DevSecOps @ Boehringer Ingelheim

Aufgabenstellung

In dem regulierten Umfeld der Pharma-Branche spielt es daher eine zentrale Rolle, die großen strategischen Plattformen SAP, Atlassian (Jira, Confluence) und ServiceNow automatisiert in einem Best-of-Breed-Ansatz optimal zu integrieren.

Angesichts der hohen Compliance-Anforderungen und der naturgemäß hohen Mächtigkeit bei einem internationalen Unternehmen dieser Größe kein einfaches Unterfangen:

Mehr als 100 SAP-Systeme verteilen sich bei Boehringer Ingelheim auf einige zig Live-Instanzen (jeweils 3-4 Systemlandschaften). Jährlich gibt es bis zu einige tausend große Change Requests (die z. T. Monate an Entwicklung / Abnahme bedingen).

Die Zahl der Benutzer Anforderungen, also Jira-Ticktes, wird zudem ebenfalls in 4-stellige Bereiche pro Jahr steigen, da neben sogenannten Jira-Demands auch Service Now-Problems sukzessive integriert werden

Es gibt dann zwei Trigger für das Anlegen von Jira-EPICs/-User-Stories: Das sind Confluence-/Jira-Demands sowie ServiceNow-Incidents / -Problems. Aus den Jira-EPICs / -User-Stories entstehen in SAP Solution Manager ChaRM Requests for Changes / Change Documents (welche den Jira User-Stories zugeordnet sind). Dieses komplexe Daten und Prozessmodell wird Near-Realtime von Conigma™ Connect orchestriert.

Denn in den nächsten Jahren sollen insbesondere die acht SAP-Hauptlinien weiter konsolidiert werden. Daher ist es entscheidend bereits in der jetzigen Umgebung einen hohen Integrationsgrad zu erreichen, um die geplante Konsolidierung so einfach wie möglich zu gestalten.

Sascha Dörner, Head of IT EFP SAP Cross Application bei Boehringer Ingelheim hat daher mit seinem Team den Markt im Hinblick auf geeignete Integrations-Plattformen evaluiert. Hierbei standen folgende Anforderungen im Fokus:

• State-of-the-Art-Plattform, die durch reines Customizing eine Integration der heterogenen Endpoint-Systeme in der Kunden SAP IT-Factory ermöglicht.

• Audit- und revisions-sichere Integration – lückenlos-automatisierte Nachvollziehbarkeit entlang des gesamten Problem-, Change- und Transport-Management-Prozesses.

• Die Plattform muss alle Operations-Modelle unterstützen – sowohl On-Premises wie auch Private-Cloud.

• Die Integrations-Plattform muss stark skalierbar und generisch sein, das heißt, die Integration von SAP Solution Manager ChaRM mit Jira muss genauso einfach möglich sein, wie weitere Integrationen von SAP IT Factory Werkzeugen (wie z. B. SAP Solution Manager Monitoring oder SAP Cloud ALM) mit anderen Plattformen wie etwa ServiceNow, anderen On-Premises- / SaaS-Tools etc.

• Quality-by-Design zur Reduktion der Fehlerraten
  Ziel ist eine automatisierte end-to-end-Integration entlang der gesamten ITSM Value-Chain, anstelle von bisherigen vielfach noch manuellen Tätigkeiten.

• Erhöhung der Effizienz durch Reduzierung redundanter Datenbestände,
  was zudem auf das Thema Daten-Qualität einzahlt.

• Hohe Flexibilität und Adaptabilität im DevSecOps-Cycle.

Nutzen & Lösung

Auf Basis des Anforderungs-Katalogs hat sich das Boehringer-Ingelheim-Team um Sascha Dörner für das deutsche Software-Haus Galileo Group AG mit dessen Conigma™ Connect Plattform entschieden:

• Hoher Funktionsumfang:
  Conigma™ Connect kann als No-Code iPaaS-Plattform der neusten Generation alle Anforderungen erfüllen.

• Referenzen im (regulierten) Konzern-Umfeld:
  Galileo Group AG hat bei DAX-Konzernen und im regulierten Umfeld wie Banken- und Versicherungen die Integrationsleistung mit Conigma™ Connect bereits unter Beweis gestellt.

