Überraschungen vermeiden: Lebenszyklus berücksichtigen

Plötzlich sollte die Anwendung höchstverfügbar sein. Plötzlich? Wirklich plötzlich? Nun gut, explizit hatte dies niemand gefordert, aber implizit hätte es eigentlich bekannt sein können – bei einer geschäftskritischen Online-Applikation.

Was auch immer die Ursache gewesen sein mag: der dringende Wunsch, die Anwendung genehmigt zu bekommen, was bei höheren Kosten chancenärmer gewesen wäre, die Erwartungshaltung der Anwender, die Höchstverfügbarkeit bei einer geschäftskritischen Online-Anwendung als selbstverständlich vorausgesetzt und nicht explizit formuliert hatten. Wie auch immer: Ursachenforschung bringt nur dann etwas, wenn sie zur künftigen Ursachenvermeidung führt. Da die Ursache in der Vergangenheit liegt, lief dort etwas schief. Und damit sind wir beim Lebenszyklus.

Lebenszyklus hat nicht immer etwas mit Leben, aber oftmals mit einem Beginn und einem Ende von etwas zu tun. Der Begriff Lebenszyklus kommt heute in diesem übertragenem Sinne in unterschiedlichen Bereichen zum Einsatz. So auch im BCM und ISM. Doch wie wird er verwendet und was sagt er aus?

Vielen ist aus BS 25999 der BCM Life Cycle bekannt. In dessen Mittelpunkt steht das BCM-Programmmanagement, umrankt von den vier Phasen: Verständnis des Unternehmens und seiner Bedarfe, Festlegung der BCM-Strategieoptionen, Entwicklung und Implementierung von Reaktionen und Business Continuity Plänen, Übung und Wartung sowie Review. Die äußere Hülle bildet die Einbettung des BCM in die Unternehmenskultur.

Auch die IT-Grundschutzkataloge des BSI haben das Thema Lebenszyklus aufgegriffen und zwar erstmals im Jahr 2005 in den Bausteinen. Es weist einerseits Parallelen zum Lebenszyklusmodell im Buch „IT-Sicherheit mit System“ bzw. im „Handbuch Unternehmenssicherheit“ auf, andererseits Unterschiede, indem es kompakter ist und „Notfallvorsorge“ als zusätzliche Lebenszyklusphase betrachtet. Das Lebenszyklusmodell der IT-Grundschutzkataloge geht beim Lebenszyklus aus von „Planung und Konzeption“, über „Beschaffung“, „Umsetzung“ und „Betrieb“ bis hin zur „Aussonderung“ und „Notfallvorsorge“.

Zusätzlich haben die IT-Grundschutzkataloge im Jahr 2006 die Maßnahme „System-Entwicklung“ als eigenständiges Element aufgenommen. Hier gibt es die Phasen Anforderungsdefinition, Architektur- oder Fach-Entwurf, Fein-Entwurf und Realisierung. Phasen in der Entwicklung von IT-Systemen bezeichnet [2] als Lebenszyklus.

Verschiedene Normen verwenden den Begriff Lebenszyklus ebenfalls, z. B. die ISO 12207 im Rahmen der Software-Lebenszyklus-Prozesse und die ISO 15288 im Hinblick auf die System-Lebenszyklus-Prozesse. Die ISO 27034-1:2011 fordert, dass Sicherheit in jeder Phase des Anwendungslebenszyklus zu berücksichtigen ist.

COBIT kennt ebenfalls einen Lebenszyklus, zu dem die Phasen Planung und Organisation, Beschaffung und Implementierung, Betrieb und Support sowie Überwachung gehören.

Seit Version 3 gibt es in ITIL den Service Life Cycle. In dessen Mittelpunkt befindet sich die Service Strategy. Umrahmt wird sie von Service Design, Service Transition und Service Operation. Den äußeren Rahmen bildet das Continual Service Improvement.

Wer das Thema Lebenszyklus entsprechend [1], [2] umfassender betrachtet, stellt fest, dass nicht nur Anwendungen oder IT-Systeme zu berücksichtigen sind, sondern die Elemente von Kategorien wie z. B. von Produkten und Services sowie Prozessen, Ressourcen und Organisation. Charakteristisch für die Elemente dieser Kategorien ist, dass sie über eine Entstehungsphase und eine Betriebs-, Erbringungs- bzw. Nutzungsphase verfügen, bis sie schließlich im übertragenen Sinne ihr „Lebensende“ erreichen.

Doch was bringt diese trivial anmutende Erkenntnis? Wer den Lebenszyklus berücksichtigt, kann seine Anforderungen, z. B. an Sicherheit und Kontinuität von Geschäfts-, Produktions- oder Fertigungsprozessen oder von Anwendungen von Anfang an berücksichtigen. Er vermeidet so unliebsame Überraschungen – z. B. bei Kosten, Termintreue, Compliance und Risiken – bei der Inbetriebnahme oder – was andernfalls noch schlimmer wäre – im Betrieb. Und noch etwas gerät bei der Lebenszyklusbetrachtung in den Fokus: die Außerbetriebnahme. Denn mit anschließendem einfachem „Wegwerfen“ ist es selten getan, so dass Folgekosten entstehen. Gerade im Hinblick auf Daten bestehen verschiedentlich Aufbewahrungsfristen, die einzuhalten sind und über längere Zeit betriebsbereite Anwendungen und IT-Systeme erfordern – und Kosten verursachen …

 

Literatur / Quellen:

[1] Klaus-Rainer Müller, Handbuch Unternehmenssicherheit, VIEWEG+TEUBNER, 2010

[2] Klaus-Rainer Müller, IT-Sicherheit mit System, VIEWEG+TEUBNER, 2011

0 Responses

Schreibe einen Kommentar