Anforderungsanalysen, Konzepte, Lasten- und Pflichtenhefte

23.06.2017
Allgemein
0 Kommentare

Niemand schreibt gerne lange Texte. Und hört man Wörter wie Anforderungsanalysen, Konzepte, Lasten- und Pflichtenhefte klingt das vielleicht erstmal spannend, wird man angesprochen so ein Dokument selber verfassen ist es schnell das langweiligste Thema der Welt. Also Danke, dass Sie bereits bis hier gelesen haben. Der Rest wird noch spannender… 🙂

Gerade in unserem Alltag als IT-Dienstleister arbeiten wir mit den verschiedensten Kunden in sehr vielfältigen Projekten und mit unterschiedlichsten Technologien zusammen. Und da es dabei nicht immer um kleine Summen geht, sind Lasten- und Pflichtenhefte extrem wichtig für beide Seiten.

Mal sind wir „nur“ Techniker, die klar definierte Anforderungen umsetzen, mal sind wir aber auch diejenigen, die zunächst einmal die Anforderungen erfassen und auf dieser Basis Umsetzungskonzepte erstellen oder bei der Erstellung von Lastenheften unterstützen.

Auch haben wir in der Vergangenheit auf Basis von Lastenheften bereits umfassenden Pflichtenhefte mit konkreten Umsetzungsdetails erarbeitet.

Für wen das ganze?

All diese Dokumente existieren nicht zum Selbstzweck, sondern sollten immer angemessen verwendet werden. Ein 200-seitiges Pflichtenheft für ein Projekt über 5 Personentage ist genauso wenig angemessen, wie ein 5-seitiges Konzept zu einem Entwicklungsprojekt mit 500 Personentagen. Anders sieht es bei Infrastrukturprojekten aus. Eine unternehmensweite Aktualisierung des Betriebssystemes kann auf wenigen Seiten beschrieben, vielleicht sogar mittels Analysetools aufbereitet werden, aber einen hohen Aufwand nach sich ziehen. Wichtig ist dabei, dass allen Beteiligten der Arbeitsauftrag nachvollziehbar dargelegt wird. Ist dies erfüllt, ist der Aufgabe des Dokumentes Genüge getan.

Lastenheft? Pflichtenheft? Wo ist der Unterschied?

Ein Lastenheft wird in der Regel vom Auftraggeber erstellt. Wir empfehlen zum Start eine einfache Auflistung an Anforderungen, z.B. aus einem Brainstorming, die dann durch Muss / Kann / Soll-Kriterien feiner bewertet wird. Ein Lastenheft wird neutral verfasst, d.h. die Technologie spielt an dieser Stelle noch keine Rolle.

Matrizen mit gewichteten Bewertungskriterien können später bei der konkreten Produktauswahl enorm weiterhelfen.

Das Pflichtenheft geht einen Schritt weiter und wird in der Regel vom Auftragnehmer erstellt. Auf Basis des Lastenheftes wird die konkrete Umsetzung beschrieben. Auch Nicht-Ziele oder Abgrenzungen können definiert werden. Hieran geknüpft ist meist ein belastbares Angebot. Das Pflichtenheft ist dabei Vertragsgegenstand und sichert sowohl Auftraggeber und Auftragnehmer ab:

  • Was wurde alles umgesetzt?
  • Wird etwas gefordert, dass nie Bestandteil des Auftrages war?

Zeit, Geld und Nerven sparen

Konzepte sind oft eine Mischform aus Lasten- und Pflichtenheft. Die Anforderung wird erstmalig beschrieben und gleich aber auch eine Umsetzungsidee niedergelegt. Gerade bei kleineren Projekten ist dies oftmals die bevorzugte Variante, gerade dann wenn die Technologie bereits feststeht.

Unsere Erfahrung zeigt, dass eine gute Vorbereitung eines Projektes in Form eines der Dokumente in der Regel Zeit, Geld und Nerven spart, auch wenn dies bestimmt nicht für jeden die beliebteste Aktivität darstellt.

