IT-Incident-Management (Vorfallsmanagement)

Was ist IT-Incident-Management?

IT-Incident-Management ist ein Bestandteil des IT-Service-Managements (ITSM), dessen Ziel es ist, Dienste nach einem Vorfall schnell wieder in den Normalzustand zu versetzen und gleichzeitig die negativen Auswirkungen auf das Geschäft zu minimieren.

Ein Vorfall ist ein unerwartetes, ungeplantes Ereignis, das den normalen Betrieb eines IT-Dienstes stört. Der IT-Incident-Management-Prozess beginnt, wenn ein Endbenutzer ein Problem meldet, und endet, wenn ein Mitarbeiter des Service Desks oder Help Desks das Problem behebt.

Das IT-Incident-Management hilft Unternehmen, auf unerwartete Hardware-, Software- und Sicherheitsausfälle vorbereitet zu sein, und reduziert die Dauer und Schwere der durch diese Ereignisse verursachten Störungen. Es kann einem etablierten ITSM-Framework folgen, wie beispielsweise der Information Technology Infrastructure Library (ITIL) oder COBIT, kurz für Control Objectives for Information and Related Technologies. Es kann auch auf einer Kombination aus Richtlinien und Best Practices basieren, die im Laufe der Zeit etabliert wurden.

Arten von Vorfällen

Vorfälle werden im Allgemeinen nach niedriger, mittlerer und hoher Priorität kategorisiert:

• Vorfälle mit niedriger Priorität beeinträchtigen die Endbenutzer nicht, die ihre Arbeit trotz des Problems in der Regel fortsetzen können.
• Vorfälle mit mittlerer Priorität sind Probleme, die sich auf Endbenutzer auswirken, aber die Dienstunterbrechung ist entweder geringfügig oder von kurzer Dauer.
• Vorfälle mit hoher Priorität sind Probleme, die eine große Anzahl von Endbenutzern betreffen und die ordnungsgemäße Funktion eines Systems beeinträchtigen.

Vorfälle werden in Hardware-, Software- oder Sicherheitsvorfälle unterteilt, obwohl Leistungsprobleme oft aus einer Kombination dieser Bereiche resultieren können. Zu Softwarevorfällen gehören in der Regel Probleme mit der Verfügbarkeit von Diensten oder Anwendungsfehler. Zu Hardwarevorfällen gehören in der Regel ausgefallene oder eingeschränkte Ressourcen, Netzwerkprobleme oder andere Systemausfälle. Sicherheitsvorfälle umfassen versuchte und aktive Bedrohungen, die darauf abzielen, Daten zu kompromittieren oder zu verletzen. Der unbefugte Zugriff auf personenbezogene Daten und Aufzeichnungen ist beispielsweise ein Sicherheitsproblem.

Rollen im Vorfallmanagement

Das IT-Incident-Management besteht in der Regel aus drei Support-Ebenen, die häufig innerhalb der Helpdesk- oder Service-Desk-Struktur organisiert sind. Die meisten Unternehmen verwenden ein Support-System, beispielsweise ein Ticket-System, um Vorfälle zu kategorisieren und zu priorisieren. Die IT-Mitarbeiter reagieren auf jeden Vorfall entsprechend seiner Prioritätsstufe.

Zu den gängigen Rollen im Bereich des IT-Incident-Managements gehören die folgenden:

• Incident Manager. Ein Incident Manager sorgt für die ordnungsgemäße Reaktion auf Vorfälle und die Einhaltung der Managementprozesse in den IT-Support- und IT-Service-Teams. Diese Person kann an der Auswahl des ITSM-Frameworks des Unternehmens beteiligt sein. Sie arbeitet daran, die Vorbeugung und Bearbeitung von Vorfällen im Unternehmen im Laufe der Zeit durch Risikominderungsstrategien und kontinuierliche Prozessverbesserungen zu verbessern. Der Incident Manager fungiert als Kommunikationsbrücke zwischen Endbenutzern und technischen Spezialisten bei Störungen, wie zum Beispiel einem E-Mail-Ausfall. Der Incident Manager erstellt zusammen mit den Mitarbeitern des Service Desks Vorfallsberichte für kritische Geschäfts- und IT-Services und leitet möglicherweise eine Nachbesprechung zu größeren Vorfällen. Außerdem pflegen sie eine Wissensdatenbank mit Problemen und Vorfällen.
• Service Desk Manager. Der Service Desk Manager ist häufig am Vorfallmanagementprozess beteiligt und fungiert in erster Linie als First-Line-Support. Zu seinen Aufgaben gehören die Protokollierung und Kategorisierung von Vorfällen. In kleinen und mittleren Unternehmen übernehmen Service Desk Manager manchmal auch die Rolle des Vorfallmanagers.
• Service Desk Analysten. Service Desk Analysten bearbeiten erste Vorfallberichte (Incident Report), protokollieren Vorfälle und erstellen eine erste Diagnose und Lösung. Bei Bedarf eskalieren sie Probleme.
• Level-1-Support. Der Level-1-Support bietet in der Regel grundlegende Unterstützung oder Hilfe, beispielsweise beim Zurücksetzen von Passwörtern oder bei der Fehlerbehebung am Computer. Der Level-1-Support umfasst die Identifizierung von Vorfällen, die Priorisierung von Vorfällen, die Protokollierung und Kategorisierung, die Lösung von Vorfällen und gegebenenfalls die Eskalation an den Level-2-Support. Er umfasst technisches Personal, das für die Lösung häufiger Vorfälle und die Erfüllung grundlegender Serviceanfragen geschult ist.
• Level-2-Support. Der Level-2-Support durchläuft einen ähnlichen Prozess für komplexere Probleme, deren Lösung mehr Schulung, Fachwissen oder Sicherheitszugang erfordert. Der Level-2-Support umfasst IT-Mitarbeiter mit spezifischen Kenntnissen des betreffenden Systems.
• Level-3-Support. Größere Vorfälle werden vom Level-3-Support bearbeitet. Zu dieser Kategorie gehören Vorfälle, die den Geschäftsbetrieb stören, als hochprioritär eingestuft sind und eine sofortige Reaktion erfordern. Die Mitglieder des Level-3-Support-Teams sind in der Regel Spezialisten für den Gegenstand des Vorfalls. Ein Level-3-Support-Team könnte beispielsweise den Chefarchitekten und Ingenieure umfassen, die für den täglichen Betrieb und die Wartung des Produkts oder der Dienstleistung zuständig sind.
• Facility Manager. Der Facility Manager überwacht die Wartung der physischen Umgebung, in der sich die IT-Infrastruktur befindet. Dazu können die Verwaltung von Elementen wie Strom- und Kühlsystemen, die Regulierung des Zugangs zum Gebäude und die Überwachung der Umgebungsbedingungen gehören.
• Change-Management-Team. Dieses Team bewertet und richtet die zur Behebung von Vorfällen erforderlichen Änderungen ein. Ein Schwerpunkt des Change-Management-Teams besteht darin, sicherzustellen, dass die Änderungen den Richtlinien und Best Practices des Unternehmens entsprechen.

In DevOps-Organisationen sind Softwareentwickler nach dem Motto You build it, you own it (Du baust es, es gehört dir) für produktionsreifen Code verantwortlich. Im Falle eines Softwarevorfalls sollte der Entwickler für die Reaktion auf den Vorfall und dessen Management sorgen.

IT-Incident-Managementprozess

In der Praxis stützt sich das IT-Incident-Management häufig auf vorübergehende Workarounds, um sicherzustellen, dass die Dienste verfügbar sind, während die IT-Mitarbeiter den Vorfall untersuchen, seine Ursache identifizieren und eine dauerhafte Lösung entwickeln und implementieren. Die Workflows und Prozesse im IT-Incident-Management unterscheiden sich je nach IT-Organisation und dem zu behandelnden Problem.

Ein gängiges Framework zum Verständnis des IT-Incident-Managements ist die Analyse des ITIL-Prozesses. ITIL ist ein weit verbreitetes ITSM-Framework. Das ITIL-Incident-Management nutzt einen Workflow für eine effiziente Lösung: Identifizierung, Protokollierung, Kategorisierung, Priorisierung, Reaktion, Diagnose, Eskalation, Lösung und Wiederherstellung sowie Abschluss des Vorfalls.

