Ausgabe 36 - SQ
Transcription
Ausgabe 36 - SQ
Arbeitskreis Software-Qualität und -Fortbildung e.V. Software-Qualität Ausgabe 36Arbeitskreis | September 2015 und -Fortbildung e.V. Interview Special * * * Im Gespräch mit Blogger Markus Beckedahl von netzpolitik.org Seite 5 Software as a Service Neue Freiheit oder geschönte Abhängigkeit? Keine Luftnummer: Software-Service aus der Wolke Seite 8 SQ-Talk mit Bayerns CIO Markus Söder: „Das Internet muss neutral bleiben.“ Seite 15 Jetzt mit neuer Präsenz im Netz: Besuchen Sie uns auf www.sq-magazin.de EUROPE’S GREATEST AGILE EVENT! November 9 – 12, 2015 in Potsdam, Germany HURRY UP AND SAVE UP TO 300 €! Catch the Early Bird and register by September 13, 2015 on www.agiletestingdays.com This Year´s Motto: Embracing Agile for a Competitive Edge Establish leadership by delivering early, rapid & iterative application releases. Howdy Partner! This year is going to be wild & crazy at the WILD WILD WEST MIATPP AWARD NIGHT This year’s dress code: wild west costumes & accessories.The year’s motto is“WildWildWest”, after a spooky Halloween Party in 2013 and a crazy Carnival Party last year, it became already a tradition to masquerade during the Award Night! This year we want to continue – so lace up your boots and hitch up your horses! www.facebook.com/AgileTD twitter.com/AgileTD plus.google.com/+Agiletestingdaysconf www.xing.com/net/agiletesting vimeo.com/agiletestingdays www.youtube.com/c/Agiletestingdaysconf 3 Editorial Ausgabe 36 | September 2015 Landesverrat oder öffentliches Interesse? Es war ein Skandal, wie lange nicht mehr: Gegen zwei Blogger von netzpolitik.org sollte wegen des Verdachts des Landesverrats ermittelt werden. Was folgte, war ein kollektiver Protestturm gegen den Generalbundesanwalt und den Präsidenten des Verfassungsschutzes. Schließlich entsorgte der Bundesjustizminister den obersten Anwalt des Staates. Was war der Anlass für die Ermittlungen? Netzpolitk.org hatte auf seiner Plattform vertrauliche Unterlagen zum Aufbau einer neuen Überwachungseinheit beim Bundesamt für Verfassungsschutz veröffentlicht. Um Terror und Kriminalität zu verhindern, sollen zusätzliche Mitarbeiter in Zukunft massenhaft Internet-Inhalte erheben und auswerten, darunter Kontaktlisten oder Beziehungsgeflechte in sozialen Netzwerken. Die Daten sollen zudem mit denen anderer Behörden verknüpft und gerastert werden, um unbekannte Strukturen aufzudecken. Man kann sicher trefflich darüber streiten, ob geheime Dokumente veröffentlich werden sollten. Den Autoren wie Markus Beckedahl jedoch die Absicht zu unterstellen, Deutschland schaden zu wollen, war von Anfang an absurd. Ich schätze ihn als engagierten, kompetenten und streitbaren Kollegen im Medienrat der Länder Berlin und Brandenburg. Uns eint – obgleich unterschiedlicher politischer Auffassungen – die Über- zeugung, dass das Internet frei und neutral bleiben muss. Die Gefahren, die mit dem Internet einhergehen mögen, rechtfertigen längst nicht den massiven Eingriff in die Freiheitsrechte. Wie es um den eigentlichen Skandal – das Agieren des Verfassungsschutzes – derzeit steht, habe ich Markus Beckedahl, den Gründer von netzpolitik.org, gefragt. Das Interview können Sie in dieser Ausgabe exklusiv lesen. Stephan Goericke, Hauptgeschäftsführer ASQF e.V. Mit bestem Gruß, Ihr Stephan Goericke Inhalt Ausgabe 36 | September 2015 3 EDITORIAL 18 SCHULUNGEN UND SEMINARE 5 INTERVIEW 22 BEST PRACTICE mit Markus Beckedahl 22 Requirements Engineering in einem service-orientierten Umfeld Macht und Ohnmacht des gläsernen Bürgers 8 ASQF-NEWS 27 BUCHVORSTELLUNG 10 TITELTHEMA Wie Business und IT in Unternehmen erfolgreich kooperieren 10 Software-Service aus der Wolke 12 Cloud-Services für Tool-Chains Kann man Vertrauen kaufen? 15 IM GESPRÄCH mit Dr. Markus Söder „Digitalisierung ist ein Top-Thema“ 4 28 iSQI-NEWS 30 EXPERTENTIPP Sicherheitsrisiko Software-Test Datenschutzrechtliche Anforderungen beim Testen mit Echtdaten 16 IM FOKUS 16 24 API-Economy Qualität als Schlüssel zum Erfolg Software-Produkt-Management als strategischer Erfolgsfaktor Das ASQF-Karriereportal Wir haben den passenden JOB für Sie. Projektleiter (m/w) Direct Line Versicherung AG Software-Tester (m/w) netcare Business Solutions GmbH Teltow Neustetten FINARIS (Junior) IT-Consultant (m/w) F I N A R I S GmbH Technischer Tester/ Last- & Performance Tests (w/m) Outcome Unternehmensberatung GmbH FINARIS (Junior) Consultant (m/w) Financial Services. F I N A R I S GmbH FINANCIAL SOFTWARE PARTNER Frankfurt am Main Köln FINANCIAL SOFTWARE PARTNER Frankfurt am Main Technischer Tester/ Testautomatisierung (w/m) Outcome Unternehmensberatung GmbH Köln Qualitätsmanager (m/w) Embedded Software IAV GmbH Gifhorn Fachlicher Tester/ Testmanager/ Qualitätsmanager (w/m) Outcome Unternehmensberatung GmbH Köln Software Entwickler C#/.Net - (w/m) IBA Dosimetry GmbH Schwarzenbruck Mitarbeiter/-in Prüfungsauswertung iSQI GmbH Consultant: Software Tester / Testautomatisierung (m/w) Qytera Software Testing Solutions GmbH Eschborn Potsdam IT-Berater(m/w) Software qs o. Software Test Engineer ITGAIN Consulting Gesellschaft für IT-Beratung mbh Hannover Die ausführlichen Stellenangebote finden Sie auf www.asqf.de/stellenangebote.html Interview 5 Macht und Ohnmacht des gläsernen Bürgers Verdacht auf Landesverrat lautete der Vorwurf gegen die Blogger von netzpolitik.org. Diese hatten vertrauliche Unterlagen des Verfassungsschutzes zur massenhaften Ausspähung von Internetnutzern veröffentlicht. Die Ermittlungen wurden mittlerweile eingestellt. Doch der Verfassungsschutz treibt seine Pläne weiter voran. SQ-Herausgeber Stephan Goericke sprach dazu mit netzpoltik.orgGründer Markus Beckedahl am Telefon. Markus Beckedahl, netzpolitik.org-Gründer Stephan Goericke: Markus, wer hört denn jetzt alles zu, wenn wir miteinander sprechen? Markus Beckedahl (lacht): Sitzt Du gerade in Potsdam oder Boston? Goericke: Potsdam. Beckedahl: Okay, dann hören wahrscheinlich weniger zu als sonst. Ich gehe einmal davon aus, dass gerade im Idealfall niemand zuhört. Allerdings kann man das nicht genau sagen, RestRisiken gibt es immer. Goericke: Die Ermittlungen wegen Landesverrats wurden ja nun eingestellt? Spürt Ihr noch Folgen positiver oder negativer Art? Beckedahl: Wir haben Ende Juli durch eine förmliche Zustellung des Generalbundesanwalts erfahren, dass bereits seit Monaten wegen Landesverrats gegen uns ermittelt wurde. Basis für die Aufnahme der Ermittlungen war die rechtliche These, dass wir durch die Publizierung von Dokumenten, die den Ausbau der Massenüberwachung durch den Verfassungsschutz beschreiben, Staatsgeheimnisse verraten und dadurch Landesverrat begangen hätten. Nach zehn Tagen öffentlicher Debatte und einem Rücktritt des Generalbundesanwaltes wurden dann die Ermittlungen eingestellt. Wir versuchen gerade zu ermitteln, warum es überhaupt zu den Ermittlungen kam und was eigentlich in unseren Akten drin steht, die unsere Anwälte immer noch nicht einsehen konnten. Goericke: Wollen wir einmal weg von den für Euch − sicherlich sehr belastenden − nachgezogenen Problemen und dem öffentlichen Skandal, hin zu den eigentlichen Dokumenten: Was war an den Dokumenten eigentlich so brisant, dass sie als geheim angesehen wurden? Beckedahl: Also wir fanden die Dokumente gar nicht so brisant. Der Staat und der Verfassungsschutz fanden sie anscheinend auch nicht so brisant, denn sie waren nur als „nicht öffentlich“ eingestuft. Sie enthielten auch keinerlei personenbezogene Daten. Es konnte auch nichts auf aktuelle Maßnahmen des Verfassungsschutzes zurückgeführt werden. Es gab lediglich Haushaltsbeschreibungen bzw. Haushaltsstellen, die dokumentieren, dass der Verfassungsschutz zukünftig mehr Geld bekommt, um seine Internetüberwachung auszubauen − zwei Jahre nach Snowden − und, was er damit machen möchte, wie z.B. Rasterfahndung auf sozialen Netzwerken. Wir haben das veröffentlicht und in eine Berichterstattung eingebettet, weil wir der Meinung waren, dass es ja dazu verschiedene Meinungen geben kann − ob man es jetzt gut findet oder nicht. Aber um eine gesellschaftliche Debatte darüber führen zu können, braucht man erst einmal Informationen. Und die gab es in der Form bis zu unserer Veröffentlichung noch nicht. Goericke: Wenn man Dokumente veröffentlicht so wie Ihr, dann möchte man ja entweder verhindern, dass solch ein Gesetz kommt oder zumindest, wie Du es bereits angedeutet hast, eine öffentliche Debatte anregen. Was hätte es für den normalen Internet- nutzer bedeutet, wenn diese Maßnahmen an der Öffentlichkeit vorbei umgesetzt worden wären? Beckedahl: Also bei uns geht es darum, dass wir Auszüge aus Haushaltsplänen veröffentlicht haben, die zeigen, dass der Verfassungsschutz einmal mehr Kompetenzen bekommt. Unter anderem ist es eine spannende verfassungsrechtliche Fragestellung, ob der Verfassungsschutz automatisiert eine Rasterfahndung auf Facebook machen darf, wenn ihm eigentlich verfassungsrechtlich nur die Individualverfolgung bzw. -erfassung erlaubt ist. Das sind Sachen, über die muss man diskutieren. Es war aber bis zu dem Zeitpunkt, an dem wir die Dokumente online gestellt haben, nicht möglich, sich aus Originalquellen zu informieren. Goericke: Wenn ich jetzt sage, ich habe nichts verbrochen und bin kein Krimineller oder Terrorist: Was ist so schlimm an der Maßnahme Rasterfahndung auf Facebook? Warum seht Ihr das kritisch, was der Verfassungsschutz vorhat? Beckedahl: Es geht um zwei verschiedene Linien. Zwei Jahre nach Start der Edward-Snowden-Enthüllungen ist die Antwort der Bundesregierung: mehr Geld und Ressourcen für den Verfassungsschutz zur Internet-Überwachung; mehr Geld und Ressourcen für den Bundesnachrichtendienst zur Internet-Überwachung und die Wiedereinführung der Vorratsdatenspeicherung. Also: statt die Snowden-Enthüllungen, die dokumentiert haben, dass westliche Geheimdienste Softwareentwicklung Ausgabe 36 | September 2015 6 T. Bucsics, M. Baumgartner, R. Seidl, S. Gwihs Basiswissen Testautomatisierung Konzepte, Methoden und Techniken 2. Auflage 2015, 292 Seiten € 34,90 (D) ISBN 978-3-86490-194-2 C. Johner, M. Hölzer-Klüpfel, S. Wittorf Basiswissen Medizinische Software Aus- und Weiterbildung zum Certified Professional for Medical Software 2. Auflage 2015, 240 Seiten € 42,90 (D) ISBN 978-3-86490-230-7 C. Ebert Systematisches Requirements Engineering Anforderungen ermitteln, dokumentieren, analysieren und verwalten 5. Auflage 2014, 482 Seiten € 39,90 (D) ISBN 978-3-86490-139-3 J. Bergsmann Requirements Engineering für die agile Softwareentwicklung Methoden, Techniken und Strategien 2014, 298 Seiten € 34,90 (D) ISBN 978-3-86490-149-2 H. Wolf (Hrsg.) Agile Projekte mit Scrum, XP und Kanban Erfahrungsberichte aus der Praxis 2. Auflage 2015, 238 Seiten € 34,90 (D) ISBN 978-3-86490-266-6 Wieblinger Weg 17 · D-69123 Heidelberg fon: 0 62 21 / 14 83 40 · fax: 14 83 99 e-mail: [email protected] www.dpunkt.de ok: /plus e + E-Bo Buch .dpunkt.d www einfach mal weitgehend unkontrolliert das Internet zu einer globalen Überwachungsmaschinerie ausgebaut haben, statt das als Mahnung und Warnung zu sehen und gegenzusteuern, werden diese Enthüllungen als Machbarkeitsstudie angesehen, um quasi die Überwachung noch weiter auszubauen. Das ist der eine Punkt. Der andere Punkt ist einfach, was ich eben schon sagte, dass das Vorgehen die verfassungsrechtliche Fragestellung aufwirft, ob der Verfassungsschutz überhaupt automatisiert im Internet rastern oder Programme bzw. Bots über Facebook und Co. verschicken darf. Darüber muss man mal diskutieren. Das war aber zuvor nicht möglich, weil diese Dokumente nicht öffentlich waren und man darüber nicht sprechen durfte. Goericke: Aber ist die Bedrohung durch Cybercrime nicht so stark, dass der Staat sich zur Wehr setzen muss und Einschränkungen der Freiheitsrechte hinzunehmen sind? Beckedahl: Wir sind nicht der Meinung, dass man für irgendwelche diffusen Bedrohungen unsere Grundrechte weiter einschränken sollte. Wenn man tatsächlich mal gegen Cyberkriminalität effektiver vorgehen würde, dann hätte man viele Möglichkeiten gehabt, das IT-Sicherheitsgesetz besser zu machen und nicht zu einem zahnlosen Tiger zu machen wie jetzt. Und die einfachste Möglichkeit wäre immer noch, die Polizei besser und mit den richtigen Qualifikationen auszustatten. Goericke: Was glaubst Du, wie geht es weiter mit diesen Dokumenten und den Personalstellen? Ist die Sache vom Tisch? Beckedahl: Die Ermittlungen wegen Landesverrat sind jetzt vom Tisch. Das Problem ist aber auch: Als wir im Frühjahr das Ganze veröffentlicht haben, war noch die Debatte über die Reform des Verfassungsschutzgesetztes in Gange. Die ist jetzt leider auch vom Tisch, weil alles vor der Sommerpause beschlossen worden ist. Also mit anderen Worten: Der Verfassungsschutz bekommt jetzt diese Ausstattung und der Rest wird wahrscheinlich vor dem Bundesverfassungsgericht geklärt werden. Goericke: Was kann der Einzelne tun, dass seine Daten nicht Dritten zur Verfügung gestellt werden? Beckedahl: Es gibt viele Möglichkeiten. Erst einmal sollte man immer und regelmäßig seinen eigenen Computer mit Updates versorgen, so dass Sicherheitslücken zeitnah geschlossen werden. Dann kann man seine E-Mails verschlüsseln oder man geht bewusst zu Anbietern, die eine Verschlüsselung schon standardisiert eingebaut anbieten. Das gibt es sowohl bei E-Mail- als auch Messenger-Lösungen, z.B. hat Threema Verschlüsselungen direkt eingebaut, so dass man sich nicht wirklich damit beschäftigen muss. Und, wer es, sozusagen, noch etwas verdeckter haben möchte, der kann seine Datenspuren durch TOR als Anonymisierungslösung verschleiern. Aber damit sollte man sich schon ein bisschen mehr beschäftigen, damit man da nicht blöde Fehler macht. Goericke: Glaubst Du, dass solche Skandale wie Ihr sie aufgedeckt habt und damit verbundene Vertrauensverluste, die Akzeptanz von IT-Lösungen und technologischen Innovationen – Stichwort Internet der Dinge – bei den Menschen zerstören? Beckedahl: Es ist extrem traurig, dass für neue Technologien der Datenschutz und die Privatsphäre nicht wirklich von Anfang an mitgedacht werden. Gleichzeitig müssen wir feststellen, dass, wenn man diese Dinge nicht mit bedenkt, weitgehend unkontrollierte Geheimdienste, aber auch das organisierte Verbrechen, Sicherheitslücken ausnutzen und einfach einmal alles überwachen, was geht. Das hat natürlich Auswirkungen auf