Es sind ja des Öfteren mal Aufzüge defekt im Hauptbahnhof.
In diesem Fall hängt meist ein kleiner Zettel an der Tür, der die Fahrgäste informiert, dass hier technische Störungen beseitigt werden (selbst, wenn dies gar nicht der Fall ist) und das Personal jederzeit kontaktiert werden kann, da es im Gebäude ist (eine Personenbeschreibung wurde leider vergessen).
Die Zettel sind nicht nur äußerst mickrig, sie werden auch gerne mal einfach so abgerissen.
Da hilft es auch nicht, zwei Stück davon, einen an der Tür, den anderen direkt auf dem Rufknopf, anzubringen.
30% der Fahrgäste betätigen zum Rufen des Aufzugs ohnehin den sich praktischerweise direkt daneben befindenden “Touchpoint”. Und wundern sich, wenn nichts passiert.

Es gibt da auch noch das rote Warnsignal, welches unterm Rufknopf leuchtet, wenn der Aufzug außer Betrieb ist. Aus mehreren Metern Entfernung erkennbar, aber was nützt das jemandem, der nicht weiß, was soll es bedeuten…?

Da stehen dann also gerne mal ahnungslose Fahrgäste vor einem defekten Aufzug, und warten mitunter 10-15 Minuten unter sich anstauendem Frust auf den Aufzug, der nicht erscheint, der sich nicht einmal bewegt. Das fällt natürlich nicht auf, während der Blutdruck steigt und sich Panik ob eines eventuell verpassten Zuges im Fahrgast breit macht, genausowenig wie auffällt, dass es (zumindest für die Gleise 3-6 sowie 11-16) mindestens noch einen weiteren funktionierenden Aufzug sowie zahlreiche Rolltreppen gibt.
Stattdessen wird auf den Knopf gehauen, oder eben auf den “Touchpoint”.

(Und wir vernachlässigen hierbei jetzt mal all diejenigen Bahnhofsbesucher, die überhaupt nicht oder lediglich mit kleinen s.Oliver-Tütchen bepackt, gut zu Fuß und nicht in Eile sind und deshalb nur aus Faulheit oder zum Spaß unbedingt Aufzug fahren wollen! Die stellen gut 65% des täglich zu beobachtenden Aufzugdramas und sind in der Regel die Schlimmsten, die auch bei funktionierenden Aufzügen schon nach 5 Sekunden die Geduld verlieren und entweder hysterisch werden oder sich doch plötzlich der Rolltreppen bewusst… Zu solchen Kandidaten an anderer Stelle mehr.)

Ich möchte nicht wissen, wieviele Leute aufgrund schlichter Desinformation in einer solchen Lage schon ihren Zug verpasst haben.
Irgendwann muss das wohl auch bis zu “DB Station&Service” durchgedrungen sein.
Denn seit kurzem gibt es eine gar wunderbare Innovation, und idealerweise ist gerade mal wieder ein Aufzug defekt, an dem sie sich einwandfrei vorführen lässt:

Das ist nun wirklich unübersehbar! Übrigens auch für Blinde – das neue Hinweisschild verfügt sogar über Braille-Schrift.
Und warum hat das jetzt 3 Jahre gedauert?

Wenn jetzt noch ein Hinweis erfolgt, dass der Touch Point in einem solchen Fall nicht weiter hilft, und dass es noch weitere Aufzüge und Rolltreppen im Bahnhof gibt…
Dann wäre der Berliner Hauptbahnhof nicht nur barrierefrei, sondern auch fast idiotensicher.
Obwohl, es fehlt dazu noch eine allgemeine Anleitung, wie man Aufzüge und Rolltreppen benutzt. Die wenigsten Leute können sich das selbst denken, so lehren uns unsere täglichen Beobachtungen. Armes Deutschland.

4Family CASUAL Shoulder Bag

Das Leben genießen und Spaß haben ist voll im Trend werdender Mütter, die nach Selbstverwirklichung streben, Individualität leben, aus einer Vielfalt an Lebensstilen wählen, um ihrer Persönlichkeit Nachdruck zu verleihen. Mit LÄSSIG wird ihrem Wunsch Rechnung getragen, denn das Unternehmen produziert nicht nur Wickeltaschen, sondern ganze Kollektionen, die typgerecht Esprit vermitteln, Funktionalität offerieren und vor allem auch noch modisch aussehen.

Bei LÄSSIG sind Wickeltaschen nicht gleich Wickeltaschen.

Bei genauerem Betrachten der neuen Kollektionen und den dazugehörenden, unterschiedlichen Modellen, in verschiedenen Farbgebungen mit diversen Mustern und Formen erhältlich, können sich Frauen nur schwer entscheiden. Das Angebot ist umfangreich: Egal ob knallige Farben hipp sind oder Mütter und Werdende es lieber dezent lieben, manchmal darf es auch ein bisschen dekadenter sein, wie die GLAM Kollektion zeigt. Vorteilhaft sind die verschiedenen Sortimente allemal.

Dank ihrem Namen verraten sie schon, welcher Typ Frau und auch Mann sich angesprochen fühlen darf. Verkörpert CASUAL eher den sportlichen Charakter, darf es für Ästheten auch schon mal eine Tasche aus der GLAM Linie sein. TENDER spricht alle Freunde von Lederimitaten an, die es eher klassisch bevorzugen und mit VINTAGE wird eine Art Freigeist gelebt. Schick anzusehen, sind alle Wickeltaschen, ob im Handtaschen-Format wie Shoulder oder Urban Bag oder eher schlicht wie der Messenger Bag, der aber mit austauschbaren Frontklappen für farbenfrohe Alternation sorgt und vor allem sehr geräumig ist. Natürlich gibt es noch anderen Modelle, die sich an den Vorlieben der Mütter sowie Väter orientieren. Ein Blick auf die Kollektion lohnt sich immer. 

Spurensuche bei LÄSSIG

Auf der Suche nach dem Lieblingsdesign wird man bei den Neuheiten schnell fündig. Angesagt sind Muster wie Fotoprint, die die Messenger Bags zieren oder Wallpaper, das auch bei den CASUAL Shoulder Bags vorhanden ist. Für Fans von Krimiserien dürften die beiden Fingerprints, in Schwarz oder Rot, das passende Zubehör darstellen. Auch das Mesh-Muster in Grau, Blau und Schwarz wirkt schick und sportlich zugleich und ist damit für die etwas jüngere Mutter bestimmt genau das Richtige. Erhältlich ist dieses Design nicht nur als Messenger Bag, sondern bedeckt auch die Vorderseite der neuen LÄSSIG Rucksäcke.

Stepp jetzt auch für die Tasche

Ein Muss in diesem Winter sind nicht nur gesteppte Jacken, sondern auch die neuen LÄSSIG Global Bags der GLAM Linie in Schwarz, Braun, Gelb und Lila. Betrachtet man die Oberfläche genauer, erinnern die feinen Nähte an einander gereihte Würfel, die das Aussehen der Tasche etwas bizarr und dennoch sehr Stil sicher und selbstbewusst wirken lässt. Die kleinen Waben geben der Tasche den eigentümlichen Steppeffekt und dank hochwertiger Materialien aus glänzendem Nylon wirken die Global Bags besonders feminin.  Ein Modell, das fast zu allem getragen werden kann.

Es lebe der bohemian Lifestyle im linearen Format.

Für Furore sorgt in diesem Jahr auch das neue VINTAGE Design, das eher als unkonventionell nicht nur die 4Office Linie bereichern wird, sondern auch als Wickeltasche einen Blickfang im 4Family Sortiment darstellt. Die Taschen stehen in dunklem Anthrazit als Messenger Bag, Square und Small Square Bag sowie als 5 Pocket Bag zur Auswahl. Markant sind nicht nur das gelb-orange genähte Abzeichen, sondern vor allem die Nadelstreifen in Weiß, die damit Klassik mit Moderne verbinden. Traditionell sind vor allem das Design und die Farben, modern dafür das ausgewählte Material. Die Taschen wirken ansprechend, zeitlos, ein wenig elegant, mehr noch sportlich mit einem gewissem Maß an Spritzigkeit und passen hervorragend zu dem eher unkonventionellen Lebensstil junger Mütter, Mütter, die etwas alternativer leben oder eine Mutter für alle Fälle. Egal welcher Typ Frau man letztlich ist, gefallen müssen die Taschen. Und sollte nicht das passende Modell bei VINTAGE zu finden sein, gibt es ja auch  noch zahlreiche Alternativen in den CASUAL, GLAM und TENDER Serien. 

BESUCHEN SIE UNS AUF DER BABYWELT MESSE IN MÜNCHEN VOM 23. BIS 25. OKTOBER IN DER EVENT ARENA IM OLYMPIAPARK, EBENE OG, STAND B11.

Der neu geschaffene Gesundheitsfonds ermöglicht es Ärzten durch Tricksen bei der sog. „Codierung“, d.h. beim Umsetzen einer medizinischen Diagnose in Abrechnungskennzahlen sich und den Krankenkassen Abrechnungsvorteile zu verschaffen. Darüber berichtet der Spiegel online und in der Printausgabe.

