IT-Systeme

Eigenschaften

  • geschlossen
    • Herstellertechnologie
    • nicht kompatibel
    • Räumlich und Teilnehmermässig beschränkt
    • homogen/zentral verwaltet
  • offen
    • verteilt/vernetzt
    • physisch verteilt
    • Informationsaustausch mit anderen Systemen
    • heterogene Hardwarekomponenten
    • stärkere und erweiterte Sicherheitsmassnahmen
  • dynamisch technisch

IT-Systeme sind in unterschiedliche Strukturen (gesellschaftlich, unternehmerisch, politische) und zu verschiedenen Zwecken bei unterschiedlich hohem Know-How genutzt. Es ist ein Zusammenspiel zwischen der Nutzbarkeit, Sicherheit und Konformität mit Regeln, Vorschriften, Gesetzen (z.B. DSG).

  • passives Objekt
    • Datei
    • Datenbankeintrag
  • aktives Objekt
    • Prozesse…
    • Informationen speichern und verarbeiten
  • Informationen werden von Objekten repräsentiert
    • dies sind schützenswerte Güter
    • “assets”

Um die Möglichkeit zu haben, als Subjekt auf das Objekt zuzugreifen, sind Zugriffsrechte nötig. Bestehen diese, ist der Zugriff autorisiert.

IT-Sicherheit

Die IT-Sicherheit gilt für die Kommunikation und Vernetzung von Diensten, M2M (Machine-Machine) Kommunikation und eigenen Systemen. Das Ziel der Sicherheit ist, die Unternehmen und deren Informationen vor Schäden zu Schützen.

Durch Konzepte und Massnahmen wird das Sicherheitsrisiko und die womöglich eintretenden Schäden analysiert und die Schwachstellen durch technische Massnahmen geschützt.

Geschäftsbereiche für vertrauenswürdige Anwendungen:

  • Gesundheit
  • Automotive
  • Smart…
    • Cities
    • Grid
    • Factory
    • Health

Besonders bei Steuerungen für Transport, Produktion oder Kraftwerken ist die elektronische Überwachung des Betriebs aber auch die Sicherheit enorm wichtig.

Grundlagen Netzwerksicherheit

Zuerst ist es wichtig die beiden Begriffe Authentisierung und Authorisierung auseinanderzuhalten. Kerberos behandelt hierbei bloss die Authentisierung, wozu Dienste und Clients gehören (im Kerberos-Bereich auch Principals genannt). Die Authorisierung dagegen wird vom Verzeichnisdienst (z.B. LDAP) vorgenommen.

Authentisierung

Die kryptografische Authentisierung entsteht durch eine starke Verschlüsselung durch einen privaten Schlüssel. Diese ist symmetrisch. Die Standards, welche dazu verwendet werden sind (tripple) DES (Data Encryption Standard) bzw. AES (Advanced Encryption Standard). Statt Username/Password werden diese durch den Schlüssel ersetzt, was die Authentisierung für Dienste ermöglicht. Kerberos kann deshalb als SSO-Basis verwendet werden.

 

 

Sourcing-Strategien

Sourcing wird meist aus finanziellen (Personal, Finanzierung und Personalkosten einsparen), Know-How oder Risikogründen betrieben. Es gibt folgende bekannte Sourcing-Strategien:

  • Insourcing
    • Aus Strategiegründen Service selbst erbringen
  • Outsourcing
    • Leistungen extern verlagern
  • Co-Sourcing
    • es werden mehrere Outsourcing-Anbieter genutzt
  • Partnerschaft
    • Wie Outsourcing aber beide Parteien profitieren von der partnerschaftlichen Beziehung
  • Business Process Outsourcing (BPO):
    • ganze Unternehmensprozesse werden an Drittunternehmen ausgelagert.
    • Beispielsweise Beschaffung
  • Knowledge Proccess Outsourcing:
    • ähnlich wie BPO
    • komplexere und arbeitsintensivere Aufgaben werden ausgelagert

Bedrohungen der Informationssicherheit

Es gibt diverse Varianten, die zu einer Gefährdung der Informationssicherheit führen können:

  • Systemausfall (technisch)
  • Systemmissbrauch durch Manipulationen oder Datenveränderung
  • Sabotage
  • Spionage
  • Betrug/Diebstahl
  • Falsche Bedienung vom Personal
  • Viren
  • Spoofing
  • Phishing
  • Pharming (Vortäuschen falscher Identität)
  • Man-in-the-Middle Angriff
  • Serverüberlastungsangriffe (Denial-of-Service)
  • Physikalischer Einbruch