Und? Schon Lust eine detaillierte Anforderungsanalyse zu schreiben? Oder ein Lastenheft? Steht bei Ihnen ein neues Projekt an, oder stehen Sie vor der Auswahl eines Produktes? Wir unterstützen Sie gerne. Schreiben oder rufen Sie uns an. Nachricht auf Facebook oder DM auf Twitter. Wir sind bei vielen Kanälen für Sie verfügbar und lieben es, wenn wir Ihnen helfen können. Wir hoffen, Sie haben jetzt richtig Lust loszulegen… 🙂

Risiko Identifizierung nach ISO 27001 SPRINT

09.06.2017
Compliance
0 Kommentare

Um eine umfassende Risiko Analyse durchzuführen, können verschiedene Phasen der Risiko Analyse durchlaufen werden. Hierzu besteht die Möglichkeit, klassisch den BSI IT-Grundschutz zu verwenden und hier den BSI-Standard 100-3 zu durchlaufen oder gemäß der ISO-27001 vorzugehen.

Beide Methoden haben ihre Vor- und Nachteile und der Einsatz ist von den jeweiligen Unternehmensspezifika abhängig. Der BSI IT-Grundschutz beispielsweise greift relativ spät in einem Projekt bei der Risikobetrachtung durch, da hier erst solche Betrachtungen über dem Schutzbedarf „normal“ angedacht sind. Dies kann u.U. allerdings auch für ein Unternehmen durchaus Sinn machen. Es kommt bei der Abwägung des Einsatzes der Mittel daher immer im Vorfeld auf die Betrachtung der jeweiligen Unternehmensspezifika an.

Die nun folgend beschriebenen drei Phasen der Risiko Identifizierung gehen eben darauf ein, mit einer einfachen und schnell adaptierbaren Methode, Risiken im Unternehmen zu entdecken und entsprechende Lösungsmaßnahmen zu implementieren.

Simplified Process for Risk Identification“ — kurz: SPRINT

Zuallererst muss der genaue Scope der Analyse festgelegt werden – worauf richte ich im Unternehmen meinen Fokus?

Danach werden die zu überprüfenden Assets festgelegt – welche Infrastrukturen, Gebäude, etc. werden berücksichtigt? Und genau das zeigen wir am Beispiel unserer neuen Compliance Suite.

Phase 1

In dieser Phase wird das BIA durchlaufen (Business Impact Assessment) und hier werden alle Prozessverantwortlichen befragt, um das betroffene Asset bzgl. eines Impacts bei Ausfall zu bewerten. Dies ist einfach und strukturiert in der Compliance Suite sichtbar.

Report in der Compliance Suite

Risikomatrix in der Compliance Suite

Phase 2

Durchführung der TVA (Thread Vulnerability Analysis), um mögliche Bedrohungen und Schwachstellen zu identifizieren und Befragung aller Systemverantwortlichen bzgl. Eintrittswahrscheinlichkeiten von Gefährdungen.

Bausteine/Maßnahmen anlegen und editieren

Phase 3

Erstellung eines Maßnahmenplan als Output der vorangegangenen Analysen, um erkannte Schwachstellen zu beheben.

Arbeitsliste als Report in der Compliance Suite

Haben wir Ihr Interesse an der Compliance Suite geweckt? Haben Sie Fragen oder möchten die Compliance Suite testen? Schreiben oder sprechen Sie uns an! Unsere Experten sind gerne für Sie da, beantworten Fragen und beraten Sie umfassend in diesem Themengebiet.

