung für sie oft zu schwierig ist.

Auch die Servicedesk Mitarbeiter sollten bei Rückfragen lieber zum Telefon zu greifen oder bei kurzem Weg den Anfrager besuchen: persönlich ist die Klärung wesentlich effizienter als via E-Mail Ping-Pong.

Um den Servicedesk Mitarbeitern den Zugriff auf den Bildschirm des Users zu ermöglichen, sollte Desktop Sharing oder Remote-Access möglich sein. Windows hat das bereits eingebaut bzw. gibt es VNC als freie Lösung.

Support durch den Spezialisten

Wenn der First-Level-Support den „Incident“ nicht lösen kann, dann gibt er es weiter an einen Spezialisten für die IT-Lösung (Second-Level-Support).

Der Second-Level-Support wird versuchen den Fehler zu reproduzieren und Ursache zu finden. Für einen Fehler (Bug) in einer gelieferten IT-Lösung öffnet der Second-Level-Support ein Support-Ticket beim Hersteller bzw. Lieferanten (Third-Level-Support).

Der Second-Level-Support kümmert sich auch um das „Problem-Management“, wobei wiederkehrende „Incidents“ analysiert und die Wurzelursache behoben wird.

IT-Sicherheitsmanagement und Datenschutz

Die Erfahrung zeigt, dass IT-Security separat betrachtet werden muss, da es ansonsten untergeht. Auch wenn IT-Systeme reibungslos funktionieren, heißt das noch lange nicht, dass sie auch sicher sind.

Deshalb sollte es auch im KMU zumindest eine Person geben, welche die Perspektiven IT-Sicherheit und Datenschutz abdeckt: der IT-Security-Beauftragte.

Die wesentlichen Aufgaben des IT-Security-Beauftragten sind:

  • Für die Einhaltung der DSGVO und ggf. anderer relevanter Gesetze/Regelwerke (z.B. NISG) sorgen (siehe Gesetze im IT-Umfeld)
  • Kritische Systeme regelmäßig auf Schwachstellen überprüfen lassen (Vulnerability Check)
  • IT-Security Meldungen der Hersteller als Support-Ticket erfassen und Lösung verfolgen
  • Für Security-by-Design, Privacy-by-Design bei Implementierungen von IT-Lösungen sorgen

Da eigene IT-Security Expertise für ein KMU selten leistbar ist, sollte sich der IT-Security-Beauftragte auf die Planung und Koordination konzentrieren und die Umsetzung (z.B. Vulnerability Checks) IT-Security Dienstleistern übergeben.

Konkrete Tipps zur Vorgangsweise bietet die WKO IT-Security Experts Group im IT-Sicherheitshandbuch für KMU.

User- und Admin-Schulungen

Auch neue User sollten ein Schulung für die eingesetzten IT-Lösungen bekommen.

Best Practices für den IT-Betrieb

Mit ITIL (bzw. ISO 20000) gibt es ein gutes Best Practice Modell für den das IT-Service Management:

  • Incident-Management
    • Implementierung eines Servicedesk (Helpdesk) zur Bearbeitung von „Incidents“ mit der IT und Hilfestellung für User
  • Access-Management
    • Anforderung, Genehmigung und Verwaltung von User-Accounts
    • Wird operativ meist vom Servicedesk abgedeckt
  • Problem-Management
    • Analyse wiederkehrender „Incidents“, welche damit als „Problem“ eingestuft und genauer analysiert werden
    • Wird operativ meist vom Second-Level-Support in Abstimmung mit dem Service/Application Manager abgedeckt
  • Change-Management
    • Planung und Freigabe von IT-Änderungen
    • Wird operativ vom Service/Application Manager abgedeckt

Kritische Incidents

Bei kritischen Incidents, welche den IT-Betrieb massiv beeinträchtigen, sollte nach einer ersten Fehlereingrenzung rasch eine Umgehungslösung (Work-Around) implementiert werden.

Mit dem Work-Around sollte der Betrieb ggf. eingeschränkt weitergehen können. Damit kann die weitere Fehlereingrenzung/Behebung in Ruhe erfolgen.

Änderungen im IT-Betrieb planen und durchführen

Nutzen Sie den ITIL Best Practice Prozess „Change-Management“ zur Planung und Umsetzung von Änderungen an einer bestehenden IT-Lösungen.

Wann brauche ich das?

Die meisten IT-Lösungen müssen mit der Zeit angepasst bzw. verändert werden:

  • Installation von Software-Updates und Upgrades ist notwendig, um den Support des Herstellers aufrecht zu erhalten
  • Formulare, Berichte o.ä. müssen angepasst werden
  • Neue oder geänderte Gesetze/Standards verlangen eine Anpassung der IT-Lösung
  • Betriebliche Abläufe haben sich verändert und die IT-Lösung muss angepasst werden
  • Eine funktionale Erweiterung der IT-Lösung ist gewünscht
  • usw.

Professionelle Vorgangsweise bei Änderungen

Änderungen an produktiven IT-Systemen sollten vor deren Durchführung gut geplant und hinsichtlich ihrer Auswirkungen evaluiert werden. Damit soll verhindert werden, dass es zu unerwarteten Problemen oder gar zu Betriebsausfällen kommt.

