Logo der Humboldt-Universität
 
edocSucheAutorenhinweiseRechte/Info/Hilfe        
 
         
 

cms-journal

Publikation des Computer- und Medienservice der Humboldt-Universität zu Berlin

RZM Nr. 23, Mai 2002 - Doris Natusch, Kaj-Björn Schumann
 

zurück

Erste Erfahrungen mit Application Service Providern (ASP)

Druckversion im PDF-Format

Die Humboldt-Universität hat sich nach reiflicher Überlegung und Abwägung der Vor- und Nachteile dazu entschlossen, ihr Personalabrechnungsverfahren einem Application Service Provider zu übergeben. Ausgehend von den generellen Möglichkeiten eines ASP-Betriebes werden die konkrete Lösung und die praktischen Erfahrungen mit einem ASP beschrieben.

Was heißt eigentlich ASP?

Im Diebold Management Report 9/99 wird Application Service Providing (ASP) als das Vermieten von Anwendungen und Programmfunktionalitäten beschrieben. Ein Application Service Provider stellt entweder marktgängige Standardsoftware oder speziell für diesen Zweck entwickelte Software in einem Rechenzentrum bereit. Die Software wird von einer Vielzahl von Anwendern genutzt. Die Bezahlung erfolgt in der Regel nach einem Mietmodell, zum Beispiel nach Anzahl der getätigten Transaktionen wie erfolgte Überweisungen oder Gehaltsabrechungen. Der ASP sorgt für die Softwarelizenzen, die Pflege und das Update der Software. Für den Nutzer wird Support, z. B. in Form einer Hotline, zur Verfügung gestellt. Der Zugriff über das Internet erfolgt über entsprechende Sicherheitsmechanismen.

Die Vorteile für den Anwender von ASP sind insbesondere zu sehen in:

  • der Entlastung des Managements
  • der Verlagerung des Betriebsrisikos auf den ASP
  • der Verlagerung der Personalplanung auf den ASP
  • den geringen Kosten für eigene Personalweiterbildung
  • einer Kostensenkung insgesamt, da nur für das bezahlt wird, was man tatsächlich lt. Vertrag benötigt

Die Schwierigkeiten liegen für den Anwender von ASP insbesondere in:

  • der langfristigen Abhängigkeit
  • dem Risiko, dass der ASP Zugang zu sensiblen Daten erhält
  • den möglichen Instabilitäten des ASP (was passiert, wenn die Firma pleite ist?)
  • der räumlichen Distanz, die zu Beeinträchtigungen der Leistung führen kann

Laut der in [1] zitierten letzten Gartner-Studie vom September 2000 wächst der weltweite ASP-Hosting-Markt mittelfristig um durchschnittlich 62,3 Prozent jährlich und erreicht somit im Jahr 2004 ein Volumen von 2,5 Milliarden Dollar.

Bevor man sich einem ASP anvertraut, sollte dies reiflich überlegt sein, geht es doch in der Regel um die Übergabe personenbezogener Daten an Fremde. Die an den ASP gestellten Anforderungen an Zuverlässigkeit und Sicherheit sind hoch.

nach oben

Wie sieht unsere ASP-Lösung aus?

Der Anlass

Der Anlass, sich mit ASP überhaupt auseinander zu setzen, war die Entscheidung des Landesamtes für Informationstechnik, das für den Berliner Öffentlichen Dienst betriebene Personalabrechnungssystem bis zum Jahre 2001 einzustellen und durch ein neues, gänzlich anders aufgebautes DV-System zu ersetzen. Diesen Weg wollten die Humboldt-Universität und auch die Technische Universität nicht mitgehen, und sie haben sich für eine andere Lösung entschieden. Beide Universitäten setzen inzwischen dasselbe Softwaresystem ein, die Technische Universität als Inhouse- und die Humboldt-Universität als ASP-Lösung. Die Hauptgründe für die Auslagerung an einen ASP waren für die Humboldt-Universität das für diese zusätzliche Aufgabe fehlende Betreuungspersonal und die sehr hohen Anfangsinvestitionen im Hard- und Softwarebereich. Auf weitere Gründe wird der Projektleiter bei der Beantwortung der Fragen eingehen.

Das Angebot

Die angebotene Lösung basiert auf der Windows Terminal Server Technologie und Metaframe der Firma Citrix und wird auf einer Serverfarm betrieben. Auf der Kundenseite können PC mit beliebigen Windows-Betriebssystemen eingesetzt werden. Aus Stabilitätsgründen wurde jedoch eine PC-Ausstattung ab Windows 95/98, und 64 MB Hauptspeicher empfohlen. Die Client-Software von Metaframe selbst, einschl. Secure-ICA, benötigt 4 bis 5 MB freien Hauptspeicher und ca. 4 MB freien Festplattenspeicher. Als Datenbankbetriebssystem wird Unix und als Datenbank Oracle eingesetzt. Für die Datenübertragung wurden die Alternativen ISDN-Standleitung oder dedizierte Standleitung mittels Tunneltechnologie über das Internet angeboten.