Die Recherchen für diesen Artikel brachte jedoch auch eine weitere Skurrilität zutage, wie Alexander Neubacher auf Spiegel online berichtet:

Einigen Kassen war auf ihrer Abrechnung mit dem Gesundheitsfonds aufgefallen, dass sich eine überraschend große Zahl ihrer Versicherten mit dem Aids-Virus HIV infiziert hatte.

Noch ungewöhnlicher war das Alter der Betroffenen. Fast alle Neuinfizierten waren deutlich älter als 65 Jahre. Sogar einige Greise von über 80 Jahren hatten sich noch mit dem Immunschwächevirus angesteckt, darunter auch die Mutter eines Krankenkassenmanagers. […]

Diskret angestellte Nachforschungen ergaben, dass sich die mysteriösen HIV-Fälle ausnahmslos auf Diagnosen von Augenärzten zurückführen ließen. Und noch ein weiteres Muster wurde deutlich. Alle Augenärzte benutzten auf ihren Computern die in der Branche weitverbreitete Praxis-Software der Firma Ifa Systems.

Das Programm aber produzierte einen fatalen Fehler: Gleichsam automatisch hängte es vielen Augenarztpatienten die Codierziffer „B23.8“ an. In der Geheimsprache des Gesundheitsfonds steht das Kürzel für „Sonstige näher bezeichnete Krankheitszustände infolge HIV-Krankheit“. Anschließend wurde diese Diagnose, ebenfalls vollautomatisch, an die Kassenärztlichen Vereinigungen übertragen. Dort wiederum reichte man den Code an das Bundesversicherungsamt und den Gesundheitsfonds weiter.

Der Hersteller der Software weist in einer Stellungnahme darauf hin, dass nicht die Software sondern Menschen Diagnosen erstellen. Menschen die auch fehlbar sind und in der Hektik des Praxisalltags einen falschen Zahlencode zuordnen. Folgt man dieser, so war wohl eine Kombination aus Anwenderfehlern und Probleme bei der Datenqualität der, auf internationalen ICD-Normen basierenden, Diagnosedatenbank der Software für die Zunahme der HIV-Rentner ursächlich.

Den Krankenkassen, die für jeden HIV-Patienten etwa 10.000 € extra aus dem Gesundheitsfonds erhalten, fiel die zunehmende Anzahl von augenärztlich behandelten Rentnern mit HIV-Diagnose erst nach einiger Zeit bei Revisionsprüfungen auf.

Zumal Rentner bislang eher weniger dafür bekannt waren, sich durch ausgiebigen Kontakt mit dem Fixer- und Strichermilieu einem höheren Ansteckungsrisiko mit Aids auszusetzen als der Durchschnitt der Kassenpatienten.

Es zeigt sich einmal mehr, wie wichtig es ist, sich bei der Entwicklung von Software auch hinreichend mit der Qualitätssicherung zu befassen. Denn nur weil ein Programm sich ohne Fehler compilieren lässt und anschließend über längere Zeiten absturzfrei arbeitet, ist das noch kein Beweis für dessen einwandfreies Funktionieren. Und oftmals sind Fehler und Probleme auf das Zusammenspiel des Systems Benutzer – Software – Daten zurückführbar, ohne das klar ersichtlich wäre, ob die Software, ihr Benutzer oder die Datenbestände letztlich ausschlaggebend für das Problem waren. Was insbesondere für die Wartung bereits länger bestehender Systeme und Datenbestände oftmals eine Herausforderung darstellt.

Vor einigen Jahren sorgte Sony für viel Ärger als man dort auf die schräge Idee kam, Musik-CDs mit einen auf Schadsoftware basierenden Kopierschutzverfahren (XTP – extended copy protection) auszuliefern. Wer eine solche CD auf einem Computer abspielen wollte, musste dazu einen proprietären Player installieren, der dem Rechner u.a. ein Rootkit unterschob. Zumal es rasch Exploits und Trojaner gab, die das Sony-Rootkit für eigene Zwecke nutzten. Der Einsatz von XTC  zog weltweit Klagen und Prozesse gegen Sony nach sich, so dass andere Firmen die Finger von der Idee des Einsatzes von Schadsoftware zum Zwecke der Rechtedurchsetzung ließen.

Doch damit ist das Problem nicht vom Tisch. Denn kürzlich verkaufte ein CD-Fan eine solche Schad-CD von Sony und verursachte so ungewollt die Verseuchung eines Rechnernetzes mit Schadsoftware des Typs „rootkit.b“.

Als Folge davon forderte der CD-Käufer vom Verkäufer Schadensersatz in Höhe von 1.500 € für die Wiederinstandsetzung von drei verseuchten Rechnern, Wiederherstellung von Daten, nötige Zuarbeiten durch einen IT-Spezialisten sowie Anwaltskosten und einen durch die Störung entgangenen Gewinn als Freiberufler. Das Amtsgericht Hamburg-Wandsbek verurteilte den Wiederverkäufer der Schad-CD letztlich dazu 1.200 € zu zahlen (Az. 712 C 113/08).

Vor allem in der ersten Hälfte des Jahrzehnts setzte die Musikindustrie großflächig „Kopierschutztechnologien“ ein, von denen sich das Sony-Rootkit am tiefsten in Windowssysteme einnistete. Aber auch einige andere Verfahren versuchten, ohne Wissen des Nutzers Software zu installieren oder Konfigurationen zu verändern, was teilweise zu Funktionseinschränkungen, Sicherheitslücken und diversen anderen Problemen führte. Inzwischen sind „technische Schutzmaßnahmen“ solcher Art, für welche die Rechteverwerter sogar eine EU-Richtlinie und ein Verbot von „Umgehungsmethoden“ im deutschen Urheberrecht erwirkten, zumindest bei Musik-CDs seltener anzutreffen.

Um es klar herauszustellen: Kopierschutzmethoden, die die Verwendbarkeit von Produkten einschränken (fehlende Gebrauchstauglichkeit) oder gar Abspielgeräte des Kunden schädigen, sind Sachmängel und berechtigen den Kunden zur Rückerstattung des Kaufpreises (Umtausch gegen ein mängelfreies Produkt ist i.d.R. ja nicht möglich). Solche Produkte sind im Grunde genommen „defective by design“, d.h. Ausschussware.

Es sein denn der Verkäufer weist klar auf die Nutzungsvoraussetzungen und Defekte hin. Dann darf auch ein schadhaftes Produkt legal verkauft werden. Das genau hatte der CD-Verkäufer nicht getan und deswegen bekam er den Ärger.

So sieht § 95d des Urheberrechts vor, dass Werke, die mit technischen Maßnahmen geschützt werden, sind deutlich sichtbar mit Angaben über die Eigenschaften der technischen Maßnahmen zu kennzeichnen sind.  Aber auch dann haftet ein Verkäufer auf Basis von Schuldrecht und Vertragsrecht sowie dem Produkthaftungsgesetz immer für Schäden, die sein Produkt bei bestimmungsgemäßer Nutzung anrichtet.

Es empfiehlt sich daher, grundsätzlich auf den Kauf kopiergeschützter Produkte zu verzichten. Dort wo das nicht möglich ist, sollten die Produkte nach dem Erreichen des Endes ihres Lebenszyklusses nicht weiterverkauft sondern entsorgt werden. Auf die Nutzung kommerzieller Unterhaltungsprodukte auf betrieblich genutzten Produktivsystemen sollte gänzlich verzichtet werden.

Qualitätsmängel bei Software können im späteren Betrieb sehr teuer werden – egal ob es um bloße Effizienzmängel und Umständlichkeiten bei der Programmhandhabung geht. Oder um echte Defekte mit zum Teil auch rechtlichen Auswirkungen. Allerdings koste auch die Qualitätssicherung in Form von Softwaretests Geld.

Das lässt es naheliegend erscheinen, über die rationellere und effizientere Abwicklung von Softwaretests nachzudenken. Gerade in größeren, projektorientiert arbeitenden Unternehmen werden Softwaretests oft in jedem Projekt „irgendwie“ auch mitgemacht.

Ein unternehmensweit arbeitendes Test-Center, das für Fragen rund um Softwarequalität, Integration und Usability sowie Tests gegen Standards zur Verfügung steht, wäre da eine Möglichkeit, die Kosten der Softwarequalität deutlich zu reduzieren und dabei sogar noch bessere Ergebnisse zu erhalten als bisher.

Ein zentrales Test-Center kann die Projektleitung von Entwicklungsprojekten durch nachvollziehbare Darstellungen zur Produktqualität unterstützen, Systeme unabhängig von den Entwicklern testen (4-Augen-Prinzip), Test-Know-how sammeln und ausbauen sowie bei der Einführung und Zertifizierung von Qualitätsmanagementprozessen (z.B. nach ISO 9000) mitwirken.

Wichtige Erfolgsfaktoren für die Einrichtung und den Betrieb eines Test-Centers sind dabei die Entwicklung und Bündelung relevanter fachlicher und methodischer Kompetenzen, die Besetzung mit Testspezialisten sowie die Beteiligung der Stakeholder (Projektleitung, Auftraggeber, Kunden etc.) eines Projektes sowie die Möglichkeit zur Integration des Themas Softwarequalität sowohl in unternehmensweit angewandte Vorgehensmodelle zur Softwareentwicklung als auch der Unternehmensorganisation.