Überwachung eines Wasseranlagenkomplexes

02.06.2017
Monitoring Solution
0 Kommentare

Was die Überwachung von Spezialsystemen angeht, gilt in unserem Monitoring-Team der Grundsatz:  „Hat das System eine Schnittstelle nach außen? – Dann ist es auch überwachbar!“

Hintergrund

Ausgangspunkt der Überwachung. Ein simples Postfach welches per IMAP ansteuerbar ist

So wurde vor kurzem eine Kundenanfrage an unsere Monitoring-Spezialisten gestellt, inwieweit die Monitoring Solution einen hoch kritischen Wasseranlagen-Komplex überwachen kann. Bekannte Schnittstellen wie SNMP, REST oder andere Formen von APIs sind nicht bekannt. Zudem gehören zu diesem Komplex mehrere wichtige Systeme, die unter anderem zur Filtration, Desinfektion, Elektrodeionisation, speziellen Membranverfahren oder auch dem Weichwasser- und Ionentausch des lokalen Wassersystems dienen. Hier ist also höchste Verlässlichkeit und Schnelligkeit seitens Monitoring gefragt.

Nach kurzen Recherchearbeiten und Gesprächen mit dem Kunden wurde festgestellt. dass wohl nur ein simpler Mailversand der Anlage verfügbar ist, der die rohen Maschinen-Status derzeit noch an eine festgesetzte Mailadresse versendet. Der hier hinterlegte Service-Techniker musste bisher die Auswertung von Dringlichkeit, Priorität und das Problem selbst über eine komplexe Liste selbst ermitteln. Bevor er die Situation überhaupt einschätzen und eine dementsprechende Eskalation beginnen konnte, ist hier bereits viel organisatorische Zeit in standardisierten Vorgehensweisen verloren gegangen.

Technischer Aspekt

Da die einzige Schnittstelle zu der Anlage selbst, die bereits beschriebene Mail-Alarmierung war, musste hier eine Lösung integriert werden die an diese andockt. So wurde ein spezielles Postfach eingerichtet, an das die Wasseranlage die Status-Mails sendet und ein Checkskript geschrieben, welches die Verwaltung dieses Postfach eigenständig übernimmt. Über eindeutige IDs und Statuscodes innerhalb des Mailinhalts wird der aktuelle Stand des Problems ermittelt. Hat sich dieses bereits selbst behoben, so wird keine Problemmeldung durch den Check gemeldet, jedoch eine reine Information zum Prozessstatus ausgegeben.

Die zugehörigen Mails werden dann systematisch archiviert und die neuste Mail, zur Ausgabe des letzten bekannten Status, in einem Cache vorgehalten, bis diese durch eine neue Mail der Anlage abgelöst wird.

Integrationsarbeit

In der MoSo führen diese Features zu einer übersichtlichen Anzeige des zuletzt bekannten Status eines Fehlercodes mit zeitlicher Zuordnung, bzw. ob zu diesem Fehlercode überhaupt jemals eine Mail empfangen wurde. Den Inhalt der zuletzt gefunden Mail finden Sie einfach in der erweiterten Ausgabe der Checks:

Die bereits erwähnte Prioritäts- und Zugehörigkeits-Liste wurde komplett über die Features der MoSo integriert. So besitzen die Services – die sich im Übrigen auf die Auswertung von jeweils einem speziellen Problemcode beziehen – die in der Liste dokumentierte Priorität von 1 (hoch kritisch) bis 3 (weniger kritisch). Zusätzlich wurden die Services an virtuelle Hosts gebunden, um die Problemcodes den einzelnen Systemen der Wasseranlage zuzuordnen und schließlich die Service-Beschreibungen um eine Menschen-lesbare Kennung erweitert. So sehen Sie direkt, welcher Problemcode eine hohe Priorität genießt, ganz davon abgesehen das Sie nach diesen Gruppierungen Ihre Alarmierung aufbauen können.

Die Problemcodes des LOOPO Systems. Hier ist direkt ersichtlich, dass Code 405 höchste Beachtung genießt

Unerwartete Probleme

Was jedoch bei zunehmender Anzahl an Checks aufgefallen ist, waren die sporadischen Check-Probleme und dementsprechenden Unknowns in der Oberfläche. Hier musste mit den Exchange-Spezialisten von S&L zusammengearbeitet werden, um die Verbindungsprobleme ausfindig zu machen.  So wurde herausgefunden, dass der verwendete Exchange 2010 maximal 16 parallele IMAP-Verbindungen auf ein Postfach zulässt. Bei den 51 vorhandenen Checks verursachte dies hier den entsprechenden Fehler.