das Vertrauen und die Akzeptanz. In der heutigen Zeit werden sich viele Menschen bewusster überlegen, ob sie einen intelligenten Kühlschrank oder sonstige intelligente Geräte bei sich zu Hause stehen haben möchten, wenn man dem neuen Handy oder der neuen Stereoanlage halt nicht genau vertrauen kann, ob die Daten sofort übernommen und damit ganze Wohnungen belauscht werden. Advertorial Alles agil! Hat der Teststatusbericht ausgedient? Andrea Kling A gile Vorgehensmodelle haben nicht nur die Entwicklung sondern auch das Vorgehen in der Qualitätssicherung revolutioniert. War früher der Teststatusbericht ein wesentlicher Indikator für den Projektfortschritt, regieren heute Taskboards, Teamverantwortung und das Commitment „Fertig heißt qualitätsgesichert“. Braucht da noch jemand einen Testbericht? Tatsächlich mag der Teststatusbericht in einem kleinen, vollständig agilen Projekt unnötig sein: der Test wird einfach auf dem Taskboard berücksichtigt. Doch sobald das Projekt größer wird, sieht es oft anders aus. Nicht nur meiner Erfahrung nach gibt es verschiedene Stufen von „agil“ (siehe auch die Blog-Reihe „Reise zur bimodalen IT“ auf www.anecon.com/blog). Erfolgt die Entwicklung bereits nach agilen Methoden, so bedeutet dies noch nicht, dass auch der Test, insbesondere der Akzeptanz- oder Abnahmetest des Kunden im agilen Prozess integriert ist. Ist der Test agil, kann es im Management noch Bedarf an – nennen wir es mal – „klassischen“ Statusinformationen geben. Statt den Testbericht sofort zu verbannen, sollte man herausfinden, wer worüber informiert sein muss und ob eine explizite Information erforderlich ist. Argumente für den Testbericht Nicht auf den Testbericht verzichten möchte ich, u.a. wenn: Fortschritt und Probleme zwar im Werkzeug ersichtlich sind, das Management oder andere Beteiligte aber nicht darauf zugreifen können (oder wollen), Stories „fertig“ sind, sich aber trotzdem offene Fehler ansammeln. aus dem Werkzeug keine Gesamtsicht auf das Projekt möglich ist. Nachweispflichten (z.B. zum Risikomanagement) eine textuelle Dokumentation von Situation und Maßnahmen erfordern. Trotzdem bedeutet dies nicht, dass der klassische Testbericht unverändert in die agile Welt übernommen werden sollte. Nur Informationen, die auch im agilen Vorgehen relevant sind, sollten verwendet werden. Was soll enthalten sein? Ein guter agiler Testbericht enthält Informationen über: den Teststatus der aktuell fertiggestellten Stories oder Epics, den Teststatus der (automatisierten) Regressionstests, Anzahl und Trend der offenen Defects, einen Textteil mit wesentlichen Vorkommnissen (als Interpretationshilfe für beigefügte Statusgrafiken) sowie aktuellen Risiken und Problemen, die Managementaufmerksamkeit erfordern. Auch ist in einem agilen Testbericht ein kurzer Ausblick auf geplante Aktivitäten sinnvoll. Empfehlenswert sind darüber hinaus weitere Indikatoren und Trends zur Bewertung der Prozessqualität, z.B. Anteil von Fehlern, die in späteren Teststufen oder im Produktivbetrieb gefunden wurden; Anzahl automatisierter Regressionstests bzw. abgedeckter Funktionen/Stories etc. (sollte ansteigen) Anteil fehlgeschlagener bzw. nicht lauffähiger Regressionstests (sollte gegen 0 gehen). Und das Format? Viele dieser Informationen werden sich in Werkzeugen oder auf Team dashboards finden. Eine kompakte Zusammenstellung für alle Interessierten ist dennoch nützlich – vor allem auch bei verteilten Teams. Wie und wo diese präsentiert wird, ist abhängig vom Adressatenkreis und den verfügbaren Werkzeugen. Meine persönlichen Favoriten sind webbasierte Testberichte mit direktem Zugriff auf Auswertungen (z.B. Jira/Confluence) sowie Excel aufgrund der flexiblen Auswertemöglichkeiten. Kommentarmöglichkeit vorausgesetzt, können auch eigens eingerichtete Quality dashboards den Zweck erfüllen: Testbericht ganz agil. Andrea Kling ist Testmanagerin und Testspezialistin bei ANECON. Neben Abwicklung und Begleitung von System- und Abnahmetestprojekten gehören auch Aufbau und Optimierung der Testorganisation zu ihren Tätigkeiten. Sie ist leidenschaftliche Trainerin und coacht gern bei Organisations änderungen. ASQF NEWS Ausgabe 36 | September 2015 8 Exklusive Rabatte für ASQF-Mitglieder Software-QS-Tag 05./06.11.2015, Nürnberg Im Bereich Qualitätssicherung und -Test liegt der Fokus meist auf funktionalem Testen. Der Software-QS-Tag 2015 möchte das ändern: Er stellt Non-Functional Testing ins Rampenlicht. Rabatt für ASQF-Mitglieder: 100 EUR Nachlass auf das Konferenzticket www.qs-tag.de Philotech Fachsymposium 2015 05.11.2015, München Aus den Chancen und Herausforderungen für die Automobil- und Luftfahrtindustrie ergibt sich eine immer stärker vernetzte Umgebung. Das Symposium stellt unter den Aspekten Safety und Security viele verschiedene technische Lösungen für Bedrohungen und Gefährdungen vor. Rabatt für ASQF-Mitglieder: 10% Nachlass auf das Konferenzticket www.philotech.de/academy/symposium-2015.html VMEA 2015 12.11.2015, Siegburg Die VMEA bietet einen intensiven Erfahrungsaustausch von Anwendern und Interessenten des V-Modells. Die Konferenz richtet sich sowohl an Projektleiter, Qualitätsmanager und QS-Verantwortliche als auch Systemanalytiker und -designer sowie Fach- und Führungskräfte aus der Anwendungssystementwicklung, Projektverantwortliche in Behörden und IT-Manager. Rabatt für ASQF-Mitglieder: 50 EUR Nachlass auf das Konferenzticket www.ansstand.de/VMEA Digitale Transformation gezielt managen Die digitale Transformation kommt auf alle Unternehmen zu, egal wie groß oder in welcher Branche sie tätig sind. Genau genommen ist sie bereits seit Jahren in vollem Gang, ausgelöst durch digitale Medien und das Internet. Sie erfordert neue Kompetenzen und Fähigkeiten. Sie verändert Prozesse und Abläufe, schafft neue Möglichkeiten der Zusammenarbeit und stellt Unternehmen vor kleine und große Herausforderungen. Topaktuell beschäftigt sich der neue ASQF Digital Day am 17. November in Nürnberg in Vorträgen und Keynotes mit dem heiß diskutierten Thema und damit verbundenen Fragestellungen. Der Schwerpunkt liegt hierbei auf „User Experience & Innovation“ und „Digitale Evolution (Industrie 4.0)“. Die Besucher der eintägigen Fachkonferenz erwartet nicht nur jede Menge neuer Input, sondern auch eine Podiumsdiskussion zum Thema „Digitalisierung und Gesellschaft“ und eine Fachausstellung. Als Forum verknüpft der ASQF Digital Day Netzwerk, Austausch und Beratung. Er bringt Experten, Entscheider, Anbieter und Anwender aus Wirtschaft und Wissenschaft zusammen. Ziel ist es, anhand umfassender BestPractice-Beispiele die Potenziale der Digitalisierung aufzuzeigen. TICKETS UND INFOS zum ASQF Digital Day unter www.digital.asqf-days.de 2. Auflage der Mobile Quality Night Vienna Am 8. Oktober 2015 organisiert die ASQF Vienna Mobile Quality Crew die „2. Mobile Quality Night presented by TestPlus”. Bei zwei Keytalks und zehn Lightning Talks wird das Thema Qualität von mobilen Applikationen in allen Facetten (Produktmanagement, Development, Testing) näher betrachtet. Im Bring-Your-Own-Testautomation-Track (BYOT) wird neben Robotium, Selendroid, Ranorex, KIF und SpecFlow auch Appium vorgestellt. Die Organisatoren Rudolf Grötz und Christoph Börner konnten AppiumCreator Dan Cuellar für einen Vortrag gewinnen. Cuellar wird den Keytalk “Architecture of Mobile Testautomation Tools” halten, wobei er die grundlegenden Architekturen von mobile Testautomation Frameworks und im speziellen Appium vorstellt. Die Veranstaltung ist kostenfrei. www.mobile-quality-night.com ASQF NEWS 9 Zwischen RocketScience und ausgetretenen Pfaden Medical-Device-Day in Erlangen Zuwachs: Neue Mitglieder Die Digitalisierung bietet für das Gesundheitssystem und die Medizintechnik große Chancen. Der Fortschritt in den vergangenen fünf Jahren ist immens. Von der Prävention über die medizinische Diagnostik, Therapie und Nachsorge ermöglicht die Digitalisierung völlig neue Behandlungsansätze zum Wohle des Patienten. Auf dem diesjährigen Medical Device Day Ende Juli in Erlangen gingen Experten der Frage nach, wohin sich die Medizintechnik in den nächsten zehn Jahren entwickeln wird und in welcher Beziehung sie zu Cloud-Diensten, Quantified-Self, dem Internet der Dinge und den allgegenwärtigen Apps steht. ICS Informatik Consulting Systems AG Stuttgart www.ics-ag.de Sechs spannende Fachvorträge vertieften die Thematik, so z.B. im analytischen Vergleich von Big-Data, Smart-Data und Medical-Data, mit einem Vortrag über den Einsatz von Smart- Watches zur Unterstützung älterer Menschen oder die Anwendung von Augmented-Reality und Holografie in der Medizintechnik. Zudem wurde der Medical-Device- Diamant Software GmbH & Co. KG Bielefeld www.diamant-software.de Referent Christian Alexander Graf hielt einen Vortrag zum Thema „Big Data − Smart Data − Medical Data“. Day in diesem Jahr wiederholt durch den Wissenshafen bereichert. Dieser lud zum direkten und ungezwungenen Austausch zu speziellen Themen der Medical IT ein, darunter Themen wie „Dicom Anbindung für medizinische Systeme“, „add4Q: Requirement- und Testmanagement für Enterprise Architect“, „Gesunde Vernetzung: Internet of Things in der Medizintechnik“ und „App, Cloud, Security - Herausforderung für die Qualitätssicherung“. Der ASQF dankt dem Lenkungskreis um Michael Classen (infoteam Software AG), Christian Alexander Graf (Qualitätssicherung und Statistik), Stefan Bolleininger (b-quality), Matthias Hölzer-Klüpfel, Dr. Anne Kramer (sepp. med GmbH), Björn Oleson (infoteam Software AG), Sebastian Kern (Method Park), Klaus-Peter Kreuzer (Siemens AG) und Felix Winter (iSQI GmbH) für die inhaltliche Gestaltung des diesjährigen Medical Device Days. Günther Limböck neues ASQF-Beiratsmitglied Günther Limböck wurde im Juli zum neuen Beiratsmitglied des ASQF berufen. Er war mehr als 25 Jahre für den Software-Hersteller SAP tätig und arbeitete dort u.a. als Development Manager, Quality Manager und Risk Manager, bevor er im Jahr 2005 die Verantwortung für den Bereich Global Quality Governance übernahm. Neben der analytischen Messung von Qualitätszielen interessieren ihn auch immer die „weichen“ Faktoren, die das Gelingen oder Scheitern von Projekten und Kennzahlensystemen maßgeblich beeinflussen. Er verfügt über eine IMACS GmbH Bingen am Rhein www.imacs-gmbh.de Isento GmbH Fürth www.isento.de Kabel Deutschland Vertrieb und Service GmbH Unterföhring www.kabeldeutschland.de Konzept Informationssysteme GmbH Meersburg www.konzept-is.de QA Tools GmbH Münster www.qatools.de Razorcat Development GmbH Berlin www.razorcat.com TestPlant Germany GmbH Berlin www.testplant.com Werden Sie Mitglied im ASQF! www.asqf.de/mitgliedschaft-vorteile.html Zusatzausbildung zum systemischen Coach und ist seit 2012 nebenberuflich als Coach für Unternehmen tätig. Neben seinem Engagement im ASQF unterstützt Günther Limböck als Programm Chair den ASQF Digital Day am 17. November in Nürnberg. Titelthema Ausgabe 36 | September 2015 10 Software-Service aus der Wolke Michael Köster C loud-Computing konnte sich in den letzten Jahren als feste Größe in deutschen Unternehmen etablieren. Bereits heute setzen 44 Prozent von ihnen auf Cloud-Computing, rund drei Viertel davon sind zufrieden und würden wieder so handeln. Gemäß Gartners Hype Cycle ist gegenwärtig die Software-Miete eine beliebte kaufmännische Alternative zu „Reuse-Make-or-Buy“; mehr noch als Platform-as-a-Service oder Infrastructure-as-a-Service. Die Vorzüge von Software-as-a-Service (SaaS) liegen im flexiblen Zugriff auf einen geteilten Pool von gut skalierbaren IT-Ressourcen, mit kundenseitig auch an kurzfristige Bedarfe anpassbarer Leistungsfähigkeit (on-demand self-service). Vorteile aus dem zentralen Betrieb, der jeweils nur einmal existierenden Instanz und laufenden Updates können an den Kunden weitergereicht werden und erlauben den Einbau kollaborativer Funktionen. Neben einer Reihe lösbarer Herausforderungen liegt ein inhärenter Nachteil indes in der gesteigerten Abhängigkeit vom Software-Anbieter und den zumeist herstellerspezifischen Schnittstellen (Lock-in-Effekt). Software-Services bergen neben den geschilderten technischen Vorteilen aber auch einen oft übersehenen betriebswirtschaftlichen Nutzen. Denn flexibel skalierbare Ressourcen lassen sich ideal als Mietmodell vertreiben und können vom Anbieter bedarfsge- recht verrechnet werden (pay-as-yougo). Anstelle der nicht immer bilanzierbaren einmaligen Investitionen in Hardware, Netze und Lizenzen entstehen im Software-Service-Modell pro rata temporis anfallende Betriebskosten (OPEX statt CAPEX). Genau dieser Aspekt eröffnet auch für den Hersteller eine strategische Entwicklungsperspektive. Denn laufende Einnahmen lassen sich zuverlässig kalkulieren, besser als das zunehmend unsicher werdende Lizenzgeschäft mit neuen Versionen und Updates bestehender Produkte. Nicht immer kommt dabei Software-Service in Reinform zum Zug, einige Angebote sind eher ein Abo-Modell als echtes Cloud-Computing. Beispiele dafür sind Adobes Creative Cloud und Office 365, sie beruhen im Kern auch weiterhin auf dezentral installierten Rich-Clients. Der Erfolg reinrassiger SaaS-Angebote wie dasjenige von Salesforce.com und auch die Auflage von SAP’s S/4HANA als Cloud-Modell zeigen aber: Die Grundsatzfrage stellt sich gegenwärtig nicht. Strategische Roadmaps deutscher Unternehmen erörtern heute vielmehr bereits das Was, Wie und Wann denkbarer SaaSModelle von morgen. Was kann sinnvoll in die Cloud übertragen werden? Zunächst geht es darum, denjenigen Teil der Unternehmens-Software zu identifizieren, der überhaupt sinnvoll in ein Service-Modell überführt werden kann. Entsprechend ihrer strategischen Bedeutung machen sich die Entscheidungskriterien am Überfüh- rungsrisiko, möglichen Seiteneffekten und der Orientierung an Schlüsseltechnologien fest. Die reine Kostenfrage steht dabei hinter Faktoren wie vergrößerter Flexibilität im Zugang, verbesserter Skalierbarkeit und erhöhter Datensicherheit zurück. Welches Betriebsmodell passt zum Unternehmen? Die Cloud ist in Deutschland allerdings weniger verbreitet als im internationalen Vergleich. Hauptursachen dafür sind zumeist Bedenken im Hinblick auf Sicherheit und Compliance. Zwar ist ein externer Spezialist potentiell besser vor Angriffen geschützt als eine interne Ressource. Gleichwohl erlangt der Cloud-Anbieter im Grundsatz stets einen Zugriff auf Unternehmensdaten seiner Kunden. Die Einrichtung einer Private Cloud, hybride Lösungen mit interner Datenhaltung, homomorphe Verschlüsselung (wie bspw. von Salesforce.com implementiert) oder eine Sealed Cloud (eine patentierte Technologie im Rahmen des TrustedCloud-Programms des BMWi) sind Alternativen für den Umgang mit sensiblen Daten und Anwendungen. Im Zuge der NSA-Affäre erregte zudem der USA Patriot Act öffentliches Interesse: Demnach ist es möglich, dass US-Unternehmen gezwungen sind, Geheimdiensten Zugriff auf ihre Daten zu geben. Der Betrieb der Software durch ein unabhängiges Drittunternehmen hilft a priori beim Ausschluss jedes Verdachts auf Wirt- 11 Management beantwortet werden. Da bestehende Rechtsprechung und §§ 535 ff. BGB alle mietrechtlichen Streitfragen von Software-Services kaum ausreichend abdecken, sollten sich die Einkaufs- und Rechtsabteilung des Unternehmens rechtzeitig „fit“ machen, für die interessengeleitete vertragliche Gestaltung der wechselseitig geschuldeten Leistungen. 