Managed Services

Was sind Managed Services? 

Managed Services, auch Managed IT-Services (MITS) genannt, sind IT-Dienstleistungen, die von einem spezialisierten Anbieter, dem Managed Services Provider (MSP), erbracht werden. Im Unterschied zu einfachen Services wie einem Internetanschluss oder einem virtuellen Server bei einem Hoster oder Cloud-Anbieter bieten Managed Services einen deutlich größeren Funktionsumfang und decken einen bestimmten Bereich der IT ganz oder weitgehend ab. Managed Services-Beispiele wären etwa Application Services, Compliance Services, Managed Infrastructure oder Digital Workplace Services. 

Verträge für Managed Services werden in der Regel über einen längeren Zeitraum abgeschlossen. Die Laufzeit kann beispielsweise ein Jahr oder auch länger betragen. Die Abrechnung erfolgt ebenfalls zeitbasiert, etwa monatlich, vierteljährlich oder jährlich. Managed Services-Verträge enthalten in der Regel auch eine Vereinbarung über die Leistungsgüte, das Service Level Agreement (SLA). 

Wie sind Managed Services entstanden?

Bereits in den 1990er Jahren begannen große IT-Hersteller wie Electronic Data Systems (EDS) und IBM Großkunden bestimmte Leistungen als Services anzubieten. Zu den ersten dieser IT-Services gehörte das Remote Monitoring von Servern und Netzwerken. Als Begründer des Begriffs Managed Services gilt der amerikanische IT-Consultant und -Trainer Karl W. Palachuk, der mehrere Bücher zu diesem Thema veröffentlicht hat, unter anderem das vierbändige Managed Services Operation Manual. 

Heute gibt es weltweit eine vielfältige Landschaft an Managed Services Providern, die nicht nur große Kunden, sondern auch kleine und mittlere Unternehmen adressieren. Einen guten Überblick über die Provider und ihr Leistungsangebot gibt das „ISG Provider Lens“-Projekt des Marktforschungsunternehmens International Services Group (ISG).

Ein Compliance Service Provider übernimmt das Compliance Management und stellt so sicher, dass beim Kunden alle, die IT-Infrastruktur und deren Nutzung betreffenden Vorgaben eingehalten werden. So sorgt er beispielsweise dafür, dass personenbezogene Daten verschlüsselt und nur in dafür vorgesehenen Storage-Umgebungen gespeichert werden, dass sämtliche Aufzeichnungs- und Berichtspflichten eingehalten sowie keine nicht-autorisierten Applikationen oder Geräte im Firmennetz betrieben werden. 

- Managed Infrastructure Services: Bei Managed Infrastructure Services übernimmt der Managed Services Provider den Betrieb der IT-Infrastruktur. Er überwacht Server, Netzwerk sowie Speicherkomponenten und sorgt für Verfügbarkeit, Leistung und Sicherheit der IT-Umgebung. Managed Infrastructure umfasst in der Regel auch Support Services. Bei Problemen können sich IT-Abteilung und Mitarbeitende an den Service Desk des Managed Services Provider wenden, der meist First- und Second-Level-Support bietet. In schwierigen Fällen nimmt der MSP Kontakt mit den Herstellern der betroffenen Hardware oder Software auf und kümmert sich gemeinsam mit den Service-Abteilungen der jeweiligen Anbieter um eine Lösung. 

- Managed Endpoint Services: Neben dem Betrieb der zentralen IT-Infrastruktur lässt sich auch das Management der Endgeräte an einen Managed Services Provider auslagern. Ähnlich wie bei Managed Infrastructure übernimmt der MSP alle Aspekte der Verwaltung – von der Konfiguration der Geräte über das Patch-Management für Betriebssystem und Anwendungen bis hin zum Schutz vor Cyberangriffen und dem Aufbau sicherer Netzverbindungen zum Firmennetz. Auch bei Managed Endpoint stellt der MSP einen Service Desk zur Verfügung, über den Anwender*innen Hilfe bei IT-Problemen erhalten.  

- Digital Workplace Services: Einen Schritt weiter gehen MSP, die ergänzend oder alternativ zu Managed Endpoint Services Digital Workplace Services anbieten. Bei diesem Bereitstellungsmodell wird das komplette Management des IT-Arbeitsplatzes an den MSP übertragen. Dieser verwaltet nicht nur PCs und Notebooks, sondern auch Peripheriegeräte wie Monitore, Maus, Tastatur oder Docking-Stations.  

Ein Digital Workplace wird meist als Komplettpaket gebucht, wobei je nach Aufgabenstellung unterschiedliche Versionen bereitgestellt werden. So benötigt beispielsweise ein CAD-Arbeitsplatz eine andere Ausstattung als ein Workplace in der Verwaltung. Mitarbeitende können den Digital Workplace meist über ein Self-Service-Portal selbst zusammenstellen und ordern, wobei Art und Umfang der verfügbaren Hardware und Software rollenspezifisch und in Absprache mit den Führungskräften festgelegt wird. 