Das Test-Center kann u.a. in ITIL-konforme Prozesse wie Anforderungsanalyse, Konfigurations-, Change- und Fehlermanagement mit einbezogen und an entsprechende IT-Infrastrukturen angebunden werden. Aktivitäten und Ergebnisse des Test-Centers können für alle Beteiligten nachvollziehbar gestaltet werden. Anstrengungen zur Verbesserung der Softwarequalität werden so deutlich transparenter als bisher.

Der Nutzen eines eigenen Test-Centers für ein softwareentwickelndes Unternehmen besteht daher in erster Linie aus Dingen wie:
•    Der einfacheren Planung von Testprojekten sowie deren nachvollziehbaren Verlauf.
•    Mit Hilfe projektübergreifender Methoden systematisch erarbeiteter Testergebnisse.
•    Kostengünstigeres Testen, da auf vorhandene, einheitliche Tools, Infrastrukturen und personellen Ressourcen zurückgegriffen werden kann und die Testinfrastruktur nicht für jedes Projekt erneut budgetiert, organisiert und aufgebaut werden muss.
•    Es können sicherere, stabilere und zuverlässigere Systeme ausgerollt und in den Regelbetrieb übergeben werden.
•    Key-User, Projektleiter und Fachbereiche werden frühzeitig in die Entwicklung mit einbezogen und erhalten Produkte, die alle benötigten Funktionalitäten enthalten, nutzbar und sauber durchgetestet sind.
•    Key-User, die Teil des Testteams waren, kennen neue Systeme bereits lange vor der Einführung und konnten sich mit ihnen vertraut machen.
•    Auch Kaufsoftware und Upgrades können vorab systematisch auf Integrationskonflikte in der unternehmensinternen IT-Umgebung getestet werden.

Das alles lässt die Einrichtung eines unternehmenseigenen oder extern betriebenen Test-Centers für viele Unternehmen mit eigener Softwareentwicklung sowie System- und Anwendungsintegration interessant erscheinen. Insbesondere das Streben nach effektivere und effizientere Leistungserbringung in der IT des Unternehmens kann so unterstützt werden.

Insbesondere dort, wo über den Trend zur Industrialisierung der IT nachgedacht wird, sollte man bedenken, dass es in der Fertigung neben der integrierten Qualitätssicherung (IT: Entwicklertests) meist auch eine separate Qualitätssicherung (IT: Test-Center) gibt.

Wann  ist Software bzgl. der  Eigenschaften Zuverlässigkeit, Verfügbarkeit, Gebrauchstauglichkeit, Wartbarkeit und  Sicherheit als sicher zu bezeichnen? Und wie kann man das messen und prüfen?

Mit diesen Fragen beschäftigt sich Software Safety, ein Themenfeld, welches sich inhaltlich zwischen Softwarequalität und IR-Sicherheit ansiedeln lässt.

Insbesondere Bereiche, in denen Software umfangreiche sicherheitsrelevante Aufgaben erfüllen soll, in denen hohe sicherheitstechnische Auflagen bestehen (Luftfahrt, Medizintechnik) oder in denen es um Menschenleben geht, erfordern Software mit deutlich höherem funktionalem Zuverlässigkeitsniveau (Reliability, Availability, Maintainability, Safety – RAMS) als normal üblich. Oft ist auch gefordert, Software für solche Einsatzfelder fail-safe zu entwickeln, d.h. dass  im Fehlerfall möglichst geringer Schaden entsteht (auch: Fehlertoleranz, Ausfallsicherheit). Dies geschieht neben dem gezielten Einbau von Redundanz durch das möglichst vollständige Vorhersehen und Testen aller denkbaren Fehler durch entsprechend anspruchsvoll und aufwendig konzipierte Testprojekte. Dazu werden systematisch Fehler unterstellt und danach versucht, deren Auswirkungen so ungefährlich wie möglich zu gestalten. Auch dem Benutzer wird zunächst Fehlverhalten unterstellt, mit dem das System klarkommen muss (z.B. durch Filterung und Plausibilitätsprüfung von Eingaben).

Zum Thema Safety-Eigenschaften und funktionaler Sicherheit haben sich bereits nationale und internationale Standards und Normen (IEC 61508, IEC 61511 und weitere) entwickelt, hauptsächlich aus dem Maschinen- und Anlagenbau, deren Umsetzung als Teil der Entwicklungs- und Qualitätssicherungsprozesse Sicherheit, Qualität und Zuverlässigkeit der Softwareprodukte gewährleisten soll.

Was aber in der produzierenden Industrie schon seit langem Standard ist, wird in die Entwicklung und Qualitätssicherung bei Software vielerorts erst noch Eingang finden müssen. Wobei bei der Adaption und Integration entsprechender Prozesse die bereits bestehenden Industriestandards Orientierung geben können.

Die Beurteilung sicherheitsrelevanter Software spielt auch bei der Prüfung der funktionalen Sicherheit entsprechender Produkte eine ständig wachsende Rolle und hat daher Prüfgesellschaften ein weiteres Geschäftsfeld eröffnet.

Die Safety-Anforderungen an Softwarekomponenten als Teil von sicherheitsgerichteten Steuerungssystemen sind durch die zunehmende Verlagerung der Sicherheitsfunktionalität in die Software drastisch gestiegen. Die Struktur der Software sowie Maßnahmen und Techniken in der Software, die zur Vermeidung und Beherrschung von Fehlern und Ausfällen führen, sind ein fester Bestandteil entsprechender Prüfungen, z.B. nach IEC 61511-1 (funktionale Sicherheit –  u.a. Anforderungen an Systeme, Software und Hardware) geworden.

Software Safety und funktionale Sicherheit dürfte daher als Thema sowohl für Softwaretester, Qualitätsmanager als auch für IT-Sicherheitsbeauftragte zunehmend an Bedeutung gewinnen. Und auch in IT-Sicherheitsmanagement (ITSM) und bei Thema Risikomanagement in der IT werden Safety-Kriterien ihren Platz finden.

Was soll ich sagen – Funktionalität siegt über Design. Praktisch muss es sein. Einmal mehr und schon wieder. Es könnte mich bedenklich stimmen. Aber nun gut – sei’s drum.

Es ist eigentlich ganz simpel. Sowohl das Problem, wie auch die Lösung. Wobei der irgendwie lächerliche aber doch zeitweise intensive (primär ego-interne) Imageschaden wohl noch Wochen an mir nagen wird.

Was ist passiert? Nun, ich habe für mein Stadtvelo ein Körbchen gekauft. Ja, ein Körbchen. Körb-chen. So ein praktisches, hässliches Gitter-Teil. Das klemmt man auf den Gepäckträger und muss fortan nicht mehr schwere Taschen an den Lenker hängen und gefährlich schwankende Fahrten überstehen. Man muss auch keine Taschen mehr auf den Gepäckträger klemmen und die ganze Zeit nach hinten fassen um festzustellen, ob die Ladung noch hält oder ob sie schon bedenklich schief in der Gegend hängt – was durchaus vorkommt, leider.

Also hat so ein Körbchen – abgesehen vom Image – eigentlich nur Vorteile. Dachte ich mir und kaufte eins. Nein, ich bin natürlich nicht extra ins Fachgeschäft gefahren, um ein Körbchen zu kaufen. Nein, nein. Es verhielt sich vielmehr so, dass Mann für sein edles Designerstadtvelo (natürlich stimmt dort Design UND Funktionalität) eine Klingel und Lichter brauchte. Und derweil Mann sich die besagten Utensilien zusammensuchte, schlenderte ich durch die Regale und mein Blick verharrte bei den Körbchen. Meine Gedanken schweiften zu oben erwähnten Problemen und schwups war das Körbchen gepackt. Alsbald war auch Richtung Mann verkündet, dass dieses Körbchen nun neu mein Körbchen ist. Für mein Stadtvelo. Weils praktisch ist. Mann meinte betont loker “Oooo-keeee” – aber eigentlich schrie seine Mimik sein ganzes Elend über diesen Sieg der Funktionalität über Design heraus. Gesichtszüge können auch entgleiten, wenn sie nicht entgleiten.

Nun, die Vorteile. Prima. Tasche rein ins Körben und losgeflitzt. Naja, vor dem losflitzen muss man erst mal das eine Bein so hoch schwingen, dass es nicht am Körbchen hängenbleibt. Touché! Nach zwei Versuchen hat das dann auch geklappt. Mist, daran hatte ich nicht gedacht. Jedesmal einen halben doppelten Rittberger (oder was auch immer dieser unmenschlichen Bewegung näher kommt) hinlegen, wenn ich wohin radeln will? Naja, wir werden sehen…

Ein Konsortium aus Forschungseinrichtungen und Unternehmen will in den kommenden drei Jahren einen Qualitätsstandard für Software-Produkte in Deutschland erarbeiten. Das erklärte Ziel: Künftig soll die Leistungsfähigkeit und Wirtschaftlichkeit von Software bewertbar und nachweisbar werden.

