3.2 Open-Source-basiertes IT-Service-Management in der Max-Planck-Gesellschaft (Otfried Köllhofer und David Gümbel)
Kurzfassung: Die Verwaltung der Max-Planck-Gesellschaft ist bestrebt, ihre IT-Betriebsprozesse stärker nach den Best Practices der IT Infrastructure Library (ITIL) auszurichten. Im Zuge dieses Unterfangens wurde die Anschaffung und Einführung eines hierzu passenden Produkts für den Bereich des Asset und Configuration Managements erforderlich. Die MPG hat sich nach Evaluation für das freie ITSM-Tool „iTop“ und seine CMDB entschieden. Ein Erfahrungsbericht.
Über die Autoren: Otfried Köllhofer ist als Referatsleiter IT-Infrastruktur und Applikationen in der Generalverwaltung der Max-Planck-Gesellschaft für die Non-SAP-IT-Systeme und IT-Anwendungen der Verwaltungen der Max-Planck-Institute und der Generalverwaltung verantwortlich.
David M. Gümbel berät als Geschäftsführer der ITOMIG GmbH Unternehmen und Behörden beim wirtschaftlichen Einsatz von Open Source. Seit ihrer Gründung in der Universität Tübingen unterstützt die ITOMIG GmbH Unternehmen in der Fachanwendungsmigration von Open-Source-Lösungen, insbesondere in den Bereichen IT-Service-Management und Office-Lösungen.
IT-Service-Management mit Open Source
Als große Forschungseinrichtung von internationalem Renommee betreibt die MPG über 80 eigene Forschungsinstitute und -einrichtungen im In- und Ausland. Etwa 1600 Verwaltungsangestellte betreuen die Wissenschaftlerinnen und Wissenschaftler, davon gut 450 in der Generalverwaltung in München. Für ihre Arbeit nutzen sie Rechner und Software, die von der IT-Abteilung der Generalverwaltung bereitgestellt werden. Die Betreuung der Client-Infrastruktur hinsichtlich Benutzeranfragen (First Level Helpdesk) und Wartung hat die Verwaltung der MPG zum Großteil an einen externen Dienstleister ausgelagert.
Die IT der Verwaltung hat sich selbst zum strategischen Ziel gesetzt, eine IT-Umgebung zur Verfügung zu stellen, die dem hohen Level an Innovation und Ansehen der Grundlagenforschung der Max-Planck-Institute ebenbürtig ist. Um dieses Ziel nachhaltig zu erreichen, orientiert sie sich im Rahmen entsprechender Einführungsprojekte jeweils an den anerkannten Best Practices der IT Infrastructure Library (ITIL) in der aktuellen Version 3. Im Fokus stehen hier insbesondere die Prozesse aus dem Bereich Operations, d.h. die Beseitigung von Störungen (Incident und Problem Management) sowie die service- und prozessorientierte Ausrichtung der internen Organisation auf Basis eines Service Portfolios, das das Leistungsspektrum der IT für ihre Kunden abbildet.
Abb. 1: Die CMDB der Max-Planck-Gesellschaft synchronisiert einen Teil ihrer Daten mit verschiedenen technischen Drittsystemen. Erleichtert wird diese Anbindung durch offene und flexible Schnittstellen und Synchronisationsmechanismen des Open-Source-Produkts.
Insbesondere die Prozesse aus dem Operations-Bereich benötigen unabdingbar jeweils verlässliche Informationen über die IT-Infrastrukturkomponenten und ihre Zusammenhänge. Ohne diese Informationen sind die genannten Prozesse in ihrer Effizienz deutlich eingeschränkt. Konkret gesprochen: Um gezielt nach den Ursachen der Störung z.B. des Zugriffs auf einen Server zu suchen, muss man wissen, über welche Netzwerkkomponenten der Störungsmelder diesen erreicht. Diese Informationen gehen deutlich über die reine Verwaltung von Bestandslisten hinaus, denn wichtig sind nicht nur das Inventar, sondern ganz besonders die Verknüpfungen technischer und logischer Art zwischen den einzelnen Elementen (in ITIL-Jargon „Configuration Items“ oder kurz „CI“ genannt). Auch zu CIs zählen daher Personen, Verträge, Services, etc. Abbildung 2 verdeutlicht anhand eines Beispiels diese Zusammenhänge.
Abb. 2: Beispiel einer CMDB-gestützen Auswirkunganalyse: Eine Einschränkung der Leistung der Maschine "webserver.demo.com" beeinträchtigt die drei auf ihr laufenden Dienste. Von diesen werden zwei für eine Anwendungslösung "iTop" benötigt, die wiederum für den Geschäftsprozess "iTop Demonstration" erforderlich ist. Dieser ist somit ebenfalls beeinträchtigt.
