Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

21.02.2006

Wie sich System-Management rechnet

Steffen Hartmaier 
Oft scheuen mittelgroße Unternehmen die Kosten für eine System-Management-Lösung. Doch es gibt Berechnungsansätze, um zu beurteilen, ob die Werkzeuge sich lohnen.
Die Wirtschaftlichkeit einer Identity-Management-Lösung im Mittelstand sollte man über maximal drei Jahre berechnen, da der technische Fortschritt in der IT länger andauernde Investitionen nur in seltenen Fällen rechtfertigt. Für die Berechnung des möglichen indirekten Nutzens helfen Modellrechnungen wie zum Beispiel von Gartner (Decision Engine) oder Alinean (Dashboard), die regions- und branchenspezifische Firmenprofile in ihren Wirtschaftlichkeitsbetrachtungen hinterlegen und so auch Benchmarks ermöglichen.
Die Wirtschaftlichkeit einer Identity-Management-Lösung im Mittelstand sollte man über maximal drei Jahre berechnen, da der technische Fortschritt in der IT länger andauernde Investitionen nur in seltenen Fällen rechtfertigt. Für die Berechnung des möglichen indirekten Nutzens helfen Modellrechnungen wie zum Beispiel von Gartner (Decision Engine) oder Alinean (Dashboard), die regions- und branchenspezifische Firmenprofile in ihren Wirtschaftlichkeitsbetrachtungen hinterlegen und so auch Benchmarks ermöglichen.

Während in großen IT-Organisationen System-Management-Werkzeuge einen elementaren Bestandteil der IT-Strategie darstellen, sind mittelständische Organisationen in dieser Disziplin deutlich zurückhaltender. Die vermeintlich hohen Kosten für den Betrieb einer solchen Lösung wirken immer noch abschreckend. Doch auch für kleinere bis mittlere IT-Abteilungen gibt es System-Management-Strategien, nach denen sich die Werkzeuge wirtschaftlich einsetzen lassen.

Fazit: Was Pflicht ist und was Kür

• Bei der Auswahl von System-Management-Werkzeugen sind auch für mittelständische IT-Abteilungen Funktionen zum Schutz vor Angriffen, zur Datensicherung und Softwareverteilung unabdingbar.

• In den Bereichen Verfügbarkeit und Performance sowie Benutzerverwaltung und Storage-Optimierung verspricht die Tool-Unterstützung Mittelständlern ebenfalls große Einsparungen.

• Funktionen zum automatisierten Provisionieren von Systemen eignen sich dagegen nur für bestimmte Fälle.

• Eher die Ausnahme im Mittelstand sind Service-Management-Funktionen, die für einen wirtschaftlichen Betrieb ein hohes Maß an Automation erfordern.

• Die Zusammenführung der gesamten Konfigurationsdaten in einer zentralen CMDB birgt heute noch hohe Risiken, da sich die Techniken in einer frühen Entwicklungsphase befinden.

Identity-Management in Zahlen (Angaben in Euro)

Kosten Initial Jahr 1 Jahr 2 Jahr 3

Implementierung intern 0 32 000 0 0

Implementierung extern 0 92 000 0 0

Schulung 6000 6000 0 0

Lizenzen und Wartung 200 000 0 40 000 40 000

Hardware und Wartung 10 000 0 1000 1000

Laufender Betrieb 0 38 500 39 000 39 500

Gesamtkosten 216 000 168 500 80 000 80 500

Kumulierte Gesamtkosten 216 000 384 500 464 500 544 000

Direkter Nutzen

Einsparungen L1 - Helpdesk 0 17 000 23 000 23 000

Einsparung L2 - Operation 0 83 500 121 000 135 500

Einsparungen L3 - Specialists 0 29 000 86 500 115 500

Einsparungen Hardware/Wartung 0 0 0 0

Einsparungen Lizenzen/Wartung 0 0 0 0

Gesamtnutzen (direkt) 0 129 500 230 500 274 000

Kumulierter Gesamtnutzen 0 129 500 360 000 634 000

Indirekter Nutzen

Reduzierte Ausfallzeit 0 70 000 100 000 100 000

Geringere Eigenbelastung der 0 50 000 75 000 75 000 Endanwender

Gesamtnutzen (indirekt) 0 120 000 175 000 175 000

Kumulierter indirekter Nutzen 0 120 000 295 000 470 000

Bei der Ermittlung der Wirtschaftlichkeit sind direkt messbare Einsparungen das entscheidende Kriterium. Hier das Beispiel einer Wirtschaftlichkeitsbetrachtung im Bereich Identity-Management für ein mittelständisches Unternehmen. Die Tabelle bildet ein allgemein nutzbares Gerüst für solche Berechnungen. Unter "initiale Kosten" versteht man häufig Lizenzkosten, da sie vor Beginn eines Projekts anfallen.