Nach erfolgter Anpassung beruhigte sich die Situation im Monitoring auch wieder. Auch bei solchen speziellen Anforderungen zahlt es sich demnach aus einen Spezialisten für jedes Produkt zu haben. Eine andere Lösung, die hier möglich gewesen wäre, stellte den kompletten Umbau des Checkskripts um ein Handling für die parallelen Verbindungen dar. Dies hätte jedoch den Aufwand um ein vielfaches erhöht.

Die global vorhandenen Services, sortiert nach Priorität

Analyse und Logging

Historische Auswertungen von zeitlichen Verläufen eines Problemstatus können Sie über die Event-Logs der MoSo einfach einsehen und filtern. Im Speziellen können Sie den Zeitpunkt von Problemaufkommen, über die Quittierung, bis zur Behebung des Problems nachschlagen und in gewohnten Formaten, wie CSV oder auch XML zur Archivierung exportieren.

Möchten Sie ebenfalls prüfen, ob die Service- oder Hostbezogene Benachrichtigung/Eskalation die gewünschte Form der Alarmierung ausgelöst hat, ist dies hier natürlich auch möglich. So ergänzt die MoSo die simple Basis einer „Postfach-Überwachung“ um die Möglichkeit der Auswertung von historischen Daten, Statusverläufen, und komplex konfigurierbaren Eskalationsschritten.

Reporting

Ebenfalls haben Sie über die Reporting-Funktionen der MoSo, die Möglichkeit Ausfallzeiten zu ermitteln und dementsprechend Statistiken zu erheben, was dann noch gesteigert werden kann. Die optionalen Erweiterungen Buisness Acitivity Monitoring (BAM) und Monitoring Business Intelligence (MBI) der Firma Centreon bieten Ihnen hier noch erweiterte Funktionen, bspw. zur Erstellung von automatisierten Reports (in frei konfigurierbaren Report-Designs), Ermittlung von Zukunftsprognosen und Tendenzen, wie auch der spezifischen Konfiguration von Business Acitivities mit deren frei konfigurierbaren „Impacts“.

Ansicht des Reporting Dashboards der MoSo

Weiterführende Links

https://documentation.centreon.com/docs/centreon-bi-2/en/latest/about.html → Informationen

https://documentation.centreon.com/docs/centreon-bi-2/en/latest/_downloads/00_Centreon-BI-Samples-of-Reports.pdf → Beispiel Reports

https://www.centreon.com/solution/centreon-bam-business-activity-monitoring/ → Centreon BAM Produktseite

https://www.centreon.com/solution/centreon-mbi-monitoring-business-intelligence/ → Centreon MBI Produktseite

Citrix Monitoring

31.05.2017
Citrix, Monitoring Solution
0 Kommentare

Setzen Sie bereits Citrix-Produkte in Ihrem Unternehmensumfeld ein, oder haben Sie es zukünftig angedacht? Dann haben Sie bestimmt auch schon über das Monitoring vieler der von Citrix angebotenen Speziallösungen nachgedacht.

Wie Sie die S&L Monitoring Solution in Ihren Workflow mit der Citrix Produktpalette integrieren können, erfahren Sie in diesem Artikel.

Welche Produkte können Sie mit unserer Monitoring Solution überwachen?

Zum Erscheinen dieses Artikels bieten wir spezielle Checks für Citrix Netscaler, XenDesktop XenApp, XenMobile und XenServer an. Diese bilden zusammen mit unseren Universalchecks eine vollständige Überwachung vom darunterliegenden Hypervisor mit Hardware bis zur Applikationsebene.