Auswahlkriterien für die Lösung
Die Informationen, die insbesondere für den Alltagsbetrieb erforderlich sind, ließen sich in den vorhandenen Tools bei der MPG nur unzureichend ablegen, sodass ein geeignetes Werkzeug ausgesucht und eingeführt werden musste. Die ITIL-Methodik bezeichnet solche Lösungen, die letztendlich ein logisches Abbild der IT-Infrastruktur und ihrer Zusammenhänge verwaltet, als „Configuration Management Datenbank“ (CMDB). Für die MPG war bei der Auswahl eines geeigneten Tools wichtig, dass dieses so flexibel konfigurierbar ist, dass es die Gegebenheiten und Eigenheiten der IT-Infrastruktur der Verwaltung korrekt abbilden kann, ohne dass Programmieraufwand anfällt.
Da aber ein großer Teil der in der CMDB zu pflegenden Informationen zumindest in Teilen in verschiedenen technischen Systemen wie z.B. dem Active Directory oder der Softwareverteilung abgelegt war und aus technischen Gründen auch aktuell gehalten werden muss, sollte das gewählte Produkt die Möglichkeit bieten, eine möglichst breite Palette an Drittprodukten mit den CMDB-Daten zu synchronisieren, damit Dubletten und doppelte Datenpflege vermieden werden können.
Die Integrationsfähigkeit des Tools in die vorhandene IT-Landschaft war ebenfalls ein wichtiges Kriterium: Bevorzugt wurden grundsätzlich Technologien, mit denen eigene Erfahrungen und Know-how im Hause vorhanden waren und die sich bereits im Einsatz befanden. Vor dem Hintergrund einer zukünftigen Einführung weiterer ITIL-Prozesse war es wichtig, dass sich die CMDB-Lösung auch rein als ebensolche einsetzen lassen sollte, ohne zwingend noch weitere unnötige Komponenten wie z.B. ein eigenes Ticketing-System zur Mit-Installation vorzuschreiben oder zu erfordern.
Da der exakte Einsatz des Tools in der mittelfristigen Zukunft zum Evaluationszeitpunkt nur schwer detailliert zu planen war, grundsätzlich aber eine Erweiterung des Benutzerkreises auf Personen außerhalb der IT-Abteilung der Generalverwaltung und ihrer Dienstleister wünschenswert wäre – beispielsweise um Verwaltungsleitern von Max-Planck-Instituten auch Zugriff zu geben – sollte das Lizenzmodell des Tools eine möglichst flexible Anwendung erlauben. Unabdingbar war hierfür auch eine Mandantenfähigkeit, z.B. um institutsweise den Zugriff auf die jeweils eigenen Daten zu begrenzen.
Evaluation und Entscheidung
Für die anbieterneutrale Evaluation und Bewertung von geeigneten Tools hat sich die MPG vom einem Mainzer Beratungshaus unterstützen lassen. Deren Berater schlug aufgrund eigener Marktkenntnis und Recherchen elf Produkte als grundsätzlich passend vor, und verengte anhand einer fortentwickelten Anforderungsmatrix zunächst den Kreis der Produkte auf neun, die er alle einer genaueren Betrachtung durch Termine mit Herstellern und weitere Recherchen unterzog. Anhand der oben genannten, fachlichen Kriterien wurden dann die drei am Geeignetsten erscheinenden Anbieter jeweils einzeln nach München geladen, um ihr Produkt detailliert zu präsentieren und auf die konkreten Fragen der mit der Entscheidung betrauten Mitarbeiterinnen und Mitarbeiter der MPG einzugehen. Insgesamt waren in der engeren Endauswahl zwei Open-Source-Produkte vertreten.
Umsetzung und Pflege
Mit der ITSM-Suite iTop entschied sich die MPG schlussendlich für ein relativ neues Produkt, das aber alle fachlichen und technischen Anforderungen erfüllte und zum Evaluationszeitpunkt bereits über Referenzinstallationen bei namhaften Organisationen verfügte, die in Größe und Komplexität über die IT-Infrastruktur der MPG hinaus gingen. Zwar handelt es sich um eine Suite, die neben der CMDB auch Module für verschiedene Operations-Prozesse wie Incident und Problem Management sowie weitere wie Change Management und Service Management mitbringt – aufgrund seiner modularen Architektur und seines Open-Source-Lizenzmodells ist man weder technisch noch wirtschaftlich gezwungen, mehr als das CMDB-Modul zu nutzen. Als mandantenfähiges, vollständig webbasiertes Tool ist es im Deployment denkbar einfach zu handhaben. Das Produkt wurde über mehrere Jahre von drei französischen HP-Angestellten entwickelt und HP-intern für Projekte eingesetzt, bis diese drei sich 2010 mit ihrer Lösung und einer eigenen Firma namens Combodo selbstständig machten und das Produkt nunmehr kommerziell vermarkten. Dabei bleibt aber die gesamte Applikation, die inzwischen über 23.000-mal heruntergeladen wurde, vollständig Open Source unter der GPLv3-Lizenz. Da iTop relativ neu entwickelt wurde und dennoch sehr viel Know-how der Franzosen aus vielen hundert ITSM-Projekten enthält, ist es frei von Altlasten und auch hinsichtlich der erforderlichen Hardwareausstattung relativ genügsam.
