Die Information Technology Infrastructure Library (ITIL) bildet ein Rahmenwerk, das die Rollen und Praktiken zum Organisieren des IT-Service-Managements (ITSM) von mittleren bis sehr großen Unternehmen beschreibt. ITIL wurde in einer ersten Version gegen Ende der 1980-Jahre von der Central Computing and Telecommunications Agency (CCTA), einer britischen Regierungsbehörde, veröffentlicht. In den Anfangstagen stand im Fokus, den Betrieb von Rechenzentren und den damals vorherrschenden Mainframes zu standardisieren und die stetig zunehmende Menge darauf laufender IT-Anwendungen in geordnete Bahnen zu lenken.

Später ging die Zuständigkeit für ITIL auf das Office of Government Commerce (OGC), gefolgt vom Cabinet Office der britischen Regierung, über. Seit 2013 gehört ITIL als Schutzmarke der Firma Axelos, an der weiterhin das Cabinet Office beteiligt ist. Axelos hat ITIL kontinuierlich zu einem der führenden ITSM-Standards weiterentwickelt. Zwar gibt es mit Control Objectives for Information and Related Technologies (COBIT), der enhanced Telecom Operations Map (eTOM) sowie dem Microsoft Operations Framework (MOF) weitere Ansätze zur Ordnung von IT-Prozessen. Auf Grund der größeren Verbreitung soll im Folgenden jedoch ITIL im Fokus stehen.

Als Rahmenwerk bietet ITIL Hilfestellung beim Organisieren von IT-Prozessen, ohne diese zwingend in einen starren Rahmen zu pressen. Es definiert entsprechend keine harten Muss-Kriterien, sondern stellt darauf ab, wie Prozesse aufgebaut sein sollten. IT-Manager dürfen ITIL folglich als Werkzeugkasten verstehen, aus dem sie nur die Teile auswählen, die am besten zu ihren Erfordernissen passen.

Möchte ein Unternehmen die Standardisierung der eigenen Prozesse gegenüber Geschäftspartnern und Kunden nachweisen, eignen sich hierfür die Normen der International Organization for Standardization (ISO). Die Umsetzung einer solchen Norm kann ein Unternehmen mittels eines externen Audits prüfen lassen und im Erfolgsfall eine entsprechende Zertifizierung vorweisen. Prominenteste Vertreter solcher Normen sind etwa ISO 9001 als international anerkannter Standard für Qualitätsmanagementsysteme oder ISO/IEC 27001, die die Anforderungen an Implementierung, kontinuierlichen Betrieb und fortlaufende Optimierung eines dokumentierten Informationssicherheits-Managementsystems (ISMS) definiert.

Dem ITSM dagegen widmet sich ISO/IEC 20000, deren Wurzeln ebenfalls in Großbritannien liegen. Der nationale British Standard BS 15000 der dortigen Normungsorganisation BSI bildete die Grundlage und avancierte bereits 2005 zur ISO-Norm. Die dritte Edition dieser Norm, auf die wir später zurückkommen werden, hat die ISO im September 2018 verabschiedet. Doch werfen wir nun zunächst einen Blick auf ITIL.

Im Frühjahr 2019 hat Axelos die vierte Version von ITIL veröffentlicht [1]. In der vorherigen Version wurde der Lebenszyklus eines IT-Dienstes in fünf Büchern beschrieben: die Servicestrategie, Serviceentwicklung, Überführung eines Services in den Betrieb, Servicebetrieb sowie kontinuierliche Serviceverbesserung. An deren Stelle tritt mit der aktuellen Version 4 ein modularer Aufbau, dessen Kern nur noch ein Buch bildet – die "ITIL Foundation", nebst begleitenden Dokumenten.

Ein zentrales Element von ITIL 4 ist das Service Value System (SVS), das die komplette Wertschöpfungskette eines Diensts und seinen Lebenszyklus in den Mittelpunkt rückt. Ein jeder Dienst darf dabei nicht Selbstzweck sein, sondern ist immer an der Nachfrage interner und externer Kunden auszurichten sowie natürlich daran, welchen Mehrwert er im Hinblick auf die Unternehmensziele generiert.

Den Rahmen bilden neben Maßnahmen zur kontinuierlichen Verbesserung insgesamt sieben Leitlinien, die den Prinzipien anderer Methoden, wie etwa Lean Management oder DevOps, ähneln:

- Wertorientierung

- Dort beginnen, wo man steht

- Iterative Weiterentwicklung & Feedback

- Zusammenarbeit & Transparenz fördern

- Ganzheitlich denken und arbeiten

- Auf Einfachheit & Praktikabilität achten

- Optimieren und automatisieren

Kurz zusammengefasst besagen diese Leitsätze, dass jeder Dienst immer einen direkten oder indirekten Beitrag zur Wertschöpfung leisten muss. Ausgehend vom Status Quo sollten Maßnahmen zur Verbesserung iterativ in vielen kleinen Schritten erfolgen. Dabei ist die IT nicht isoliert zu betrachten, sondern muss transparent mit allen übrigen Unternehmensteilen zusammenarbeiten. Womöglich sollten Prozesse schlank gehalten werden und weitestgehend auf Automatisierung setzen. Dies für alle Services zu gewährleisten und über alle Dienste zu koordinieren, ist Aufgabe der Governance als Steuerungs- und Regelinstrument der Unternehmensführung.