2 Vertragsgestaltung: Customizings sind davon betroffen. Der Aufwand für die Überführung von teilweise sehr alten hauseigenen Anpassungen ist dabei nicht zu unterschätzen – und manche „Sonderlocke“ in homogenen Cloud-Umgebungen möglicherweise gleich gar nicht umsetzbar. Für die Vorabanalyse der bestehenden Landschaft sollte der Terminplan aufgrund dessen eine ausreichende Zeitspanne berücksichtigen. 3 Architektur: Für die langfristige Entwickschaftsspionage. Falls existierende unternehmensinterne��������������� oder branchenspezifische Compliance-Vorgaben gemäß der EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) die Übertragung personenbezogener Daten ins Ausland trotz Beitritts des Anbieters zum Safe-Harbor-Abkommen verbieten, so löst ein durch Dritte in Deutschland betriebenes Rechenzentrum auch dieses Problem. Neben technischen Aspekten, wie der Bereitstellung geeigneter Verbindungen zum Cloud-Anbieter und kryptographischen Fragen, werden im Zuge der Auslagerung zu einem Cloud-Modell zunehmend auch organisatorische Maßnahmen bedeutsam. Dies betrifft unter anderem die drei folgenden Aspekte: 1IT-Compliance: Die laufende Einhaltung von gesetzlichen und vertraglichen Ver pflichtungen im Betrieb zunehmend komplexer werdender IT-Landschaft muss durch ein kontinuierliches IT-Compliance- lung der Unternehmensarchitektur und der Zugriffsschichten etablieren CIOs ein zentrales Enterprise-Architecture-Management (EAM); dies auch und gerade als richtungsweisender Ansprechpartner für laufende Migrationsprojekte. Welcher Zeitplan ist der richtige? Aus kaufmännischer Sicht ist gerade jetzt ein guter Zeitpunkt, um mit den Herstellern in einen Dialog um den Einstieg in ein Service-Modell einzutreten. Die Lösungen haben eine gute Marktreife erreicht und die Anbieter sind auf der Suche nach aussagekräftigen Beispiel-Cases. Der genaue Terminplan basiert natürlich auf der konkreten Situation. Allgemein lässt sich aber sagen, dass der Umstieg auf ein Service-Modell ein guter Zeitpunkt für eine stärkere Orientierung der Lösungsarchitektur am Software-Standard (out-of-thebox) ist. Dies ist zweifelsohne bei vielen gewachsenen SAP-Systemen der Fall, aber auch alte Lotus-NotesDatenbanken und „wilde“ SharePoint- QUELLEN - KPMG AG Wirtschaftsprüfungsgesellschaft, Cloud Monitor 2015 http://www.kpmg.com/de/de/bibliothek/2015/seiten/ cloud-monitor-2015-deutsche-wirtschaft-setzt-auf-wolke. aspx - BSI, Cloud Computing Grundlagen: https://www.bsi.bund.de/DE/Themen/CloudComputing/ Grundlagen/Grundlagen_node.html - The NIST Definition of Cloud Computing: http://csrc.nist.gov/publications/nistpubs/800-145/SP800145.pdf - Wissenschaftliche Dienste des Bundestages zu Cloud Computing: https://www.bundestag.de/blob/191178/22a7553089d81c2 e06866e15fc354a0e/cloud_computing-data.pdf Michael Köster ist Manager bei der KPMG AG im Bereich CIO Advisory und Leiter der Fachgruppe Projektmanagement des ASQF in NordrheinWestfalen. Titelthema Ausgabe 36 | September 2015 12 Cloud-Services für Tool-Chains Kann man Vertrauen kaufen? Dr. Sven Söhnlein, Dr. Martin Geier nagement des gesamten SoftwareLebenszyklus eines Entwicklungsprojektes zu nutzen, sprich: die gesamte notwendige Tool-Chain in der Cloud abzubilden (vgl. Bild 1). Der Cloud Hype Die private Nutzung von CloudDienst-Anbietern wie Dropbox oder Apple iCloud zur Speicherung von Bildern oder Dokumenten ist stark im Aufwind. Auch Firmen entdecken zunehmend die unternehmerischen und technischen Potenziale solcher Infrastrukturen. Besonders in der Software-Entwicklung ist hier ein Trend erkennbar, die Vorteile von Cloud-Services zum effizienten Ma- Hierzu gibt es mittlerweile ein breites Spektrum an Möglichkeiten für die technische und organisatorische Umsetzung, die sich vor allem im Hinblick auf den Datenstandort und die Administration (vgl. Tabelle 1) kategorisieren lässt (vgl. [1, 2, 3]). Dabei ist die Private-Cloud für Unternehmen momentan sehr verbreitet (vgl. [1]), wobei die anderen Varianten durch immer bessere Service-Ange- bote und Sicherheitskonzepte zahlreicher Anbieter (etwa Private-Cloud von CloudOne, IBM Bluemix, Microsoft Azure, Salesforce.com, Google App Engine etc.) zunehmend Auftrieb bekommen (vgl. [2]). Welche Aspekte sollten IT-Entscheider hier also im Visier haben? Die Tool-Chain in der Cloud Wie Studien zeigen (vgl. [1]), liegen die allgemeinen positiven Auswirkungen der Nutzung von Cloud-Diensten in der breiten und ortsunabhängigen Verfügbarkeit der IT-Anwendungen, Senkung der IT-Administrationskosten (bzgl. Infrastruktur und Personal) 13 und einer Beschleunigung der Arbeitsprozesse und Innovationszyklen. Neben diesen allgemeinen Aspekten gibt es speziell für Tool-Chains in der Cloud weitere Vorteile: Effizientere Lizensierung: Gerade bei Projekten mit Teams an (international) verteilten Standorten können die entsprechenden Lizenzen rund um die Uhr kostensparend ausgelastet werden. Bessere Skalierbarkeit: Server in Rechenzentren sind oftmals schlecht ausgelastet (vgl. [4]); hier liegt großes Potenzial zur effizienteren Ressourcennutzung. Vereinheitlichung der Entwicklungs- und Betriebsprozesse: Die Realisierung durch Cloud-Lösungen kann einen Hebel zur besseren Standardisierung, Fehlervermeidung und Vereinfachung der Entwicklungs- und Betriebsprozesse darstellen (vgl. [2]). Insgesamt ergeben sich also sowohl im Hinblick auf die allgemeinen Aspekte von Cloud-Realisierungen als auch auf die speziellen Gesichtspunkte bezüglich Cloud-Tool-Chains große Vorteile für IT-Entwicklungsunternehmen. Nichtsdestotrotz stehen Unternehmen vor besonderen Herausforderungen bezogen auf die mit Cloud-Lösungen einhergehenden Risiken, die vor allem in der Sicherheit und Zuverlässigkeit liegen. In Bezug auf die Sicherheit muss hier zunächst differenziert werden, welche Art von Daten in der Cloud gespeichert werden sollen und um welche Art von Cloud-Lösung es sich handelt: Eigenentwicklung oder Kundenprojekt? Werden nur die eigenen Entwicklungsprojekte in der Cloud gemanagt, so muss sich das Unternehmen Gedanken machen, inwieweit es die eigene Intellectual Property etwa in Form von Source-Code in der Cloud verwalten möchte. Konsequenzen müssen bei Projekten bedacht werden, die Auftragsarbeiten von Kunden darstellen, da hier im Falle einer unzulässigen Datenweitergabe besondere vertragliche und rechtliche Folgen drohen. Private oder Non-Private Cloud? Außerdem unterscheidet sich die Risikoabwägung erheblich in Abhängigkeit von der (angedachten) Form der Cloud-Lösung (vgl. Tabelle 1). Während beim Private-Cloud-Konzept das Unternehmen in der Regel die Sicherheitsinfrastrukturen zu einem beachtlichen Teil selbst gestaltet, gilt es bei einer Non-Private-Variante auf eine ganze Reihe rechtlicher und technischer Aspekte zu achten, die unter anderem in den Service Level Agreements (SLA) verankert sein sollten: Standort: Hier ist im Hinblick auf die geltenden Datenschutzrichtlinien zum einen der Firmensitz des Dienstanbieters relevant und zum anderen der eigentliche Speicherort der Daten. Deutschen Unternehmen wird empfohlen, sich auf den europäischen Rechtsraum zu beschränken oder im Falle eines amerikanischen Unternehmens, zumindest auf die Konformität mit den Safe-Harbor-Prinzipien zu achten (vgl. [5]). Juristen raten zur Einforderung einer entsprechenden vertraglichen Zusicherung (vgl. [6]). Sicherheitskonzept: Dies betrifft sowohl den Weg der Daten in die Cloud (Sicherheit der Übertragung) als auch das Sicherheitskonzept des Anbieters zur eigentlichen Datenspeicherung. Eine Hilfestellung zu den relevanten Aspekten in Form einer Checkliste bietet hier etwa das Bundesamt für Sicherheit in der Informationstechnik – BSI (vgl. [7]). Wichtig sind unter anderem ein wirksames Information Security Management System (nach ISO 27001) und ein Notfallmanagement (nach ISO 22301 oder BSI-Standard 100-4; vgl. [5]). Technische Aspekte: Neben den gerade für Tool-Chains interessanten Fragen nach der zur Verfügung gestellten Software-Infrastruktur, der Möglichkeiten zum Im- und Export in anbieterunabhängigen Datenformaten und der verwendeten Verschlüsselungstechnologien sind hier auch oft wenig bedachte Aspekte relevant, wie etwa die absolute physikalische Löschbarkeit von Daten bei den verwendeten virtualisierten Storage-Technologien (vgl. [6]). Neben diesen Hauptkriterien bei der Risikoabwägung gibt es eine Vielzahl weiterer meist nicht in Betracht gezogener Unwägbarkeiten bei der Verwendung von Cloud-Diensten (Was passiert mit den Daten beispielsweise bei der Insolvenz des Cloud-Anbieters?). Deshalb ist Expertenrat bei der Kategorie Datenstandort Administration Private-Cloud unternehmensintern unternehmensintern Managed-Private-Cloud unternehmensintern extern Hosted-Private-Cloud extern extern (exklusiv für ein Unternehmen) Public-Cloud extern extern (für eine Vielzahl von Unternehmen) Tabelle 1: Kategorien von Cloud-Diensten Titelthema Ausgabe 36 | September 2015 14 Bild 2: Eckpunkte zur passenden Cloud-Lösung Bild 1: Tool-Chain in der Cloud Suche nach der passenden Cloud-Lösung sehr zu empfehlen. Die passende Cloud-Lösung Die bereits angesprochenen Gesichtspunkte bei der Suche nach einer passenden Cloud-Lösung lassen die damit verbundene Komplexität der Entscheidungsfindung erahnen. Zur groben Orientierung sollten ITEntscheider vor allem die wichtigen Eckpunkte der technischen Angemessenheit (Bietet eine bestimmte CloudLösung den passenden technischen Rahmen für unsere Projekte?), des mit dem Einsatz der Cloud-Lösung verbundenen Risikos (vgl. Kriterien im letzten Abschnitt) und des zu erwartenden Benefits (vgl. die eingangs dargestellten Vorteile) im Fokus haben (vgl. Bild 2). Dabei ist hinzuzufügen, dass ein solider Entscheidungsprozess nicht a priori als Ergebnis eine Cloud-Lösung vorsehen darf. Wenn nach Abwägung aller Prämissen eine Realisierung in der Cloud nicht im Rahmen vertretbarer Risiken stattfinden kann, müssen entsprechende Alternativen in Erwägung gezogen werden. REFERENZEN [1] ”PAC-Studie Private Cloud Computing”, Katharina Grimme. [http://www.business-cloud.de/pac-studie-private-cloud-indeutschen-unternehmen/] [2] “PaaS-Kompendium von Crisp Research: Alles zum Thema Platform-as-a-Service“, René Büst, Dr. Carlo Velten [http://www.business-cloud.de/wp-content/ uploads/2014/11/Crisp-PaaS-Kompendium.pdf] [3] Wikipedia: Cloud Computing [https://de.wikipedia.org/wiki/Cloud_Computing] [4] “Ein Drittel aller Server im Koma“, Heise Online [http://www.heise.de/newsticker/meldung/Ein-Drittel-allerServer-im-Koma-2725585.html] [5] “Cloud-Sicherheit: Wo sind meine Daten“, Sabine Philipp [http://www.mittelstandswiki.de/ wissen/Cloud-Sicherheit] [6] “Cloud Computing - was Juristen raten“, Silvia Hänig [http://www.cio.de/a/cloud-computingwas-juristen-raten, 2939473] [7] “Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter“, Bundesamt für Sicherheit in der Informationstechnik – BSI [https://www. bsi.bund.de/DE/Themen/CloudComputing/Eckpunktepapier/ Eckpunktepapier_node.html] Dr. Sven Söhnlein ist seit 2014 als Software Engineer bei Method Park unter anderem im Bereich Lifecycle Tools und Cloud Services tätig und ist Mitglied in der Gesellschaft für Informatik e.V. Dr. Martin Geier ist seit 2008 Mitglied des Vorstandes der Method Park Software AG und seit 2012 im Vorstand der Holding AG sowie Geschäftsführer der Method Park Engineering GmbH. Im Gespräch 15 „Digitalisierung ist ein Top-Thema“ P rogressiv, chancenreich und risi kobehaftet: der digitale Wandel hat viele Gesichter. Er ist eine der größ ten politischen, wirtschaftlichen und gesellschaftlichen Herausforderungen, die vor uns liegen. Im Freistaat Bayern, in dem vergleichsweise besonders viele digitale Vorreiter angesiedelt sind, setzt man auf eine konsequente Netzpolitik, um die Digitalisierung strategisch weiter voranzutreiben. Das SQMagazin hat Dr. Markus Söder, Finanzminister und obersten Landes-CIO des Freistaates, dazu befragt. Herr Dr. Söder, Sie sind Finanzminister und seit 2014 auch CIO des Freistaates Bayern. Stehen Sie manchmal im Konflikt zwischen Ihren Wünschen als oberster IT-Chef und der gleichzeitigen Verantwortung für die Staatskasse? Digitalisierung ist ein Top-Thema in Bayern. Ausgaben für Breitbandausbau, Datensicherheit und den Ausbau von E-Government sind Investitionen in die Zukunft des Freistaats, seiner Bürger und seiner Unternehmen. Das Thema Digitalisierung nimmt deshalb in unserem aktuellen Doppelhaushalt auch einen Schwerpunkt ein. Ihr Ziel ist es, Bayern zu einer Leitregion des digitalen Aufbruchs zu machen. Worin ist der Freistaat besser und schneller als die anderen? Die Rahmenbedingungen müssen passen – und dafür sorgen wir in Bayern. Eines der wichtigsten Beispiele ist die Forderung nach ausreichenden Bandbreiten bei der Internetversorgung. Insbesondere für den ländlichen Raum ist der Anschluss an die Datenautobahn ein wichtiger Standortfaktor. Die Vergangenheit hat gezeigt, dass flächendeckende Versorgung mit schnellem Internet nur mit staatlicher Unterstützung erreicht werden kann. Unser Förderprogramm mit einem Volumen von 1,5 Milliarden Euro ist einzigartig in Deutschland und ausgesprochen erfolgreich. Rund 90 Prozent der bayerischen Kommunen sind im Förderverfahren, mehr als 350 Förderbescheide wurden bereits übergeben. So wurden bereits Baumaßnahmen für weit mehr als 3.000 km neue Glasfaserleitungen initiiert. Gründe hierfür sind das straffe