Zu den typischen Schritten eines IT-Incident-Management-Prozesses gehören die folgenden:

1. Identifizierung des Vorfalls. Die meisten IT-Incident-Management-Workflows beginnen damit, dass Benutzer und IT-Mitarbeiter potenzielle Vorfälle, wie zum Beispiel eine Verlangsamung des Netzwerks, präventiv angehen. Diese Vorfälle können auch über Benachrichtigungs- und Alarmüberwachungs-Tools gemeldet werden.

2. Protokollierung (Logging). Sobald ein Vorfall identifiziert wurde, wird er im Vorfallmanagementsystem protokolliert. Dazu gehört die Erfassung relevanter Details wie die Art des Vorfalls, seine Auswirkungen auf die Dienste und die erste Diagnose oder Bewertung. Die Dokumentation hilft den IT-Mitarbeitern, bisher unbekannte und wiederkehrende Vorfallstrends zu erkennen, diese zu beheben und den Vorfall zur späteren Verwendung zu überprüfen und zu protokollieren. Wenn eine vorübergehende Abhilfe geschaffen wurde und die Beeinträchtigung für die Endbenutzer gemildert ist, können die IT-Mitarbeiter eine langfristige Lösung entwickeln.

3. Kategorisierung. Vorfälle werden nach Art, Schweregrad und Auswirkungen auf den Geschäftsbetrieb kategorisiert. Sie können beispielsweise als Vorfälle mit niedriger, mittlerer oder hoher Priorität eingestuft werden.

4. Priorisierung. Nach der Kategorisierung werden die Vorfälle entsprechend ihrer Dringlichkeit und Wichtigkeit priorisiert. Beispielsweise werden Vorfälle der Stufe 1 oder mit niedriger Priorität in der Regel weniger erfahrenen Technikern zugewiesen, während Vorfälle höherer Stufen, wie beispielsweise Stufe 2 und 3, erfahreneren Mitarbeitern zugewiesen werden.

5. Reaktion. Der nächste Schritt besteht darin, umgehend auf den Vorfall zu reagieren und einen Plan zur Reaktion auf Vorfälle (Incident Response Plan) zu erstellen. Dazu kann es erforderlich sein, Vorfallstickets zu eröffnen und proaktiv mit Endbenutzern und Stakeholdern zu kommunizieren, um sie über den Status des Vorfalls, den Fortschritt der Lösung und alle von ihrer Seite erforderlichen Maßnahmen auf dem Laufenden zu halten.

6. Diagnose. Nach der Reaktion auf den Vorfall untersucht das IT-Team den Vorfall, um die Ursache zu ermitteln und einen Lösungsplan zu entwickeln. Dies kann die Analyse von Protokollen, die Durchführung von Tests oder die Einbeziehung relevanter Stakeholder umfassen.

7. Eskalation. Die erste Support-Ebene führt die erste Triage durch. Wenn der Vorfall nicht innerhalb eines bestimmten Zeitraums gelöst werden kann, wird er an die höheren Support-Ebenen eskaliert.

8. Lösung und Wiederherstellung. Sobald die Ursache identifiziert und das Problem entsprechend eskaliert wurde, ergreift das IT-Support-Team die erforderlichen Maßnahmen, um den Vorfall zu lösen und den normalen Betrieb wiederherzustellen. Dies kann die Anwendung von Korrekturen, Hardware- und Software-Upgrades sowie die Erstellung von Workarounds umfassen.

9. Abschluss. Nachdem der Vorfall gelöst wurde, wird er im Vorfallmanagementsystem offiziell abgeschlossen. Dazu gehört die Dokumentation der während des Prozesses ergriffenen Maßnahmen und gewonnenen Erkenntnisse sowie die Aktualisierung der relevanten Wissensdatenbanken.

Durch den Fokus auf IT-Incident-Management-Prozesse und bewährte Verfahren kann die Dauer eines Vorfalls minimiert, die Wiederherstellungs- und Lösungszeit verkürzt und zukünftige Probleme vermieden werden. Während des gesamten Prozesses sollte eine klare, transparente und zeitnahe Kommunikation mit den Beteiligten, einschließlich Endbenutzern, IT-Mitarbeitern und Management, aufrechterhalten werden. So wird sichergestellt, dass alle über den Status des Vorfalls und dessen Lösung informiert sind.