Die Lösung

An dieser Stelle soll nicht auf die Inhalte des Softwaresystems eingegangen werden. Wir wollen uns auf die technologische Lösung konzentrieren und damit auf die Fragen, wie die Anforderungen an die Zuverlässigkeit und die Sicherheit umgesetzt werden konnten und ob der ASP-Betrieb allen Prüfungen standhalten kann.

Hier eine Auswahl der Forderungen, die an die ASP-Lösung gestellt wurden:

  1. Der Nutzer soll von seinem vernetzten Arbeitsplatz aus auf das System zugreifen können.
  2. Das Sicherheitskonzept des Verwaltungsnetzes mit seinem Herzstück Firewall-System darf durch die ASP-Technologie nicht durchbrochen werden.
  3. Die Datenübertragung muss lückenlos durch starke Verschlüsselung und Authentifizierung gesichert werden.
  4. Der Nutzer muss sich gegenüber den System mit einem Schlüssel von wenigstens 2048 Bit Länge (RSA) authentifizieren.
  5. Zu den Dienstzeiten steht ein Hotline-Service zur Verfügung.
  6. Die Systembereitstellung erfolgt an Werktagen zwischen 6.30 und 22.00 Uhr.
  7. Notwendige Batch- und Sicherungsarbeiten erfolgen an Werktagen ab 18.00 Uhr.
  8. Eine Bandbreite von 2 MB wird garantiert.
  9. Im Havariefall muss auf ein sog. Backup-Rechenzentrum umgestellt werden können.
  10. Zwischen dem Personalabrechnungssystem und dem Personalsystem HISSVA bzw. dem Mittelbewirtschaftungssystem HISMBS der Universität ist eine Kopplung über Schnittstellen möglich.

Die genannten Punkte wurden inzwischen nahezu alle realisiert. Besondere Anstrengungen wurden unternommen, um das Firewall-System für die Verbindung zum ASP so zu öffnen, dass keine zusätzlichen Risiken für das Verwaltungsnetz entstehen. Auf dem Firewall-System wurde zusätzlich zum bestehenden System ein sog. Socks Proxy installiert, ein Stellvertreter, über den der Verbindungsaufbau ermöglicht wird. Durch diese Lösung können die Freischaltung einzelner Ports und somit zusätzliche Risiken vermieden werden.

Im Vortrag „Einsatz von Terminalserver-Clients hinter einem Firewall-System", gehalten auf dem Workshop „Sichere Netze – Beispiellösungen für die Universitätsverwaltung" am 9. Juli 2001, wird näher auf die technische Lösung eingegangen [4].

Abbildung 1 zeigt die prinzipielle Topologie unserer ASP-Lösung.

Abb. 1: die ASP-Prinziplösung

nach oben

Fragen an den Projektleiter

Kann man ein erstes Fazit ziehen?

Die erste Aufgabe bestand in der Sicherung eines komplikationslosen Wechsels des Personalabrechnungsverfahrens zum 1. Januar 2001. Kein Beschäftigter sollte zum ersten Zahltag (und allen weiteren) nach dem neuen Verfahren ohne die ihm zustehenden Bezüge da stehen! Und das ist uns allen gelungen. Auch wenn intern der Wunsch oder die Gedanken in Richtung Personaleinsparung gingen, ist bisher damit nicht zu rechnen. Der Aufgabenzuschnitt ist vollkommen anders geworden. Dadurch ergaben sich schon neue Aufgabenbereiche. Die bisherige Datenerfassung (zwei vollbeschäftigte Mitarbeiterinnen) entfiel zwar vollkommen, jedoch war es notwendig, im Zuge der Zusammenarbeit mit dem ASP einen Administrator zur Abstimmung der rechentechnischen Komponenten sowie besonderer Aufgaben zur Verbesserung der Verfahrensabläufe zu gewinnen.

Und auch beim eigenen Know-how ist sicher ein Qualitätssprung zu verzeichnen. Viele inhaltliche Fragen sind weiterhin mit dem ASP zu klären. Ich gehe soweit, dass durch diese enge Zusammenarbeit, die des Öfteren kontrovers geführt wird, das Verständnis für viele rechtliche Zusammenhänge gewachsen ist. Prägend ist auch eine sehr gute Kooperation mit der Technischen Universität Berlin, die zeitgleich dasselbe Programm mit etwas anderen Modifikationen eingeführt hat.

Werden die Qualitätsanforderungen erfüllt?

Auch hier hat die Humboldt-Universität einige Kämpfe austragen müssen. Rückschauend war es sehr wichtig, in den Vertragsverhandlungen und beim gemeinsamen Abstimmen des Pflichtenheftes zur Gewährleistung sämtlicher Prämissen genaue und umfangreiche Anforderungen zu formulieren. Das Pflichtenheft ist alleine 85 Seiten lang !!

Durch diese gute Basis waren beide Vertragsseiten gefordert und somit über die gegenseitigen Forderungen und Möglichkeiten im Bilde. Nach nunmehr knapp 15 Monaten Echtbetrieb können wir feststellen, dass die Erfüllung unserer Anforderungen ein hartes Stück Arbeit für alle Beteiligten war, aber der für uns notwendige Standard erreicht wurde.