Verfahren, die guten Förderkonditionen und die gezielte Beratung, die unsere Breitbandmanager an den Ämtern für Digitalisierung, Breitband und Vermessung vor Ort anbieten. Als konsequenten Folgeschritt gehen wir auch das Thema „Freies WLAN“ an. Ziel ist es, bis 2020 in ganz Bayern freies WLAN anzubieten. Dazu wird Schritt für Schritt ein Netz entsprechender Zugangspunkte aufgebaut. Schon in diesem Jahr stattet Bayern geeignete Standorte mit frei nutzbaren Hotspots aus und setzt dies in den kommenden Jahren fort. Aber auch im gesetzgeberischen Bereich werden mit inhaltlich neuen Ansätzen beste Rahmenbedingungen geschaffen: So entsteht mit dem Bayerischen E-Government-Gesetz unsere Verwaltung von morgen. Es schafft die Voraussetzungen für digitale Sicherheit, digitales Bezahlen, digitale Unterschrift und mehr digitalen Service für Bürger und Unternehmen. Inhaltlich geht es deutlich über die vorhandenen Ansätze beim Bund und anderen Bundesländern hinaus. Während sich dort der Blick häufig nach innen, in die Verwaltung richtet, stellt Bayern Bürger und Unternehmen in den Mittelpunkt. Nach Hochrechnungen erreicht Bayern dadurch eine digitale Rendite von bis zu 1,5 Milliarden Euro pro Jahr. Als Beauftragter für Informationstechnik sind Sie auch Mitglied im IT-Planungsrat, der die Zusammenar- beit von Bund und Ländern in der Informationstechnik und im E-Government steuert. In welche Richtung werden die Weichen für die nächsten Jahre gestellt? Es ist von großem Vorteil, wenn die Koordination und Steuerung der zentralen IT-Themen, aus einer Hand erfolgen - wie hier in Bayern. Akzente setzen wir beim Thema IT-Sicherheit, wo wir in vielen Bereichen – so z.B. beim Bayern CERT oder beim Behördennetz eine Vorreiterrolle einnehmen. Viele Unternehmer sehen sich angesichts der Veränderungen, die die digitale Transformation mit sich bringt, überfordert. Wie kann die Politik hier unterstützend wirken? Die Politik ist gefordert, die richtigen Rahmenbedingungen zu schaffen, so dass unsere Unternehmen weiterhin erfolgreich operieren können. Dazu gehören die Bereitstellung einer modernen und sicheren Infrastruktur aber auch zeitgerechte Kommunikationsmöglichkeiten mit der Verwaltung. Mit unserer Digitalisierungsstrategie Montgelas 3.0 wollen wir den digitalen Verwaltungskreislauf schließen. Bürger und Unternehmen sollen 24 Stunden am Tag, sieben Tage die Woche Kontakt zur Verwaltung über das Internet aufnehmen können – und dann eine digitale Antwort erhalten. Im Rahmen des digitalen Binnenmarktes steht die Entscheidung an, wie man die Netzneutralität regeln will. Was halten Sie in diesem Zusammenhang für die beste Lösung? Bayern ist für die Gewährleistung der Netzneutralität: Der diskriminierungsfreie Transport aller Datenpakete im Internet ist Grundlage für offenes und freies Internet, für die Sicherung von Teilhabe, Meinungsvielfalt, Innovation und fairen Wettbewerb. Im Fokus Ausgabe 36 | September 2015 16 API-Economy Qualität als Schlüssel zum Erfolg Andreas Schmietendorf, André Nitze Die Bereitstellung webbasierter Programmierschnittstellen (kurz Web-APIs) kann seit circa 15 Jahren innerhalb des Internets beobachtet werden. Waren es zum Anfang sehr einfache Funktionen und Daten, welche sich „ad hoc“ in eigene Applikationen einbinden ließen, konnte in den letzten fünf Jahren eine zunehmende Kommerzialisierung aber auch ein exponentielles Wachstum der angebotenen Web-APIs beobachtet werden. Das folgende Zitat von [Spencer 2015] unterstreicht diese Veränderungen: „Application Programming Interfaces (API‘s) have gone from a some-thing that only developers and architects once discussed to emerge as a capability that is central to many successful companies business strategies and a key focus of many of their senior leadership teams.” Werden Web-APIs im Sinne eines zusätzlichen Vertriebskanals für Drittanbieter bereitgestellt, wird häufig auch von einer API-Economy gesprochen. Neben der ökonomischen Perspektive sieht [Tang 2015] darin ein Gestaltungsprinzip für kompositorisch orientierte Software-Architekturen, welches die Möglichkeiten moderner Web-APIs mit korrespondierenden Geschäftsmodellen kombiniert. Ohne einen Anspruch auf Vollständigkeit zu erheben, finden sich die Ursachen in den folgenden Aspekten: Web-APIs als Rückgrad mobiler Applikationen. Web-APIs als „Enabler“ im Diskurs des IoT. Web-APIs als zusätzlicher Vertriebskanal. Web-APIs als Datenquelle für Big Data. Web-APIs als Kollaborationsplattform für soziale Medien. Neben den primär wirtschaftlich geprägten Einflüssen existieren auch technologische Treiber, wie z.B. das Cloud-Computing, Agilitätsanforderungen im Software-Engineering oder aber die konkret eingesetzte Schnittstellentechnologie. Diesbezüglich findet sich der Einsatz von RESTful-, XML/SOAP-, JSON- oder auch programmiersprachspezifische Web-APIs, welche zumeist HTTP als Übertragungsprotokoll im Internet benutzen. API-Economy als eigenständiger Wirtschaftszweig Bekannte Beispiele für Web-APIs finden sich bei Amazon, PayPal, Google, Salesforce oder auch Twitter. Bei vielen dieser Anbieter übersteigen die täglichen API-Aufrufe die der klassischen Endnutzerportale bereits deutlich. Neben global existierenden Angeboten finden sich auch kleinere Unternehmen, wie z.B. die Immobilien Scout GmbH mit ihren Web-APIs (z.B. Exposeverwaltung, Geoinformation, Finanzierung) oder aber öffentliche Einrichtungen, wie z.B. die University of California mit hochschulspezifischen Web-APIs (z.B. Studentenverwaltung, Administration, Forschung). Verhältnismäßig selten sind unabhängige Serviceverzeichnisse wie z.B. ProgrammableWeb , die sich als Vermittler zwischen Anbie- ter und Konsumenten von Web-APIs verstehen. Die folgende Abbildung verdeutlicht grundlegende Aspekte eines derartigen Marktplatzes, wobei sowohl die entwicklungsseitige Serviceintegration als auch der spätere Servicebetrieb zu berücksichtigen sind. Entsprechend Gartner (vgl. [Seeger 2014]) finden sich bereits bei drei von vier Großunternehmen (Fortune 1000) korrespondierende Web-APIs zur Bereitstellung von Daten und Anwendungen. Auf dieser Grundlage soll die Zusammenarbeit mit Kunden, Zulieferern und Partnern vereinfacht, aber auch eine Reaktion auf veränderte Marktbedingungen effizienter gestaltet werden. Erfolgskriterium Qualität Die Bereitstellung erfolgreich eingesetzter Web-APIs erfordert die Berücksichtigung qualitativer Aspekte (u.a. Sicherheit, Funktionalität, Verfügbarkeit, Effizienz), wie diese z.B. in der ISO 25000 niedergelegt sind. In Abhängigkeit der erwarteten Anforderungen gilt es, Qualitätskriterien durch geeignete Design-Maßnahmen während der Entwicklung sicherzustellen, entstandene Web-APIs ggf. zu zertifizieren bzw. Qualitätsvereinbarungen vertraglich zu fixieren, aber auch den Nachweis durch entsprechende API-Tests zu ermöglichen. Da die Qualität einer Web-API sowohl durch die Entwickler- als auch die Betreiberseite determiniert ist, bedarf es einer Governance bzw. des Managements über den gesamten Lebenszyklus einer Web-API, wie dieses z.B. unter [Tang 2014] vorgeschlagen wird. Als besondere Herausforderung kann in diesem Zusammenhang auch die Einhaltung gesetzlicher Anforde- 17 Abbildung 1: Struktur eines Web-API Marktplatzes rungen des Datenschutzes gese-hen werden. Ggf. resultieren daraus Vorteile im Zusammenhang mit der Vertraulichkeit europäischer Web-APIs, aber auch Nachteile hinsichtlich der Kombinierbarkeit möglicher Datenquellen. In jedem Fall implizieren qualitativ minderwertige Web-APIs Risiken sowohl für die Anbieterseite (Geschäfts- und Vertrauensverlust) als auch für die Seite der API-Integratoren, da mit der Gesamtlösung die eigentliche Wertschöpfung für den Kunden verbunden ist. Angebotsstruktur für Entwickler muss verbessert werden Noch immer fällt es Entwicklern schwer, passfähige Serviceangebote im globalen Internet zu finden. Die primären Ursachen liegen in ungenügenden und vor allem uneinheitlichen API-Spezifikationen, einer unzureichenden Qualitätssicherung, unklaren Vertragsbedingungen und einer mangelhaften Integration in übergreifende API-Managementlösungen. Beim klassischen Weg einer Servicesuche über Suchmaschinen wie Google wird die Ergebnismenge oft durch bekannte Marktführer, wie z.B. Amazon, IBM oder auch Microsoft, dominiert. Dementsprechend bedarf es einer Liberalisierung von Verzeichnisdiensten für derartige Web-APIs, so dass auch kleinere Anbieter als Träger innovativer Lösungen berücksichtigt werden können. TERMINHINWEIS: Am 03. November 2015 findet in Leipzig der 10. BSOA/BCloudWorkshop statt, welcher u.a. durch den ASQF e.V. getragen wird und sich intensiv mit Bewertungs- und Qualitätsfragen der API economy auseinandersetzen wird. REFERENZEN [Seeger 2014] Seeger, H.: API-Economy - eine lohnende Herausforderung, in Compu-ter Woche, Nov. 2014 [Spencer 2015] Spencer, S.: The Service Oriented Business and how API‘s power the Service Oriented Startup, APIdays Sydney/ Australia, February 2015, URL: http://syd.apidays.io/APIdays_ program.pdf [Tang 2014] Tang, L.: API Governance and Management, Service Technology Maga-zine, September/October 2014 Andreas Schmietendorf arbeitet als Professor für Wirtschaftsinformatik an der HWR Berlin und als Privatdozent (Software-Engineering) an der OvG-Universität Magdeburg. André Nitze ist Doktorand an der OvGUniversität Magdeburg sowie wissenschaftlicher Mitarbeiter an der HWR Berlin und der Fachhochschule Brandenburg. Termine to go einfach aus Schulungen 2015 der Hef tmitt e heraus tren September bis Dezember 2015 Certified-Schulungen werden ausschließlich von akkreditierten Unternehmen durchgeführt. Das iSQI fungiert hier als Vermittler. Anmeldeformular und Preise unter www.isqi.org. nen Mehr als 100 weitere Termine finden Sie unter: www.isqi.org/de/schulungen-liste-op.html Schulungstitel/Seminartitel Ort Datum (Start) Dauer Anbieter ASQF® Certified Professional for Project Management ASQF Certified Professional for Project Management Köln 23.11.15 4 SQS ASQF® Certified Professional for Project Management München 08.12.15 4 Method Park Consulting GmbH ® CMAP Mobile App Testing CMAP Mobile App Testing - Foundation Level Frankfurt 01.10.15 2 Loyal Team GmbH CMAP Mobile App Testing - Foundation Level Braunschweig 05.10.15 2 BREDEX GmbH CMAP Mobile App Testing - Foundation Level Wien 07.10.15 2 ANECON CMAP Mobile App Testing - Foundation Level (EN) Berlin 07.10.15 2 Díaz & Hilterscheid GmbH CMAP Mobile App Testing - Foundation Level Stuttgart 19.10.15 2 CGI Deutschland Ltd. & Co. KG CMAP Mobile App Testing - Foundation Level München 09.11.15 2 Sogeti Deutschland GmbH CMAP Mobile App Testing - Foundation Level Braunschweig 30.11.15 2 BREDEX GmbH 3 Sogeti Deutschland GmbH CMAP Mobile App Test Automation CMAP Mobile App Test Automation München 11.11.15 iSQI®Certified Agile Business Analysis iSQI® Certified Agile Business Analysis iSQI Certified Agile Business Analysis (EN) ® Berlin 16.11.15 2 CGI Deutschland Ltd. & Co. KG Berlin 26.11.15 2 Díaz & Hilterscheid GmbH iSQI® Certified Agile Essentials iSQI® Certified Agile Essentials Berlin 05.11.15 2 Loyal Team GmbH iSQI® Certified Agile Essentials (EN) Berlin 23.11.15 2 Díaz & Hilterscheid GmbH iSQI® Certified Agile Essentials Erlangen 14.12.15 2 Method Park Consulting GmbH iSQI CAT Certified Agile Tester ® iSQI´s CAT Certified Agile Tester ® München 05.10.15 5 Sogeti Deutschland GmbH iSQI´s CAT Certified Agile Tester ® Wien 19.10.15 5 SQS iSQI´s CAT Certified Agile Tester ® Wien 09.11.15 4 Software Quality Lab GmbH iSQI´s CAT Certified Agile Tester ® Frankfurt 11.11.15 5 Loyal Team GmbH iSQI´s CAT Certified Agile Tester München 23.11.15 4 Software Quality Lab GmbH iSQI´s CAT Certified Agile Tester ® Berlin 07.12.15 5 Díaz & Hilterscheid GmbH iSQI´s CAT Certified Agile Tester ® Berlin 09.12.15 5 Loyal Team GmbH ® ISTQB® Certified Tester – Foundation Level Hannover 05.10.15 4 SQS ISTQB® Certified Tester – Foundation Level (EN) Wien 12.10.15 4 Software Quality Lab GmbH ISTQB Certified Tester – Foundation Level Stuttgart 19.10.15 4 Lysant GmbH ISTQB® Certified Tester – Foundation Level Düsseldorf 19.10.15 4 Sogeti Deutschland GmbH ISTQB® Certified Tester – Foundation Level München 20.10.15 3 Philotech Systementwicklung und Software GmbH ISTQB® Certified Tester – Foundation Level Köln 02.11.15 4 SQS ISTQB® Certified Tester – Foundation Level Röttenbach 09.11.15 3 sepp.med gmbh ISTQB Certified Tester – Foundation Level München 09.11.15 4 ISARTAL akademie GmbH ISTQB® Certified Tester – Foundation Level Wien 17.11.15 4 OBJENTIS ISTQB® Certified Tester – Foundation Level - Freitagsmodul Stuttgart 20.11.15 4 abilex GmbH ISTQB® Certified Tester – Foundation Level Bremen 23.11.15 3 Loyal Team GmbH ISTQB® Certified Tester – Foundation Level Cottbus 24.11.15 3 Philotech Systementwicklung und Software GmbH ISTQB Certified Tester – Foundation Level Wiesbaden 01.12.15 4 Muth Partners GmbH ISTQB® Certified Tester – Foundation Level Braunschweig 01.12.15 4 Muth Partners GmbH ISTQB® Certified Tester – Foundation Level - Kompaktmodul Stuttgart 08.12.15 4 abilex GmbH ISTQB® Certified Tester – Foundation Level (EN) Berlin 14.12.15 4 Díaz & Hilterscheid GmbH ® ® ® ISTQB® Certified Tester – Foundation Level Extension, Agile Tester ISTQB® Certified Tester – Foundation Level Extension, Agile Tester Wien 20.10.15 2 Software Quality Lab GmbH ISTQB® Certified Tester – Foundation Level Extension, Agile Tester Frankfurt 12.11.15 2 SQS ISTQB® Certified Tester – Foundation Level Extension, Agile Tester Köln 19.11.15 2 SQS ISTQB® Certified Tester – Foundation Level Extension, Agile Tester München 24.11.15 2 Software Quality Lab GmbH ISTQB® Certified Tester – Foundation Level Extension, Agile Tester Berlin 01.12.15 2 Díaz & Hilterscheid GmbH ISTQB® Certified Tester – Foundation Level Extension, Agile Tester Stuttgart 08.12.15 2 CGI Deutschland Ltd. & Co. KG STAND: August 2015 ISTQB® Certified Tester – Foundation Level ISTQB® Certified Tester – Advanced Level, Test Manager ISTQB Certified Tester – Advanced Level, Test Manager Hamburg 05.10.15 5 SQS ISTQB® Certified Tester – Advanced Level, Test Manager Wien 14.10.15 5 ANECON ISTQB® Certified Tester – Advanced Level, Test Manager Röttenbach 19.10.15 5 sepp.med gmbh ISTQB® Certified Tester – Advanced Level, Test Manager München 21.10.15 5 Loyal Team GmbH ISTQB® Certified Tester – Advanced Level, Test Manager Hamburg 