Abb. 3 Schematische Übersicht der Architektur von iTop: Um einen CMDB-Kern liegen optional verwendbare Module für Operations-Prozesse, Change- und Service-Management
iTop besteht im Wesentlichen aus einer sehr flexibel konfigurierbaren CMDB, um die sich optionale Module für die Abwicklung verschiedener wichtiger ITIL-Prozesse anordnen. Welche Elemente (CIs) in der CMDB hinterlegbar sind – und auch die Relationen dieser CIs untereinander – sind im sog. Datenmodell frei konfigurierbar. iTop bringt bereits ein umfangreiches Datenmodell mit, das kundenspezifisch beliebig erweitert, verändert oder gekürzt werden kann. Aufgrund der Architektur passt sich die grafische Oberfläche dem konfigurierten Datenmodell automatisch an, sodass auch bei den MPG-spezifischen Erweiterungen und Änderungen kein Programmieraufwand anfiel. Querschnittlich über alle Module bietet iTop eine Reihe sehr flexibler Import- und Export-Schnittstellen für die Datensynchronisation und die Systemintegration.
Wie im Open-Source-Bereich üblich, setzt es dabei auf offene Standards, sodass Interoperabilität mit Drittsystemen möglichst leicht zu gewährleisten ist und kein Lock-In auf Ebene der Daten entsteht – ein Problem, das bei proprietären System oft zu sehr hohen Aufwänden führt, wenn man sich für einen Produktwechsel entscheidet. Zudem bereiten frei konfigurierbare Dashboards die gespeicherten Daten in Echtzeit auf und mit sog. „Audits“ – in Echtzeit ausgewerteten Konsistenzregeln für die Daten der CMDB – lassen sich Ungereimtheiten in der IT-Infrastruktur schnell und buchstäblich per Mausklick entdecken oder überwachen.
Business Case
Ausschlaggebend für eine Entscheidung für ein Open-Source-Produkt waren neben technischen insbesondere wirtschaftliche Argumente: Für die Einführung eines neuen Systems wie einer CMDB verlangen die bei der MPG angewandten Projektrichtlinien einen belastbaren Business Case. Von der Struktur her ist dieser zunächst vom Produkt unabhängig: Einführungskosten und Wartungskosten des Systems einerseits stehen Einsparungen im operativen Betrieb andererseits gegenüber. Bei allen Produkten ist es erforderlich, die Einführung durch einen externen Dienstleister unterstützen zu lassen, da die Tools hochspezialisiert sind und entsprechende Fachexperten bei der Einführung erfordern.
Abb. 4 Schematische Darstellung des Business Cases einer CMDB-Einführung: Nach initalen Investment-Kosten ergeben sich Einsparungen beim laufenden IT-Betrieb, gemindert um Wartungskosten des Produkts
Vorteile haben Open-Source-Lösungen hier also vor allem im Bereich der wegfallenden Lizenzkosten. Aufgrund der flexiblen Anpassbarkeit konnte iTop bei den veranschlagten Einführungskosten zusätzlich punkten, und auch die Wartungskosten lagen unter denen der Konkurrenzlösungen. Dieser Faktor ist jedoch im Business Case lediglich eine einmalige Komponente (initiales Investment für Lizenzbeschaffung), wohingegen die erzielbaren laufenden Einsparungen – die letztendlich zu einem positiven Kapitalwert des Projektes führen – vor allem vom Funktionsumfang der Software-Lösung und von deren laufenden Kosten abhängen. Die Wahl von iTop ist der MPG daher nicht sonderlich schwer gefallen, da das Produkt alle fachlichen Kriterien gut abdeckte und auf entsprechend hohe Bewertungspunktzahlen kam und auch bei der Bewertung der Wartungskosten vorne lag. Bei der Einführung des Systems selbst wurde die MPG durch die Böblinger Firma ITOMIG GmbH unterstützt, dem Deutschland-Partner des Herstellers.
