Dokumentation - ein Thema, das oft so beliebt ist wie der wöchentliche Wohnungsputz. Dabei spielt die Regelmäßigkeit eine entscheidende Rolle und falsche Prioritäten können schnell die Motivation rauben. Ähnlich wie im Haushalt, wo wir uns eventuell auf das Staubsaugen konzentrieren und das Fensterputzen vernachlässigen, kommt es auch bei der Dokumentation auf die richtige Strategie an. In diesem Artikel möchten wir Sie dazu anregen, die Dokumentation als Chance zu sehen. Wir stellen Ihnen die "Pantoffel-Dokumentation" vor, die auf bewährten Werkzeugen und Verfahren basiert und darauf abzielt, mit minimalem Aufwand maximalen Nutzen zu erzielen. Dabei legen wir besonderen Wert auf die Verknüpfung der IT-Welt mit der Prozesslandschaft, damit Ihre Dokumentation in Zukunft motiviert und mit den richtigen Prioritäten durchgeführt werden kann.
Dokumentation als Verpflichtung
Ein häufiger Grund zu dokumentieren ist, dass Ihr Unternehmen KRITIS- oder zukünftig NIS2-relevant ist. Viele Kunden fordern eine Zertifizierung im Bereich Qualitätsmanagement (ISO 9001) und Informationssicherheitsmanagement (ISO 27001). Für Neugierige, die sich der Dokumentation noch entziehen, gibt es am Ende des Artikels einige Beispiele zur Motivation.
Wie in der Abbildung dargestellt, müssen Sie also Ihre Prozesse und Assets – hier Infrastruktur genannt – erfassen. Als Assets kommen je nach Unternehmen IT-Dienste, Server, Client-PCs, Gebäude und Maschinen in Frage. Sowohl für Ihre Prozesse als auch für Ihre Assets müssen Verantwortliche benannt werden, die klassischerweise in einer hierarchischen Organisation zu finden sind.
Was ist die Pantoffel-Dokumentation?
Warum Pantoffel? Weil wir davon überzeugt sind, dass Ihre Dokumentation genauso komfortabel und unkompliziert sein kann wie das Tragen der heimischen Pantoffeln. Das Vorgehen sollte für Sie eine Wohlfühlsituation erzeugen und Ihre Aufmerksamkeit nur minimal in Anspruch nehmen.
Um Ihnen den Weg zu einer effizienten Dokumentation zu ebnen, empfehlen wir einen Best-Practice- und Tool-gestützten Ansatz: Wir erstellen das Prozessmodell im BPM-Tool Aeneis und die IT-Dokumentation in i-doit. Beides sind webbasierte State-of-the-Art-Anwendungen. Ihre Stärke liegt in der vordefinierten Unternehmensstruktur, die es Ihnen ermöglicht, direkt am ersten Tag z.B. Prozesse, Rollen, Server und Lizenzen zu erfassen – Sie müssen nicht erst an der Benennung von Attributen und Objektbeziehungen feilen. Für 90% der Anwendungsfälle ist bereits alles vorbereitet. Wenn doch etwas fehlt, erweitern Sie das Datenmodell mit wenigen Klicks innerhalb von Minuten und ohne Neustart.
Die vorgegebene strukturierte Erfassung der Informationen erleichtert auch die Zusammenarbeit im Team und macht Sie unabhängig von bestehenden Excel-Tabellen und Visio-Zeichnungen. Flexible Auswertungsmöglichkeiten ermöglichen Ihnen auch die Bewertung der Datenqualität. So sehen Sie mit einem Klick, welche Prozesse noch keinen Verantwortlichen haben und welche Arbeitsplätze keinem Raum zugeordnet sind. Neben dem Einsatz von Standardtools konzentrieren wir uns bei der Pantoffel-Dokumentation auf die benötigten Komponenten und Informationen, die durch unsere bestehenden Prozesse und Tools automatisch eine hohe Datenqualität aufweisen. Unklare Datenquellen oder nicht benötigte Details bleiben außen vor.
