ABWEHRMit Hilfe diese 15 Kategorien kann ermittelt werden, oballe wesentlichen Komponenten einer Unternehmens-IT implementiert sind.Prozessoptimierung mit CMMIDas Prozessreifegradmodell CMMI for Services (CM-MI-SVC) umfasst fünf Reifegrade und einen umfangreichenSatz von unterstützenden Prozessen. InZusammenhang mit der Bewertung kleinerer IT-Umgebungenreichen die beiden ersten Reifegrade aus. Imersten der beiden Reifegrade des CMMI Modells sinddie Ziele und Praktiken eines Prozesses definiert bzw.eingeführt; ein solcher Prozess heißt durchgeführt. Imzweiten Reifegrad ist der Prozess so geführt oder gemanagt,dass er langfristig und auch unter Belastungstabil ablaufen kann. In der Sprache des CMMI Modellsheißt so ein Prozess auch institutionalisiert.Ganz simpel ausgedrückt:• Reifegrad 1 heißt "Es gibt den Prozess."• Reifegrad 2 heißt "Der Prozess ist stabil angelegt."Es hapert manchmal schon an der klaren Definitioneines Prozesses. Aber insbesondere der Übergangvon Reifegrad 1 nach Reifegrad 2 wird in vielenkleineren Unternehmen nicht vollzogen, weilman glaubt, mit der Einrichtung einer IT-Komponenteoder eines Prozesses die Aufgabe abgeschlossenzu haben. Langfristige Stabilität und Zuverlässigkeiterreicht man aber nur durch kontinuierlichesKümmern, managen eben. Keiner kann sich auf seinGlück verlassen, dass Prozesse zufällig jahrelangstabil laufen.Es kommt noch etwas dazu. Dem CMMI Modell folgendhaben Prozesse drei Dimensionen, die auf ein<strong>and</strong>erabgestimmt werden müssen:• Prozessebene: Verfahren und Methoden, die dieAbhängigkeiten zwischen Aufgaben definieren• Technische Ebene: Tools und Ausstattung• Anwenderebene: Kompetentes, geschultes undmotiviertes PersonalDiese Drei werden im CMMI "Die Drei wichtigenDimensionen" genannt. Bei jeder Betrachtung einerIT sollte der Aspekt gegenwärtig sein, dass esnicht nur um Prozessbeschreibungen und geeigneteWerkzeuge geht, sondern auch um die Menschen,die die Werkzeuge einsetzen, die Prozesse führenund optimieren, und die letztlich die Produktivität erzeugen.Das Konzert kann beginnenMit dieser methodischen Dreistimmigkeit kann ein harmonischerIT-Check in vier Sätzen aufgeführt werden. Erbeginnt mit der Vorbereitung und dem Zusammentragenbzw. Bereitstellen von Information über die IT. Es hängtvom bisherigen IT-Management ab, ob das ein langsamerSatz ist oder ob er allegro molto gespielt werdenkann. Es folgen zwei Analyseteile: Die Risikoanalyseund die technische und organisatorische Evaluierung.Das Finale bilden die Auswertung der Ergebnisse unddas Erarbeiten von H<strong>and</strong>lungsempfehlungen.Für die Risikoanalyse ist es notwendig, die betrieblichenassets des Unternehmens konkret zu benennenund ihre Bedeutung für das Unternehmen sowie mög-Abbildung 3. Ablauf des IT-Checks.2411/2010
Kammerkonzert im Großen Saal – IT Sicherheit für KMUliche Risiken abzuschätzen. Im einfachen Fall gilt fürsämtliche assets eines Unternehmens ein geringer bismittlerer Schutzbedarf. Dann müssen lediglich grundlegendeAnforderungen erfüllt werden, etwa die unternehmerischeSorgfaltspflicht in Bezug auf die Datensicherheit,die gesetzlichen Vorgaben des Datenschutzesund ggf. Vertraulichkeitsvereinbarungen mit Kooperationspartnern.Für den Fall, dass betriebliche assets kritische Bedeutunghaben und deren Verlust oder Offenlegungkatastrophale Folgen für das Unternehmen nach sichziehen kann, sind erweiterte Sicherheitsmaßnahmenerforderlich. Das Gleiche gilt bei besonderen Anforderungenan die Verfügbarkeit an Systeme, z.B. beim Betriebvon Webshops.Im nächsten Teil werden alle oben genannten 15 Kategoriender BSI Grundschutzkataloge durchgearbeitet.Dabei fällt in kleineren Unternehmen die Antwort fürmanche Gebiete