Das wäre auch längst an der Zeit. Noch immer gelten im Softwaresektor laxe Regeln zur Produkthaftung, die wir in anderen Bereichen wie etwa im Automobilbau, bei Lebensmitteln oder Elektrogeräten nicht akzeptieren würden.

Auch aus Sicht der IT-Sicherheit wäre eine höhere und zudem messbare Softwarequalität wünschenswert. Die meisten Sicherheitslücken gehen auf Mängel in verbreiteten Programmen zurück, weshalb regelmäßiges Patchen und Nachbessern mittlerweile sogar als Zeichen für ein aktuelles Sicherheitsniveau gilt. Man stelle sich vor: Ein BMW gelte als besonders verkehrssicher, wenn er einmal monatlich in die Werkstatt gebracht und auf schadhafte Teile gecheckt wird.

Jetzt soll ein Gütesiegel „Made in Germany“ für Software etabliert werden. In dem Projekt QuaMoCo (Software-Qualität: Flexible Modellierung und integriertes Controlling) arbeiten Unternehmen, Forschungseinrichtungen und die TU-München zusammen.

QuaMoCo nimmt sich dabei andere Branchen zum Vorbild: Dort haben sich Kriterien für die Qualitätsprüfung und detaillierte Normen bewährt, deren Einhaltung zum Teil sogar gesetzlich vorgeschrieben sind. Obgleich die Software-Industrie zentrale wirtschaftliche Bedeutung hat, fehlen hier ähnliche Ansätze.

Selbst gemeinhin akzeptierte Richtlinien fehlen. Existierende standardisierte Rahmenwerke für Softwarequalität, wie die ISO 9126 (Gebrauchstauglichkeit) bzw. ISO 25000 (Softwareprüfung und –zertifizierung), kommen bislang nicht zur vollen Wirkung, da sie in der Praxis aufgrund ihrer Allgemeinheit oft nicht direkt einsetzbar sind, sowie teilweise auf Kriterien basieren, deren Bedeutung in Bezug auf Geschäfts-, Projekt- und Produktziele unklar sind. Unternehmen behelfen sich häufig mit eigenen Qualitätsrichtlinien, die jedoch selten einen befriedigenden Grad an Vollständigkeit und Widerspruchsfreiheit bieten. Dieser Mangel an bindenden Normen für Software schadet so mittelbar vielen Branchen.

An dieser Ausgangslage orientiert sich das QuaMoCo-Projektteam: Angestrebt wird ein Software-Qualitätsstandard mit einem hohen Detaillierungsgrad. „Informatiker erhalten konkrete Richtlinien für ihren Entwicklungsprozess, um die Qualität von Software – wie Zuverlässigkeit, Sicherheit oder Wartbarkeit – nachweisbar sicherzustellen“, so Manfred Broy, Informatikprofessor an der TU München.

Eine besondere Herausforderung dürfte bei diesem Vorhaben in der Vielfalt bereits existierender Arten von Software liegen. Sie reicht von eingebettete Systemen, Mainframe-Anwendungen, Spielen, Büroanwendungen bis hin zu hoch-sicherheitskritischen Steuerungssystemen in Kraftwerken oder Rechenzentren. Und von monolithischen Legacy-Systemen bis zu Web 2.0 Applikationen.

Im QuaMoCo-Projekt soll daher ein Basis-Qualitätsstandard entwickelt werden, der durch beispielhafte, bereichsspezifische Subsstandards ergänzt werden soll.  Also letztlich eine Sammlung von Standards, bestehend aus einem „Hauptwerk“ und zahlreichen Anhängen und Untergliederungen für Detailbereiche. „Wir realisieren das für Standard-Software, Individual-Software, Informationssysteme und eingebettete Systeme. So wird unser Qualitätsstandard sehr flexibel einsetzbar. Und gleichzeitig müssen alle Qualitätsanforderungen vollständig integriert sein. Diesen Spagat müssen wir leisten“, so Broy hierzu.

Das Bundesministerium für Bildung und Forschung (BMBF) fördert QuaMoCo im Rahmen des Förderprogramms „IKT 2020“ mit 3,7 Millionen Euro. Der Eigenanteil der Industriepartner beläuft sich auf rund 2,2 Millionen Euro. Außerdem planen die industriellen Partner über das Projektvorhaben hinaus, weitere finanzielle Mittel in die Erforschung von Softwarequalität zu investieren. Letztlich in ihrem eigenen Interesse.

Der entwickelte Qualitätsstandard wird von den industriellen Projektpartnern in den eigenen Unternehmen sowie in Beratungsprojekten angewandt und soll darüber hinaus auch über ein Web-Portal einer breiten Öffentlichkeit zur Verfügung gestellt werden (in der technischen Regulierung ein eher unübliches Vorgehen). Die akademischen Kooperationspartner sollen eine nachhaltige Verbreitung der Ergebnisse zudem durch Anwendung in der Forschung und insbesondere in der Ausbildung zukünftiger Software-Ingenieure an den Hochschulen ermöglichen.

Darüber hinaus erlaubt ein fundierter und verbindlicher Qualitätsstandard in Kombination mit einem entsprechenden Konformitätsprüfungsverfahren, für Softwareprodukte ein Gütesiegel „Made in Germany“ zu etablieren, das in anderen Branchen seit langem zur weltweit erfolgreichen Vermarktung der Produkte beiträgt. Um diesen Erfolg in den Bereich der Softwareentwicklung zu übertragen und die benötigte Verbindlichkeit zu erreichen, soll im Rahmen des QuaMoCo-Projektes eine Normierung des Standards durch geeignete Gremien (z.B. ISO oder DIN) vorbereitet werden.

Software-Qualitätsmanager, Testmanager und IT-Prüfer sollten dieses Projekt im Auge behalten. Ebenso alle, die sich mit Sicherheitslücken in Programmen befassen.

QuaMoCo-Projektseite an der TU-München

Silicon.de: Deutsche Software erhält Gütesiegel

Viele Probleme im Bereich der IT-Sicherheit und des Datenschutzes können auf mangelnde Qualität der eingesetzten IT-Systeme zurückgeführt werden. Inzwischen ist es sogar ein „Qualitätsmerkmal“ guter Sicherheitsprozeduren in Unternehmen geworden, dass man Patches, also Fehlerkorrekturen an der eingesetzten Software zügig von Herstellern bezieht und einsetzt. Als ob man gute Qualität z.B. bei Autos daran messen würde, dass sie einmal monatlich (Microsofts normaler Auslieferungszyklus für Sicherheitsupdates) in die Werkstatt gefahren werden, um mangelhafte Teile auszutauschen.

Offenbar hat die Qualität bei Software noch längst nicht den Stand erreicht, der von anderen komplexen technischen Produkten heute durchaus verlangt wird. Viele Softwareanbieter schließen zudem in ihren Allgemeinen Geschäftsbedingungen (AGBs) ihre Haftung für Mängel in einem Maße aus, der z.B. bei Haushaltsgeräten schlicht rechtlich unzulässig wäre.

Was aber kann getan werden, damit Software besser wird? Und wie misst man überhaupt „gute Qualität“ bei Software? Schließlich wird die Debatte um die sog. „Softwarekrise“ in der Fachwelt bereits seit etwa vier Jahrzehnten geführt und hat zur Entstehung einer neuen Teildisziplin der Informatik geführt: dem Software Engineering bzw. der Softwaretechnik, d.h. der systematischen Entwicklung von Software im Sinne einer Ingenieursdisziplin.

„Unter Softwarequalität versteht man die Gesamtheit der Merkmale und Merkmalswerte eines Softwareprodukts, die sich auf dessen Eignung beziehen, festgelegte oder vorausgesetzte Erfordernisse zu erfüllen“ lautet eine gängige Lehrbuchdefinition des Qualitätsbegriffes für Software.

Der Begriff der Softwarequalität selbst ist zunächst abstrakt daher und in der Praxis direkt anwendbar. Deshalb existieren Qualitätsmodelle und Best-Practice-Vorgehensweisen der Softwareentwicklung, die durch eine weitere Detaillierung und Konkretisierung das Konzept der Softwarequalität praktisch umsetzbar machen.

Hacker aber auch IT-Sicherheitsexperten haben eine regelrechte Wissenschaft daraus gemacht, nach Fehlern in Softwareprodukten zu suchen. Für sie sind Exploits (Programmdefekte aus denen man Nutzen ziehen kann) keine Frage des „ob“ sondern nur des „wann, wie und wo“.

Aber auch Qualitätsmanager und Prüfer gehen der Softwarequalität immer systematischer auf den Grund. Inzwischen gibt es regalmeterweise Standards und Normen, welche Eigenschaften gute Software hinsichtlich Funktionalität, Gebrauchstauglichkeit, Datenschutz und Sicherheit aufweisen sollte. Und wie man diese messen kann. Aber auch hier gilt das Grundprinzip des Qualitätsmanagements, wonach man Qualität besser gleich „mit einbaut“ anstatt sie nachträglich „reinzuprüfen“. Und dass qualitativ hochwertige Produkte zwar zunächst aufwändiger in der Entwicklung und Produktion sind. Aber im Nachhinein weniger Kosten und Ärger verursachen. Man muss demnach nachhaltig und längerfristig denken können, um Qualitätsprodukte entwickeln zu können.