Was sind die Vorteile des IT-Incident-Managements?

Das IT-Incident-Management bietet die folgenden wesentlichen Vorteile, die zu einem effizienten Funktionieren der IT-Services eines Unternehmens beitragen:

• Verbesserte Effizienz und Produktivität. Incident-Management-Prozesse ermöglichen es Helpdesk-Mitarbeitern, jeden Vorfall schnell und konsistent zu bearbeiten, wodurch Effizienz und Produktivität verbessert werden. Mit einem klar definierten IT-Incident-Management-Prozess wird beispielsweise bei einem Ausfall eines Dienstes der Vorfall umgehend protokolliert, klassifiziert und von den Service-Desk-Mitarbeitern an das zuständige Support-Team weitergeleitet, um eine schnelle Lösung zu ermöglichen.
• Verbesserte Transparenz und Sichtbarkeit. Durch die Befolgung eines strukturierten Incident-Management-Prozesses werden betroffene Parteien, Kunden und Stakeholder in Echtzeit über den Status ihrer Tickets informiert, was die Transparenz des Lösungsprozesses erhöht.
• Minimierte Ausfallzeiten. Automatisierte Überwachungs-Tools, Warnsysteme und proaktive Überwachungspraktiken identifizieren Probleme umgehend und helfen IT-Teams, den Incident-Response-Prozess ohne Verzögerung einzuleiten. Durch die umgehende Bearbeitung und Lösung von Incidents bleiben kritische Dienste und Systeme betriebsbereit und Ausfallzeiten werden minimiert.
• Verbesserte Kundenzufriedenheit. Incident-Management-Prozesse tragen dazu bei, das Serviceniveau aufrechtzuerhalten und vereinbarte Service Level Agreements (SLA) einzuhalten. Transparente Kommunikation, effektive Eskalation und schnelle Lösung von Vorfällen verbessern die allgemeine Kundenzufriedenheit.
• Verbesserte Zusammenarbeit und Kommunikation. Ein effektives Incident-Management verbessert die Zusammenarbeit zwischen den Stakeholdern und fördert die Kommunikation durch klar definierte Rollen und zentralisierte Kommunikationskanäle, wie zum Beispiel Ticketingsysteme und regelmäßige Status-Updates.
• Kontinuierliche Verbesserung. Das Incident-Management fördert eine Kultur der kontinuierlichen Verbesserung, indem es Vorfälle analysiert, aus ihnen lernt und die gewonnenen Erkenntnisse zur Verbesserung der Prozesse und der gesamten IT-Servicebereitstellung nutzt. Durch die Beseitigung der zugrunde liegenden Ursachen und die Ergreifung von Korrekturmaßnahmen können Unternehmen ähnliche Vorfälle in Zukunft proaktiv verhindern, was zu einer zuverlässigeren Servicebereitstellung und einer höheren Kundenzufriedenheit führt.
• Frühzeitige Risikoerkennung. Vorfälle machen oft potenzielle Risiken in IT-Systemen deutlich. Ein effektives Vorfallmanagement identifiziert diese Risiken und ermöglicht die frühzeitige Ergreifung von Präventivmaßnahmen, um die Wahrscheinlichkeit zukünftiger Vorfälle zu verringern.

Hat das Vorfallmanagement etwas mit ITIL zu tun?

Das Vorfallmanagement ist Teil des ITIL-Frameworks. Im Folgenden sind einige Unterschiede und Gemeinsamkeiten zwischen den beiden Konzepten aufgeführt:

• ITIL ist eine Reihe detaillierter Praktiken für ITSM, die sich auf die Ausrichtung der IT-Services an den Anforderungen des Unternehmens konzentrieren.
• Das Incident-Management ist ein Schlüsselprozess innerhalb von ITIL, der darauf abzielt, den normalen Servicebetrieb so schnell wie möglich wiederherzustellen und gleichzeitig die Auswirkungen auf den Geschäftsbetrieb zu minimieren. Es ist als ein Prozessbereich innerhalb der umfassenderen ITIL- und ISO 20000-Umgebungen definiert.
• Der ITIL-Incident-Management-Prozess soll sicherstellen, dass aus vergangenen Vorfällen Verbesserungspotenziale abgeleitet werden und dass andere Service-Management-Prozesse mit Informationen zu Vorfällen versorgt werden.
• Das Incident Management konzentriert sich speziell auf das Management von IT-Vorfällen.
• ITIL bietet ein umfassendes Framework für das Incident-Management, an dem sich Unternehmen orientieren oder das sie als Vorlage für die Erstellung ihrer eigenen IT- und Incident-Management-Prozesse nutzen können.
• Incident-Management-Teams sind die erste Anlaufstelle, wenn Vorfälle auftreten, und ihre Aufgabe besteht darin, Vorfälle zu identifizieren und zu beheben, um die definierten Service-Levels so schnell wie möglich wiederherzustellen.

Tools für das Incident-Management

Helpdesk- und Incident-Management-Teams stützen sich bei der Behebung von Vorfällen auf eine Kombination verschiedener Tools, darunter Monitoring-Tools zur Erfassung von Betriebsdaten, Systeme zur Ursachenanalyse sowie Plattformen für das Incident-Management und die Automatisierung.

Zu den gängigen Arten von Tools für das Incident-Management gehören die folgenden:

• Überwachungs-Tools. Überwachungs-Tools erkennen in der Regel Ausfälle, lösen Warnmeldungen aus und diagnostizieren Vorfälle. Mit diesen Tools können IT-Mitarbeiter auch Betriebsdaten aus mehreren Systemen abrufen, zum Beispiel aus lokalen oder Cloud-basierten Hardware- und Softwaresystemen.
• Tools zur Ursachenanalyse. Tools zur Ursachenanalyse (Root Cause Analysis) helfen bei der Sortierung von Betriebsdaten, zum Beispiel Protokollen, die von Systemmanagement-, Anwendungsleistungsüberwachungs- und Infrastrukturüberwachungstools erfasst wurden. Tools zur Ursachenanalyse helfen IT-Mitarbeitern zu verstehen, wie ein System funktioniert und wo sich Vorfälle befinden.
• Tools zur Reaktion auf Vorfälle. Diese Tools (Incident Response Tools) korrelieren mit Überwachungsdaten und erleichtern die Reaktion auf Ereignisse, in der Regel mit einem ausgeklügelten Eskalationspfad und einer Methode zur Dokumentation des Reaktionsprozesses. Viele Produkte für das Vorfallmanagement legen Eskalationsrichtlinien fest und erstellen automatisierte Workflows, die Benutzer anhand vorkonfigurierter Parameter über Vorfälle benachrichtigen.
• ITSM-Service-Desk-Tools. Diese Tools protokollieren Daten wie die Art des Vorfalls, seine Ursache und die zur Lösung des Vorfalls ergriffenen Maßnahmen. Beispielsweise protokollieren und priorisieren Tools zur Ursachenanalyse und -prüfung IT-Vorfälle über ein Self-Service-Portal. Sie können Vorfälle nach Instanz protokollieren, sie nach Auswirkung und Dringlichkeit klassifizieren, sie bei Bedarf eskalieren und Analysen für zukünftige Verbesserungen durchführen.
• Künstliche Intelligenz und virtuelle Agenten. KI und virtuelle Agenten verändern die Verfahren des Vorfallmanagements. KI analysiert historische Vorfälle, um die Vorhersage, Erkennung und Lösung zu verbessern. Virtuelle Agenten wie Chatbots geben sofort Antworten auf häufig gestellte Fragen und führen grundlegende Fehlerbehebungen durch, sodass menschliche Agenten sich um komplexere Probleme kümmern können.
• AIOps. AIOps integriert maschinelles Lernen und Big Data, um IT-Abläufe zu automatisieren und den Vorfallmanagementprozess zu verbessern. Durch die Analyse umfangreicher Datensätze in Echtzeit identifiziert AIOps Muster und Anomalien, die auf potenzielle Vorfälle hinweisen könnten. Es kann auf der Grundlage historischer Daten Optionen empfehlen und so die Effizienz der Vorfallbehebung verbessern und eine proaktive Vorfallprävention und -minderung ermöglichen.
• VDokumentation. Automatisierte, von der Community erstellte Sätze von VMware PowerCLI-Skripten, die Änderungen in vSphere-Umgebungen aufzeichnen können und so die Dokumentation von Vorfällen für die Nachanalyse erleichtern. Beispielsweise können Teams PowerCLI-Skripte so planen, dass sie monatlich ausgeführt werden und Vorfälle für eine detaillierte Überprüfung erfassen.

