CMDB in der Bundescloud

Digitale Souveränität, IT-Sicherheit sowie IT-Standardisierung sind zentrale strategische Ziele zur Digitalisierung des Bundes. Um diese zu erreichen, wurden in den letzten Jahren immer mehr Maßnahmen ergriffen. So wurde beispielsweise die Bundescloud  zur Konsolidierung und als Entwicklungsplattform für IT-Fachverfahren bereitgestellt. 

Die wachsende Digitalisierung besonders auch in den internen Prozessen der öffentlichen Verwaltung führt zu steigenden Anforderungen an Verfügbarkeit, Qualität und Informationssicherheit der Services. Daher ist auch das IT-Service-Management ein Aspekt, der in diesem Kontext von Politik und Verwaltung diskutiert wird. Dies ist ein weites Themenfeld und so stellt sich die Frage, wie die Anforderungen aus den Digitalisierungsstrategien im Rahmen dessen ganz konkret gestärkt werden können.

Ein wesentlicher Bestandteil des IT-Service-Managements sind Configuration Management Databases. Sie werden unter anderem auch im Rahmenwerk ITIL definiert und sind als Basis des Configuration Managements ein Werkzeug, um Configuration Items zusammenzuführen und Beziehungen zwischen diesen darzustellen. Ihre Kernfunktion ist die Unterstützung von Service-Management-Prozessen, insbesondere auch die Verwaltung sensibler Daten der internen IT-Organisation. Damit stellen sie einen entscheidenden Bereich zur Prüfung Digitaler Souveränität, IT-Sicherheit und -Standardisierung dar.

CMDBs sind Datenbanken, die der Verwaltung aller Betriebsmittel der IT wie etwa bereitgestellter Hardware, Software, Lizenzen oder Zugriffsberechtigungen dienen. Als „Single Point Of Truth“ bilden sie eine Schnittstelle zu allen IT-bezogenen Bereichen einer Organisation.

Die Informationen werden an zentraler Stelle zusammengeführt und gesteuert. Sie ermöglichen es, sensible und systemrelevante Komponenten der IT-Infrastruktur zu dokumentieren, zu überwachen und deren Beziehungen und Abhängigkeiten zueinander zu verwalten. Dabei muss sichergestellt sein, dass der CMDB auch aus Drittsystemen alle relevanten Daten zur Verfügung stehen.

Sie bilden das Herzstück der internen IT-Organisation. Wenn auch im Hintergrund agierend, ihre Bedeutung ist zentral und die darin verwalteten Daten sind zweifellos schützenswert.

Weshalb ist die Überlegung relevant, für CMDBs eine Lösung im Rahmen der Digitalisierungsstrategie des Bundes zu erarbeiten? Hierfür ist es zunächst wichtig, die derzeitigen Praktiken im Einsatz mit CMDBs innerhalb der öffentlichen Verwaltung zu betrachten. 

Kleinere Organisationen verwalten ihre IT selbst über einfache Lösungen, z.B. über ein Tabellenkalkulationsprogramm. Diese Lösung ist auf kurze Sicht kostensparend. Jedoch erfordert sie langfristig hohen Wartungsaufwand durch manuelle Eingriffe mangels automatisierter Schnittstellen und wachsenden Datenumfangs. Zudem liegt die Verantwortung darüber, dass die Daten an einem Ort vollständig, revisionssicher und datenschutzkonform verwaltet werden, vor allem bei den Mitarbeitenden und kann durch das genutzte Tool ausschließlich nicht garantiert werden. Diese Lösung folgt keinem IT-Standard und wird individuell in den jeweiligen Behörden umgesetzt.

Nicht selten werden im Rahmen des gesamten IT-Service-Managements auch CMDBs auf einen externen IT-Dienstleister ausgelagert. Dies hat den Vorteil, dass innerhalb der Behörde keine Mitarbeitenden hierfür bereitgestellt werden müssen und Anforderungen an die CMDB vertraglich abgesichert werden können. Jedoch fallen durch die Auslagerung des Service langfristig mitunter hohe Kosten durch den Wartungsvertrag an. Darüber hinaus hat die Behörde keine direkte Kontrolle über die Daten – auch wenn der Dienstleister den Datenschutz zusichert, liegen die Daten physisch bei einer externen Organisation und es kann nur über Schnittstellen darauf zugegriffen werden. Die Einhaltung der EU- und bundesweiten Vorgaben zur IT- und Datensicherheit liegt daher primär nicht in der Hand der Behörden.

Eine weitere Möglichkeit ist die Nutzung des Angebots großer Software-Produkte über die Bereitstellung als SaaS, i.d.R. als Teil ganzheitlicher ITSM-Software. Die Software wird in die interne Organisation integriert, sodass die Datenbank zentral von der Behörde verwaltet und gesteuert wird. Es wird damit ein Standard für die IT-Betriebsmittel-Verwaltung etabliert, der den direkten und internen Zugriff auf die Daten ermöglicht. Jedoch besteht auch hier das Problem, dass die Kontrolle über den Umgang mit diesen letzten Endes beim Software-Anbieter und nicht der Behörde liegt. Zudem schlägt sich die hohe Abhängigkeit zum Anbieter auch bei dessen Preispolitik für anfallende Lizenz- und Wartungsgebühren nieder.