• Geringe Total Cost of Ownership (TCO)
  Neben dem guten Preis-Leistungs-Verhältnis der Subskriptions-Gebühr spielte eine Rolle, dass die Wartungs-Aufwände im laufenden Betrieb sehr gering sind und auch keine zusätzlichen Kosten entstehen wie etwa Transaktionsgebühren.

• Hohe SAP-Expertise
  Gemäß der ‚Vendor Selection Matrix™ SAP-Centric Application Lifecycle Management SaaS And Software: The Top 15 Global Vendors‘ von Research in Action wird Galileo Group AG im Leader-Quadranten und als Anbieter mit der höchsten Kundenzufriedenheit weltweit geführt.

Rückblickend wurden gemäß Sascha Dörner im Zuge des Projekts alle Anforderungen erfüllt. Das heißt, die Kapazitäten der internen und externen Entwickler konnten von administrativen Routinearbeiten entlastet und für wertschöpfende Use-Case orientierte Arbeiten freigemacht werden. Dies ist ein wesentliches Projektziel von Boehringer Ingelheim:

In Bezug auf Time-to-Market war es sehr wichtig, dass es sich beim Conigma™ Connect um eine No-Code-Plattform handelt, die durch reines Customising angepasst wird.

Denn damit fällt Conigma™ Connect unter die sogenannte Category 4 von GAMP. GAMP steht für Good Automated Manufactoring Practice und ist in der regulierten Pharma-Branche der Standard im Bereich Software. Hätte Boehringer Ingelheim anstelle einer No-Code-Plattform eine traditionelle Integrations-Middleware verwendet oder eine Eigenentwicklung vorangetrieben, wäre dies in die Category 5 gefallen. Von Category 4 zu 5 verschärfen sich die regulatorischen Anforderungen jedoch extrem. Somit hätten sich bei einer Eigenentwicklung alleine aus regulatorischen Gründen die Aufwände für die Einführung wie auch bei jeder noch so kleinen Schnittstellenänderung im Vergleich zur gewählten No-Code-Lösung vervielfacht.

Nachfolgend einige Beispiele wie Conigma™ Connect auf Effizienz, Quality-by-Design und Security (Monitoring, Traceability) einzahlt:

• So gehört beispielsweise das mehrfache Vorhalten von sogenannten Demands Specifications und deren manuelles Kopieren endgültig der Vergangenheit an.

• Hohe Flexibilität der Conigma ™ Connect Plattform: Das von Boehringer Ingelheim modellierte hierarchische Datenmodell mit 1:m Beziehungen wurde zusammen mit dem integrierten Prozessmodell allein per Customizing ohne jeglichen Programmieranteil in weniger als drei Beratertagen nahtlos integriert. Das SAP Transportwesen wird hierbei durch diverse Entitäten gespeist (z. B. Jira Demands oder ServiceNow Incidents).

Vorgehen

Im ersten Schritt wurde binnen 4 Wochen ein PoC nach der agilen „hardest-first“ Methodik realisiert. Dabei wurden die Kernprozesse „User Story“ und Persona Creation inkl. Field und Value Definition, Mappings, Status Handling (zwischen Jira – SAP Solution Manager ChaRM) realisiert.
Dazu fand initial an halb-tägiger Workshop zur Prozess-Aufnahme statt. Auf dessen Basis wurde von Galileo Group AG unter Einbeziehung der Jira- und SAP-Teams von Boehringer Ingelheim in einer Sandbox das Customizing von Conigma™ Connect realisiert.
Die Abschluss-Präsentation vor dem Boehringer Ingelheim Entscheidungsgremium wurde mit „Live-Demo“ des PoC-Settings von einem Kunden IT-Manager vorgenommen, um die Praxistauglichkeit des Setups zu demonstrieren.