Hier lesen Sie …

• welche System-Management-Disziplinen für eine Wirtschaftlichkeitsbetrachtung herangezogen werden sollten;

• was typische, aus Projekterfahrung abgeleitete Eckdaten für eine Wirtschaftlichkeitsberechnung sein können;

• wie ein RoI-Beispiel mit seinen direkten und indirekten Einsparungen sowie Kosten über einen Zeitraum von drei Jahren aussieht.

Die Basis solcher Strategien bilden die vier Grundpfeiler des System-Managements:

• Bereitstellen der IT-Leistung (Provisioning),

• Sicherstellen der Verfügbarkeit und Performance (Availability),

• Zugriffsschutz und Vertraulichkeit (Security) sowie

• Wiederherstellbarkeit im Fehlerfall (Backup und Restore - heute generell Storage oder Optimization genannt).

Daneben ist für IT-Organisationen, die als Profit-Center arbeiten, noch zwingend ein Business-Service-Management erforderlich, das für Kunden die in Leistungsscheinen oder Service-Levels garantierte Dienstleistung auswertet und in Rechnung stellt. Typischerweise wird dieser Bereich durch ein zentrales Helpdesk- oder Service-Center ergänzt.

Security und Storage sind in erster Linie durch ihre zwingende Notwendigkeit gekennzeichnet, mögliche Einsparungen spielen eine untergeordnete Rolle. Denn erst der nicht erwünschte Fehlerfall würde den konkreten Nutzen aufzeigen. Entsprechend geht es in beiden Bereichen primär darum, die Vorkehrungen so effektiv und effizient wie möglich zu gestalten, um das notwendige Maß an Schutz und Sicherheit zu gewährleisten.

Nachdem diverse Viren- und Wurmattacken das Sicherheitsbewusstsein gesteigert haben, haben sich inzwischen auch im Mittelstand Tools zur Abwehr (Virenscanner, Intrusion Detection, Firewall, etc.) durchgesetzt. Doch dabei bleibt es vielfach. Sehr viel seltener finden sich Werkzeuge zur Benutzerverwaltung (Identity-Management) und Zugriffskontrolle (Access-Management). Accounts werden häufig noch manuell gepflegt, dasselbe gilt für die Rechtevergabe.

Zentrale Benutzerpflege

Die Werkzeuge für Identity-Management bieten in der Regel eine zentrale Pflege der Benutzer und Gruppen mit ihren Rechten über rollenbasierende Konzepte. Grundlage sind LDAP-Directories, teilweise als reine Directory-Ansätze (damit für ältere Anwendungen nur begrenzt einsetzbar) und teilweise mit heterogenen Agenten (universell). Die Einsparungen durch solche Lösungen ergeben sich direkt aus dem deutlich geringeren Aufwand für das Zurücksetzen von Kennworten (Self-Service-Funktionen) und der generell einfacheren Administration. Der mögliche indirekte Nutzen wie etwa die Zeitersparnis durch ein Single-Sign-on wird hier nicht voll berücksichtigt. Auch ist es in der Praxis derzeit unerheblich, ob in diesem Bereich Open-Source- oder kommerzielle Systeme eingesetzt werden, da Letztere deutlich mehr Funktionen bieten, die bei Open-Source-Software mit den entsprechenden Kosten erst noch entwickelt werden müssen.

Erfahrungsgemäß kann die Erstellung der notwendigen Security-Policies, die Aufnahme der bestehenden Rechtestrukturen sowie die interne organisatorische Sensibilisierung für ein derartiges System je nach verwendetem Produkt Personentage in dreistelliger Zahl beanspruchen. Die reine Implementierung der Lösung dauert dagegen wenige Tage.

Im Zusammenhang mit den Kosten für Lizenzen, Hardware mit Testumgebung sowie dem laufenden Aufwand für die Betreuung der Applikationen lässt sich folgende Faustregel aufstellen: Wird eine Amortisation innerhalb von drei Jahren erwartet, ergeben sich die dafür notwendigen Einsparungen erst ab rund 2000 Mitarbeitern, die im Durchschnitt über vier Accounts verfügen (zum Beispiel E-Mail, SAP-System, Unix und Windows). Ausnahmen bilden Organisationen mit großen Fluktuationsraten oder mit einem hohen Anteil an eigenentwickelter Software.