Es gibt folgende Massnahmen, welche die Informationssicherheit verbessern können:

  • Passwörter setzen
  • Berechtigungskonzept
  • Backup
  • Virenschutz (auch auf mobilen Geräten)
  • Interneteinschränkungen
  • keine unkontrollierten privaten Geräte
  • Nur kontrollierte Software
  • Gebäudezutritte einschränken
  • Datenverschlüsselung
  • Monitoring
  • Notfallorganisation
  • Sicherheitssensibilisierung
  • Firewalls einsetzen

Notfallhandbuch

Das Notfallhandbuch beschreibt die Reaktionen, welche nach Krisen folgen. Da die Geschäftsprozesse so gut wie möglich fortgeführt werden sollten, sind folgende Pläne wichtig:

  • Geschäftsfortführungspläne
    • Handlungsschritte für die Wiederherstellung
  • Wiederanlaufpläne
    • Definition der Verantwortlichkeiten
    • konkreter Zyklus der Fehlerbehebung
    • Aufnahme Notbetrieb (z.B. Ausweichrechenzentrum)
  • Sofortmassnahmen
    • die ersten Schritte beim Eintreten einer Krise
    • die Sicherheit von Beteiligten soll geschützt werden
  • Krisenkommunikationsplan
    • die Kommunikation mit den Medien wird geregelt
    • Welche Informationen dürfen an wen weitergegeben werden

Serviceanforderungen

Erhebungsberichte

  • Systeme in Betrieb
  • Stakeholder
  • Dokumente

Anforderungskriterien

  • vollständig
  • Eindeutig definiert/abgegrenzt
  • Identifizierbar
  • Nachprüfbar

Methoden für die Definition in der Entwicklungsphase

  • Use Case
  • Aktivitätendiagramme
  • Spezifikation

Umsetzungskonzept

Das Dokument, in dem die Anforderungen aufgenommen werden heisst Umsetzungskonzept.

Inhalte Pflichtenheft

  • Ist-Zustand
  • Ziele
  • Anforderungen
  • Mengengerüst
  • Fragekatalog
  • Antwortform (z.B. Offerte)

Service Package

Dem Kunden müssen viele verschiedene Services zur Verfügung gestellt werden. So haben sie die Übersicht, welche Services in “Service Packages” gebündelt werden.

Core Service

Unter dem Kern-Service versteht man die Services, die die Grundfunktionen beinhalten. Dies ist auch der Service, für jenen die Kunden schlussendlich bezahlen. Dazu gehören hauptsächlich geschäftskritische Services (Bei Banken bsp. Buchung, Zahlung…)

Bestandteile

  • Utility: Funktionalität, die da ist um eine Funktion zu erfüllen
  • Warranty: Garantie, dass ein Service die Anforderungen erfüllt

Vorlage Use-Case

  • Auslöser
  • Vorbedingungen
  • Nachbedingungen/Ergebnis
  • Standardablauf
  • Alternative Ablaufschritte

Arten von anforderungen

  • Muss
  • Kann
  • Soll

Spannungs-/Magisches Dreieck

  • Ressourcen
  • Zeitplanung
  • Funktionalität/Qualität

 

zusätzlliches:

Informationen

Das wichtigste ist, welche Service (mit genauem Namen und Beschreibung) beim Serviceanbieter bezogen werden. Dazu sind aber auch Anforderungen und Prozesse verborgen, die nicht auf den ersten Blick sichtbar sind.

Dazu gibt es verschiedene Hilfsmittel:

  • Stakeholder
    • Personen, die im Projekt wichtig, aber nicht direkt beteiligt sind
    • Personen, die man in bestimmten Situationen befragen kann
    • Auftraggeber, Nutzer, aktuelle Betreiber…
  • betriebliche Systeme
    • Systeme, welche bereits als Service beim Kunden sind
    • Es ist nötig, die Systeme kennen zu lernen, da man sie später übernehmen wir

 

 

 

Service-Strategien

Hauptziele Service-Strategie

Eine Service-Strategie hilft bei

  • Bewertung des Markts und Kundenbedürfnisse
  • Services, die angeboten werden müssen
  • Services und Fähigkeiten, die entwickelt werden müssen

Firmennutzen von IT-Services

  • Höhere Konzentration auf eigene Kernkompetenzen
  • Quaifizierte Mitarbeiter vorhanden
  • Die Kosten von IT sind genauer kalkulierbar
  • eigene Investitionen sind nicht nötig
  • Arbeitskraftkosten sinken (die einzelnen Arbeitskräfte sind besser spezialisiert)
  • externe Unterhaltungskosten von der eigenen Serverinfrastruktur fällt weg
  • die Betriebskosten sind vertraglich geregelt
  • Raumkosten für Infrastruktur fällt  weg