Die Tools im Überblick
Das von der synetics GmbH entwickelte i-doit ist ein umfassendes CMDB-Tool (Configuration Management Database), das Unternehmen dabei unterstützt, Ihre IT-Infrastruktur effizient zu dokumentieren und zu verwalten. Es ermöglicht die strukturierte Erfassung von Informationen zu Hardware, Software, Netzwerkkomponenten und weiteren IT-Ressourcen. Mit i-doit können Unternehmen nicht nur Ihre IT-Landschaft transparent visualisieren, sondern auch Beziehungen und Abhängigkeiten zwischen verschiedenen Elementen darstellen. Das Tool bietet Funktionen wie automatisierte Netzwerkscans, Integration von Personendaten aus dem Active Directory und die Erstellung von betriebsspezifischen Handbüchern. Dank benutzerfreundlicher Oberfläche und flexibler Anpassungsmöglichkeiten ist i-doit eine zentrale Plattform für ganzheitliche IT-Dokumentation, welche die Grundlage für eine effiziente Planung, Analyse und Optimierung der IT-Struktur eines Unternehmens bildet.
Die intellior GmbH hat mit Aeneis eine einfach zu bedienende BPM-Software zur Modellierung und Digitalisierung von Prozessen entwickelt. Sie ermöglicht eine papierlose Dokumentenfreigabe und ist durch optimierbare Ansichten im Webportal leicht verständlich. Ergänzt durch die Module ISMS@Aeneis und BCMS@Aeneis unterstützt es die Planung, Durchführung und Nachverfolgung von internen und externen Audits ISO 27001, ISO 9001 und vieles mehr. Es kommt mit Standard-Paketen wie ISO-Kontrollen, Schwachstellen und Bedrohungen, Risikoszenarien. Damit können Sie die Sicherheitsorganisation mit Rollenbeschreibungen definieren oder die Risikomethoden flexibel an Branchenspezifika anpassen.
Wie aufwändig ist Dokumentieren?
Wahrscheinlich denken Sie jetzt: "Schon wieder zwei Tools!" Denn sicherlich haben Sie bereits verschiedene IT-Management-Lösungen wie ein Monitoring-Tool, ein Clientmanagement oder ein Virtualisierungsmanagement im Einsatz. Im Gegensatz zu i-doit und Aeneis haben diese Tools allerdings eines gemeinsam: Jedes für sich bietet eine mehr oder weniger übersichtliche Darstellung Ihrer IT für einen bestimmten Bereich. Leider hat nicht jeder im Unternehmen Zugriff auf diese individuellen Managementübersichten, die Inhalte sind nicht mit dem Rest des Unternehmens verknüpft oder regulatorische Dokumente für z.B. KRITIS-Anforderungen können nicht hinterlegt werden.
Aus diesem Grund werden bestehende IT-Management-Lösungen über sogenannte Adapter an i-doit angebunden. Relevante Objekte können so automatisch und tagesaktuell in die IT-Dokumentation synchronisiert werden. Die Adapter werden mit dem von SHD entwickelten Modul SM-VIEW Connect der SM-VIEW Suite ausgeliefert. Die SM-VIEW Suite erweitert i-doit um eine intuitive Bedienung, neuartige grafische Funktionen und Werkzeuge für eine verbesserte Zusammenarbeit. So können beispielsweise Beziehungen und Abhängigkeiten zwischen Objekten sowie Verknüpfungen mit der Prozessebene grafisch dargestellt werden. Das Modul SM-VIEW Connect ermöglicht den Import von Assets (Clients, Server, Mobilfunkverträge etc.) aus verschiedenen Quellsystemen zur Übersicht an einer zentralen Stelle – der CMDB von i-doit, der Datendrehscheibe Ihrer IT-Infrastruktur. So können Sie IT-Dokumentation einfach und ohne mühsames Kopieren von Daten erstellen und automatisch aktuell halten.