02.11.15 5 CGI Deutschland Ltd. & Co. KG ISTQB Certified Tester – Advanced Level, Test Manager Stuttgart 09.11.15 5 Sogeti Deutschland GmbH ISTQB® Certified Tester – Advanced Level, Test Manager (EN) Berlin 16.11.15 5 Díaz & Hilterscheid GmbH ISTQB® Certified Tester – Advanced Level, Test Manager Wien 30.11.15 5 Software Quality Lab GmbH ISTQB® Certified Tester – Advanced Level, Test Manager München 30.11.15 5 Software Quality Lab GmbH ISTQB® Certified Tester – Advanced Level, Test Manager München 14.12.15 5 ISARTAL akademie GmbH ISTQB Certified Tester – Advanced Level, Test Manager Berlin 14.12.15 5 Díaz & Hilterscheid GmbH ISTQB® Certified Tester – Advanced Level, Test Manager Hamburg 14.12.15 5 SQS ® ® ® ISTQB® Certified Tester – Advanced Level, Test Analyst ISTQB® Certified Tester – Advanced Level, Test Analyst Stuttgart 19.10.15 4 CGI Deutschland Ltd. & Co. KG ISTQB® Certified Tester – Advanced Level, Test Analyst Wien 09.11.15 4 ANECON ISTQB® Certified Tester – Advanced Level, Test Analyst Wiesbaden 17.11.15 4 Muth Partners GmbH ISTQB Certified Tester – Advanced Level, Test Analyst Berlin 30.11.15 4 Díaz & Hilterscheid GmbH ISTQB® Certified Tester – Advanced Level, Test Analyst Frankfurt 14.12.15 4 SQS ® ISTQB® Certified Tester – Advanced Level, Technical Test Analyst ISTQB® Certified Tester – Advanced Level, Technical Test Analyst Erlangen 20.10.15 3 Method Park Consulting GmbH ISTQB® Certified Tester – Advanced Level, Technical Test Analyst Hamburg 23.11.15 3 CGI Deutschland Ltd. & Co. KG ISTQB Certified Tester – Advanced Level, Technical Test Analyst Hamburg 07.12.15 3 SQS ISTQB® Certified Tester – Advanced Level, Technical Test Analyst Linz 14.12.15 3 Software Quality Lab GmbH ISTQB® Certified Tester – Advanced Level, Technical Test Analyst Wien 14.12.15 3 Software Quality Lab GmbH ISTQB® Certified Tester – Advanced Level, Technical Test Analyst München 14.12.15 3 Software Quality Lab GmbH ISTQB® Certified Tester – Advanced Level, Technical Test Analyst Lustenau 14.12.15 3 Software Quality Lab GmbH ® iSQI Certified Model-Based Tester ® iSQI® Certified Model-Based Tester Röttenbach 06.10.15 2 sepp.med gmbh iSQI® Certified Model-Based Tester Frankfurt 08.10.15 2 Integrata / CGI Deutschland Ltd. & Co. KG 1 TBKconsult 3 anthares GmbH 3 anthares GmbH 2 Testing Technologies IST GmbH ISPMA® Certified Software Product Manager ISPMA SPM Excellence Level Strategic Management (EN) SPM Software Produkt Strategie nach ISPMA SPM Software Produkt Management Training Foundation Level nach ISPMA TTCN-3® Training "Theory and Practice of TTCN-3®" Kopenhagen 22.10.15 Köln 26.10.15 Frankfurt (Main) / 09.11.15 Kelsterbach ® TTCN-3 Testing and Test Control Notation Berlin 17.11.15 IREB® Certified Professional for Requirements Engineering (Foundation Level) IREB® Certified Professional for Requirements Engineering (Foundation Level) Nürnberg 05.10.15 3 SOPHIST IREB® Certified Professional for Requirements Engineering (Foundation Level) München 05.10.15 3 SQS IREB Certified Professional for Requirements Engineering (Foundation Level) München 07.10.15 3 Loyal Team GmbH IREB® Certified Professional for Requirements Engineering (Foundation Level) Berlin 13.10.15 3 microTOOL GmbH IREB® Certified Professional for Requirements Engineering (Foundation Level) Köln 14.10.15 3 Loyal Team GmbH IREB® Certified Professional for Requirements Engineering (Foundation Level) Frankfurt 02.11.15 3 SOPHIST IREB® Certified Professional for Requirements Engineering (Foundation Level) Frankenthal 09.11.15 3 EXCO GmbH IREB Certified Professional for Requirements Engineering (Foundation Level) Berlin 09.11.15 3 Díaz & Hilterscheid GmbH IREB® Certified Professional for Requirements Engineering (Foundation Level) Wien 16.11.15 3 Software Quality Lab GmbH IREB® Certified Professional for Requirements Engineering (Foundation Level) Wien 25.11.15 3 ANECON IREB® Certified Professional for Requirements Engineering (Foundation Level) Berlin 07.12.15 3 microTOOL GmbH ® ® IREB® Certified Professional for Requirements Engineering (Advanced Level) - Requirements Elicitation and Consolidation IREB® CPRE(Advanced Level) - Requirements Elicitation and Consolidation München 07.10.15 3 Loyal Team GmbH IREB CPRE(Advanced Level) - Requirements Elicitation and Consolidation München 12.10.15 3 SOPHIST IREB® CPRE(Advanced Level) - Requirements Elicitation and Consolidation Linz 20.10.15 3 Software Quality Lab GmbH IREB® CPRE(Advanced Level) - Requirements Elicitation and Consolidation Wien 20.10.15 2 Software Quality Lab GmbH ® IREB® CPRE(Advanced Level) - Requirements Elicitation and Consolidation Düsseldorf 04.11.15 3 SOPHIST IREB® CPRE (Advanced Level) - Requirements Elicitation and Consolidation München 16.11.15 3 ISARTAL akademie GmbH IREB® CPRE (Advanced Level) - Requirements Elicitation and Consolidation Frankfurt 23.11.15 3 SOPHIST IREB CPRE (Advanced Level) - Requirements Elicitation and Consolidation München 15.12.15 3 Software Quality Lab GmbH ® IREB® Certified Professional for Requirements Engineering (Advanced Level) - Requirements Modeling IREB® CPRE (Advanced Level) - Requirements Modeling Frankfurt 05.10.15 3 SOPHIST IREB® CPRE (Advanced Level) - Requirements Modeling Frankfurt 04.11.15 3 Loyal Team GmbH IREB® CPRE (Advanced Level) - Requirements Modeling Nürnberg 07.12.15 3 SOPHIST ICPMSB Certified Professional for Medical Software ICPMSB Certified Professional for Medical Software – Foundation Level Frankenthal 12.10.15 4 EXCO GmbH ICPMSB Certified Professional for Medical Software – Foundation Level Erlangen 01.12.15 4 Method Park Consulting GmbH iNTCCM Certified Professional for Configuration Management INTCCM Certified Professional for Configuration Management Köln 12.10.15 4 SQS UXQB® Certified Professional for Usability and User Experience Usability und User Experience gestalten Hamburg 09.11.15 3 oose Innovative Informatik eG ISSECO® Certified Professional for Secure Software Engineering ISSECO® Certified Professional for Secure Software Engineering Köln 05.10.15 3 SQS AGILE REQUIREMENTS ENGINEERING SECURIT Y MOBILE SOF T WA RE TESTING PROJECT MANAGEMENT USABILITY SPECIALISED Seminare 2015 September bis Dezember 2015 Das iSQI fungiert hier als Vermittler. Ausführliche Seminarbeschreibungen, Preise und Anmeldeformular: www.isqi.org Mehr als 100 weitere Termine finden Sie unter: www.isqi.org/de/seminare.html Seminartitel Ort Datum (Start) Dauer Anbieter Agile / Scrum Scrum Master Professional Wien 12.10.15 2 Software Quality Lab GmbH Agile Testing in a Nutshell Wien 13.10.15 1 ANECON Certified Agile Test Driven Development Requirements-Engineering & Scrum: Modern, flexibel und trotzdem systematisch entwickeln Scrum für Projektmitarbeiter Wien 13.10.15 3 ANECON Nürnberg 19.10.15 2 SOPHIST GmbH Berlin 26.10.15 1 Method Park Consulting GmbH Scrum Master Professional München 27.10.15 2 Software Quality Lab GmbH Scrum Master Professional München 16.12.15 2 Software Quality Lab GmbH Effiziente Testautomatisierung mit TTCN-3 Grundlagen und Anwendungen Erlangen 20.10.15 2 Fraunhofer Fokus TTCN-3 Training "Theory and Practice of TTCN-3" 17.11.15 2 Testing Technologies IST GmbH TTCN-3® Berlin Requirements Moderationstechnik im Requirements Engineering Wien 13.10.15 2 Software Quality Lab GmbH Moderationstechnik im Requirements Engineering München 27.10.15 2 Software Quality Lab GmbH Moderationstechnik im Requirements Engineering Requirements-Engineering in der Praxis: Anforderungen mit Prosa und Modellen clever erheben und dokumentieren Business Analyse – Wie Sie Geschäftsprozesse für alle Beteiligten besser abbilden Requirements Engineering und Management inkl. CPRE-Aufbaukurs Lustenau 27.10.15 2 Software Quality Lab GmbH Nürnberg 16.11.15 2 SOPHIST GmbH Nürnberg 18.11.15 2 SOPHIST GmbH Hamburg 07.12.15 5 oose Innovative Informatik eG Automotive Ludwigsburg" 09.11.15 5 Kugler Maag Cie GmbH Automotive SPICE – iNTACS™ zertifizierter Provisional Assessor München 07.12.15 5 Kugler Maag Cie GmbH Einführung in die Funktionale Sicherheit (Automotive - ISO 26262) Kornwestheim 12.10.15 2 Kugler Maag Cie GmbH Praxistaugliche Testkonzepte endlich optimal erstellen – Online Workshop online 01.09.15 Optimale Testprozesse gestalten – Online Workshop online 14.09.15 Die Montagstester – Online Workshop online 14.09.15 4 LiveSessions 3 LiveSessions 14 LiveSessions Test Basics Stuttgart 01.10.15 2 ® Test Maud Schlich, THE QUALITEERS Maud Schlich, THE QUALITEERS Maud Schlich, THE QUALITEERS Lysant GmbH STAND: August 2015 Automotive SPICE® – iNTACS™ zertifizierter Provisional Assessor Testen für Softwareentwickler mit Unit -Tests Linz 06.10.15 3 Software Quality Lab GmbH Testen für Softwareentwickler mit Unit -Tests Wien 06.10.15 3 Software Quality Lab GmbH Testen für Softwareentwickler mit Unit -Tests Graz 06.10.15 3 Software Quality Lab GmbH Testen für Softwareentwickler mit Unit -Tests München 20.10.15 3 Software Quality Lab GmbH Testen für Softwareentwickler mit Unit -Tests Lustenau 20.10.15 3 Software Quality Lab GmbH TMap NEXT® Test Manager (TMPTM) Düsseldorf 02.11.15 5 Sogeti Deutschland GmbH 360° Testautomatisierung Wien 18.11.15 2 ANECON GUI -Testautomatisierung in Theorie und Praxis Linz 02.12.15 2 Software Quality Lab GmbH GUI -Testautomatisierung in Theorie und Praxis Wien 02.12.15 2 Software Quality Lab GmbH GUI -Testautomatisierung in Theorie und Praxis Graz 02.12.15 2 Software Quality Lab GmbH GUI -Testautomatisierung in Theorie und Praxis München 15.12.15 2 Software Quality Lab GmbH 24.11.15 3 Anywhere.24 GmbH CMMI Einführung in CMMI für Services und Produktentwicklung (CMMI-SVC v1.3) Puchheim (bei München) ISO 26262 FMEDA Training München 09.11.15 2 EnCo Software GmbH FMEA, FMEDA, FTA Training Stuttgart 01.12.15 2 EnCo Software GmbH UML Embedded Architecture mit UML Stuttgart 01.10.15 2 Method Park Consulting GmbH Objektorientierte Analyse und Design mit UML inkl. UML-Zertifizierung OCUP2-F Hamburg 26.10.15 5 oose Innovative Informatik eG UML Basics für Fachbereichsmitarbeiter Wien 09.11.15 2 Software Quality Lab GmbH UML Basics für Fachbereichsmitarbeiter München 24.11.15 2 Software Quality Lab GmbH UML Basics für Fachbereichsmitarbeiter Lustenau 24.11.15 2 Software Quality Lab GmbH weitere Seminare Risikomanagement in Softwareprojekten Wien 05.10.15 1 Software Quality Lab GmbH Risikomanagement in Softwareprojekten München 12.10.15 1 Software Quality Lab GmbH Risikomanagement in Softwareprojekten Lustenau 12.10.15 1 Software Quality Lab GmbH Aufwandsschätzung in Softwareprojekten Graz 06.10.15 2 Software Quality Lab GmbH Aufwandsschätzung in Softwareprojekten München 21.10.15 3 Software Quality Lab GmbH Aufwandsschätzung in Softwareprojekten Lustenau 21.10.15 3 Software Quality Lab GmbH Software Craftsmanship Hamburg 03.11.15 4 oose Innovative Informatik eG Kanban verstehen und anwenden München 03.11.15 1 Software Quality Lab GmbH Kanban verstehen und anwenden Wien 03.11.15 1 Software Quality Lab GmbH Continuous Integration and Delivery Linz 04.11.15 2 Software Quality Lab GmbH Testen von Embedded Systems Erlangen 09.11.15 2 Method Park Consulting GmbH Funktionale Sicherheit – kompakt München 17.11.15 2 Software Quality Lab GmbH Continuous Integration and Delivery München 19.11.15 1 Software Quality Lab GmbH OMG Certified Systems Modeling Professional Hamburg 27.11.15 1 oose Innovative Informatik eG Reviews effizient moderieren – Präsenz Workshop Kirchheimbolanden 01.12.15 2 Maud Schlich, THE QUALITEERS Design Thinking erleben und begreifen Hamburg 08.12.15 3 oose Innovative Informatik eG Model - Based Testing Hands - On (MBT) Wien 01.12.15 2 Software Quality Lab GmbH Model - Based Testing Hands - On (MBT) Lustenau 10.12.15 2 Software Quality Lab GmbH Model - Based Testing Hands - On (MBT) München 10.12.15 2 Software Quality Lab GmbH AGILE / SCRUM TEST SOF T WA RE A RCHITEC T URE AUTOMOTIVE V-MODEL X T UML CMMI ISO 26262 WEITERE SEMINARE REQUIREMENTS T TCN-3® Zusätzliche Schulungs- und Seminartermine finden Sie auf www.isqi.org! Irrtümer, Termin- und Preisänderungen vorbehalten. Es gelten die allgemeinen Geschäfts- und Preisbedingungen des jeweiligen Veranstalters. Alle Themen auch als Inhouse-Angebot buchbar! iSQI GmbH | www.isqi.org Henkestr. 91, Haus 8, 3. OG 91052 Erlangen Tel.: + 49 9131 91910-0 Fax: + 49 9131 91910-10 Friedrich-Engels-Straße 24 14473 Potsdam Tel.: + 49 331 231810-0 Fax: + 49 331 231810-10 Ansprechpartner: Beatrice Michelis Trainings and Seminars Tel.: +49 331 231810-16 [email protected] SIE WOLLEN IHR SEMINAR AUCH IM NÄCHSTEN SQ-MAGAZIN BEWERBEN? Wir freuen uns über eine Nachricht. Bitte senden Sie uns Ihre Termine per E-Mail zu: [email protected] Best Practice Ausgabe 36 | September 2015 22 Requirements-Engineering in einem service-orientierten Umfeld Rainer Joppich Der Status Quo des RequirementsEngineering für klassische Systeme oder in klassischen Vorgehensweisen ist heute in Forschung, Lehre und Industrie hinlänglich bekannt. Die Tätigkeiten des RequirementsEngineering werden in Unternehmen und Projekten seit Jahren – meist angepasst an unterschiedliche Randbedingungen und Einflussfaktoren – erfolgreich um- und eingesetzt. Wie jedoch Requirements-Engineering in einem Service-orientierten Umfeld (einer SOA) durchzuführen ist, ist bislang kaum untersucht. RoSE (Requirements orientied Service Engeineering) ist das Ergebnis einer derartigen Untersuchung und zeigt Vorschläge und Denkanstöße zur Problemstellung auf. Es ist eine Sammlung von Methoden, Techniken und Vorgehensweisen für den Umgang mit Anforderungen in einem Serviceorientierten Umfeld. tischen Projekterfahrungen aus dem SOA-Umfeld in Einklang gebracht, erforscht und in der Praxisanwendung erprobt. Als wichtigster Betrachtungsgegenstand gilt der Service, an den Anforderungen gestellt werden sollen. Hierbei werden zwei Sichten auf einen Service unterschieden: die geschäftliche Sicht sowie die technische Sicht. RoSE definiert die Betrachtung eines Geschäftsservice sowie eines Technischen Service als Spezialisierungen des Begriffs Service. Technische Services realisieren Geschäftsservices. Neben dieser Unterscheidung wurden zusätzlich Anforderungen an Benutzungsoberflächen betrachtet. Bei Spezifikation und Design von Services in Service-orientierten Architekturen werden Oberflächen (GUIs) meist außen vor gelassen. Jedoch stellt sich dennoch die Frage, wo und wie die Anforderungen an die Benutzungsoberflächen spezifiziert werden. Denn Als ein Rahmenwerk beschreibt RoSE einen neuen methodischen Ansatz zur Beantwortung der beiden grundlegenden Fragestellungen: Ist das Requirements-Engineering in einer SOA-Landschaft ebenso durchzuführen wie für klassische IT-Systeme? Sind bekannte Techniken und Methoden des Requirements-Engineering in einer SOA genauso anzuwenden wie wir dies „klassisch“ kennen? Das Rahmenwerk macht Aussagen dazu, welche Aspekte hinsichtlich der vier Hauptaktivitäten des Requirements-Engineering (RE) in einer serviceorientierten Organisation zu beachten sind. Der Status Quo an theoretischen Grundlagen zu den Themen SOA und RE wurden mit prak- Abbildung 1: Übersicht RoSE-Gesamtkontext fehlen diese, gilt der Betrachtungsgegenstand als unterspezifiziert. RoSE legt hierzu eine GUI-Komponente fest, über die ein Geschäftsservice mit einem Technischen Service kommuniziert und die dem Benutzer in der Geschäftlichen Sicht der SOA Interaktionsmöglichkeiten zur Verfügung stellt. Verortet ist die GUI-Komponente im RoSE-Modell in der Technischen Sicht als zweite Einheit neben dem Technischen Service. Abbildung 1 zeigt die grundlegende Aufteilung von RoSE und deren Zusammenspiel. Ausgehend von diesen Festlegungen definiert RoSE eine Begriffswelt für relevante Begriffe der beiden Welten RE und SOA in Form eines Strukturmodells. Fragen zum RE werden hier Form von Basissichten beantwortet. 