Paralleles Projekt: Verwaltungsweiter Tausch von Hard- und Software
Die Entscheidung für iTop fiel zu einem Zeitpunkt, zu dem die MPG unter dem Titel „AP2010“ ein wichtiges Infrastrukturprojekt bereits gestartet hatte: Upgrade der Verwaltungsrechner von Windows XP auf Windows 7, Microsoft Office 2003 auf 2010, und verschieden weitere Änderungen am Software-Stack. Dieser Wechsel sollte, zusammen mit den allfälligen Schulungsmaßnahmen, mit einem Tausch der gesamten PC- und Notebook-Hardware gegen dem Stand der Technik entsprechende Geräte erfolgen, und zwar verwaltungsweit, d.h. an über 80 Standorten. Dieses Projekt bedeutete neben Herausforderungen im technischen Bereich auch einen planerischen Kraftakt, bei dem die parallel eingeführte CMDB eine wichtige Rolle spielte:
Die 1600 Bildschirmarbeitsplätze der Verwaltungen verteilen sich nämlich sehr inhomogen auf die einzelnen Institute. Zudem gibt es Institute, die sich eine gemeinsame Verwaltung „teilen“, und Institute, die über mehrere Gebäude an verschiedenen Standorten verfügen, oft genug sogar in verschiedenen Städten.
Um ein solches Umstellungsprojekt sinnvoll planen und reibungslos umsetzen zu können, war es für die MPG unabdingbar, eine ganze Reihe Informationen über ihre Infrastruktur verlässlich und auf aktuellem Stand vorliegen zu haben:
- Für die Logistik des Rechnertausches sowie für die Planung der allfälligen Schulungsmaßnahmen: Welche PCs und Notebooks gibt es, wo stehen diese (physisch), und welche(r) Verwaltungsmitarbeiter arbeiten daran?
- Welche Software ist auf den jeweiligen Rechnern installiert? Da durch das Upgrade des Software-Stacks durchaus auch Programme gestrichen oder durch andere ersetzt werden sollten, ist dies insbesondere zur Wahrung der Nutzerzufriedenheit von Belang.
Insbesondere die erste Frage ist weit weniger trivial, als es auf den ersten Blick erscheinen mag: denn diese Informationen sind durch kein technisches System automatisch zu erheben, sondern müssen manuell gepflegt und aktuell gehalten werden. Im Zuge der Vorbereitung des Projekts zeigte sich jedoch, dass die Qualität dieser Informationen den Anforderungen der Projektplanung nicht genügte: Die Informationen, die hierzu im Active Directory abgelegt waren, waren oft veraltet – was man, im Gegensatz zu Lücken in den Daten, den Datensätzen aber natürlich nicht ansieht.
Pflegeprozesse für CMDB-Datenbestand
Somit war es durch die Erfordernisse des Upgrade-Projekts zusätzlich nötig geworden, alle diese „weichen“ Informationen zu erheben – ein nicht unerheblicher Aufwand. Die Gartner Group beziffert die Erhebung solcher Informationen kostenmäßig mit etwa 30 Dollar pro Gerät, was bei einer Infrastruktur wie derer der MPG-Verwaltung den nicht unerheblichen Betrag von ca. 50 000 € ergibt. Da absehbar ist, dass die Geräte in einigen Jahren natürlich wieder getauscht werden müssen, war auch offensichtlich, dass es nicht alleine mit einer einmaligen Erhebung getan sein würde. Notwendig sind auch
- klar definierte und gelebte Pflegeprozesse für die Daten, insbesondere vor dem Hintergrund des Outsourcings wesentlicher Teile des PC-Betriebs an externe Dienstleister. Nur so kann ein schrittweises Veralten und damit die Notwendigkeit einer neuen Erhebung in der Zukunft vermieden werden.
- eine strukturierte Ablagemöglichkeit für diese Daten. Diese muss es gestatten, die manuell gepflegten Informationen mit weiteren, oft aus anderen technischen Systemen (Softwareverteilung, Active Directory u.a.) zu referenzieren, und die Qualität der hinterlegten Daten automatisiert zu prüfen.
Vor allem für den zweiten Punkt war die gerade in Einführung befindliche CMDB prädestiniert. Das ohnehin laufende Rollout-Projekt und die CMDB-Einführung wurden somit synergetisch genutzt – für den Rollout war ohnehin eine Erhebung und Aktualisierung der genannten Daten erforderlich, sodass diese gleich in die CMDB eingepflegt werden konnten.