Folgende Adapter unseres SM-VIEW Connect Moduls befüllen Ihre IT-Dokumentation bereits automatisch:
- Active Directory: Benutzer, Benutzergruppen und Computer
- Aeneis: Prozesse und damit verbundene IT-Services
- Azure: Alle Bestandteile der Microsoft Azure Cloud
- Baramundi: Clients und installierte Applikationen
- Checkmk: Alle Arten von Endpunkten in Ihrem Netzwerk wie Server, Clients, Maschinen
- Cisco: Endgerätedaten aus den Ports der aktiven Netzwerkkomponenten
- Jira: Ticketdaten, Vorgänge und Datenfelder
- Macmon: Endgerätedaten aus den Ports der aktiven Netzwerkkomponenten
- Telekom: Telefon-/Handyverträge, SIM-Karten und Tarifoptionen
- VMware: Virtuelle Maschinen mit den spezifischen Eigenschaften
Mit diesen Adaptern verfügen wir also bereits über eine vollständige und aktuelle IT-Dokumentation. Die Inhalte werden so allgemein verständlich und weitläufig verfügbar.
Herausforderung: Prozessdokumentation
Wie schön wäre es, auch für die Prozessdokumentation solche Adapter wie bei der IT-Dokumentation nutzen zu können. Tatsächlich gibt es dank künstlicher Intelligenz etwas Bewegung in diesem Bereich und erste Angebote, die aus alten Prozessmodellierungen oder Fließtext eine standardisierte Business Process Modeling Notation (BPMN) erstellen. Bis diese Angebote Marktreife erlangen, bietet SHD einen Prozessmodellierungs- bzw. Aktualisierungsservice an, der bestehende Prozessdokumente in das BPM-Tool überführt bzw. aktuell hält. Dabei kommen erfahrene Prozessberater zum Einsatz, die bereits Hunderte von Prozessen modelliert haben.
Aber gibt es wirklich keine Abkürzungen zu einem gepflegten Prozessmodell? Doch, die gibt es! BPMN-Einsteiger können den tabellarischen Modellierer nutzen. Damit modellieren Sie die Prozessschritte und deren Bearbeiter in einer Tabellenstruktur und Aeneis erstellt das BPMN-Diagramm automatisch in Echtzeit.
Für BPMN-Experten ist der Autolayouter von Aeneis das modernste BPMN-Modellierungstool auf dem Markt. Damit modellieren Sie selbst große A3-Prozesse in wenigen Minuten - ohne lästiges Verschieben von Pfeilen und Kästchen.
Darüber hinaus vereinfachen wir den Pflegeaufwand, indem wir mehrere Managementsysteme prozessorientiert aufbauen. Ideal sind das Qualitätsmanagement nach ISO 9001 und das Informationssicherheitsmanagement nach ISO 27001. Da beide Systeme das gleiche Prozessmodell in einem BPM-Tool verwenden, halbiert sich der Pflegeaufwand. Für Aktualität sorgen die mindestens jährlichen Prozessaudits, die diese Managementsysteme vorschreiben. Ihre Fachabteilungen werden es Ihnen danken, dass hier zwei Fliegen mit einer Klappe geschlagen werden und nicht mehrere Audits unterschiedliche Dokumente einfordern.
In einem Information Security Management System (ISMS) ist es notwendig, die IT-Services einer Risikobewertung zu unterziehen. Auch das Qualitätsmanagement profitiert davon, dass das Prozessmodell die Nutzung der IT-Services aufzeigt. Da wir die IT-Services bereits in i-doit beschrieben haben, synchronisieren wir diese in Aeneis. Somit hat das babylonische Sprachgewirr unterschiedlicher Bezeichnungen in einem ERP-System ein Ende.
Welchen Mehrwert schafft Dokumentation?