Die Lösungen im Einzelnen

Citrix Netscaler

 

Neben der Überwachung von Interfaces und (auch virtueller) Hardware, fragt die Monitoring Solution Lastinformationen wie CPU, Memory, Storage oder Traffic ab. Mit unseren Spezialchecks haben Sie zusätzlich die Möglichkeit der Überwachung von Zertifikatsgültigkeit, High-Availability-Status, Status der Server, wie auch Load-Balancing- und VPN-Server, sowie Services, Service-Groups und Sessions.
Weitere Informationen können beliebig auf Basis der NITRO-Rest API abgefragt und integriert werden. Die Besonderheit unserer Überwachung liegt in der Dynamik der Abfragen, die ohne die Angabe der einzelnen Services oder Servicegroups erfolgen kann.

XenApp / XenDesktop DDC und VDA

Hier bieten sich standardmäßig natürlich alle Möglichkeiten der Windows-Überwachung (über NRPE und SNMP). Jedoch werden diese Checks ergänzt durch Auswertung der Daten des Delivery Controllers. Über diesen sammelt die Monitoring Solution Informationen zur Anmeldezeit (im Detail) dem, XenApp-Serverload, der verwendeten Agent-Version, den ICA-, Netzwerk- und Systemlatenzen, der geöffneten Sessions, der Lizenzierung, wie auch Informationen über Registrierungs- und Maintenance-Status.

 

Provisioning Services

Im Bereich PVS ist natürlich wichtig zu wissen, ob die vDisk Replikation sauber erfolgt ist, wie viele Retries es auf VDA-Ebene gibt, neben der Anzahl der aktiven Versionen einer vDisk aktiv, oder auch ob das LoadBalancing funktioniert. Natürlich wird auch die Nutzung des PVS Caches pro VDA überwacht.

XenMobile

Das Monitoring von XenMobile-Systemen baut einerseits auf einer universellen Port- und Interface-Überwachung auf, andererseits bieten unsere Spezialchecks die Überwachung der Gültigkeit von Zertifikaten und Lizenzen, der korrekten Funktion der Delivery Groups, der Ausgabe der registrierten und aktiven Geräte – nach MDM und MAM – und Abfragen auf evtl. „Jailbrakes“ oder „non-compliant devices“.

XenServer

Die Überwachung von XenServern erlaubt Ihnen Informationen der Systemlast wie CPU, Memory, Storage und Traffic auszuwerten, wie auch Citrix-eigene Parameter abzufragen. Hierzu gehören die Abfrage der Crashdumps, des Master/Slave-Status, der verwendeten Lizenzen, der Backups, der Storage-Pools und natürlich der Statusinformationen zu den erstellten Virtual Machines.

Neuste Fortschritte

Ein Beispiel für die stetige Weiterentwicklung unserer Lösungen stellt ein kürzlich fertiggestellter Importer dar. Dieses Tool dient der Abfrage eines angegebenen Delivery-Controllers nach vorhandenen Workern und dem Vergleich mit den bereits in der MoSo erfassten Hosts.

Als Check wird dieses Skript dann einfach an einen Delivery Controller gebunden und zeigt an, falls ein neuer, noch nicht erfasster Worker dort registriert ist. Hier müssen Sie nur noch einen Import durchführen und der Worker wird nach benutzerdefinierten Einstellungen automatisch in die Monitoring Solution integriert.

Cloud Cockpit

Selbstverständlich gehört zu dieser Überwachung auch das „Cloud Cockpit“ mit dem wir den Service Status der notwendigen CloudServices für Apple, Amazon, Azure, Google, Sharefile und auch Citrix aktiv monitoren.

 

Universelle Möglichkeiten

Durch unsere universell einsetzbaren Checks, auf der Basis von Protokollen wie TCP, UDP, SNMP, NTP oder auch REST, können Sie zudem noch viele weitere Informationen abfragen, die die Systeme bieten.

Falls Sie hardwarenahe Management-Interfaces bei Ihren Servern besitzen (wie zum Beipsiel HP‘s Integrated Lights Out oder auch Dell‘s IDRAC) bieten wir hier ebenfalls eine Schnittstelle zur Überwachung der Hardware-Health an.

Visualisierung

Mit unserem kürzlich entwickelten Citrix-Cockpit haben Sie nun die Möglichkeit, Informationen einzelner Services, wie auch Meta-Services (Service-Bündelungen) in einem frei konfigurierbarem Dashboard darzustellen. Die bekannten Graphtypen wie Pie-, Donut- und Gauge-Charts stehen Ihnen hier zur Verfügung.