23 rements-Engineer zu Use-Cases sind der Übersichtlichkeit halber entfernt -> Requirements-Engineer besitzt Asso ziation zu jedem Use-Case). Diese Tätigkeiten verfeinert RoSE in Form von Aktivitätsdiagrammen, die Einzelschritte sowie deren Reihenfol ge und die Abhängigkeiten zwischen den Use-Cases näher beschreiben. Rainer Joppich ist seit 2001 als Berater und Trainer im Bereich Anforderungs- und Systemanalyse bei der SOPHIST GmbH tätig. Abbildung 2: Tätigkeiten des Requirements-Engineers in RoSE So etwa: Welche speziellen Stakeholder (Service-Architekt, Service-Kunde, Service-Nutzer, Service-Anbieter, Repository-Verantwortlicher, etc.) sind für die Ermittlung und Abstimmung von Anforderungen an Services notwendig? Frage: Welche Anforderungsarten (technologische, funktionale, Qualitätsanforderungen, etc.) werden für die Spezifikation eines Geschäftsservice, einer GUI-Komponente und eines Technischen Service benötigt und welche jeweils nicht? Welche Spezifikationsartefakte (fachliche Service-Beschreibung, Beschreibung GUI-Komponente, technische Servicebeschreibung) entstehen für Geschäftsservice, GUI-Komponente und Technischer Service und wie sind diese strukturiert? Weitere Erkenntnisse fördern Zuordnungssichten des RoSE-Strukturmodells zu Tage, die einzelne Basissichten miteinander in Beziehung setzen. Neben der Struktursicht, ist der zen trale Wert des Rahmenwerks die Be schreibung von Tätigkeiten des Re quirements-Engineers während der Haupttätigkeiten des REs, explizit spe zialisiert für Anforderungen an Services. Diese Tätigkeitsbeschreibungen liegen als Funktionsmodell vor. Ausgangspunkt ist ein Use-CaseDiagramm (siehe Abbildung 2), das die Tätigkeiten für das RE im SOA-Umfeld beschreibt (Assoziationen von Requi- Im Fokus Ausgabe 36 | September 2015 24 Software-ProduktManagement als strategischer Erfolgsfaktor SPM fungiert als unternehmerischer Treiber für Veränderungen in der SoftwareIndustrie und für Unternehmen aller Branchen auf dem Weg zur Digitalisierung Hans-Bernd Kittlaus Software-Lösungen – Applikationen, Middleware, Embedded Systems und andere − haben sich über die letzten 50 Jahre zu einem signifikanten Wirtschaftsfaktor entwickelt und die Software-Branche zu einer der wachstumsstärksten Industrien weltweit gemacht. Leider haben die Software-Unternehmen in den deutschsprachigen Ländern dabei – von einigen wenigen Global Playern wie SAP abgesehen – keine herausragende internationale Marktposition eingenommen. Durch „Digitalisierung”, „Industrie 4.0”, „Internet der Dinge” und viele andere technologische Entwicklungen wird Software für mehr und mehr Branchen zu einem Kernproduktbestandteil. Diese Entwicklung fordert in Unternehmen zu Erhaltung und Ausbau der Wettbewerbsfähigkeit neue Skills und Management-Prozesse − Industrie und Politik sind bereits alarmiert, dass die Zukunft der Unternehmen all dieser Branchen in zunehmendem Maße von ihren Fähigkeiten im SoftwareBereich abhängen wird [1]. Die aktuelle Dominanz der amerikanischen Software-Industrie beruht auf einer Vielzahl von unterschiedlichen Faktoren [2]. Einer davon ist die breite Nutzung des Konzepts Software-Produkt-Managements (SPM) und der Rolle des Software-ProduktManagers [3]. Dabei wird SPM als das Management von Software sowie dazugehörigen Dienstleistungen (“Whole Product”) über den kompletten Lebenszyklus des Produkts verstanden - mit der Zielsetzung eines nachhaltigen ökonomischen Erfolgs. Insbesondere für SPM besteht in den deutschsprachigen Ländern ein enormer Aufholbedarf, sowohl in der strategischen Ausrichtung als auch in der eigentlichen Ausgestaltung nach dem derzeitigen State of the Art. Die Umsetzung des SPM-Konzepts bringt nicht nur nachhaltige Vorteile für Anbieter von Software-Lösungen, sondern auch für software-intensive Produkte aller Branchen sowie für die Entwicklung von Applikationen in ITOrganisationen von Großunternehmen. Bei richtiger Implementierung ist SPM ein wichtiger Treiber für eine nachhaltige Veränderung in Unternehmen und ermöglicht ganz neue Chancen. ISPMA entwickelt Standards für Aus- und Weiterbildung im Software-Produkt-Management Die International Software Product Management Association (ISPMA) ist eine globale non-profit Organisation mit rund 450 Mitgliedern, die es sich um Ziel gesetzt hat, den Software-Produkt-Management-Ansatz gleichermaßen in Industrie, Wissenschaft und Politik weiterzuentwickeln und ein stärkeres Bewusstsein für dessen Bedeutung zu schaffen. Die Mitglieder des weltweiten Experten- netzwerks aus dem akademischen und industriellen Bereich bringen ihre Erkenntnisse, Forschungen und praktischen Erfahrungen in die Organisation ein und sorgen somit für die inhaltliche Weiterentwicklung und Aktualität. In den vergangenen Jahren entwickelte die ISPMA den Software Product Management Body of Knowledge (SPMBoK), um der sehr großen Aufgabenbreite des Software-Produkt-Managements eine klare Struktur zu geben und für die Praxis handbar zu machen. Das SPMBoK soll Organisationen wie auch Produktmanagern auf individueller Ebene helfen, ihre Fähigkeiten im Management von Software spürbar und nachhaltig zu verbessern. Es wird sowohl für die SPM-Ausbildung genutzt als auch als Basis für die Implementierung in Unternehmen verwendet. Die kontinuierliche Weiterentwicklung ist die Hauptaufgabe der ISPMA. Basis ist dabei das ISPMA SPM Reference Framework (Abb. 1, [4]), dessen horizontale Struktur (Spalten) auf den funktionalen Einheiten der Software-Organisation beruht. Neben dem Framework besteht das ISPMA SPMBoK aus verschiedenen Elementen, die als Lehrpläne dokumentiert sind. Zu jedem dieser Lehrpläne bieten Trainingsanbieter öffentliche und In-House-Trainings an. Außerdem gibt es jeweils eine Zertifizierung auf Basis einer unabhängigen Prüfung, die von akkreditierten Stellen durchgeführt werden. Weiterhin 25 werden Beratung und Coaching für konkrete individuelle Umsetzungen in Unternehmen angeboten. Nachdem bereits die Einführung des Foundation Levels auf eine breite Resonanz gestoßen ist, erweitert die ISPMA 2015/2016 ihr Angebot um weitere Lehrpläne und Zertifizierungen. Während das Foundation Level vor allem auf einen breiten Überblick über alle SPM-Aufgabenbereiche abzielt, setzen sich die neuen Module jeweils mit fortgeschrittenen Ansätzen zu strategischem Management, Produktstrategie, Produktplanung und der Orchestrierung der relevanten Unternehmensbereiche auseinander. Dabei wird großer Wert auf Fallstudien und Übungen gelegt. Die folgende Übersicht vermittelt einen Einblick in die Lehrinhalte: ISPMA SPM Excellence Level Strategic Management Das strategische Management befasst sich mit der Frage, wie ein Unternehmen Wettbewerbsvorteile erlangt und erhält. Diese Spalte im SPMFramework (Abbildung 1) steht für die Schnittstelle zwischen SPM und der Unternehmensführung, die für die genannten Themengebiete die Ver- antwortung trägt. Der Produktmanager trägt zu den Themen bei. Ein aus der Sicht des Produktmanagements besonders wichtiger Bestandteil ist das Portfolio-Management, bei dem es um die Allokation von Mitteln für bestehende und neue Produkte geht. Ebenso wichtig ist das Innovationsmanagement, das bewirken soll, dass kontinuierlich Innovationen in Produktentwicklungen einfließen. Bei der Markt- und Produkt-Analyse geht es darum, regelmäßig geeignete Daten als Entscheidungsbasis zu bekommen. ISPMA SPM Excellence Level Product Strategy Die Produktstrategie befasst sich damit, wie über den strategischen Zeitraum, der zwischen ein und fünf Jahren liegen kann, geschäftlicher Erfolg unter sich verändernden Rahmenbedingungen erzielt werden kann. Dazu reicht heute in vielen Bereichen kein rein analytischer Top-Down-Ansatz mehr aus, sondern parallel dazu bedarf es frühzeitiger Kundeneinbindung, um schnell Feedback zu erhalten und Anpassungen vorzunehmen. Der Business Model Canvas kann dabei als Hilfsmittel verwendet werden. Produktpositionierung und Produkt- Anonymisierung www.q-up-data.com definition beziehen sich auf die Produktvision und die Beschreibung der Zielmärkte, des Umfangs und Nutzens des Produkts [5]. Das Liefermodell beschreibt, in welcher Weise die Software bzw. die software-basierten Services zum Nutzer gelangen, zum Beispiel als Software-as-a-Service (SaaS). Dies hat weitreichende Folgen für die Rechtsbeziehungen, den Leistungsumfang (z.B. Hosting) und das Preismodell. Die Servicestrategie legt fest, welche Services in Verbindung mit dem Softwareprodukt in welcher Form angeboten werden. Sourcing betrifft die Fragen, ob und in welchen Bereichen Fremdprodukte und/oder externe Mitarbeiter (Offshoring) genutzt und integriert werden. Die ökonomische Verantwortung des Produktmanagers kommt in Business-Case-Analysen und dem Kostenmanagement sowie der Preisgestaltung zum Ausdruck. Das Ökosystem bestimmt, wie ein Unternehmen bzw. ein Produkt in eine Wertschöpfungskette bzw. ein Netzwerk aus Partnern eingebunden ist. Dies steht in Zusammenhang mit dem Geschäftsmodell und muss proaktiv gemanagt werden. Der Produktmanager sollte weiterhin ein Maßzahlsystem bestimmen, das die regelmäßige Bewertung der mit Q-up auf der sicheren Seite www.q-up-data.com Im Fokus Ausgabe 36 | September 2015 26 Abbildung 1: ISPMA Software Product Management Reference Framework V.1.2 (ISPMA 2014) wirtschaftlichen Performanz des Produkts und eventueller Risiken ermöglicht und anhand dessen adäquate Maßnahmen ergriffen werden können. Die rechtlichen Aspekte betreffen die Vertragsseite, also Lizenz- oder Servicevertrag sowie Dienstleistungsverträge für weitere Leistungen wie Wartung, Schulung u.ä., sowie den Schutz geistigen Eigentums durch Markenrechte, Geschäftsgeheimnisse, Copyrights und Patente. ISPMA SPM Excellence Level Product Planning Bei der Produktplanung geht es darum, wie Vision und Strategie in strukturierter und effizienter Weise umgesetzt werden können. Dazu werden experimentelle Ansätzen wie Customer Discovery, also das systematische Ausprobieren und Analysieren der Nutzerreaktion, in Verbindung mit analytischen Ansätzen genutzt, um fundierte Entscheidungen zu treffen, Veränderungen voranzutreiben und die Implementierung zu beschleunigen, wobei neue Ansätze auf der Entwicklungsseite wie DevOps und Continuous Development, Integration und Delivery als auch agile Ansätze helfen können. Das Management des Produktlebenszyklus bezieht sich auf Planung und Management eines Software-Produkts in den unterschiedlichen Phasen des Lebenszyklus von initialer Entwicklung und Markteinführung über die Wachstums- und Reifephasen bis zum Auslaufen und schließlich dem Zurückziehen vom Markt. Roadmapping betrifft die Planung der Evolution des Produkts während des strategischen Zeitraums. Die Roadmap ist das Bindeglied zwischen Produktstrategie und Produktplanung. Die ReleasePlanung befasst sich mit der Auswahl von Anforderungen, die im jeweiligen Release eines Produkts implementiert werden sollen. Dabei sind vielfältige, zum Teil einander widersprechende Ziele sowie Abhängigkeiten zu beachten. Beim Produktanforderungsmanagement werden Anforderungen an das Produkt aus unterschiedlichen Quellen gesammelt, analysiert und bewertet. Dies dient der Vorauswahl 27 und Vorbereitung der Release-Planung und ist vom Projekt-Anforderungsmanagement zu unterscheiden, bei dem es um Anforderungen an ein Entwicklungsprojekt geht. ISPMA SPM Excellence Level Orchestration Unabhängig von der Organisation des Unternehmens muss der SoftwareProduktmanager dafür Sorge tragen, dass alle funktionalen Einheiten von der Entwicklung über Marketing und Vertrieb bis zu Service und Support in bestmöglicher Weise zum Erfolg des Produkts beitragen. Gerade in größeren Unternehmen erfordert dies Verständnis für die jeweiligen Sichtweisen, zudem Konfliktbereitschaft, Verhandlungsgeschick und Durchsetzungsvermögen. Dazu werden im Training Rollenspiele eingesetzt. Auf der Webseite der International Software Product Management Association finden sich weiterführende Informationen zu den einzelnen Themenbereichen des SPM sowie Trainings- und Prüfungstermine. Das Management von Software über ihren Lebenszyklus mit wirtschaftlicher Zielsetzung wird für immer mehr Branchen zum strategischen Erfolgsfaktor. Die ISPMA-basierten Trainings sind ein exzellenter Weg, die Implementierung von SPM zu unterstützen und zu optimieren. Bei Interesse an der Mitarbeit oder Mitgliedschaft bei der ISPMA bzw. bei der ASQF SPM-Fachgruppe wenden Sie sich bitte an den Autor dieses Artikels, Hans Bernd Kittlaus: [email protected]. REFERENZEN [1] Peter Andén, Chandra Gnanasambandam, and Tobias Strålin: The Perils of Ignoring Software Development, McKinsey Quarterly Feb. 2015 [2] Scott Andes and Mark Muro: Software: America’s Hidden Manufacturing Advantage, Brookings Institution Advanced Industry Series no. 36, Feb. 2014 [3] Christof Ebert: The Impacts of Software Product Management, The Journal of Systems and Software 80 (2007), S. 850–861 [4] Samuel Fricker: Software Product Management, in A. Mädche, A. Botzenhardt, L. Neer (eds.): Software for People - Fundamentals, Trends, and Best Practices, Springer 2012 [5] Hans-Bernd Kittlaus and Peter C. Clough: Software Product Management and Pricing – Key Success Factors for All Software Organizations, Springer 2009 Hans-Bernd Kittlaus ist Vorstandsmitglied im ISPMA e.V. und Leiter der ASQF SPM Fachgruppe sowie Inhaber, Trainer, Berater, InnoTivum Consulting. ALLE INFOS DAZU FINDEN SIE AUF www.asqf.de/software-product-management.html Buchvorstellung Wie Business und IT in Unternehmen erfolgreich kooperieren Probleme zu identifizieren und zu verstehen, um daraus Anforderungen zu formulieren, das ist das Anliegen von Peter Hruschka, der in seinem aktuellen Fachbuch gleich mehrere Aspekte des Business Analysis und Requirements Engineering betrachtet. In dem vorliegenden Werk geht der Autor u.a. auf die effiziente Aufbau- und Ablauforganisationen im Unternehmen, Fragen der Produktentwicklung und Anforderungen in der IT-Abteilung ein, um ausgreifte Produkte und Systeme zu liefern. Peter Hruschka formuliert in seinem Buch einen integrierten Ansatz zum Umgang mit Anforderungen. Neben Methoden und Notationen stehen auch viele pragmatische Tipps zur Verfügung, mit denen Anforderungen effektiv zwischen Auftraggebern und Auftragnehmern behandelt werden können – Techniken zur Entdeckung, Dokumentation, Prüfung und Verwaltung. Über den Autor Peter Hruschka ist Partner der Atlantic Systems Guild (www.systemsguild. com), einer international renommierten Gruppe von Methodenberatern, Trainern und Buchautoren. Er ist auch Gründer des Netzwerks b-agile (www.b-agile. de). Seine Mission ist seit mehr als 35 Jahren der pragmatische Wissenstransfer von effektiveren und produktiveren Methoden zur Projektabwicklung. Er ist Gründungs- und Board-Mitglied der Vereine zur Zertifizierung von Requirements Engineers (IREB e.V.) und Softwarearchitekten (ISAQB e.V.). Peter Hruschka Business Analysis und Requirements Engineering Produkte und Prozesse nachhaltig verbessern 349 Seiten 34,99 EUR ISBN 978-3-446-43807-1 E-Book inside iSQI NEWS Aus dem iSQIKonferenzplaner Die iSQI GmbH ist auf qualifizierten und namhaften Veranstaltungen als Aussteller, Sponsor oder Co-Sponsor vertreten. Treffen Sie die gefragten Spezialisten des iSQI am Stand oder erhalten Sie in Vorträgen immer topaktuelle Informationen zu Möglichkeiten der Zertifizierung von (IT-)Fachkräften: 06. bis 09. September 2015 Fachmesse Mensch und Computer Stuttgart, Deutschland Prüfungs-Special: Am 08.09.2015, 11 Uhr, findet während der Messe eine öffentlich zugängliche Prüfung zum UXQB® CPUX-Foundation Level statt. Konferenzteilnehmer erhalten einen Vorzugspreis auf die Prüfungsgebühr. Alle Infos unter http://bit.ly/1JwEgDy 16. September 2015 ASQF Testing Day Franken Erlangen, Deutschland 15./16. September 2015 ASTQB Software Testing Conference Washington, DC, USA 28./29. September 2015 Mobile App Europe Potsdam, Deutschland 08. Oktober 2015 DREAM Dutch Req Engineering and Management Vianen, Niederlande 14. Oktober 2015 TestNet Nieuwegein, Niederlande 09. bis 12. November 2015 Agile Testing Day Potsdam Potsdam, Deutschland 17. November 2015 ASQF Digital Day Nürnberg, Deutschland 10. Dezember 2015 hub conference 2015 Berlin, Deutschland Ausgabe 36 | September 2015 28 Begabt statt behindert: Autisten als IT-Spezialisten Der Däne Thorkil Sonne hat vor elf Jahren die Firma Sepcialisterne, zu Deutsch die Spezialisten, gegründet. Sie will Autisten und Arbeitgeber zusammenbringen. Ziel ist es, mindestens eine Million Arbeitsplätze für Autisten zu schaffen. Das Unternehmen hat es sich zur Aufgabe gemacht, Autisten behutsam auf das Arbeitsleben vorzubereiten, ihre Schwächen und Stärken zu testen und Jobs für seine Spezialisten zu finden. Die vermeintlichen Schwächen der Autisten (hohe Detailverliebtheit, Null-Fehler-Toleranz und hartnäckiges Verfolgen einer Aufgabe) werden hier als besondere Begabung angesehen. Autisten liefern bei IT-Problemen oftmals andere Lösungsansätze. Das macht sie unter anderem für Unternehmen wie SAP besonders interessant. Der SoftwareHersteller beschäftigt bereits mehrere von Specialisterne vermittelte Fachkräfte. Der Blick für das Detail, ein fantastisches Erinnerungsvermögen und kein Problem mit der ständigen Wiederholung derselben Tätigkeit: all das wird beim Testen von Software benötigt und macht die Arbeit der Autisten so wertvoll und nützlich. Sepcialisterne unterhält ein weltweites Netzwerk zu gemeinnützigen Organisationen und Firmen. Als führendes Zertifizierungsinstitut für ITFachkräfte unterstützt das iSQI eine Kooperation des Spanish Software Testing Qualifications Board (SSTQB) und Specialisterne. Schützlinge des Unternehmens erhalten eine besondere Ermäßigung auf die Prüfungsgebühr für das ISTQB® Certified Tester −Foundation Level. Außerdem gelten für sie besondere Bedingungen bei der Prüfungsabnahme. Der Grundsatz einer unabhängigen Prüfung bleibt davon unberührt. „Die Arbeit von Specialisterne hat uns von Anfang an begeistert. Autismus als besondere Begabung und Bereicherung für die Arbeitswelt zu sehen, eröffnet völlig neue Perspektiven. Das Engagement der Spezialisten ermöglicht Menschen mit Autismus-Diagnose ein selbstbestimmtes Leben und hilft ihnen dabei, ihren Platz in der Mitte der Gesellschaft zu finden. Als Partner für lebenslanges Lernen wollten wir Specialisterne deshalb unbedingt unterstützen“, sagt iSQI-CEO Stephan Goericke. Die deutsche Niederlassung von Specialisterne wurde im März 2013 als gemeinnütziges Unternehmen mit Sitz in München gegründet. Sie kooperiert mit den Partnerorganisationen bfz gGmbH und gfi gGmbH (beides Organisationen unter dem Dachverband Bildungswerk der Bayerischen Wirtschaft e. V.), um Schulabgängern mit einer Autismus-Diagnose eine dreijährige Berufsausbildung zum Fachinformatiker für Anwendungsentwicklung zu ermöglichen. CAI und iSQI kooperieren zu IT-Weiterbildung und Zertifizierung Der US-amerikanische IT-Dienstleister Computer Aid Inc. (CAI) und das International Software Quality Institute (iSQI) gaben kürzlich ihre offizielle Zusammenarbeit in der Aus- und Weiterbildung von IT-Fachkräften bekannt. Das Ziel der Partnerschaft ist, Spezialwissen in der Informationstechnologie auszubauen und ein Prüfungsangebot für Fachkräfte nach international einheitlichen Standards weiter zu forcieren. Hierfür wurde ein spezielles Lernportfolio zusammengestellt, das auf neue IT-Lösungsansätze im Anforderungsmanagement, Support, in der Entwicklung von Software und kosteneffiziente Anwendungen ausgerichtet ist. 29 iSQI wiederholt erfolgreich zertifiziert Expertenaustausch auf dem German Testing Day iSQI-CEO Stephan Goericke und HR Director Monika Posch nahmen das Siegel für die Re-Zertifizierung entgegen. Im erfolgreich absolvierten Re-Zertifizierungsaudit wurde das Qualitätsmanagement des International Software Quality Institute (iSQI) einer umfassenden Prüfung unterzogen und erneut nach DIN EN 9001 zertifiziert. iSQI lebt ein prozessorientiertes Qualitätsmanagement, das auf ein Höchstmaß an Qualität und Kundenzufriedenheit ausgerichtet ist. Die Auf Tour in Südamerika Acht Städte und sieben Länder in drei Wochen: Für ihre gemeinsame Roadshow quer durch Südamerika haben sich das HASTQB and iSQI viel vorgenommen. Noch bis zum 4. September ist das Team unterwegs und stellt u.a. in Mexiko, Argentinien und Kolumbien die ISTQB®-Zertifizierungen (CTFL, CTAL und Agile Tester Extension) vor. Zusätzlich werden Fragen zu Weiterbildungsmöglichkeiten im Bereich Kundenorientierung ist ein wesentlicher Bestandteil der Unternehmensphilosophie und fest in den Leitsätzen verankert. Mit dem wiederholt bestätigten Zertifikat können Kunden und Partner des iSQI auch weiterhin auf die gleichbleibend hohe Qualität der iSQI-Produkte und -Dienstleistungen vertrauen. Requirements-Engineering inklusive der IREB® CPRE-Zertifizierungen erläutert. Ebenso im Fokus stehen iSQI’s Zertifizierungen zum Agile Testing (z.B. iSQI‘s CAT Certified Agile Tester®), CMAP-Zertifizierungen im Bereich Mobile App Testing und das neue UXQB® Certified Professional for Usability and User Experience. Mehr dazu im nächsten SQ-Magazin. Bis dahin berichtet iSQI-Mitarbeiter Kyle Alexander Siemens auf der iSQI-Facebook-Seite live vor Ort. www.facebook.com/iSQI.GmbH In diesem Jahr nahm das International Software Quality Institute wiederholt am German Testing Day teil. Auf der Konferenz Mitte Juli in Frankfurt am Main drehte sich alles um die Qualitätssicherung in der BusinessIT und darin eingebettete Systeme. iSQI-Key-Account-Managerin Britta Mühlenberg informierte über Zertifizierungsstandards im IT-Bereich und stand für Fragen rund um das Thema zur Verfügung. Gratulation zum 20-jährigen Bestehen Ronald Huster gratulierte in Namen des iSQI den dpunkt.verlag-Gründern Dr. Michael Barabas und Gerhard Rossbach. Ein Partner der ersten Stunde feierte Jubiläum! Der dpunkt.verlag beging Ende Juni sein 20-jähriges Bestehen. iSQI-Mitarbeiter Ronald Huster überbrachte im Namen des International Software Quality Institute die besten Wünschen an die beiden Gründer und Macher Dr. Michael Barabas und Gerhard Rossbach. Verlag und Institut verbindet eine jahrzehntelange fachliche Zusammenarbeit. Beide wollen auch künftig weiter eng zusammenarbeiten. Expertentipp Sicherheitsrisiko Software-Test Datenschutzrechtliche Anforderungen beim Testen mit Echtdaten Ausgabe 36 | September 2015 30 Andreas Jaspers, Christoph Knopp Datenschutzskandale gelangen immer öfter in die Schlagzeilen. Nicht zuletzt durch die medienwirksame Aufarbeitung sind mittlerweile viele Unternehmen für den allgemeinen Schutz ihrer Kundendaten sensibilisiert. Weitaus sorgloser scheinen die Unternehmen allerdings zu sein, wenn es um den Einsatz ihrer Kundendaten zu Testzwecken von neuer Software geht. Echtdaten werden hierbei oftmals unverändert und unverschlüsselt eingesetzt. „Das ist eine gängige, aber gefährliche und rechtswidrige Praxis“, warnt Andreas Jaspers von der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. Er beschäftigt sich seit Jahren mit dem Thema und weiß um die hohen Anforderungen, die der Gesetzgeber an den Datenschutz stellt. „Bei der Implementierung von IT-Systemen und Datenbanken werden personenbezogene Echtdaten oftmals ohne Beachtung des Datenschutzes zu Testzwecken verwendet“, kritisiert Rechtsanwalt Jaspers. Dabei kann die Missachtung des Datenschutzes erhebliche Konsequenzen für Mitarbeiter, Unternehmen und Geschäftsführung nach sich ziehen. Verstöße gegen das Datenschutzgesetz werden mit Bußgeldern bis zu 300.000 Euro und Strafen geahndet. Es stehen nicht nur die finanziellen Risiken, sondern auch der Ruf des Unternehmens auf dem Spiel. Datenschutzrisiken Im Allgemeinen haben wesentlich mehr Personen Zugriff auf Testsysteme als im regulären Betrieb, da dort verschiedenste Tests, auch mit anderer Software und anderen Daten, durchgeführt werden. Der Zugriff von unberechtigten Personen kann somit nicht ausgeschlossen werden und birgt dementsprechende Miss- 31 brauchsgefahren. Weiterhin kann die Datensicherheit durch die Verwendung unterschiedlicher Softwarestände gefährdet werden, da mit der Anzahl der von Testversionen auch die Anzahl eventueller Fehlerquellen steigt. Fehlende Backups stellen ein zusätzliches Risiko dar. Werden sie nicht im erforderlichen Maße durchgeführt, können versehentlich veränderte Daten nicht mehr rekonstruiert werden. Ein weiteres Missbrauchsrisiko besteht in der Versendung der Daten an Dritte zur Fehleranalyse, die den Kreis der Datennutzer noch einmal wesentlich erweitert – und damit die Risiken gravierend erhöht. Enger Rahmen des Datenschutzrechts Personenbezogene Daten dürfen nach dem Bundesdatenschutzgesetz (BDSG) grundsätzlich nur zweckgebunden, d.h. nur für die Zwecke genutzt werden, für die sie erhoben wurden. Die Nutzung der Daten ist also nur für die Erfüllung der jeweiligen Vertragszwecke gestattet, z.B. eines Kauf- oder Arbeitsvertrages. Der Nutzung von Echtdaten für Testzwecke stellt eine Zweckänderung dar. Ausnahmsweise ist auch eine zweckändernde Nutzung zulässig. Diese ist nach der Vorgabe des BDSG nur dann zulässig, wenn dies zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist, zudem kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Nutzung überwiegt. Im Rahmen dieser Interessenabwägung ist bereits zweifelhaft, ob die Nutzung von personenbezogenen Echtdaten zu Testzwecken erforderlich ist. Eine solche Erforderlichkeit ist zu verneinen, wenn auch ohne Echtdaten in geeigneter Weise getestet werden kann durch Anonymisierung, Pseudonymisierung oder Synthetisierung mittels geeigneter SoftwareLösungen. Bei der Beurteilung entgegenstehender Betroffeneninteressen ist neben den vorgenannten Datenschutzrisiken zu prüfen, welche Sensibilität die zum Test vorgesehenen Datenkategorien haben. So sind reine Basisdaten Abbildung 1: Die sieben Säulen des Bundesdatenschutzgesetzes (BDSG). Abbildung 2: Die 8 Gebote der Datensicherheit (BDSG §9 und Anlage). (Name, Adresse) in der Regel weniger sensibel als detaillierte Kundeninformationen, wie gekaufte Artikel, Zahlungsrückstände etc. Im Rahmen der Interessenabwägung ist zusätzlich zu berücksichtigen, wer den Test durchführt. Ist es das Unternehmen selber oder ein Dienstleister? Wenn ein Dienstleister den Test durchführt, ist dessen Datenschutz- und Datensicherheitskonzept zu prüfen. Das BDSG fordert vor der Vergabe des Dienstleistungsauftrags im Rahmen der sogenannten Auftragsdatenverarbeitung die Kontrolle der technischen und organisatorischen Maßnahmen zum Datenschutz des Dienstleisters. Besonders problematisch ist der Einsatz von Dienstleistern außerhalb der EU. Hier gelten die komplexen Datenschutzanforderungen für den Drittlandtransfer. Verwendung besonders sensible personenbezogene Daten Das Bundesdatenschutzgesetz (BSDG) lässt die Verarbeitung besonders sensibler personenbezogenen Daten nur unter sehr strengen Voraussetzungen zu. Betroffen sind Daten über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben. Diese Daten finden sich regelmäßig in Personalinformationssystemen, aber auch im Versicherungs- und Bankenbereich. Deren Verarbeitung kann nicht auf eine Interessenabwägung gestützt werden. Expertentipp Damit ist die Nutzung jedenfalls für Funktionstests ausgeschlossen. Datenvermeidung und Datensparsamkeit Das BDSG