Gerade das aber sind Tugenden über die es sich nachzudenken lohnt. Insbesondere in ökonomischen Krisenzeiten, in denen ein „Weiter so“ nicht akzeptabel wäre. Krisen sind Anreize dazu Dinge grundlegend anders und besser zu machen. Das gilt in einer zunehmend informatisierten Gesellschaft auch und gerade für Softwareprodukte.

Wann  ist Software bzgl. der  Eigenschaften Zuverlässigkeit, Verfügbarkeit, Gebrauchstauglichkeit, Wartbarkeit und  Sicherheit als sicher zu bezeichnen? Und wie kann man das messen und prüfen?

Mit diesen Fragen beschäftigt sich Software Safety, ein Themenfeld, welches sich inhaltlich zwischen Softwarequalität und IR-Sicherheit ansiedeln lässt.

Insbesondere Bereiche, in denen Software umfangreiche sicherheitsrelevante Aufgaben erfüllen soll, in denen hohe sicherheitstechnische Auflagen bestehen (Luftfahrt, Medizintechnik) oder in denen es um Menschenleben geht, erfordern Software mit deutlich höherem funktionalem Zuverlässigkeitsniveau (Reliability, Availability, Maintainability, Safety – RAMS) als normal üblich. Oft ist auch gefordert, Software für solche Einsatzfelder fail-safe zu entwickeln, d.h. dass  im Fehlerfall möglichst geringer Schaden entsteht (auch: Fehlertoleranz, Ausfallsicherheit). Dies geschieht neben dem gezielten Einbau von Redundanz durch das möglichst vollständige Vorhersehen und Testen aller denkbaren Fehler durch entsprechend anspruchsvoll und aufwendig konzipierte Testprojekte. Dazu werden systematisch Fehler unterstellt und danach versucht, deren Auswirkungen so ungefährlich wie möglich zu gestalten. Auch dem Benutzer wird zunächst Fehlverhalten unterstellt, mit dem das System klarkommen muss (z.B. durch Filterung und Plausibilitätsprüfung von Eingaben).

Zum Thema Safety-Eigenschaften und funktionaler Sicherheit haben sich bereits nationale und internationale Standards und Normen (IEC 61508, IEC 61511 und weitere) entwickelt, hauptsächlich aus dem Maschinen- und Anlagenbau, deren Umsetzung als Teil der Entwicklungs- und Qualitätssicherungsprozesse Sicherheit, Qualität und Zuverlässigkeit der Softwareprodukte gewährleisten soll.

Was aber in der produzierenden Industrie schon seit langem Standard ist, wird in die Entwicklung und Qualitätssicherung bei Software vielerorts erst noch Eingang finden müssen. Wobei bei der Adaption und Integration entsprechender Prozesse die bereits bestehenden Industriestandards Orientierung geben können.

Die Beurteilung sicherheitsrelevanter Software spielt auch bei der Prüfung der funktionalen Sicherheit entsprechender Produkte eine ständig wachsende Rolle und hat daher Prüfgesellschaften ein weiteres Geschäftsfeld eröffnet.

Die Safety-Anforderungen an Softwarekomponenten als Teil von sicherheitsgerichteten Steuerungssystemen sind durch die zunehmende Verlagerung der Sicherheitsfunktionalität in die Software drastisch gestiegen. Die Struktur der Software sowie Maßnahmen und Techniken in der Software, die zur Vermeidung und Beherrschung von Fehlern und Ausfällen führen, sind ein fester Bestandteil entsprechender Prüfungen, z.B. nach IEC 61511-1 (funktionale Sicherheit –  u.a. Anforderungen an Systeme, Software und Hardware) geworden.

Software Safety und funktionale Sicherheit dürfte daher als Thema sowohl für Softwaretester, Qualitätsmanager als auch für IT-Sicherheitsbeauftragte zunehmend an Bedeutung gewinnen. Und auch in IT-Sicherheitsmanagement (ITSM) und bei Thema Risikomanagement in der IT werden Safety-Kriterien ihren Platz finden.

Zu den immer zahlreicher werdenden Verirrungen des Urheberrechts zählt mittlerweile auch das Löschen gekaufter Bücher auf e-Book-Lesegeräten zentral gesteuert durch den Buchhandel.

So wurde kürzlich bekannt, dass Amazon auf Lesegeräten vom Typ „Kindle“ ohne zuvor das Einverständnis der Besitzer einzuholen, die Orwell-Bücher „1984“ sowie „Farm der Tiere“ ferngesteuert aus dem Speicher der Lesegeräte löschte, obwohl deren Besitzer sie gekauft und bezahlt hatten.

Die Überraschung und Empörung der Benutzer entwickelte sich inzwischen zum PR-Gau für Amazon. Nach massiven Beschwerden der Kunden hat Amazon zumindest die Rückerstattung des Kaufpreises zugesagt.

Nur gut, dass Amazon dieser Lapsus in den USA und nicht in Deutschland unterlief. Hierzulande sind Datenveränderung und Computersabotage (§§ 303a und 303b StGB) strafbar.

Zu sicher sollte man sich aber auch nicht wiegen. Denn zum einen kennen auch die USA entsprechende Straftatbestände sowie noch deutlich härtere Strafen. Und zum anderen versuchen sich Hersteller zunehmend die Durchsetzung ihrer kommerziellen Interessen auf den Rechnern ihrer Kunden mit Hilfe einschlägiger Lizenzverträge, AGBs, EULA’s oder Supportabkommen zu sichern. In der Regel stets auf das Urheberrecht begründet. Viele dieser Verträge würden wohl einer genaueren juristischen Prüfung in Hinblick auf Sittenwidrigkeit oder die Benachteiligung zahlender Kunden nicht standhalten.

Ziel ist es, die Grenze zwischen „mein“ und „dein“ zunehmend zugunsten der Hersteller und Distributoren aufzuweichen. Nur weil jemand etwas gekauft und bezahlt hat, soll es ihm noch lange nicht gehören. Oder die Verfügungsgewalt des Verkäufers darüber enden.

Zumindest sehen das speziell Unternehmen aus der Copyright- und Verwertungsindustrie so. Daher hatte auch der Vorfall bei Amazon urheberrechtliche Gründe. Der Einzelhandelsgigant wurde demnach von Rechteinhabern dazu aufgefordert, die Werke aus seinem Online-Sortiment zu entfernen. Kurz darauf verschwanden die digitalen Bücher auch von den e-Book-Readern der Kunden.

Zum Vorteil von Amazon hat sich für die dubiose Aktion die Mobilfunkverbindung entpuppt, mit der die Kindle-Geräte standardmäßig ihre Daten beziehen. Neben dem hauptsächlichen Zweck der Verteilung von digitalen Werken scheint man auf diese Weise die Bücher auch löschen zu können. Welche weiteren „Hintertürchen“ die Kindle-Reader noch haben und welche Steuerungsoptionen auf diesem Weg in die Geräte eingespeist werden können, ist noch unklar.

Dies zeigt ein generelles Problem solcher Geräte auf. Ihre Hersteller wollen sich zur Durchsetzung ihrer Ansprüche, Möglichkeiten offenhalten, die ihnen nach gesundem Rechtsempfinden nicht zustehen. Und die diese Geräte zu unverkäuflichem Elektronikschrott machen würden, legte man sie offen.

Neben dem Kindle dürfte es auch in anderen Consumergeräten wie Spielkonsolen, Smartphones etc. ähnliche eingebaute Sicherheitsprobleme geben. Schließlich basieren sie i.d.R. auf proprietärer Technologie und nicht offengelegten Quellcodes. Eine unabhängige Analyse ist daher nicht möglich.

Da dürfte durch so manchen „Wartungszugang“ eine vom Kunden weder gewollte noch bewusst herbeigeführte (z.B. im Rahmen der Auslieferung von Updates oder Patches) Verbindung zu Hersteller-Rechnern möglich sein, mit der Anweisungen zur einseitigen Interessensdurchsetzung des Herstellers gegenüber seinen Kunden auf deren Systemen landen und dort zur Ausführung kommen.

Ein weiterer Grund, um  freie (keine kommerziellen Interessen, keine „Urheberrechts“-Risiken) und quelloffene (unabhängig prüfbar, keine versteckten „Hintertürchen“) Systeme zu bevorzugen. Und auf allerneueste Technik (Probleme noch unentdeckt und ungelöst) zu verzichten, wo diese nicht unbedingt erforderlich ist.

Zudem sollte Consumer-Elektronik grundsätzlich nicht in Unternehmens-IT mit eingebaut werden. Meist ist sie für die dort höheren Ansprüche an Verfügbarkeit, Zuverlässigkeit, dauerhaften Betrieb sowie Betrieb mit Lastspitzen gar nicht ausgelegt.