Da der PoC bereits ca. 80% der finalen Funktionalität beinhaltete, waren nach der Kunden-internen Freigabe lediglich weitere 4 Wochen bis zum weltweiten Go-Live erforderlich. Neben dem Customizing der „letzten 20%“ des Anforderungskatalogs waren Roll-out-Planung und partizipative Einbindung zum Benutzer Buy-in kritische Erfolgsfaktoren für den Roll-out.

Die Umsetzung von DevSecOps ist gemäß Sascha Dörner einerseits ein „technisches Thema“ (Auswahl von zukunftsorientiertem Tool-Set), andererseits aber insbesondere auch ein Thema, dass eng mit einem „Cultural Change“ verknüpft werden muss.

Ausblick: Integration von ServiceNow und SAP BTP

Aufgrund der guten Erfahrung bei der Integration der Ökosysteme Jira und SAP Solution Manager ChaRM wurde kurz darauf die Integration von ServiceNow mit sowohl Jira als auch SAP Solution Manager ChaRM initiiert.
Nach erfolgtem Customizing soll in den nächsten Monaten der Roll-out von Conigma™ Connect erfolgen. Dies ist von hoher Bedeutung, da hier gleich zwei Regulations-relevante Prozesse integriert werden: Change-Control via SolMan ChaRM und Incident- & Problem-Management in Service Now, was derzeit noch hohe manuellen Aufwände aufgrund der sogenannten GxP-Compliance bedingt.

Bei GxP handelt es sich um Richtlinien für die „gute Arbeitspraxis“, welche insbesondere in der Medizin, der Pharmazie und der pharmazeutischen Chemie Bedeutung haben. Entsprechend viel verspricht sich Boehringer Ingelheim an Aufwandsreduzierung, wenn relevante Compliance-Themen (Traceability) nicht mehr manuell vorgenommen werden müssen, sondern via Conigma™ Connect automatisiert abgesichert werden können.

Parallel zu diesen prozess-bezogenen Themen wurde bei Boehringer Ingelheim vor einem Jahr begonnen, die SAP Business Technology Platform (BTP) im Bereich (Multi-) Cloud-Infrastruktur-Management einzuführen.

Dabei werden bestehende Services wie SAP Solution Manager ChaRM aber auch neue Cloud-Apps (z. B. bzgl. Einkaufsprozesse, oder Compliance Apps) auf Basis der SAP BTP integriert.

Entsprechend gibt es erste Überlegungen, ob Conigma™ Connect zukünftig statt in der OpenShift Container Plattform, in der SAP BTP eingesetzt wird.

Denn auch unter BTP wird es z. B. bei Änderungen nötig sein, den Quellcode zu prüfen und zu genehmigen und dies dann in den relevanten Systemen (wie SolMan ChaRM) automatisiert zu hinterlegen.

Summary

„Galileo Group AG hat die hohen Anforderungen von Boehringer Ingelheim an eine moderne No-Code-Integrationsplattform bzgl. End-to-End Automatisierung entlang der ITSM-Value-Chain – vom Enterprise Service Management bis hin zum SAP-Deployment erfüllt – und zwar in Time, Quality & Budget!“ so Sascha Dörner, Head of IT EFP SAP Cross Application. „Besonders positiv beeindruckt waren wir von der Implementierungs-Geschwindigkeit bei der Integration von SAP Solution Manager ChaRM und Jira: Der PoC wurde binnen vier Wochen realisiert. Die weiteren Arbeiten bis zum weltweiten Roll-out haben danach lediglich weitere 4 Wochen beansprucht. Zudem überzeugen die äußerst geringen Pflegaufwände. Daher sind wir dabei, weitere Öko Systeme und Infrastrukturen wie ServiceNow, SAP BTP mit Conigma™ Connect von Galileo Group AG zu integrieren.“

• Quality-by-Design durch automatisierte End-to-End Prozesse entlang der gesamten IT-Factory: SAP Solution Manager ChaRM, Jira sowie zukünftig auch ServiceNow

• Rollout auf der SAP BTP

• Freispielen kostbarer Entwicklungs-Ressourcen durch Vermeidung von manuellen, administrativen Arbeiten

• Hohe Revisions- und Audi-Sicherheit angesichts hoher Compliance-Anforderungen