- Managed Security Services: Ein Managed Security Services Provider (MSSP) verantwortet den Schutz der Unternehmens-IT gegen Cyberangriffe. Die Leistungen reichen von Penetration-Tests, bei denen der MSSP die IT-Infrastruktur angreift, um Sicherheitslücken zu identifizieren – über Managed Firewall Services bis zum Managed Security Operations Center (Managed SOC) –, bei dem ein Expertenteam des MSSPs die IT-Infrastruktur des Kunden rund um die Uhr auf Anomalien hin überwacht, die auf einen Angriff hindeuten. Auch forensische Analysen nach einem erfolgreichen Angriff, die Wiederherstellung kompromittierter IT-Umgebungen und die Krisenkommunikation können zum Leistungsumfang eines MSSP gehören.

Was sollten SLA für Managed Services umfassen?

Ein Service Level Agreement (SLA) sollte die Art und den Leistungsumfang eines Managed Service möglichst klar und umfassend beschreiben. So ist sichergestellt, dass beide Vertragspartner von denselben Voraussetzungen ausgehen und sich bei Meinungsverschiedenheiten oder Konflikten zuverlässig auf die SLA beziehen können. Folgende Bestandteile sind dabei essenziell: 

- Beschreibung der Dienstleistungen: Hier wird möglichst detailliert aufgeführt, welche Geräte, Applikationen oder Umgebungen Bestandteil des Service-Vertrags sind. Hilfreich ist es auch, die Services detailliert zu benennen, die nicht zum Leistungsumfang gehören. So können falsche Erwartungen beim Kunden von vorne herein ausgeschlossen werden. 

- Vertragslaufzeit, Kosten und Abrechnungsmodalitäten: Hier wird festgelegt, wann der Vertrag beginnt, wie lange er mindestens läuft, wann er mit welchem Vorlauf gekündigt werden kann und ob er sich bei Nichtkündigung automatisch um eine bestimmte Zeit verlängert. Auch die Kosten der einzelnen Services, die Berechnungsbasis (beispielsweise per Nutzer, per Gerät oder Software-Lizenz) und die Abrechnungszeiträume (monatlich, vierteljährlich, jährlich) sollten hier festgelegt werden. 

- Reaktions- und Bearbeitungszeiten: Im SLA muss definiert werden, wann der Service Desk oder das Support-Team erreichbar sind, wie schnell eine Reaktion erfolgen muss und wann ein Support-Ticket gelöst sein sollte. Typische Reaktions- und Bearbeitungszeiten sind etwa „24x7“ oder „Next Business Day“. 

- Verfügbarkeit: SLA sollten die garantierte Verfügbarkeit des Services oder der gemanagten Umgebung auflisten. Meistens erfolgt die Angabe in prozentualer, auf einen bestimmten Zeitraum bezogenen Form, als etwa „99,9 Prozent Verfügbarkeit pro Kalenderjahr“.   

- Verantwortlichkeiten und Schnittstellen: In diesem Abschnitt des SLA wird definiert, welche Aufgaben vom Kunden zu erfüllen sind und welche vom Dienstleister, wer jeweils die Verantwortung für die Erfüllung trägt und wie die Schnittstelle gestaltet ist, an welcher der Verantwortungsübergang erfolgt. 

- Definition von Leistungskennzahlen (KPI): Key Performance Indikatoren (KPI) dienen dazu, die Leistungserbringung messbar und nachvollziehbar zu machen. Zu den Kennzahlen, die häufig verwendet werden, gehören beispielsweise Mean Time To Failure (MTTF) oder Mean Time To Repair (MTTR). 

- Reporting und Monitoring: Dieser Bereich legt fest, wann und in welchem Umfang der Managed Services Provider den Kunden über seine Leistungen, die gemessenen KPI sowie Besonderheiten oder Störungen informiert. 

- Folgen der Nichterbringung: Um Konflikte zu verhindern, sollten SLA auch klar benennen, welche Konsequenzen nicht oder mangelhaft erbrachte Leistungen für den Managed Services Provider haben, welche Nachweise für Mängel der Kunde erbringen muss und welche Fristen bei der Reklamation und der Kompensation einzuhalten sind. 

- Veränderungsmanagement: Managed Services sind niemals statisch, sondern müssen kontinuierlich an veränderte Rahmenbedingungen angepasst werden. Die SLA sollten deshalb auch definieren, wie Kunden Change-Prozesse anstoßen können, welchen Vorlaufs es dafür bedarf und wie sich diese Veränderungen auf Kosten und Vertragslaufzeit auswirken.