Gleichzeitig wird so klar, dass es Produkte mit einem eingebauten Rechtemanagement (DRM) mit dem der Hersteller einseitig seine Interessen auch gegen den Willen des Kunden durchdrücken kann, am Markt immer schwerer haben werden. Entweder wird man deutliche „Minderwertigkeits-Preisabschläge“ wie bei Mängelware und Ausschuss vornehmen müssen. Oder die Produkte bleiben gleich unverkäuflich.

Warum auch sollten Kunden für Produkte mit eingeschränkter Funktionalität und Gebrauchstauglichkeit den vollen Preis bezahlen?

Viele Unternehmen, die Entwicklungsaufträge für Software an Dritte vergeben, haben ein Problem: Weder können sie exakt und juristisch belastbar spezifizieren, welche Eigenschaften die zu entwickelnde Software haben soll. Noch verfügen sie über geeignete Tools, um solche Eigenschaften, testen, messen und beurteilen zu können. Das macht es schwer die Entwicklung qualitativ hochwertiger Software rechtlich zu fassen zu bekommen.

Daher arbeiten Informatiker der Uni Freiburg zusammen mit Rechtswissenschaftlern der Uni Mannheim im Rahmen des Projektes „Salomo“ an einer Verbesserung der Entwicklungsverträge für Software. Zielgruppe sind primär kleine und mittelständische Firmen.

Einer Studie der Universität Oldenburg aus dem Jahr 2006 zu Folge wurden nur gut die Hälfte aller in Deutschland laufenden Softwareentwicklungsprojekte erfolgreich abgeschlossen. Weltweit sind es sogar nur ein knappes Drittel. Die damit einher gehenden Rechtsstreitigkeiten und Unsicherheiten werden von den betroffenen Unternehmen zunehmend als echtes Problem empfunden.

Doch wie kann man dem beikommen? Software-Entwicklungsverträge passen in kein vertragsrechtliches Standardschema. Denn juristisch ist nicht einmal klar, ob Programme überhaupt gegenständlich sind oder „geistiges Eigentum“ (an sich ein politischer Kampfbegriff der Verwerterlobby). Was soll „Zuverlässigkeit“ oder „Verfügbarkeit“ bei Programmen und Systemen im konkreten Fall bedeuten: Darf es einmal täglich abstürzen oder nur einmal im Jahr?

Ein Ziel des Forschungsprojekts sind daher vorformulierte Musterverträge für Entwicklungsvorhaben. Sie sollen als Kernstück ein juristisches Novum enthalten: Die Vertragspartner machen nicht nur die exakten Spezifikationen der Anforderungen mit zum Vertragsteil. Sondern sie einigen sich auch auf einzusetzende Werkzeuge und Verfahren, mit denen die Erfüllung der Anforderungen durch das gelieferte Produkt automatisiert getestet werden kann.

Geht es nach den Wissenschaftlern des Salomo-Projekts wird die automatische Überprüfung von Anforderungen an die Software also zum festen Bestandteil des Vertrages. Die Produktabnahme wird teilautomatisiert, objektiviert und insgesamt beschleunigt. Dieser wesentliche Bestandteil der Entwicklungsverträge würde so zudem rechtskulturunabhängig und international verwendbar.

Die dazu benötigten Tools sollen ebenfalls im Verlauf des Salomo-Projektes entwickelt werden. Mit Hilfe von modellbasierten Testverfahren sowie formalen Verifikationsmethoden aus der Informatik soll Software auf korrekte Erfüllung der vertraglich vereinbarten Anforderungen geprüft werden. Auftraggeber könnten die korrekte Erfüllung dann selbst prüfen oder durch Dritte (z.B. eine Prüfgesellschaft mit eigenem Test-Center) prüfen lassen.

Ähnliche Ansätze (anforderungsbasiertes automatisiertes Testen) werden allerdings auch von Anbietern kommerzieller Testumgebungen schon seit einiger Zeit verfolgt. Neu hingegen ist die Idee, sich vertraglich juristisch belastbar auf Testwerkzeuge und –verfahren zu einigen und die Erfüllung des Vertrages vom Ergebnis dieser vorab vereinbarten Tests abhängig zu machen.

Nur sollte dann sichergestellt sein, dass kein „developing to the test“ stattfindet, d.h. dass ein Programm zwar exakt den vereinbarten Test besteht, bei geringfügig veränderten Parametern jedoch ein ganz anderes Verhalten zeigt.

Computerwoche.de: Salomo schafft Mustervertrag. Elektronischer Schiedsrichter wacht über Softwareentwicklung

Badische-Zeitung.de: Ein Elektro-Schiri prüft die Software

Forschungsverbund Salomo

Schlechte Software vermindert die Effizienz ihrer Benutzer. Fehlerhafte Software ist nicht nur ein Ärgernis sondern kann zunehmend ernstzunehmende technische und rechtliche Folgen haben. Für gute, sichere Software spielen daher auch Qualitätsaspekte eine wichtige Rolle. Denn nur qualitativ hochwertige Software ist auch sicher und richtlinienkonform (compliant).

Daher werde ich in diesem Blog künftig auch verstärkt Aspekte der Softwarequalität thematisieren. Das betrifft nicht nur das fertige Produkt Software sondern auch alle Teilbereiche seiner Entstehung und Entwicklung – also Vorgehens- und Reifegradmodelle, Prozesse, gutes Projektmanagement, Umgang mit Risiken, Qualitätssicherung und Tests … bis hin zu Fragen der Personalauswahl für kritische Softwareentwicklungsprojekte.

Dazu richte ich auch eine neue Themenkategorie und eine dazugehörige Linkkategorie ein.

Die Entwickler des beliebten freien Krypto-Tools Truecrypt haben die Version 6.2. herausgebracht. Da Truecrypt an sich bereits sehr mächtig und umfassend ist, gab es diesmal keine neuen Funktionen. Stattdessen wurde „Modellpflege“ betrieben und einige Fehler korrigiert.

So wurde in der Windows-Version die Lesegeschwindigkeit durch die Nutzung von Read-Ahead-Buffer gesteigert, was insbesondere auf Solid-State-Disks (SSD) etwa 30 bis 50 Prozent Geschwindigkeitszuwachs bringen kann.

Auch wurden Probleme beim Bootloader und der Auto-Mount-Device-Funktion sowie viele kleinere Fehler in den Windows-, Linux- und Mac-OS-X-Versionen behoben

TrueCrypt 6.2 steht für Windows Vista, XP, 2000 als Installationspaket sowie für Mac OS X als .dmg-Paket zum Download bereit. Für OpenSuse und Ubuntu bieten die Entwickler ebenfalls Pakete und Installer an.

Truecrypt bietet dem Nutzer einen quelloffenen Zugang zu starken Verschlüsselungsalgorithmen zur Datei- und Datenträgerverschlüsselung.

Truecrypt.org: TrueCrypt 6.2 Released

Für viele greifbare Produkte wie etwa Elektrogeräte oder Spielzeug gibt es klare Auflagen und Normen sowie eine strenge Produkthaftung. So wird gewährleistet, dass ein Produkt dieser Art im Regelfall Mindestanforderungen bzgl. der Qualität genügt – egal wer es hergestellt oder in Verkehr gebracht hat.

Bei Software ist das anders. Da steht und fällt die Qualität mit dem Reifegrad der Entwicklungsprozesse des Softwareherstellers. Und da reicht das Spektrum von der kleinen Hinterhofbutze bis zum Großkonzern. Zudem wird Softwareentwicklung zunehmend global verteilt organisiert, so dass Firmen mit völlig unterschiedlichen Reifegraden ihrer Methodik und Organisation zusammenarbeiten müssen. Da es hierzu keine verbindlichen Normen und Regeln gibt, sind Ablauf und Ergebnis solcher Kooperation meist nur von individualvertraglichen Vereinbarungen und dem Geschick der verantwortlichen Projektmanager abhängig. In der Regel legen diese ihrem Handeln Vorgehensmodelle wir z.B. ITIL, CMMI, SCRUM oder PRINCE zugrunde, was natürlich entsprechende Kenntnisse bei den beteiligten Partnern voraussetzt.

Gerade kleine, eher schlecht als recht geführte Firmen mit unausgereiften Prozessen und Methoden werden so zunehmend zum Problem für die Qualität, Sicherheit und Gebrauchstauglichkeit von Softwareprodukten. Das dort fehlende Prozess- und Methodenwissen resultiert oft aus der mangelnden Bereitschaft in entsprechendes Personal zu investieren und das Investment durch kontinuierliche Weiterbildung aktuell zu halten. Würden solche Firmen mit ihren Maschinen ebenso verfahren, bekämen sie rasch Ärger mit ihren Versicherungen oder der Gewerbeaufsicht.

„Sparen, koste es was es wolle“ ist da oft das Motto. Darin zeigt sich schon das erste (und wahrscheinlich wohl gravierendste) Problem: eine einseitige Konzentration auf tagesgeschäftliche Probleme verbunden mit einem Mangel an strategischem Denkvermögen bei den verantwortlichen Entscheidern.