Die Bedeutung der Datensicherung hat sich in den letzten Jahren aufgrund des technischen Fortschritts stark gewandelt. Grundsätzlich geht es noch immer um das Vorhalten der aktiven Daten und deren Sicherung in mindestens einem redundanten Zweitsystem.

Datensicherung

Spielten früher in diesem Zusammenhang schnelle Festplatten und preiswerte Bandgeräte eine Rolle, kommen heute virtualisierte Speichersubsysteme, Network Attached Storage (NAS) und andere Techniken für Speichernetze ins Spiel, insbesondere weil die Zeitspannen für die Sicherung zu klein geworden sind oder im Falle eines 7-mal-24-Stunden-Betriebs gar nicht mehr existieren.

Moderne Systeme zur Datensicherung schreiben daher nur jeweils geänderte Daten neu, statt auch die unveränderten Daten immer wieder neu zu sichern. Auch das Sicherungsmedium Band ist nicht mehr zwingend, da die Preise von einfachen Festplatten unter Umständen bereits ein Sichern von Disk (leistungsfähig) zu Disk (preiswert) sinnvoll erscheinen lassen. Hier liegt auch die Bedeutung der Virtualisierungstechnik: Sie bietet die Möglichkeit, ohne eine Umstellung der Anwender oder Benutzer die Daten von einem teureren auf einen preiswerten Speicher zu verlagern und damit die Investitionen in Speichersubsysteme zu reduzieren. Als Nebeneffekt kann zum Beispiel die Wartung auch während der normalen Arbeitszeit und nicht am Wochenende erfolgen.

Kein Halt vor Virtualisierung

Berechnungen zeigen, dass insbesondere kleinere Organisationen mit entsprechend großen Datenbeständen auf hochwertigen Speichersubsystemen aus Virtualisierungssoftware und preiswerten NAS-Speichern einen Nutzen ziehen können. Der Implementierungsaufwand der Virtualisierung ist gering - entscheidend ist eine zuverlässige Planung und Analyse der Datenbestände. Die Lizenzkosten der Systeme sind so gestaltet, dass ein Return on Investment (RoI) innerhalb von ein bis zwei Jahren eintritt. Open-Source-Lösungen sind in diesem Bereich praktisch nicht präsent.

Seit gezielte Attacken gegen Sicherheitslücken in Betriebssystemen und Anwendungen aufkommen, ist die automatisierte, regelmäßige Pflege und Wartung der Systeme zu einer Pflicht für jede IT-Organisation geworden. Entscheidend ist die gezielte Steuerung und Ausführung der Vorgänge, wobei zunehmend zentral operierende Systeme diese Aufgabe übernehmen. Sie ermöglichen eine Verteilung notwendiger Korrekturen auch ohne Einwilligung der Benutzer. In diesem Bereich wird eine Entscheidung für kommerzielle Lösungen meist von den benötigten Zusatzfunktionen getrieben, so wie eine effektive Bandbreitennutzung oder ein breiteres Plattformspektrum. Die meist kostenlosen betriebssystem- und hardwarenahen Lösungen bieten solche Features nicht.

Wenn die Komplexität steigt

Neben diesen elementaren Bestandteilen jeder IT-Tool-Strategie gewinnt das Einrichten und Steuern von virtualisierten Systemen (VMware, LPARs etc.) zunehmend an Bedeutung. Hier erhöht sich die Komplexität dergestalt, dass neben dem reinen Image für die Anwendung auch Netzwerk- und Storage-Komponenten bereitgestellt werden müssen. Die manuelle Verwaltung dieser Systeme erfordert viel organisatorische Disziplin. Größere Organisationen verwenden hierzu bereits Konfigurationsdatenbanken (CMBD) nach dem Vorbild der IT Infrastructure Library (Itil).

Kleine Schritte

Der Aufwand, um solche Systeme einzurichten und zu pflegen, ist für mittelständische Organisationen noch mit hohem Risiko verbunden, zumal die Techniken zurzeit rasch weiterentwickelt werden. Sinnvoller ist deshalb der Start mit einfachen Provisionierungssystemen und deren Eingrenzung auf bestimmte Aufgaben wie etwa für SAP-Applikationen, Web-Anwendungen oder Citrix-Installationen. Hierfür bietet der Markt ausgereifte Produkte, die eine einfache und schnelle Bereitstellung solcher Provisioning-Bereiche ermöglichen. Ein wirtschaftlicher Betrieb ergibt sich allerdings nur in weitgehend homogenen und standardisierten Landschaften mit mindestens 50 gleichartigen Systemen.