Diese Heterogenität beim Umgang mit der Verwaltung von IT-Betriebsmitteln verursacht erhebliche Kosten durch verteilte Systeme und die nicht zielgerichtete Steuerung und Weiterentwicklung der IT. Vor allem aber widerspricht sie den Digitalisierungsvorhaben der Bundesregierung, insbesondere dem Datenschutz und der Informationssicherheit, der Standardisierung der IT und der Stärkung der Digitalen Souveränität.

Eine Möglichkeit, diesen Vorhaben gerecht zu werden, ist die Bereitstellung einer CMDB über die Bundescloud für alle Behörden mit Anschluss an die Netze des Bundes.

Digitale Souveränität:

Die Bundescloud stellt für CMDBs eine unabhängige Alternative zu großen Software-Herstellern oder externen Dienstleistern dar. Das ITZBund betreut als Betreiber der Cloud den gesamten Prozess von der Entwicklung bis hin zur Wartung und Service-Dienstleistung des Produktes. Auch die zugehörigen Rechenzentren sind unter der Kontrolle des ITZBund und damit unabhängig von externen Einflüssen.
Die Plattform bietet mit IaaS und der Bereitstellung zentraler Fachverfahren bereits einige Module für eine umfassende Entwicklung an und schafft somit die Basis für die Einführung eines CMDB-Services in der Bundescloud, beispielsweise über die Kooperation mit bestehenden On-Prem-Produktanbietern.

Datenschutz und IT-Sicherheit:

Eine zentrale Aufgabe der CMDB ist, die Kontrolle über die Daten sicherzustellen, indem diese zentral und nur von berechtigten Personen verwaltet werden. Die Bundescloud bietet in ihrem Service-Portfolio ein eigenes Access Management an, um Zugriffsberechtigungen gezielt zu steuern. Diese Lösung stärkt den Schutz organisationsinterner Informationen und sichert Revisionssicherheit, die für CMDBs aktuell nicht für jede Behörde gewährleistet werden kann.
Zudem wird im Sinne der Mandantenfähigkeit für jede Behörde ein eigener Bereich in der Bundescloud angelegt, der die sichere Trennung zwischen den Organisationen erlaubt.

IT-Standard:

Bereits die Entwicklung auf der Cloud-eigenen Entwicklungsplattform entspricht der Architekturrichtlinie des Bundes, eine Lösung über diese schafft somit einen bundesweiten Standard zur Verwaltung und Pflege der behördeninternen IT-Betriebsmittel. Konkrete und einheitliche Anforderungen an die CMDB werden im Vorfeld der Entwicklung definiert. Beispielsweise können alle für den IT-Betrieb relevanten Betriebsmittel definiert werden, insbesondere auch hinsichtlich verwaltungsspezifischer und sicherheitsrelevanter Ansprüche. Auch können diejenigen Systeme identifiziert und festgelegt werden, welche zur Übertragung der Informationen angebunden werden müssen. 

Eine einheitliche, bundeseigene Cloud-Lösung für die Verwaltung interner IT-Komponenten stärkt somit die Vorhaben strategischer Digitalisierungsthemen in der öffentlichen Verwaltung.

Die Bundescloud ist eine konkrete Maßnahme zur Umsetzung der Digitalisierungsstrategie der Bundesregierung. Jedoch ist sie nicht für jede IT-Lösung gleichermaßen möglich und sinnvoll.

Die unterschiedlichen Strukturen der öffentlichen Verwaltung führen zu der Notwendigkeit, einen einheitlichen Standard zu schaffen, der allen organisations- und sicherheitsspezifischen Anforderungen gerecht wird, beispielsweise bei der Berücksichtigung der Sicherheitseinstufungen, die eine Datenerfassung bei einem zentralen Dienstleister möglicherweise ausschließen.

Ein einschränkender Faktor ist insbesondere auch die Integrations- und Cloudfähigkeit der Anforderungen an die Lösung . Die erforderlichen Schnittstellenanbindungen zu lokalen Daten und Servern müssen identifiziert und auf ihre Eignung zur Cloudanbindung geprüft werden. Die Grundvoraussetzung für einen einheitlichen Service ist die Standardisierung von Schnittstellen mit einem möglichst hohen Automatisierungsgrad. Jedoch ist dies nicht für jeden verwaltungsspezifischen Workflow ohne weiteres möglich, beispielsweise bei behördlichen Zeichnungsprozessen mit internen Berechtigungsstrukturen.

Für das Vorhaben einer CMDB in der Bundescloud müssen folglich konkrete Anforderungen an einen standardisierten Service formuliert werden, die den individuellen Bedürfnissen der Behörden gerecht werden, aber auch hinsichtlich möglicher Einschränkungen durch die Cloud-Technologie umsetzbar sind.

CMDBs sind ein sehr spezifischer Bereich innerhalb des umfassenden IT-Service-Managements. Ihre Berücksichtigung im Rahmen der Digitalisierungsstrategien bringt Herausforderungen mit sich. Dennoch ist eine zentrale mandantenfähige CMDB als Herzstück der internen IT-Organisation unerlässlich für eine nachhaltige Kostenreduzierung, Steigerung der Qualität sowie die Kontrolle und den Schutz interner Daten und Service Prozesse. 

IT-Service-Management ist ein wesentliches Thema der digitalen Welt, kaum eine Organisation kann ohne diese noch bestehen. Dessen Optimierung im Kontext der Stärkung von IT-Sicherheit, Standardisierung und Digitaler Souveränität ist langfristig die logische Konsequenz. Warum daher nicht mit der Configuration Management Database beginnen?