Das Ergebnis zeigt sich oft in Form mangelhafter, weil unzureichend oder gar nicht qualitätssichernd getesteter Software („Bananenware – reift beim Kunden“). Die große Mehrheit aller Sicherheitslücken hat ihren Ursprung in solchen Mängeln der Entwicklung. Ebenso so manches Softwareproblem, dass dann beträchtliche betriebswirtschaftliche Schäden beim Anwender nach sich zog. Zwar kann man solche Probleme bei entsprechender Vertragsgestaltung auf den Hersteller abwälzen. Doch diese beugen solchen Ansinnen ihrer Kunden auf demselben Wege vor bzw. sind als Klein- und Kleinstfirmen oft gar nicht in der Lage größere Haftungssummen zu tragen. Das endet dann meist in Vergleichen oder der Insolvenz.

Und dort wo Software global verteilt entwickelt oder aus Komponenten von Zulieferern assembliert wird, ist aus Käufersicht ohnehin nicht mehr nachvollziehbar, ob alle verwendeten Bestandteile wirklich dem Qualitätsanspruch genügen, dass der Verkäufer seinen eigenen Produkten und Prozessen zubilligt.

Auch bereits lange laufende Entwicklungsprojekte zu etablierten Produkten sind kein Ausweis für inzwischen auskurierte „Kinderkrankheiten“ des Produkts. Wenn z.B. an der internen Dokumentation der vorgenommenen Arbeiten sowie an Entwicklertests und nachfolgendem Qualitätsmanagement gespart wird, ist das Produkt wohl nie aus dem Beta-Stadium herausgekommen. Selbst wenn es schon seit Jahren im Einsatz ist.

Oft genug führt ein intensiver Blick in die Interna der Software zur Aufdeckung wahrer „datentechnischer Bermudadreiecke“ in denen sich Gelegenheiten für Exploits tummeln wie Maden im fauligen Fleisch.

Was aber kann gegen Schlamperwirtschaft in der Softwareentwicklung getan werden?

Letztlich geht es um die Professionalisierung der dahinterstehenden Prozesse: Weg von der Manufaktur und der Bastlerwerkstatt. Hin zur industrialisierten Software-Fabrik, in der die Dinge basierend auf dem Stand der Technik standardisiert, nachvollziehbar, reproduzierbar und qualitätsgesichert ablaufen. Das erfordert aber in einer arbeitsteilig organisierten Wirtschaft dass sich alle Beteiligten an einem Entwicklungsprojekt, auch über Firmen- und Ländergrenzen hinweg, über die zugrundegelegten Standards, Methoden und Begrifflichkeiten einig sind. Eine mehr als anspruchsvolle Aufgabe für Projektleiter und –koordinatoren in der Softwareentwicklung.

Damit stellt sich gerade für die eingangs erwähnten „kleinen Krauter“ zunehmend die Frage, in wie weit sie überhaupt willens und in der Lage sind, diese Entwicklung mitzugehen. Wirkliche Alternativen haben sie allerdings nicht. Wer dem Stand der Technik hinterherläuft anstatt ihm vorauszugehen, wird früher oder später durch Wettbewerber vom Markt verdrängt.

Die Trendfarbe Violett ist nicht nur im Fashion-Bereich momentan voll im Trend, sondern auch in der Wohnwelt. Trendige Räume sind sehr bunt. Besonders violett und rot werden mit hellen Möbeln in weiß und beige kombiniert und bilden somit eine wunderschöne Symbiose. Aber auch dunkle Holzmöbel passen zur edlen Farbe lila – eine wirklich prunkvolle Kombi. Dieses Jahr steht auch die Funktionalität von Möbeln und Räumen im Vordergrund. Unsere Technik und herumliegende Kabel verschwinden. Sessel mit eingebauten MP3- Player und Fernbedienung, soll das Fröhnen vor dem Fernseher noch komfortabler machen. Letzlich ist Kreativität gefragt und vor allem Mut mal wieder was zu verändern. Also mal wieder was trauen, sonst wird es nie was mit dem Traumraum!

Aus dem Wohntrends Report (2009): http://www.wohnen.de/wohntrends-2009.html

]]> http://itsicherheit.wordpress.com/2009/02/18/projekt-quamoco-plant-deutsches-gutesiegel-fur-softwarequalitat/ Wed, 18 Feb 2009 17:49:16 +0000 Guido Strunck http://itsicherheit.wordpress.com/2009/02/18/projekt-quamoco-plant-deutsches-gutesiegel-fur-softwarequalitat/

Ein Konsortium aus Forschungseinrichtungen und Unternehmen will in den kommenden drei Jahren einen Qualitätsstandard für Software-Produkte in Deutschland erarbeiten. Das erklärte Ziel: Künftig soll die Leistungsfähigkeit und Wirtschaftlichkeit von Software bewertbar und nachweisbar werden.

Das wäre auch längst an der Zeit. Noch immer gelten im Softwaresektor laxe Regeln zur Produkthaftung, die wir in anderen Bereichen wie etwa im Automobilbau, bei Lebensmitteln oder Elektrogeräten nicht akzeptieren würden.

Auch aus Sicht der IT-Sicherheit wäre eine höhere und zudem messbare Softwarequalität wünschenswert. Die meisten Sicherheitslücken gehen auf Mängel in verbreiteten Programmen zurück, weshalb regelmäßiges Patchen und Nachbessern mittlerweile sogar als Zeichen für ein aktuelles Sicherheitsniveau gilt. Man stelle sich vor: Ein BMW gelte als besonders verkehrssicher, wenn er einmal monatlich in die Werkstatt gebracht und auf schadhafte Teile gecheckt wird.

Jetzt soll ein Gütesiegel „Made in Germany“ für Software etabliert werden. In dem Projekt QuaMoCo (Software-Qualität: Flexible Modellierung und integriertes Controlling) arbeiten Unternehmen, Forschungseinrichtungen und die TU-München zusammen.

QuaMoCo nimmt sich dabei andere Branchen zum Vorbild: Dort haben sich Kriterien für die Qualitätsprüfung und detaillierte Normen bewährt, deren Einhaltung zum Teil sogar gesetzlich vorgeschrieben sind. Obgleich die Software-Industrie zentrale wirtschaftliche Bedeutung hat, fehlen hier ähnliche Ansätze.

Selbst gemeinhin akzeptierte Richtlinien fehlen. Existierende standardisierte Rahmenwerke für Softwarequalität, wie die ISO 9126 (Gebrauchstauglichkeit) bzw. ISO 25000 (Softwareprüfung und –zertifizierung), kommen bislang nicht zur vollen Wirkung, da sie in der Praxis aufgrund ihrer Allgemeinheit oft nicht direkt einsetzbar sind, sowie teilweise auf Kriterien basieren, deren Bedeutung in Bezug auf Geschäfts-, Projekt- und Produktziele unklar sind. Unternehmen behelfen sich häufig mit eigenen Qualitätsrichtlinien, die jedoch selten einen befriedigenden Grad an Vollständigkeit und Widerspruchsfreiheit bieten. Dieser Mangel an bindenden Normen für Software schadet so mittelbar vielen Branchen.

An dieser Ausgangslage orientiert sich das QuaMoCo-Projektteam: Angestrebt wird ein Software-Qualitätsstandard mit einem hohen Detaillierungsgrad. „Informatiker erhalten konkrete Richtlinien für ihren Entwicklungsprozess, um die Qualität von Software – wie Zuverlässigkeit, Sicherheit oder Wartbarkeit – nachweisbar sicherzustellen“, so Manfred Broy, Informatikprofessor an der TU München.

Eine besondere Herausforderung dürfte bei diesem Vorhaben in der Vielfalt bereits existierender Arten von Software liegen. Sie reicht von eingebettete Systemen, Mainframe-Anwendungen, Spielen, Büroanwendungen bis hin zu hoch-sicherheitskritischen Steuerungssystemen in Kraftwerken oder Rechenzentren. Und von monolithischen Legacy-Systemen bis zu Web 2.0 Applikationen.

Im QuaMoCo-Projekt soll daher ein Basis-Qualitätsstandard entwickelt werden, der durch beispielhafte, bereichsspezifische Subsstandards ergänzt werden soll.  Also letztlich eine Sammlung von Standards, bestehend aus einem „Hauptwerk“ und zahlreichen Anhängen und Untergliederungen für Detailbereiche. „Wir realisieren das für Standard-Software, Individual-Software, Informationssysteme und eingebettete Systeme. So wird unser Qualitätsstandard sehr flexibel einsetzbar. Und gleichzeitig müssen alle Qualitätsanforderungen vollständig integriert sein. Diesen Spagat müssen wir leisten“, so Broy hierzu.

Das Bundesministerium für Bildung und Forschung (BMBF) fördert QuaMoCo im Rahmen des Förderprogramms „IKT 2020“ mit 3,7 Millionen Euro. Der Eigenanteil der Industriepartner beläuft sich auf rund 2,2 Millionen Euro. Außerdem planen die industriellen Partner über das Projektvorhaben hinaus, weitere finanzielle Mittel in die Erforschung von Softwarequalität zu investieren. Letztlich in ihrem eigenen Interesse.

