Kürzlich nahm ich an einem ITIL-Seminar teil. Ich hab dort meine ITIL v2 Foundation-Zertifizierung aus dem Jahr 2006 auf den aktuellen Stand v3 gebracht. Im Vergleich zu v2 hat sich in der aktuellen Version des ITIL-Rahmenwerks einiges geändert. Was natürlich die Frage aufwirft, wo sich darin Fragen der Informationssicherheit und der Softwarequalität verorten lassen.
Der Kernbegriff von ITIL v3 ist der „Service“. Er steht ganz allgemein für (IT-basierte) Dienstleistungen aller Art, die dem Abnehmer einen konkreten Nutzen bringen, der sich anhand festgelegter Kriterien beschreiben und messen lässt. Eines dieser Kriterien ist die Security, mehrere andere beschreiben dem Kunden zugesicherte (Warranty) Qualitätseigenschaften.
Services werden im Wesentlichen durch standardisierte Prozesse beschrieben, die ITIL v3 in fünf große Bereiche einteilt, die in jeweils einem Handbuch beschrieben sind. Das sind die Service Strategy, das Service Design, der Bereich Service Transition, die Service Operations und das Continual Service Improvement. Zusammen beschreiben sie ein Modell für die prozessorientierte Organisation eines IT-Dienstleisters. Insgesamt bildet der Lebenszyklus von Serviceleistungen den Rahmen der fünf ITIL-Bücher.
Vorab: Das für Qualitäts- und Sicherheitsaspekte wichtige Thema Softwareentwicklung wird bei ITIL nur am Rand gestreift. Zwar benötigen fast alle IT-Services „irgendwie“ und „irgendwoher“ auch Software. Aber mit deren Herkunft wird sich kaum beschäftigt. Dafür gibt es auch aussagekräftigere und zielgenauere Vorgehensmodelle wie SCRUM, Prince2 oder das V-Modell XT.
Die wichtigsten sicherheits- und qualitätsrelevanten Entscheidungen beim Entwurf von IT-Systemen werden bereits in der Entwurfsphase getroffen. Daher sieht auch ITIL im Buch Service Design die Prozesse Information Security Management, Risk Management und Compliance Management zur Handhabung solcher Fragen vor.
Das Ausrollen neuer IT-Services wird im ITIL-Buch Service Transition durch standardisierte Prozesse mit qualitätssichernden Charakter Service Validation and Testing, Evaluation, Release Management begleitet.
ITIL sieht mit dem Bereich Continuing Service Improvement im gleichnamigen Buch auch eine Form des kontinuierlichen Verbesserungsprozesses (KVP) vor, wie er als Instrument der Prozessinnovation in der produzierenden Industrie bereits seit längerem etabliert ist. Hier wird mit dem Process Maturity Framework (PMF) auch ein vereinfachtes, am CMMI orientiertes Reifegradmodell für Prozesse im Servicemanagement vorgeschlagen.
Insgesamt bildet ITIL ein Rahmenwerk an Musterprozessen, Modellen und Konzepten zur vielleicht besseren, in jedem Fall aber einheitlicher an Branchennormen und Best Practice Standards ausgerichteten Organisation von IT-Dienstleistern. Viele Themen wie IT-Sicherheit, Qualitätssicherung und Qualitätsmanagement, Risikomanagement, Compliance, IT-Controlling und IT-Governance werden in ITIL zwar angerissen. Um inhaltlich aber tiefer gehen zu können, wird meist darauf verwiesen entsprechende Standards wie ISO 27.000, IT-Grundschutz, COBIT oder betrieblich etablierte Vorgehensweisen einzusetzen und ggf. anzupassen.
Allerdings hat die konsequente Umsetzung von ITIL, d.h. der Aufbau einer entsprechend strukturierten Organisation auch gravierende Nachteile. ITIL macht IT-Services zu austauschbaren Standardprodukten (Kommodifizierung). Unternehmen betrachten durch ITIL ihre IT zunehmend weniger als Business Partner und mehr als austauschbaren Lieferanten, was den Einfluss der IT-Manager in den Unternehmen auf mittlere Sicht hin schwächen dürfte. Zahlreiche ausgelagerte IT-Abteilungen und IT-Service-Provider zeigen das deutlich. IT-Services geraten unter Preisdruck, da bei austauschbaren Produkten die Umsatzrendite bekanntlich gegen Null geht. Und das läuft Aspekten wie Qualität und Sicherheit entgegen.
Es bleibt also abzuwarten, in wie weit die Einführung von ITIL-Strukturen in den Unternehmen für IT-Sicherheit und Softwarequalität tatsächlich Verbesserungen mit sich bringt. Und was davon beim Kunden ankommt.