Zusätzlich wurden sukzessive weitere technische Systeme an die CMDB angebunden und deren CDMB-relevante Daten automatisch synchronisiert. iTop versteht sich hierbei nicht als Ersatz für vorhandene Lösungen, sondern als ITSM-Portal, in dem alle relevanten Informationen und ihre Zusammenhänge – egal aus welcher Quelle – an einem Ort zusammengezogen und aufbereitet zur Einsicht und Abfrage zur Verfügung stehen. Technische Informationen, wie z.B. die Anlage neuer Benutzerkonten, müssen natürlich weiterhin in einem technischen System (Active Directory) erfolgen. Damit diese Informationen aber nicht manuell in die CMDB übernommen werden oder gar doppelt gepflegt werden müssen, ist eine Synchronisation erforderlich.
Abb. 5 Mithilfe der CMDB lassen sich die Daten der IT-Infrastruktur in Echtzeit überwachen. Bei der MPG wurde dies u.a. zur Unterstützung des PC-Rollouts im Projekt AP2010 genutzt.
Parallel zum technischen Projektfortschritt und der sukzessiven Befüllung der CMDB mit Daten wurden die vorhandenen Pflegeprozesse für die Infrastruktur-Daten weiterentwickelt und ergänzt, und Schulungsmaßnahmen bei den Mitarbeiterinnen und Mitarbeitern des internen Second-Level- und des externen First-Level-Helpdesks vorgenommen.
Bereinigungen in der Infrastruktur
Führt man Daten aus mehreren Quellen, die jeweils einen eigenen Teilbereich der Infrastruktur abdecken, erstmals zusammen – und genau das geschieht bei einem CMDB-Einführungsprojekt –, so stößt man in der Regel auf Ungereimtheiten und Inkonsistenzen. Oft liegen diese sogar dort, wo man sich vorab sicher war, dass es keine geben würde. Bei der MPG gab es von dieser Regel keine Ausnahme, sodass im Zuge der Einführung auch Daten in verschiedenen technischen Systemen korrigiert werden mussten.
In der Regel weisen diese Inkonsistenzen auf Probleme oder potenzielle Schwachstellen im IT-Betrieb hin: zum Beispiel kann – durch das Zusammenführen von Daten aus verschiedenen Systemen – hier deutlich werden, ob alle Server korrekt in eine Systemüberwachung eingebunden sind. Solche Informationen sind ohne CMDB nur durch aufwendige manuelle Datenauswertungen zu erhalten – mit iTop können diese Prüfungen fest als sogenannte Audits hinterlegt und in Echtzeit überwacht werden. Findet und bereinigt man solche Schwachstellen, so hat man nicht nur die Qualität der eigenen Leistung verbessert, sondern auch Ausfällen vorgebeugt. Gerade wenn durch einen mangels korrekter Systemüberwachung zunächst unentdeckten Serverausfall Verwaltungsangestellte unnötig lange nicht arbeiten können, entstehen schnell hohe Kosten, die mithilfe der CMDB proaktiv vermieden werden können.
Fazit
Durch die Einführung eines CMDB-Produktes erwartete sich die MPG qualitative und quantitative Nutzeneffekte bei der Pflege von Inventardaten, bei der Beseitigung von Störungen der IT-Infrastruktur, bei der Steuerung und Überwachung externer Provider, und zukünftig auch bei der Erstellung von Leistungsverzeichnissen für Ausschreibungen sowie bei eventuellen Verhandlungen mit Lieferanten. Diese Effekte hängen vornehmlich von der Leistungsfähigkeit des eingesetzten Produkts gemessen an den Erfordernissen der MPG ab.
Spezifische Vorteile durch den Einsatz von Open Source ergaben sich aber durch den Wegfall der ansonsten nicht unerheblichen Lizenzkosten, sowie durch günstige Wartungs- und Betriebskosten. Auch erwiesen sich die Interoperabilität mit beliebigen technischen Drittsystemen und die flexible Anpassbarkeit des Produkts als vorteilhaft.
Zentral für die Auswahl waren aber in erster Linie die fachlichen Kriterien hinsichtlich der Leistungsfähigkeit der Applikation – diese Kriterien waren bei allen drei in der Endauswahl verbliebenen Produkten erfüllt, wobei hier iTop bereits besser abschnitt als die beiden anderen Lösungen. Den Ausschlag gab dann der zusätzlich – aufgrund der Lizenzkostenfreiheit und der geringeren Betriebskosten – attraktivere Business Case. Inzwischen ist iTop im Produktivbetrieb und verwaltet als CMDB die gesamt IT-Infrastruktur der MPG-Verwaltung, mit über 1600 PCs und insgesamt rund 15.000 Configuration Items.