vielleicht ganz kurz aus. Zum Beispielbraucht keine explizite Archivierung sämtlicher Datenstattzufinden, wenn alle Daten im LAN verfügbar sindund die Datensicherung gut organisiert ist. Es gilt rechtlichder Grundsatz, Unterlagen "geordnet aufzubewahren"(genau wie für altmodische Aktenordner auch).In jeder der 15 Kategorien können Kriterien des CM-MI Reifegradmodells für einen geführten Prozess angew<strong>and</strong>twerden. Wie bereits beschrieben, ist der grundlegendeUnterschied zwischen einem durchgeführtenund einem geführten Prozess der, dass im ersten Falllediglich Prozessziele festgelegt sind und der Prozesseingerichtet wurde, im zweiten Fall außerdem Funktionund "Sinnhaftigkeit" des Prozesses regelmäßig geprüftwerden. Maßnahmen zum Erreichen des Prozessreifegrads2 sind:• Systeme und Einrichtungen gut planen (z.B. mitLeitlinien, Zuweisung von Ressourcen, Aufbau vonKompetenz)• Gute Kommunikation mit Beteiligten (sowohl Anwendernals auch Vorgesetzten der IT-Abteilung)• Prozesse sorgfältig überwachen und regelmäßigbewertenCMMI Reifegrad 1Beim Reifegrad 1 werden Arbeitsabläufe gewöhnlich ad hocund chaotisch durchgeführt. Der Erfolg hängt in solchen Organisationenvon der Kompetenz und dem Engagement derMitarbeiter ab und nicht vom Einsatz eines bewährten Prozesses.Trotz dieses Durchein<strong>and</strong>ers bringen Organisationenmit dem Reifegrad 1 häufig funktionierende Produkte undDienstleistungen hervor. Allerdings überschreiten sie oft dasBudget und halten ihre Termine nicht ein.Organisationen mit dem Reifegrad 1 zeichnen sich aus durcheine Neigung, sich zu viel zuzumuten, zur Vernachlässigungvon Arbeitsabläufen in Krisenzeiten und die Unfähigkeit, Erfolgezu wiederholen.Es ist die Erfahrung in vielen kleineren Unternehmen,dass dem Management von IT-Prozessen zu wenigAufmerksamkeit geschenkt wird.Der letzte Teil des IT-Checks, die Auswertung, ist derinteressanteste und anspruchsvollste Teil, weil dabei dieZusammenhänge zwischen Unternehmen, Zielsetzung,organisatorischen Vorgaben und den technischen undpersonellen Möglichkeiten hergestellt werden müssen.Den Ergebnissen der Risikoanalyse folgend haben dieverschiedenen IT-Komponenten unterschiedlich großeBedeutung. Instabilitäten oder Unsicherheiten einzelnerProzesse stellen unterschiedlich große Bedrohungenfür das Unternehmen dar. Es müssen vorh<strong>and</strong>eneMaßnahmen bewertet und ggf. bessere Methodenentwickelt werden. Dafür sind Erfahrung, Überblick undEinschätzungsvermögen nötig, kurz: Da ist Urteilskraftgefragt.Mit diesem IT-Check erhält man so nicht nur einenÜberblick über alle Komponenten der IT, sonderndazu auch eine systematische und objektiveBewertung der Prozesse, nebst praktischen H<strong>and</strong>lungsempfehlungen,um die Unternehmensrisikenzu vermindern.Es lohnt sich, in dieses Kammerkonzert zu gehen!Im Internet• http://www.kardel-it.de/download.html – Weitere Informationenzur Optimierung von IT-Prozessen in KMU mit Beschreibungeines Auditprogramms und ausführlichemFragenkatalog;• http://www.cert.org/octave/octaves.html – Risikomanagementnach OCTAVE®-S;• https://www.bsi.bund.de/cln_183/DE/Themen/ITGrundschutz/itgrundschutz_node.html– IT Grundschutz desBundesamtes für Sicherheit in der Informationstechnik;• http://www.sei.cmu.edu/library/abstracts/reports/09tr001.cfm – CMMI Website des SEI: CMMI for Services, Version1.2.DR. DANILO KARDELDer Autor ist freiberuflicher IT-Berater mit Schwerpunkt IT-Sicherheitin kleinen und mittelständischen Unternehmen. Erarbeitet unter <strong>and</strong>erem im Rahmen regionaler Wirtschaftsförderungsmaßnahmenals Auditor für KMU und als Autor fürdas Fachjournal iX des Heise Verlags.Kontakt mit dem Autor: dk@kardel-it.dehakin9.org/de 25