fordert als grundlegendes Prinzip des Datenschutzes die Datenvermeidung und Datensparsamkeit. Die Verarbeitung personenbezogener Daten und die Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich – so der Wortlaut des BDSG – an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Personenbezogene Daten sind zu anonymisieren bzw. pseudonymisieren, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Klassisches Anwendungsszenarium dieser Norm sind Funktions- und Programmtests. Die Beachtung des Prinzips der Datenvermeidung drängt die Frage nach geeigneten Software-Lösungen auf, mit der sich die Nutzung von Testdaten vermeiden lässt. Datensicherheit muss gewahrt werden Neben den mit Blick auf die Nutzung von Testdaten restriktiven Zulässigkeitsrahmen macht das BSDG auch Vorgaben zum technischen und organisatorischen Datenschutz, die auch das Testen von Software und Systemen betreffen. Nach der Anlage zu § 9 BDSG haben Unternehmen unter anderem zu gewährleisten, dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle) sowie personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle). Damit fordern die technischen und organisatorischen Maßnahmen des § 9 BDSG eine Trennung von Produktiv- und Testsystem. Ausgabe 36 | September 2015 32 Quick-Check: Datenschutz Frage Ja Wurden im Vorfeld ausgiebige Tests ohne Echtdaten durchgeführt? Werden die Echtdaten nur im Rahmen zusätzlicher, minimierter Tests verwendet und finden diese nur in einer definierten und kontrollierten Umgebung statt? Es existiert keine bereichsspezifische Rechtsvorschrift, die den Test mit Echtdaten ausdrücklich untersagt? Liegen Fehler aus dem Produktionsbetrieb vor, die sich ohne Echtdaten nicht aufklären lassen? Wäre die Anonymisierung der Echtdaten mit unvertretbar hohem Aufwand verbunden? Hat die verantwortliche Stelle dem Test mit Echtdaten schriftlich zugestimmt (Geschäftsleitung)? Wurde vorab der betriebliche oder behördliche Datenschutzbeauftragte informiert? Wird bei der Durchführung und Auswertung der Tests die schutzwürdigen Belange der Betroffenen und die Datensicherheit berücksichtigt? Haben nur solche Personen auf die Echtdaten Zugriff, welche auch für die Fehlerbehebung und Durchführung der Test erforderlich sind? Unterliegen diese Personen den jeweils maßgebenden Vertraulichkeitsgrundsätzen und insbesondere datenschutzrechtlichen Vorschriften? Wurde der Zugriff auf die Echtdaten protokolliert und die Verwendung mit Anlass, Begründung, Umfang und Dauer, die getroffenen Sicherheitsmaßnahmen sowie die vorangegangen Test mit Testdaten revisionssicher dokumentiert? Sind die Kurzfassungen eines IT-Konzeptes sowie ein auf die Testbedingungen angepasstes Sicherheitskonzept vorhanden? Halten Sie den Datenschutz ein? Können Sie bis zu zwei Punkte nicht mit „Ja“ beantworten, sollten Sie diese mit einem Datenschutzexperten abklären. Sollten Sie mehr als zwei Punkte nicht erfüllen können, besteht in jedem Fall akuter Handlungsbedarf. „Das Testen im Live-Betrieb kann deshalb keine Lösung sein. Als Konsequenzen für den Testbetrieb muss der Einsatz von personenbezogenen Echtdaten auch unter dem Gesichtspunkt der Datensicherheit als grundsätzlich unzulässig beurteilt werden, da er nicht nur eine Zweckdurchbrechung darstellt, sondern auch die Integrität und die Vertraulichkeit der Daten gefährdet“, stellt Rechtsanwalt Andreas Jaspers fest. Ausnahmen beim Datenschutz seien nur zulässig und begründet, wenn z.B. das System eine solche Komplexität aufweise, dass ohne Echtdaten nicht aussagekräftig getestet 33 werden könne. „Allerdings sind hier immer die Möglichkeiten moderner Software-Lösungen zur Anonymisierung, Pseudonymisierung oder Erzeugung synthetischer Testdaten zu berücksichtigen“, schränkt Jaspers ein. Orientierungshilfe zum Datenschutz in Projekten Als Orientierungshilfe zum Thema hat die Bundesbeauftragte für den Datenschutz und die Informationssicherheit den Leitfaden „Datenschutz und Datensicherheit in Projekten“ [1] herausgegeben. Darin wird eine Differenzierung zwischen Projekt- und Produktivbetrieb gefordert. Für den Projektbetrieb sollen bei Funktionsund Integrationstests grundsätzliche keine personenbezogenen Echtdaten genutzt werden dürfen. Zudem wird die Kurzfassung eines IT-Konzepts sowie ein auf die Testbedingungen angepasstes Sicherheitskonzept verlangt. Auch für den Produktivbetrieb wird ein Sicherheitskonzept gefordert. Notwendige Tests mit Echtdaten sollten sich auf Daten von Personen beschränken, die für das Verfahren verantwortlich oder Mitarbeiter des Projekts sind und diesen Tests zugestimmt haben. Zudem wird die Freigabe für den Produktivbetrieb durch die Unternehmensleitung gefordert, wohl um die datenschutzrechtliche Verantwortlichkeit zu unterstreichen. Datenschutzverstöße können teuer werden! Datenschutzverstöße können ein Einschreiten der Datenschutz-Aufsichtsbehörden zur Folge haben. Diese können Bußgelder bis zu 300.000 Euro verhängen sowie Auflagen für die System – und Programmtests erteilen. Datenverluste können zudem Strafbewährungen erfüllen wie die Verletzung von Amts-, Berufs- und Privatgeheimnissen, die Verletzung des Post- oder Fernmeldegeheimnisses oder Verrat von Geschäfts- und Betriebsgeheimnissen. Bei Verlusten von sensiblen Daten oder Daten zu Kredit und Bankkonten auf Grund sicherheitstechnisch unzulänglicher System- und Programmtests sind nach einer Risikobeurteilung zudem auch die Aufsichtsbehörden und die Betroffenen hiervon zu informieren. Der Imageverlust des Unternehmens ist dabei sicherlich der größte Schaden. Quick-Check Datenschutz: Echtdaten im Software-Test Nutzt Ihr Unternehmen Echtdaten im Softwaretest, ohne diese zu anonymisieren oder pseudonymisieren? Falls ja, dann hilft Ihnen die Checkliste (Seite 32) dabei festzustellen, ob Sie den Datenschutz einhalten. Sie wurde von der GFB EDV Consulting and Services GmbH in Zusammenarbeit mit der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. erstellt. Bei einem bis zwei offenen Punkten sollten Sie diese mit einem Datenschutzexperten abklären. Sollten Sie mehrere Punkte nicht erfüllen können, besteht akuter Handlungsbedarf. QUELLEN: [1] http://www.bfdi.bund.de/DE/Infothek/Orientierungshilfen/Artikel/OH_Projekt-Produktivbetrieb.pdf;jsessioni d=F085E704EABFA1758F43D8523E52D0C6.1_cid329?_ _ blob=publicationFile&v= + So machen Sie es richtig. Andreas Jaspers zeigt anhand von Praxisfällen mögliche Lösungswege auf. + Andreas Jaspers ist (Rechtsanwalt) Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. Christoph Knopp arbeitet als Senior Consultant und Testdatenanalyst in der Qualitätssicherung bei der GFB EDV Consulting und Services GmbH. „Bei der Implementierung von IT-Systemen und Datenbanken werden personenbezogene Echtdaten oftmals ohne Beachtung des Datenschutzes zu Testzwecken verwendet“ Rechstanwalt Andreas Jaspers Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. Quiz Impressum Sudoku 9 4 3 1 4 7 8 9 Die Lösung des letzten Sudokus HERAUSGEBER lautete FLIPFLOPS. ASQF e.V. Die Gewinner dürfen sich über das 7 Buch „APM – Agiles Projektmanagement“ von Uwe Vigenschow, 8 2 1 9 8 3 3 4 4 4 8 Flache, Ingolstadt // Sylvia Kunath, 6 9 1 5 8 6 3 7 1 5 [email protected], www.asqf.de Tel +49 331 231810-0 Fax +49 331 231810-10 [email protected], www.sq-magazin.de Facton GmbH, Dresden // Stefan Luik, REDAKTION Pilz GmbH & Co. KG, Ostfildern // V.i.S.d.P.: Frank Hemmer, Bruchmühlbach- 2 +49 9131 91910-10 Friedrich-Engels-Str. 24, 14473 Potsdam Diana Anna Gilka, Berlin // Denis 9 +49 9131 91910-0 Fax erschienen im dpunkt.verlag, freuen. Die Gewinner aus Heft 35 sind: 5 Henkestraße 91, 91052 Erlangen Tel Miesau 4 Stephan Goericke (Hauptgeschäftsführer) Chefredaktion: Christin Senftleben Redaktionsteam: Julia Schirmer Isabel von Gustedt Felix Winter 7 5 SATZ / LAYOUT Frenkelson Werbeagentur, Potsdam Buchstaben: 1=A, 2=Y, 3=M, 4=L, 5=R, 6=F, 7=C, 8=Y, 9=T www.frenkelson.de LÖSUNGSWORT FOTOS: ASQF e.V. und iSQI GmbH Titelbild: free vector-computer-cloudcomputing-concept S.12 © shutterstock_rangizzz S.29 © shutterstock_science photo Mitmachen und gewinnen! In diesem Buch berichten agile Experten aus ihrem Projektalltag. Von kleinen bis zu großen Projekten, von Start-ups bis zur klassischen Organisation finden sich alle Entwicklungskontexte wieder. Beschrieben werden unter anderem Projekte zu schneller Auslieferung, zur Qualitätsverbesserung und zur Schaffung von Transparenz – auch aus speziellen Bereichen wie Portfoliomanagement, E-Commerce und agile Organisation. Alle Portraits und Grafiken mit freundlicher Senden Sie bis zum 4. November das Lösungswort des Gewinnspiels an [email protected] und gewinnen Sie eines von fünf Büchern (Henning Wolf (Hrsg.) Agile Projekte mit Scrum, XP und Kanban). INTERNETAUSGABE: www.sq-magazin.de *Der Rechtsweg ist wie immer ausgeschlossen. Die Mitarbeiter der iSQI GmbH und des ASQF e.V. sowie sämtliche am Gewinnspiel beteiligten Personen sind von der Teilnahme ausgeschlossen. Teilnehmer erklären sich mit der Veröffentlichung Ihres Namens in der Folgeausgabe einverstanden. Genehmigung der Autoren. DRUCK: PRINTEC OFFSET, Kassel DRUCKAUFLAGE: 4.000 Stück MEDIADATEN Gern senden wir Ihnen unsere Mediadaten zu. Richten Sie Ihre Anfrage an [email protected] Haben Sie Anregungen zu den Inhalten des SQ-Magazins, dann schreiben Sie an: [email protected] № 37 erscheint im Dezember 2015 SQ № 37 // Thema: BIG DATA - Wem nützt der Datenberg? // Anzeigenschluss: 16.10.2015 // Redaktionsschluss: 09.10.2015 BIG DATA - Wem nützt der Datenberg? Datenberge an sich schaffen keinen Nutzen. Es geht um ihren Informationsgehalt. Neben den wichtigen Fragen zu Security und Co. stehen deshalb vor allem Anwendungen und die optimale Nutzung rund um BIG Data im Fokus der nächsten SQ-Ausgabe. Namentlich gekennzeichnete Beiträge müssen nicht mit der Meinung der Redaktion übereinstimmen. Die Redaktion behält sich das Recht auf sinngerechte Kürzung und Bearbeitung eingereichter Manuskripte vor. Wir machen darauf aufmerksam, dass Daten nicht an Dritte weitergegeben und ausschließlich zur internen Auswertung herangezogen werden können. Quiz Fachgruppentermine: September bis November 2015 35 03.09.2015: FG Requirements Engineering, Lüdenscheid Referent: Michael Engler Zusammenspiel von Usability Engineering und Requirements Engineering 03.09.2015: FG Software-Test NRW, Düsseldof Referent: Marcel Sporket, Capgemini Testmanagement mit Indien, ein Erfahrungsbericht Was erzählt uns die Literatur, was kann ich davon wirklich anwenden? SEPTEMBER SEPTEMBER 2015 KW 08.09.2015: FG Software Test Sachsen, Dresden Thema 1: Anonymisierung – Vom Projekt bis zum Service Thema 2: Testdatenmanagement Referent 1: Dr. Andreas Lang, T-Systems Multimedia Solutions GmbH Referent 2: Silvio Glöckner, T-Systems Multimedia Solutions GmbH 15.09.2015: FG Projektmanagement NRW / 16.09.2015: 4. TESTING DAY Franken, Erlangen Ganztagesveranstaltung 17.09.2015: FG Agilität, Baden-Württemberg Referent: Dipl. Ing. Frank Sazama 17.09.2015: FG Software-Test, Baden-Württemberg „Catch the Bug“ Referent: Ronald Heimberg, QA Systems GmbH 22.09.2015: Safety & Security Day Rhein-Main, Flörsheim Ganztagesveranstaltung 22.09.2015: FG Projektmanagement, Franken Referenten: Gisela Sattler-Dzierza und Torsten Pistor, Einfach Stimmig 30.09.2015: FG Agilität, Berlin-Brandenburg Referent: Konrad Pogorzala, agile24 05.10.2015: FG Automotive, Baden-Württemberg Funktionale Sicherheit und IT-Sicherheit- Gemeinsamkeiten, Unterschiede und integrierte Lösungen Referent: Dr. Ing. Dominique Kiefner, ICS AG 08.10.2015: 2. Mobile Quality Night Vienna presented by Testplus, Wien Abendveranstaltung Mo 36 Di Mi Do Fr Sa 1 2 3 4 5 So 6 37 7 8 9 10 11 12 13 38 14 15 16 17 18 19 20 39 21 22 13 24 25 26 27 40 28 29 30 KW Mo Di So Sourcing: Freelancer vs. Festangestellter, Vor- und Nachteile aus der jeweiligen Sicht The next big thing !? - Testen in Zeiten von agile, mobile & cloud Agilität unterstützt das „Lernen für die Zukunft“ Integration von Security Anforderungen in die sicherheitsrelevante embedded Entwicklung verschiedenster Industriebranchen Viel argumentiert und doch nicht überzeugt? Was schon Charlie Brown über die Präsenz im Projekt wusste. OKTOBER Defined vs. Empirical vs. Statistical process control Meet the mobile Experts 08.10.2015: FG Software-Test, Schwaben Referent: Prof. Erich H. Franke, AFUSOFT Kommunikationstechnik 22.10.2015: FG Requirements Engineering, Franken Referent: Carsten Braess, Whiteblue Consulting 04.11.2015: FG Software-Test, Sachsen Vorankündigung 17.11.2015: ASQF DIGITAL DAY Ganztagesveranstaltung 17.11.2015: FG Projektmanagement, Franken Vorankündigung 19.11.2015: FG Requirements Engineering, Franken Vorankündigung Gewinnen, Übertragen und Auswerten von Testdaten in hochmobilen Szenarien NOVEMBER Schwarzer Peter spielen mit Anforderungen OKTOBER 2015 Mi 40 Do Fr Sa 1 2 3 4 41 5 6 7 8 9 10 11 42 12 13 14 15 16 17 18 43 19 20 21 22 23 24 25 44 26 27 28 29 30 31 KW Mo Di Mi Do Fr Sa 45 2 3 4 5 6 7 8 46 9 10 11 12 13 14 15 47 16 17 18 19 20 21 22 48 23 24 25 26 27 28 29 49 30 NOVEMBER 2015 44 Die Qualität der Digitalen Evolution Alle Termine und Anmeldung unter: https://www.asqf.de/veranstaltungen-termine-rund-um-den-asqf.html So 1 Die hub conference bringt disruptive Trends, smarte Technologien und ihre Macher nach Berlin. Global Player und Start-ups, CEOs und CIOs, Wissenschaft und Politik vernetzen sich und gestalten die digitale Zukunft. Die rund 1.800 Teilnehmer erwarten: 130+ Sprecher • 300+ Start-ups • 30+ Partner 3 Bühnen, 2 Workshop Areas Join #hub15 – plug into the digital future: www.hub.berlin German Testing Board www.german-testing-board.info › Schnelles Feedback für agile Teams! Mit der neuen ISTQB® Ausbildung zum Agile Tester Informieren Sie sich jetzt über den neuen ISTQB® Foundation Level Extension Syllabus Agile Tester: www.german-testing-board.info Unsere Premium Partner: ALTRAN GmbH & Co. KG Atos Information Technology GmbH Berner & Mattner Systemtechnik GmbH CGI Deutschland Ltd. & Co. KG Cognizant Technology Solutions GmbH EXCO GmbH GQ-Solutions imbus AG ISARTAL akademie GmbH Knowledge Department GmbH Loyal Team GmbH Lysant GmbH Method Park Consulting GmbH PHILOTECH Systementwicklung und Software GmbH sepp.med gmbh Software Quality Lab GmbH Sogeti Deutschland GmbH T-Systems International GmbH Unsere Zertifizierungsstellen: Cert-IT GmbH gasq Service GmbH iSQI GmbH