Was bis hierher abstrakt klingen mag, wird deutlicher und greifbarer beim genaueren Blick auf die Praktiken. Insgesamt bringt ITIL in der aktuellsten Fassung 34 Praktiken in drei Kategorien mit [2]. So schließt ITIL im Bereich der allgemeinen Managementpraktiken etwa auch die Personalentwicklung, das generelle Risikomanagement oder auch die Beziehungen zu Lieferanten und Kunden mit ein. Dieser umfassende Anspruch ist Stärke, aber auch größte Schwäche von ITIL, hat er dem Framework doch den Ruf eingehandelt, zu komplex für den Alltag kleiner bis mittlerer Unternehmen zu sein. Wie jedoch eingangs erwähnt, müssen IT-Verantwortliche nicht alles dogmatisch umsetzen. ITIL-Neulinge sollten mit einzelnen Bausteinen starten und bei deren Einführung die sieben Leitlinien beherzigen.

Für den Einstieg empfehlen sich aus Sicht der IT die Praktiken des Service Managements. Hat eine IT-Abteilung etwa bislang alle Anfragen auf Zuruf erledigt, wird aber der wachsenden Zahl an Kundenanforderungen nun nicht mehr Herr, bilden die Praktiken "Service Desk", "Incident Management" und "Service Request Management" einen guten Startpunkt. Bereits das strukturierte Erfassen aller Anfragen in Form von Tickets sowie die Unterscheidung zwischen akuten Störungen (Incidents) und neuen Wünschen (Service Requests), kann hier bei der Priorisierung helfen.

Im Rahmen einer iterativen Weiterentwicklung des ITSM folgen dann nach Bedarf weitere Schritte wie das Zusammenfassen ähnlicher Incidents im Problem Management oder das strukturierte Bearbeiten von Service Requests. Marktgängige Servicedesk-Systeme orientieren sich an den ITIL-Praktiken und erleichtern so deren Umsetzung im Alltag und umfassen in der Regel auch eine Configuration Management Database (CMDB) zur Identifikation aller Configuration Items im Asset-Management.

Wer sich aber allein auf einen Servicedesk als technische Lösung konzentriert, ohne die Kunden und Mitarbeiter einzubinden, läuft Gefahr, viel Arbeit in eine teure Software zu investieren, die schlussendlich an mangelnder Akzeptanz scheitert. Um dies zu vermeiden, führt ITIL in der aktuellen Version zusätzlich zum SVS ein Modell mit vier Dimensionen ein, das ein ganzheitliches Vorgehen gewährleisten soll:

- Organisationen und Personen

- Informationen und Technologien

- Partner und Lieferanten

- Wertströme und Prozesse

Diese Kriterien erweitern die Aspekte der Personen, Produkte, Partner und Prozesse aus den früheren Versionen. Sie sollen sicherstellen, dass das ITSM zur Unternehmenskultur und den Mitarbeitern passt, interne sowie externe Partner und Lieferanten einbindet und klar herausstellt, welchen Mehrwert eine Wertschöpfungskette für den Kunden und damit letztendlich für den Erfolg des Unternehmens erzeugt.

Passend zu ITIL 4 hat Axelos auch die Systematik der möglichen Zertifizierungen für Einzelpersonen aktualisiert (Bild 2). Das Seminar "ITIL Foundation", nebst gleichnamiger Zertifizierung, setzt kein Vorwissen voraus und bildet als Grundlagenkurs den Einstieg in die Welt von ITIL. Insgesamt fünf darauf aufbauende Module ebnen den Weg zum ITIL Managing Professional (MP) sowie zum ITIL Strategic Leader (SL). Während die erste Vertiefungsrichtung sich an Praktiker richtet, die ihr Wissen direkt in ihrer Projektarbeit umsetzen wollen, adressiert der zweite Strang Entscheider, die die gesamte Strategie des Unternehmens über die reinen IT-Prozesse hinaus beeinflussen und steuern. Wer gleich alle Module beider Vertiefungsrichtungen erfolgreich durchläuft, die entsprechenden Prüfungen ablegt und über tiefgreifende praktische Erfahrungen verfügt, darf sich "ITIL Master" nennen. Möchte ein Unternehmen als Ganzes den Reifegrad seines ITSM per Zertifikat belegen, hilft hierbei die entsprechende ISO-Norm.