Zugegeben, es ist schwierig, sich die Aussicht von einem Berg aus vorzustellen, wenn man noch an dessen Fuß steht. Vielleicht erinnern Sie sich, dass Sie Ihre IT aus anderen Gründen in eine virtualisierte Umgebung migriert haben als wegen der übersichtlichen Darstellung. Und heute würden Sie diese übersichtliche Darstellung in Ihre Kaufentscheidung für die nächste Generation der Virtualisierung einfließen lassen, weil Sie nicht mehr darauf verzichten wollen. Eine gepflegte, verlässliche Prozess- und IT-Dokumentation kann also an Stellen Mehrwert schaffen, die Sie heute noch gar nicht sehen. Hier einige Beispiele, die sich aus diesen Überlegungen ergeben:
Schnellere und qualifiziertere Risikoanalyse im ISMS nach ISO 27001
Im Rahmen des ISMS nach ISO 27001 muss Ihr Informationssicherheitsbeauftragter (ISB) die Risiken für Ihre IT-Services bewerten. Ohne Dokumentation ist er gezwungen, aufwändige Interviews zu führen, um einfachste Informationen über den Aufbau und die Nutzung einzelner IT-Services zu ermitteln. In der Prozessdokumentation sieht der ISB die Verwendung der IT-Services in den Prozessen und kann daraus den Schutzbedarf ableiten. Durch die strukturierte Darstellung des Aufbaus der IT-Services in der IT-Dokumentation kann Ihr ISB Schwachstellen sofort erkennen und grob bewerten. Da es sich um regelmäßig aktualisierte Informationen des Ist-Zustands handelt, ist die Risikoanalyse auch wesentlich präziser als bei der Betrachtung des Soll-Konzeptes der länger zurückliegenden IT-Service-Einführung.
IT-Changes können mit Auswirkungen auf die Prozesse geplant werden
Zu den operativen IT-Prozessen gehört die Durchführung von Changes an IT-Services oder deren Komponenten. Beispielsweise müssen Updates eingespielt oder Änderungen an der Sicherheitskonfiguration vorgenommen werden. Entscheidend ist dabei immer, ob und wie lange es zu einer Serviceunterbrechung für die Anwender kommt. Die Auswirkungen von Änderungen werden regelmäßig nicht ausreichend berücksichtigt. Eine fehlende oder unzureichende Dokumentation der IT-Services ist eine mögliche Ursache. So wurde beispielsweise in einem Unternehmen mit 5.000 Mitarbeitern das Gäste-WLAN in der Annahme umbenannt, dass es nicht in den Kernprozessen genutzt wird. Intransparent für die IT war jedoch die Nutzung des Gäste-WLANs während des regen Schulungsbetriebs durch externe Trainer. Dies führte dazu, dass drei Schulungen mit zahlreichen Mitarbeitern kurzfristig abgesagt werden mussten. Glücklicherweise war einer der Schulungsteilnehmer aus der IT und wusste von der Namensänderung. In der Vorbereitung auf Umstellungen ist es nicht üblich, über unternehmensweiten E-Mail-Verteiler in den Fachbereichen mögliche Auswirkungen durch Nichtverfügbarkeiten abzufragen. Erfolgreiche Unternehmen kommunizieren gezielt mit den notwendigen Personen. Wer diese notwendigen Prozessverantwortlichen sind, geht aus der IT-Dokumentation hervor.
Unsere Pantoffel-Lösung für sinnvolle Dokumentation mit wenig Aufwand
SHD bietet Ihnen die Tools i-doit und Aeneis als Basis für Ihre Dokumentation an. SM-VIEW Connect stellt eine sinnvolle Ergänzung dar, um beide Tools miteinander zu verknüpfen. Die Abbildung zeigt noch einmal, wie beide Lösungen alle für KRITIS wesentlichen Komponenten abdecken. Neben den Tools unterstützen Sie auch unsere erfahrenen Berater bei der Implementierung der Dokumentation.
Wie bereits erwähnt, integriert SM-VIEW Connect Ihre bestehenden IT-Management-Lösungen in die IT-Dokumentation. Dafür existieren bereits zahlreiche Adapter für i-doit und die Liste wird ständig erweitert. Auf Wunsch erstellen wir auch Adapter für Ihre bestehenden Tools. SM-VIEW Connect beinhaltet ein standardisiertes Framework zur Anbindung externer Quellen.
Ihre Vorteile
- KRITIS- und NIS2-konforme Dokumentation
- Zertifizierung in weniger als einem Jahr durch ISO 9001- und ISO 27001-Basisstrukturen
- Aufwandsarme bis automatisierte Erstellung der Dokumentation
- Erhöhung der Auskunftsfähigkeit durch adHoc-Zugriff auf wesentliche Strukturinformationen des Unternehmens
- Risikominimierung durch vollständige Berücksichtigung von Abhängigkeiten
- Gesteigerter Nutzen der verpflichtenden Dokumentation
- Implementierung, Betrieb und Service durch SHD möglich
- OnPremise oder aus dem BSI C5-Rechenzentrum
Benötigen Sie noch mehr Motivation für Ihre Dokumentation?