Laut Gartner gibt es auf dem Markt Anbieter, die gebrauchsfertige Workflows zur Unterstützung verschiedener Geschäftsanforderungen über den IT-Bereich hinaus anbieten. Die Liste umfasst die folgenden 10 Anbieter in alphabetischer Reihenfolge:

• 4me.
• Atlassian.
• BMC Software.
• Freshworks.
• Ivanti.
• ManageEngine.
• OpenText.
• ServiceNow.
• SolarWinds.
• TeamDynamix.

Best Practices im IT-Incident-Management

Es gibt mehrere Best Practices, die Unternehmen befolgen können, um effektiv auf ungeplante IT-Ereignisse oder Serviceunterbrechungen zu reagieren:

• Definieren Sie Schwere- und Prioritätsstufen. IT-Teams sollten Schwere- und Prioritätsstufen definieren, bevor ein Vorfall auftritt, da dies den Incident-Managern die schnelle Einschätzung der Priorität erleichtert.
• Verwenden Sie Systeme zur Vorfallverfolgung und zum Ticketing. IT-Teams sollten zuverlässige Systeme zur Vorfallverfolgung und zum Ticketing einrichten, um Vorfälle während ihres gesamten Lebenszyklus zu protokollieren, zu überwachen und zu verwalten.
• Protokollieren Sie alle Aktivitäten. IT-Incident-Management-Teams sollten immer alles in einem einzigen Tool so detailliert wie möglich dokumentieren, unabhängig vom Schweregrad des Ereignisses, der Dringlichkeit oder der Position des Anrufers. Die Überwachung jedes Vorfalls reduziert die Zeit, die für die Reaktion und Lösung benötigt wird. Für die Protokollabstimmung stehen auch automatisierte Systeme zur Verfügung.
• Unterscheiden Sie zwischen Vorfällen und Problemen. Es ist wichtig, zwischen Vorfällen und Problemen zu unterscheiden. Vorfälle beziehen sich auf ungeplante Ereignisse oder Dienstunterbrechungen, während Probleme die noch unbekannte Ursache hinter einem oder mehreren Vorfällen sind.
• Richten Sie klare Kommunikationskanäle ein. Es sollten klare Kommunikationskanäle mit den Beteiligten, einschließlich Endbenutzern, IT-Mitarbeitern und Management, aufrechterhalten werden, um über den Status des Vorfalls und den Fortschritt der Lösung zu informieren.
• Sorgen Sie für eine einheitliche Vorgehensweise im Team. Incident-Management-Teams sollten ihre Verfahren standardisieren, um sicherzustellen, dass alle Mitglieder bei jedem Vorfall identische Protokolle befolgen und angemessen reagieren. Dies fördert eine konsistente und einheitliche Servicequalität auf allen Ebenen.
• Legen Sie Eskalationsverfahren fest. Für Vorfälle, die von den Support-Teams an vorderster Front nicht gelöst werden können, sollten Eskalationspfade definiert werden. Die Teams sollten außerdem sicherstellen, dass Eskalationen schnell und effizient bearbeitet werden.
• Nutzen Sie Automatisierung für das Vorfallmanagement. Neben der Befolgung von Best Practices kann der Einsatz von Automatisierung dazu beitragen, die Kontinuität der Dienstleistungen und einen zuverlässigen Support bei plötzlichen Vorfällen aufrechtzuerhalten.
• Testen Sie den Vorfallreaktionsplan. Die effektivste Methode zum Üben der Vorfallreaktion ist die Simulation realer Vorfälle. Anstatt diese Schritte nur zu diskutieren, können IT-Teams mit diesem Ansatz jeden Schritt systematisch durchgehen und ausführen.