In Kombination mit dem integrierten Open Source Tool „NagVis“ haben Sie hier freie Möglichkeiten was die Visualisierung Ihres Monitorings anbelangt. Egal ob Sie Widget-basierte Dashboards, oder Karten-basierte Übersichten präferieren, mit unserer Monitoring Solution haben Sie die Verfügbarkeit Ihres Netzwerks jeder Zeit im Blick.

Zeitreise ins Mittelalter

26.05.2017
Allgemein
0 Kommentare

Der S&L-Firmenausflug führte uns in diesem Jahr zur Ehrenburg bei Brodenbach (Mosel). Die Ehrenburg thront auf einem Felssporn hoch über der mit dichten Wäldern umschlossenen Ehrbachtalklamm. Gleich einer Insel ragt sie seit 1161 aus dem Blättermeer heraus. Der kurze Fußweg vom Parkplatz bietet gleich zu Beginn ein imposantes Bild.

Mit den ersten Schritten über den Burggraben verloren die meisten Handys plötzlich den Empfang. Ist das Absicht oder nur Zufall? Es passte aber gut zur geplanten Zeitreise. Und mit den Schritten durch das Burgtor drangen mittelalterlich klingende Worte an unser Ohr: „Was ist Euer Begehr?“

Meister Gottfried und Gefolge begrüßten uns mit einem mittelalterlichen Trunk und herzlichen Worten. Schnell wurden 4 Turniergesellschaften gebildet: Turmbau im Team, Bogenschießen mit Langbögen, Brücke der Läuterung und Zimmermann´s Fluch forderten mal so ganz andere Fertigkeiten von uns IT-Profis. Im Wettstreit eiferten die Adler, Einhörner, Löwen und Drachen unter ihren Bannern um den Sieg.

Im mittelalterlichen Rittersaal folgte im Anschluss an die Turniere eine leckere und prächtige Pfalzgrafen-Tafeley. Leckeres Essen, schmackhafte Getränke, aufmerksame Mägde – das hätte uns als Ritter schon gefallen können. Aber der Job als Ritter hatte bestimmt auch den ein oder anderen Nachteil?

Mit Einbruch der Dunkelheit führte uns Meister Gottfried bei Fackelschein durch die Burg. An einigen Stationen trug er in der Sprache vergangener Tage Geschichten und Anekdoten vor: Burgherren, Belagerungen, Fehden, Plünderungen, Katapulte, Kanonen, Schwerter, Pulverdampf – eine Burg war in zurückliegenden Jahrhunderten sehr begehrt und der Besitzwechsel wurde meist nicht über einen Immobilienmakler eingeleitet! Die andere Seite des Rittertums…

Unsere nächtliche Führung endete auf dem großen Plateau unterhalb des Bergfrieds. Ein grandioser Rundblick über das „grüne Meer“, eine ungewohnte Stille, über allem thronen und in die Weite schauen – das war den Rittern nur selten vergönnt.

Ihr Handwerk war der Krieg, zu dem sie oft von ihren Herren gerufen wurden. Und plötzlich traten zwei Ritter in Rüstung hervor. Zwei Turniergesellschaften lagen auf dem ersten Platz gleichauf – das forderte zur Entscheidung. Mit Schwert, Schild und Axt hieben und stachen beide Ritter für ihre Turniergesellschaft im Wettstreit aufeinander ein. Der Sieg schwankte vom einen zum anderen hin und her – bis schließlich einer den Sieg für sich erstreiten konnte und der andere am Boden lag.

Welche Turniergesellschaft schließlich gewonnen hat, wissen alle Ritter die dabei waren. Und damit sei dazu genug gesagt.

Gewonnen haben schließlich dennoch alle SundLs: Einen ereignisreichen, aufschlussreichen und erinnerungswürdigen Tag!

Mal sehen, wohin es uns 2018 führen wird…