Größere Änderungen an der IT-Lösung (z.B. ein Upgrade auf eine neue Major-Release) sollten als IT-Projekt durchgeführt werden, um eine ordentliche Vorbereitung sicherzustellen.

ITIL bietet eine Best-Practice für die Abwicklung einer Änderung (Change-Management).

Kleine Änderungen

Bei kleinen, unkritischen Änderungen kann der Change-Management-Prozess abgekürzt werden:

  • Prozess-Schritte 1-7 wie vorher beschrieben durchführen
  • Der Application Manager kann den Change Request im Alleingang erarbeiten
  • Reduktion der Evaluation auf die potentiell kritischen Punkte
  • Information an das Change Advisory Board anstatt formelle Freigabe einzufordern

Data Management

Tipps finden Sie unter Data Management: Die Mühen der Umsetzung.

Probleme mit dem Lieferanten im IT-Betrieb

Es kommt leider öfters vor, dass IT-Lieferanten bzw. Support-Partnern Vereinbarungen nicht einhalten.

Mangelhafter Support

Wenn der Lieferant den Support-Vertrag nicht einhält, dann sollten Sie das protokollieren und spätestens im nächsten Service-Meeting zur Sprache bringen. Eine gute Dokumentation ist Gold wert, wenn es später zu einem Rechtsstreit kommt.

Ist der Lieferant zu einer Verbesserung bereit, dann sollten Sie ihm dazu auch die Möglichkeit geben. Definieren Sie mit ihm dazu die konkreten Verbesserungsmaßnahmen mit Terminen (Frist zur Nachbesserung) und Ergebnissen. Kontrollieren Sie die Umsetzung und besprechen Sie das in den folgenden Service-Meetings.

Wenn es damit trotzdem zu keiner Verbesserung kommt:

  • Überlegen Sie eine vorzeitige Auflösung des Support-Vertrages und binden Sie dazu einen Juristen ein.
  • Wenn Sie den Vertrag trotz allem fortführen wollen, könnten Sie eine Vertragsanpassung nach dem Prinzip „weniger Leistung, weniger Geld“ verhandeln.

Diskussion um Fehler und Bugs

Sie finden einen Fehler in der gelieferten IT-Lösung und melden diesen an den Lieferanten.

Wenn der Lieferant/Hersteller nun der Meinung ist, dass das kein Fehler bzw. Mangel ist („it’s a feature, not a bug“):

  • Mit Ihrer Dokumentation zur Auswahl und Implementierung der IT-Lösung prüfen Sie, ob ein Mangel vorliegt:
    • Widerspricht die Funktion der Dokumentation des Herstellers oder des Lieferanten?
    • Welche Anforderung ist damit nicht erfüllt?
    • Welche Vereinbarung ist damit verletzt?
  • Prüfen Sie auch, ob dieser Fehler bereits einmal bemängelt wurde und was in weiterer Folge damit passiert ist.
  • Nach dieser Prüfung haben Sie hoffentlich handfeste Argumente für die Durchsetzung der Mängelbehebung.

Sollte die Prüfung ergeben, dass keine schriftliche Vereinbarung verletzt wurde, bleibt Ihnen ggf. noch das Argument, dass das nicht dem Industriestandard („state-of-the-art“) entspricht. Das ist allerdings eher ein schwaches Argument und meist schwer beweisbar.  

Schlechte Karten haben Sie auch, wenn die nun bemängelte Funktion während der Implementierungsphase bereits im Detail getestet und ohne dokumentierten Mangel abgenommen wurde.

Sie können dann immer noch versuchen:

  • Eine kulante Behebung zu erreichen
  • Eine Teilung der Kosten zu vereinbaren
  • Das als Änderungswunsch für eine zukünftige Software-Version anzumelden

Muss ich Updates installieren?

Im Rahmen der Fehleranalyse bzw. Problembehebung verlangen Software-Hersteller oft, dass die aktuellen Updates installiert werden.

Dagegen gibt es wenig zu sagen, den Updates/Fixes sind zur Problembehebung da. Wenn Sie aber Zweifel haben, dass damit das Problem behoben wird:

  • Fordern Sie die Release-Notes des Updates, in dem die Behebung ihres Problems beschrieben ist
  • Installieren Sie das Update erst nur auf dem Test-System und prüfen danach, ob das Problem behoben ist.

Wenn der Hersteller gar ein Upgrade (neues Major-Release) verlangt:

  • Prüfen Sie im Support-Vertrag, wie lange eine Software-Version vom Hersteller unterstützt wird. Während dieser Zeit muss der Hersteller Patches bzw. Updates zur Fehlerbehebung bereitstellen. Erst nach Ablauf dieser Zeit kann der Lieferant bzw. Hersteller ein Upgrade der Software auf eine höhere Version verlangen.

Prinzipiell bitte um Vorsicht bei der Installation von Updates vor allem bei betriebskritischen IT-Anwendungen:

  • Erst auf dem Test-System installieren und prüfen
  • Den ITIL „Change-Management“ Prozess anwenden

Weitere Informationen zum IT-Betrieb

ITIL Best Practices findet sich auf der Website wiki.de.it-processmaps.com sowie auf Wikipedia.

Die ITIL-Prinzipien wurden im Wesentlichen in den int. Standard für IT-Service-Management ISO/IEC 20000 übernommen. Das Normdokument kann auf www.iso.org bzw. www.austrian-standards.at käuflich erworben werden.