Der entwickelte Qualitätsstandard wird von den industriellen Projektpartnern in den eigenen Unternehmen sowie in Beratungsprojekten angewandt und soll darüber hinaus auch über ein Web-Portal einer breiten Öffentlichkeit zur Verfügung gestellt werden (in der technischen Regulierung ein eher unübliches Vorgehen). Die akademischen Kooperationspartner sollen eine nachhaltige Verbreitung der Ergebnisse zudem durch Anwendung in der Forschung und insbesondere in der Ausbildung zukünftiger Software-Ingenieure an den Hochschulen ermöglichen.

Darüber hinaus erlaubt ein fundierter und verbindlicher Qualitätsstandard in Kombination mit einem entsprechenden Konformitätsprüfungsverfahren, für Softwareprodukte ein Gütesiegel „Made in Germany“ zu etablieren, das in anderen Branchen seit langem zur weltweit erfolgreichen Vermarktung der Produkte beiträgt. Um diesen Erfolg in den Bereich der Softwareentwicklung zu übertragen und die benötigte Verbindlichkeit zu erreichen, soll im Rahmen des QuaMoCo-Projektes eine Normierung des Standards durch geeignete Gremien (z.B. ISO oder DIN) vorbereitet werden.

Software-Qualitätsmanager, Testmanager und IT-Prüfer sollten dieses Projekt im Auge behalten. Ebenso alle, die sich mit Sicherheitslücken in Programmen befassen.

QuaMoCo-Projektseite an der TU-München

Silicon.de: Deutsche Software erhält Gütesiegel

Viele Probleme im Bereich der IT-Sicherheit und des Datenschutzes können auf mangelnde Qualität der eingesetzten IT-Systeme zurückgeführt werden. Inzwischen ist es sogar ein „Qualitätsmerkmal“ guter Sicherheitsprozeduren in Unternehmen geworden, dass man Patches, also Fehlerkorrekturen an der eingesetzten Software zügig von Herstellern bezieht und einsetzt. Als ob man gute Qualität z.B. bei Autos daran messen würde, dass sie einmal monatlich (Microsofts normaler Auslieferungszyklus für Sicherheitsupdates) in die Werkstatt gefahren werden, um mangelhafte Teile auszutauschen.

Offenbar hat die Qualität bei Software noch längst nicht den Stand erreicht, der von anderen komplexen technischen Produkten heute durchaus verlangt wird. Viele Softwareanbieter schließen zudem in ihren Allgemeinen Geschäftsbedingungen (AGBs) ihre Haftung für Mängel in einem Maße aus, der z.B. bei Haushaltsgeräten schlicht rechtlich unzulässig wäre.

Was aber kann getan werden, damit Software besser wird? Und wie misst man überhaupt „gute Qualität“ bei Software? Schließlich wird die Debatte um die sog. „Softwarekrise“ in der Fachwelt bereits seit etwa vier Jahrzehnten geführt und hat zur Entstehung einer neuen Teildisziplin der Informatik geführt: dem Software Engineering bzw. der Softwaretechnik, d.h. der systematischen Entwicklung von Software im Sinne einer Ingenieursdisziplin.

„Unter Softwarequalität versteht man die Gesamtheit der Merkmale und Merkmalswerte eines Softwareprodukts, die sich auf dessen Eignung beziehen, festgelegte oder vorausgesetzte Erfordernisse zu erfüllen“ lautet eine gängige Lehrbuchdefinition des Qualitätsbegriffes für Software.

Der Begriff der Softwarequalität selbst ist zunächst abstrakt daher und in der Praxis direkt anwendbar. Deshalb existieren Qualitätsmodelle und Best-Practice-Vorgehensweisen der Softwareentwicklung, die durch eine weitere Detaillierung und Konkretisierung das Konzept der Softwarequalität praktisch umsetzbar machen.

Hacker aber auch IT-Sicherheitsexperten haben eine regelrechte Wissenschaft daraus gemacht, nach Fehlern in Softwareprodukten zu suchen. Für sie sind Exploits (Programmdefekte aus denen man Nutzen ziehen kann) keine Frage des „ob“ sondern nur des „wann, wie und wo“.

Aber auch Qualitätsmanager und Prüfer gehen der Softwarequalität immer systematischer auf den Grund. Inzwischen gibt es regalmeterweise Standards und Normen, welche Eigenschaften gute Software hinsichtlich Funktionalität, Gebrauchstauglichkeit, Datenschutz und Sicherheit aufweisen sollte. Und wie man diese messen kann. Aber auch hier gilt das Grundprinzip des Qualitätsmanagements, wonach man Qualität besser gleich „mit einbaut“ anstatt sie nachträglich „reinzuprüfen“. Und dass qualitativ hochwertige Produkte zwar zunächst aufwändiger in der Entwicklung und Produktion sind. Aber im Nachhinein weniger Kosten und Ärger verursachen. Man muss demnach nachhaltig und längerfristig denken können, um Qualitätsprodukte entwickeln zu können.

Gerade das aber sind Tugenden über die es sich nachzudenken lohnt. Insbesondere in ökonomischen Krisenzeiten, in denen ein „Weiter so“ nicht akzeptabel wäre. Krisen sind Anreize dazu Dinge grundlegend anders und besser zu machen. Das gilt in einer zunehmend informatisierten Gesellschaft auch und gerade für Softwareprodukte.

Seit Wochen wir Friendfeed für mich immer überflüssiger. Meine Alternative Facebook kann mehr, besser und ist darüber hinaus noch ein Social Network erster Güte ist.

Der dortige Relaunch war zwar gewöhnungsbedürftig, ist aber doch sehr angenehm. Nach einer Woche hatte ich mich auch daaran gewöhnt Funktionen am unteren Bildschirmrand zu suchen. Aber dort sind sie eigentlich gut aufgehoben.

Das schöne an Facebook: Ich kann Statusmeldungen, die meine Freunde (via Twitter, Friendfeed, Blog…) auf Facebook posten,  allesamt per Feed abonieren. Meine eigenen Aktualisierungen kann ich anderes herum auch ganz bequem per Feed zur Verfügung stellen. Das ist ja die eigentliche Idee von FriendFeed. die Umsetzung gelingt bei Facebook aber etwas besser.

Feine Sache.

Zudem sehe ich in Facebook die große Chance die weniger Web-affinen Nutzer an die Möglichkeiten des Web 2.0 heran zu führen.Wenn sie sehen, dass sie meine Reiseroute über dopplr erfahren, haben sie vielleicht lust ihre Route auch zu teilen… Anderes Beispiel:

Wenn ich, wie mit Picnik, meine Photos direkt bei Facebook bearbeiten kann, muss sich kaum noch jemand mit anderen Programmen beschäftigen, um seine Urlaubsfotos zu teilen. Er lädt sie bei Facebook hoch, bearbeitet sie dort, und seine Freunde werden direkt und automatisch über die neuen Bilder informiert.

Sicher, auch nur ein Beispiel.

Aber bei der Funktionalität von Facebook sehe ich (trotz Massenwirkung) keine große Zukunft für StudiVZ.

Widder-Stuhl

Widder-Phantasie

Photo C. Schanzenbach

kaltes Metall, weiche Federboa, sinnliches Model

Gedanken zu diesem Stuhl: Funktionalität wird viel zu sehr überbewertet. Denn das, was wir doch in Wirklichkeit lieben, ist oft einfach “unpraktisch”, nicht funktional, aber > macht Spass. Und das ist doch das Wichtigste im Leben. Oder??

Antrieb für das Konzept von betterplace war unter Anderem die persönlichen Erfahrungen mit dem Spenden, die viele von uns befragte Menschen teilen, und die auch in vielen Umfragen bestätigt wird.

Gerade jüngere Generationen sind nicht zufrieden mit den klassischen Wegen des Spendens und dei Möglichkeiten des sozialen Engagement sprechen sie nicht an. Ohne die konkrete Erfahrung extremer Armut, hätten womöglich auch wir die gleichen drei Gründe genannt, warum wir nichts tun:

• Ich bin dem richtigen Projekt noch nicht begegnet, habe noch keine Möglichkeit gesehen etwas mit den Mitteln, die ich habe sinnvoll zu unterstützen
• Zu viel meiner Spendegeht unterwegs verlore, zu wenig kommt erreicht ihr Ziel
• Es gibt keinen direkten Kontakt mit den Menschen, die ich unterstütze und ich kann nicht miterleben, was für einen Unterschied mein Beitrag macht

Von Anfang an war es unser Ziel, diesen Argumenten die Grundlage zu entziehen. Schaut euch an, was wir bis jetzt draus gemacht haben und sagt uns, ob es die richtige Richtung ist, bei der jeder:

• selbst entscheiden kann, welches Projekt er wie unterstützen möchte
• weiss, daß von betterplace 100% weitergegeben wird
• von den Menschen vor Ort direkte Rückmeldung bekommt, wie die Unterstützung eingesetzt wird

Wir werden noch viele neue Möglichkeiten und Funktionen bei betterplace einbauen und freuen uns immer über Rückmeldungen und Vorschläge. In den nächsten Tagen werden wir einen Ausblick auf die nächsten Funktionen geben… Spenden per Kreditkarte und Lastschrift ist auf jeden Fall dabei.