Sammlung und Status

  • Bereiche, die für Outsourcing infrage kommen
  • realistischer Zeitplan
  • Outsourcing muss von den Geschäftsleitungen unterstützt und gefördert werden
  • Mitarbeiter sollten regelmässig informiert und auf dem aktuellen Stand sein
  • das Mitbestimmungsrecht sollte für alle beteiligten ausreichend sein
  • Quantitiver und qualitativer Bedarf sollte durch Bandbreiten und Mengen festgelegt sein
  • Abmachungen sollten schriftlich sein
  • Es soll ausreichend Zeit bestehen um den Vertrag zu kündigen (Kündigungsfrist)

Vorteile Service-Portfolio

  • Informationen sind einfach abzuholen
  • Es gibt keine Redundanzen unter den Informationen (doppelte Informationen)
  • Gesamtüberblick über die Services ist vorhanden

Service Review

  • Durch Rückblicke (Review) kann die Servicequalität verbessert werden wo es nötig ist
  • Deshalb finden regelmässige Servicebesprechungen statt

Serviceentwicklung

ITIL ist ein Vorgehensmodell. Es wurde in Grossbritannien entwickelt. Ein Teil von ITIL ist der Lebenszyklus von IT-Services. Es gibt sogar eine ITIL-Zertifizierung (ISO 20000 für Unternehmen bzw. ITIL V3 für Personen). Bestandteile von ITIL sind die (Teil A) Grundlagen, welche beispielsweise Service-Strategien, -Portfolio und Kundenmanagement umfassen. Teil B umfasst das Service-Design. Im C-Teil befindet sich Testing, Betreibung und die Einführung eines neuen Services.  Als Vorgehensmodell kann ein Produktmanagement-Prozess oder ein Wasserfallmodell helfen.

Service-Anbieter

  • Intern (Typ 1)
    • Bereitstellung im selben Unternehmen
  • Shared (Typ 2)
    • Interner Serviceprovider
    • Deckt mehrere Geschäftsbereiche/Abteilungen ab
  • Extern (Typ 3)
    • Nicht im gleichen Unternehmen
    • entsteht durch Outsourcing
    • von anderen Firmen betrieben

Phasen des Lebenszyklus

  • Service-Strategie
    • Bildet die Basis für die weiteren Phasen
    • Festlegung von Richtlinien, Visionen und Vorgaben
  • Service-Design
    • Entwicklung von Softwarelösungen
    • Verbesserung bestehender Services
  • Service-Transition
    • Systematischer Aufbau
    • Rollout
    • Release Management
  • Service Operation
    • Massnahmen für die Bereitstellung von IT-Infrastruktur
    • Instandhaltung
  • Continual Service Improvement
    • Serviceverbesserung
    • “Aus Fehlern Lernen”
    • Verbesserung und Anpassung von Prozessen

Begriffsbeschreibung IT-Service

Ein IT-Service besteht immer aus dem Provider (Leistungserbringer) und dem Kunden, der in diesem Fall also der Serviceempfänger ist. Um die Dienstleistung zu regeln und sich abzusichern verhandeln die beiden Parteien zusammen ein SLA (Service Level Agreement). Dabei sind die Mitarbeiter des Kunden die Servicenutzer. Der IT-Service hilft ihnen, die Abläufe zu verbessern beziehungsweise effizienter zu gestalten.

 

Softwaresysteme

DEFINITION

Softwaresysteme haben eine technische und eine betriebswirtschaftliche Definition

  • technisch
    • Softwaresysteme bestehen aus einem/mehreren Programm(en)
    • Die Gesamtheit aller Programme lässt sich als IT-System bezeichnen
  • betriebswirtschaftlich
    • die Software umfasst Produkte, die eine sinnvolle Nutzung der Hardwaresysteme ermöglichen
    • Programme und Dienstleistungen zählen zur Software

MERKMALE VON SOFTWARE

  • Immaterielles Wissensprodukt
  • in Form von Bits gespeichert
  • ohne Qualitätsverlust kopierbar
  • kein Verschleiss
  • Software kommt ohne Ersatzteile aus
  • Software kann altern
  • Qualität einer Software ist nicht messbar
  • Software muss anhand von festgelegten Kriterien systematisch geprüft werden