Welche Gründe gab es, das ASP-Angebot anzunehmen?

Wie oben schon gesagt, hat die Technische Universität zeitgleich dasselbe Abrechnungsverfahren, dies aber als Inhouse-Variante, eingeführt. Für die komplette Umsetzung des Verfahrens wäre neben der Anschaffung zahlreicher technischer Komponenten (zwei Server, Druckerstrecke, Kuvertierung usw.) auch eine personelle Aufstockung fachlich gut ausgebildeter Mitarbeiter notwendig gewesen. In Abwägung der daraus resultierenden Kosten hat die Humboldt-Universität den Weg des Outsourcing der Rechenzentrumsleistung beschritten.

Im Vorfeld der Entscheidung wurde eine umfangreiche Kosten-Leistungsrechnung durchgeführt. Im Ergebnis wurde für die ersten fünf Jahre der ASP-Einsatz präferiert. Die Ergebnisse und Erfahrungen der Technischen Universität wollen wir dann zu gegebener Zeit gemeinsam auswerten und die weiteren Schritte in der Zukunft neu festlegen.

Gab es nach Aufnahme des ASP-Betriebes wesentliche Änderungen am System?

In den ersten Monaten der Abrechnung wurde die ASP-Leistung im Rechenzentrum des Anbieters selbst durchgeführt. Da dieses Rechenzentrum im Laufe der Zeit aufgrund vieler weiterer Kunden an den Rand der Leistungsfähigkeit gekommen war, ergab sich als logische Folge der Wechsel zu einem leistungsfähigeren Rechenzentrum. Für die Humboldt-Universität bestand nun wieder die Notwendigkeit einer genauen Abstimmung der Zuständigkeiten und Kompetenzen zwischen nunmehr drei Partnern, d. h. dem Dienstleistungsrechenzentrum, dem Software-Anbieter und der Humboldt-Universität. Aufgrund weiterer zum einen datenschutzrechtlicher und zum anderen technischer Anforderungen wurde zeitgleich ein anderer Provider zur Datenübertragung gesucht und gefunden. Hier war der Grund die Verbesserung der Leitungsstabilität sowie die Notwendigkeit einer Backup-Verbindung. Die Planungen und Vorbereitungen sind inzwischen abgeschlossen und die Umsetzung erfolgt in den nächsten Tagen.

Wie hoch sind die Ausfallzeiten und was waren die Ursachen?

Nach zwei Monaten Probelauf und knapp 15 Monaten Echtbetrieb können wir insgesamt eine sehr stabile Leistungsfähigkeit der Verbindung feststellen. Die Stabilität liegt bei über 99 % der Leistungszeit. Ein Ausfall der Netzverbindung im November 2001 hatte als logische Maßnahme die Prüfung anderer Anbieter und den nun bevorstehenden Wechsel des Providers zur Folge. Somit sind nach jetzigem Kenntnisstand alle Unsicherheitsfaktoren beseitigt.

Welche Tipps zur Vertragsgestaltung mit ASP können Sie geben?

Unsere Erfahrungen belegen die Wichtigkeit genauester Formulierungen in der Vertragsgestaltung zum gegenseitigen Verständnis. Die Zentralisierung der Kompetenz auf eine Handvoll Verantwortliche war wichtig und richtig. Bei uns wurden die Prioritäten auf inhaltliche Fragen, technische Details und datenschutzrechtliche Einhaltungen gesetzt. Ummantelt wurde dies mit den notwendigen rechtlichen Würdigungen, einschließlich der dort notwendigen Festlegungen zu Gewährleistungen und Projektabnahmen.

Auch sollte immer der direkte Ansprechpartner vertraglich geregelt sein und auch nur dieser zu Dienstleistungen und Aussagen zum Stand der Erfüllung befragt werden. Die Weitergabe von Teilaufträgen an Unterfirmen sollte vertraglich ausgeschlossen sein.

Es sollten genaue Aussagen zu Forderungen bei Vertragsbrüchen oder Nichteinhaltung bestimmter Regularien getroffen werden. Je genauer, desto besser und unanfechtbarer !!!

Und ein Verfahren bedarf eines enormen Aufwands an Zeit und Abstimmungen, auch an Stellen, die man bei erster Betrachtung als nicht relevant ansieht.

Dennoch sollte man sich über einen genau festgelegten Zeit- und vor allem Kostenrahmen einigen. Schnell könnten die Ausgaben sonst ins Unermessliche und damit Unverantwortliche gehen. Die Einführung in die Praxis kann nur so gut sein wie die Vorbereitung, beginnend mit Ausschreibung, Pflichtenheft und Vertragsgestaltung!!

nach oben

Literatur

[1]http://www.asp-information.de/
[2]http://www.asp-konsortium.de/
[3]Rolf Wildhack, Sicherheitsanforderungen an ASP, KES, 2001/1
[4]http://www.hu-berlin.de/rz/projekte/uvsec/workshop2001/

Doris Natusch

Kaj-Björn Schumann (Personalabteilung)