Während für Virtualisierungstechniken mehrere Open-Source-Projekte Alternativen zu den gängigen kommerziellen Lösungen versprechen, sind für das Provisioning nur kommerzielle Lösungen vorhanden. Zum Teil gibt es sie kostenlos, weil sie an die Hardware gebunden sind.

Versteckter Nutzen

Mit der Verfügbarkeit und Performance von Anwendungen gehen große und mittelständische Unternehmen sehr unterschiedlich um. Im Mittelstand ist aus den Zeiten der ersten System-Management-Frameworks oft noch der Eindruck präsent, dass integrierte Lösungen sehr aufwändig zu implementieren sind und umgekehrt eine Vielzahl von Einzellösungen nicht handhabbar ist. Hier wird ein Faktor deutlich unterschätzt: Der Nutzen eines zuverlässigen Availability-Managements liegt nicht nur in der direkten Erkennung und möglicherweise automatisierten Beseitigung von Störungen, es liefert auch die Datenbasis für Kapazitätsplanung und Ressourcenauslastung. Viele IT-Abteilungen folgen bei Planung und Prognose dem Prinzip "Wer schreit am lautesten", anstatt ihre IT-Budgets an objektiv nachvollziehbaren Kriterien auszurichten.

Die heute führenden Availability- und Performance-Systeme bestehen nicht mehr aus einer Fülle unterschiedlicher Einzelkomponenten, die mühsam zusammengeführt werden müssen, sondern bieten leistungsfähige integrierte Management-Portale, in denen alle Informationen zusammenlaufen. Nach einer zentralen aktiven Alarmierung kann man direkt in die Analysewerkzeuge verzweigen, es lässt sich auf historische Daten zugreifen - und das alles bei Bedarf von zu Hause aus via Web-Browser. Solche Systeme lassen sich auch in größeren IT-Landschaften mit einem zweistelligen Aufwand an Personentagen implementieren und bieten sofort einen Nutzen. In der Praxis ergibt sich eine Wirtschaftlichkeit bereits ab rund 25 Servern. Die Entlastung kommt dabei hauptsächlich durch die Isolation von Problemen und das proaktive Erkennen von Störungen, was die Anfragen der Endanwender signifikant reduziert. Darüber hinaus bieten aktive Alarme auch die Möglichkeit eines Bereitschaftsbetriebs ohne Anwesenheit. Typische RoI-Zyklen in heterogenen ERP- und E-Mail-Umgebungen mit 100 bis 300 Servern gehen von einem Breakeven nach neun bis 18 Monaten aus.

Sinnvoll ist der Einsatz einer einheitlichen Technik, die es erlaubt, mit dem vorhandenen Fachwissen die unterschiedlichsten Systeme parallel zu betreuen. Leider gibt es unter den Availability- und Performance-Lösungen heute immer noch Produkte, die unter einem Namen eine Vielzahl unterschiedlicher Tools mit diversen zu erlernenden Oberflächen anbieten.

Grenzen des Service-Desk

Die Bereitstellung eines zentralen Service-Desks zur Entgegennahme von Kunden- und Nutzeranfragen hat sich bewährt, weil er die Fachkräfte entlastet und ihnen ein störungsfreies Arbeiten ermöglicht. Dazu trägt auch die Tool-gestützte Verwaltung dieser Anfragen über ein Trouble-Ticket-System bei.

Auch der Service-Desk profitiert von den zugrunde liegenden System-Management-Tools, indem er zum Beispiel direkt Kennworte zurücksetzen oder aktiv über die ungeplante Nichtverfügbarkeit einer Anwendung informieren kann.

Weitergehende Anbindungen wie etwa die Bereitstellung der kaufmännischen und technischen Daten zu einem Benutzer zeitgleich zu dessen Anruf klingen in der Theorie viel versprechend, sind in der Praxis jedoch für den Mittelstand überdimensioniert, da solche Implementierungen häufig den synchronen Abgleich von drei bis vier Datenbeständen erfordern.

Sofern IT-Organisationen als selbständige Profit-Center etabliert werden sollen, bietet sich auch im Mittelstand die Einführung von automatisierten Service-Level-Auswertungen an. Die Implementierung dieser Lösungen erfordert ein hohes Maß an Automation und Standardisierung des IT-Betriebs, um eine Wirtschaftlichkeit zu gewährleisten. Doch das ist heute selbst in großen IT-Organisationen noch selten anzutreffen. (ue)