Orientiert an ITIL hat die ISO zusammen mit der International Electoral Commission (ICE) die Norm ISO/IEC 20000 geschaffen, die weltweit als Standard für das Messen der Qualität eines IT-Service-Managements dient. Die Norm besteht aus zwei Teilen. Der erste Teil "Service Management System Requirements" legt in seiner jüngsten Version ISO/IEC 20000-1:2018 sämtliche Anforderungen an das Erstellen, Implementieren, die Pflege und die kontinuierliche Verbesserung eines Service-Management-Systems (SMS) fest [3]. Der zweite Teil ISO/IEC 20000-2:2019 "Guidance on the application of service management systems" ergänzt den ersten um Erläuterungen sowie Leitlinien und Empfehlungen für die praktische Umsetzung. Für eine Zertifizierung ist allerdings nur der erste Teil maßgeblich und im Gegensatz zu ITIL sind dessen Anforderungen verpflichtend zu erfüllen, wenn ein Unternehmen sich nach dieser Norm zertifizieren lassen möchte.

Wie ITIL betrachtet die Norm die komplette Organisation mit den Wünschen ihrer internen und externen Kunden. Den Kern des IT-Service-Managements bilden hier die im Bereich der "Operation of the SMS" definierten Anforderungen, die komplementär zu den in ITIL genannten Praktiken sind. So finden sich auch hier die typischen Komponenten des ITSM, darunter das Incident-, Service-Request-, Problem- und Change-Management. Im Gegensatz zu ITIL sind all diese Elemente nach der Norm allerdings obligatorisch zu implementieren.

Wie das Qualitätsmanagement nach ISO 9001 in der Industrie ab einer gewissen Unternehmensgröße zum Pflichtprogramm für eine Zusammenarbeit gehört, verlangen viele Geschäftspartner und öffentliche Auftraggeber zunehmend auch nach entsprechenden Belegen im Hinblick auf Informationssicherheit und ITSM. So kann eine Zertifizierung zum Wettbewerbsvorteil werden. Neben den persönlichen ITIL-Zertifikaten offerieren diverse akkreditierte Trainingsanbieter Einzelpersonen die Möglichkeit, ihr Wissen um die ISO/IEC 20000 zu belegen. Einem Foundation-Zertifikat folgen der IT-Service-Manager sowie der Auditor, der selbst Unternehmen auf ihre Konformität zur Norm prüfen darf. Das setzt voraus, dass er bei einem offiziell hierfür zugelassenen Arbeitgeber, einem "Registered certification body" (RCB), beschäftigt ist. Ein RCB darf als unabhängige Prüfungsinstanz einen Audit durchführen, der in zwei Phasen feststellt, ob ein gesamtes Unternehmen oder ein bestimmter Teil des Unternehmens die Anforderungen der ISO/IEC 20000-1 erfüllt. So gibt ein "Scope-Statement" als Bestandteil des Zertifikats an, ob das Unternehmen als Ganzes, eine Abteilung oder ein bestimmter Standort den Zertifizierungsprozess durchlaufen hat.

In einer ersten Phase ermittelt der Auditor den Reifegrad des Unternehmens oder Scopes und erstellt einen Bericht mit Abweichungen von der Norm, die, soweit vorhanden, nachzubessern sind. Anschließend folgt mit der zweiten Phase der eigentliche Audit, der im Erfolgsfall dem Unternehmen oder einer Abteilung die Einhaltung der Norm per Zertifikat belegt. Dieser Prozess ist alle drei Jahre zu wiederholen. Ein Prüfer orientiert sich dabei an im Unternehmen vorhandener Dokumentation zum ITSM und dessen Prozessen. Er führt zudem Interviews mit Mitarbeitern durch, um festzustellen, ob die Maßnahmen des ITSM allen bekannt sind und tatsächlich auch in der Praxis gelebt werden. Da die Norm im Gegensatz zu ITIL alle Prozesse obligatorisch vorgibt, ist ein solcher Audit selbst für Organisationen, die sich bereits an ITIL orientieren, eine Herausforderung.

Unternehmen, die sich erstmals mit ITIL und ISO/IEC 20000 beschäftigen, mögen sich fragen, ob sie wirklich beides benötigen. Dies lässt sich durchaus bejahen, denn die Rahmenwerke ergänzen sich optimal. So gibt die ISO-Norm zwar umfassend, aber abstrakt die Anforderungen vor, die mindestens zu erfüllen sind, ohne genau zu definieren, wie dies zu geschehen hat. Hier helfen die Praktiken nach ITIL bei der praktischen Implementierung weiter. Typischerweise sollte ein Unternehmen den IT-Betrieb zunächst schrittweise an ITIL ausrichten und sich erst dann an die ISO/IEC 20000 wagen. Ist die ITIL-Zertifizierung einzelner Mitarbeiter bereits ein wertvoller Baustein auf dem Weg zu einem strukturierten ITSM, erbringt erst ein ISO-Zertifikat für die gesamte Organisation den Nachweis, der sich auch im Austausch mit Externen als Mehrwert verbuchen lässt.