Wenn Sie noch unsicher sind, ob Sie unsere Pantoffel-Lösung benötigen, haben wir im Folgenden eine Reihe von Anwendungsbereichen aufgelistet, in denen IT- und Fachprozesse Hand in Hand gehen sollten:
- Bestandsmanagement und Verantwortlichkeiten: Erfassen Sie z.B. im Umfeld kritischer Infrastrukturen (KRITIS) automatisch wichtige Assets, um stets den Überblick zu behalten, wer für welche Assets verantwortlich ist und wo sich diese befinden.
- Prozessoptimierung und Verantwortlichkeitszuweisung: Optimieren Sie Unternehmensprozesse, indem Sie klare Verantwortlichkeiten für Systeme festlegen und diese automatisch dokumentieren.
- Automatische Dokumentation: Automatisieren Sie den Dokumentationsprozess, um eine zeitnahe und zuverlässige Erfassung von Informationen sicherzustellen, da manuelle Dokumentation nicht effizient umsetzbar ist.
- Netzwerk-Scans: Nutzen Sie Netzwerk-Scans zur Erfassung und Dokumentation von Assets, um einen aktuellen Überblick über die IT-Infrastruktur zu gewährleisten.
- Clientmanagement: Integrieren Sie Clientmanagement-Tools, um Assets automatisch zu dokumentieren, und erleichtern Sie somit die Wartung und den Support.
- Integration von Personen/Kontakten aus dem Active Directory: Verknüpfen Sie Informationen zu Personen und Kontakten aus dem Active Directory, um die Zuweisung von Aufgaben und Verantwortlichkeiten zu erleichtern.
- Vorbereitung für ISMS: Bereiten Sie sich durch strukturierte Dokumentation auf die Anforderungen eines ISMS vor und gewährleisten Sie somit die Sicherheit sensibler Informationen.
- Patch-Management und Lizenzverwaltung: Verwalten Sie Betriebssystem-Patches und Lizenzen automatisch, um die Compliance zu gewährleisten und Sicherheitsrisiken zu minimieren.
- Serverkonfiguration für Disaster Recovery: Dokumentieren Sie detaillierte Serverkonfigurationen für eine schnelle und effektive Wiederherstellung im Katastrophenfall.
- Integration von Kundenlösungen: Binden Sie Kundenlösungen wie Excel-Dokumente oder selbst erstellte Lösungen in die Gesamtdokumentation ein, um eine konsistente Datenbasis zu gewährleisten.
- Onboarding/Offboarding: Erfassen Sie automatisch, welche technischen Ressourcen ein Mitarbeiter während des Onboarding-Prozesses erhält und stellen Sie sicher, dass diese beim Offboarding entsprechend zurückgegeben werden.
- Visualisierung von Netzwerken: Automatisieren Sie die Visualisierung von Netzwerken, Kabeln und Patchschränken, um manuelle Arbeit zu minimieren und gleichzeitig eine präzise Übersicht zu bieten.
- Risikoreiche Standorte verwalten: Dokumentieren Sie Standorte wie sauerstoffarme und laute Serverräume detailliert, um die Arbeitssicherheit zu gewährleisten und potenzielle Risiken zu minimieren.
- Zugang zu IT-Dokumentation für Fachprozesse: Ermöglichen Sie Fachprozessen den Zugriff auf IT-Dokumentation, um eine nahtlose Zusammenarbeit zwischen IT und Fachbereichen zu fördern.
- Remote-Visualisierung für Standorte: Ermöglichen Sie eine Remote-Visualisierung der IT-Infrastruktur an verschiedenen Standorten, um unnötige Reisen zu vermeiden und die Effizienz zu steigern.
Mehr zu SM-VIEW Connect erfahren
Autoren: Philipp Klanert, Dr. Stephanie Keller
Bildquellen: SHD, Shutterstock.com