Page 1

Ausgabe 49 | DEZEMBER 2018

BLOCKCHAIN BLOCKCHAIN-SECURITY ES MUSS NICHT IMMER BLOCKCHAIN SEIN

PLU

Aber wenn, dann bitte richtig

VERTRAUEN IST EIN SCHEUES REH Jenseits des Hypes um die Blockchain

Folgen Sie uns auf Twitter. Facebook. Instagram.

S: Die a ktuel len Schul ungstermi ne 2018/ für 19

ISSN 2367-3516

Unsichere Smart Contracts?

twitter.com/SQMagazin / facebook.com/SQforyou / instagram.com/isqicert


Nagarro begleitet Kunden in die Zukunft der Digitalisierung und löst die Herausforderungen in einer rasant wachsenden IT-Branche. Unternehmen vertrauen auf Nagarro, um entscheidene Wettbewerbsvorteile zu erzielen. Die Unternehmensschwerpunkte liegen auf agiler Software-Entwicklung und Software-Testing, Cloud-Technologien sowie Transformationsprojekten für Industrie 4.0 Lösungen. In Österreich sind das Cloud Competence Center und die Business Unit für Testautomatisierung beheimatet. Nagarro gehört zur deutschen Allgeier Gruppe mit Sitz in München und beschäftigt in 20 Ländern über 5.000 Expertinnen und Experten.

Anfang 2018 erwarb Nagarro das Softwarehaus ANECON. Die beiden Unternehmen verstärken einander mit einem starken lokalen Footprint einerseits und internationalen Delivery-Ressourcen bzw. Branchen-Experten anderseits. Das garantiert eine starke Partnerschaft, die sich den Herausforderungen der rasant wachsenden IT-Branche stellt.

www.nagarro.com/jobs

JOIN OUR TEAM We‘re hiring software experts!


3

Ausgabe 49  |  Dezember 2018

Editorial

Frohe Weihnachten und ein erfolgreiches neues Jahr! Liebe Leserinnen und Leser, ein spannendes Jahr liegt hinter uns. Ein Jahr, welches auch für uns wieder viele Herausforderungen und viel Arbeit mit sich brachte. Wie versprochen, haben wir neue Themen erfolgreich am Markt platziert: DSGVO, IoT, Selenium Testing, Design Thinking und Performance Testing bereichern unser Portfolio. Aber auch die bewährten Weiterbildungsangebote rund um Testing, Requirements Engineering und Agile werden weiterhin stark nachgefragt. Wie wir es angekündigt hatten, sind wir auch intern weiter den Weg der Digitalisierung gegangen. Der Vorteil für Sie: schnellere Bearbeitung Ihrer Anliegen und größtmögliche Flexiblität. Wir bleiben weiter dran. Und nun schauen wir bereits auf das kommende Jahr. Viele neue Mitarbeiterinnen und Mitarbeiter werden die iSQI- und ASQF-Familie bereichern.

Mit der guten Mischung aus Erfahrung und neuen Ideen, digitaler Infrastruktur und einer modernen Unternehmenskultur sind wir bestens gerüstet für die Aufgaben, die im nächsten Jahr auf uns warten. Auch Ihre Ideen und Anregungen, Kritiken und Hinweise sind uns herzlich willkommen. Bringen Sie sich ein und begleiten Sie uns aktiv auf dem Weg in das nächste Jahrzehnt! Ich wünschen Ihnen, Ihren Familien und Kollegen eine schöne Adventszeit und ein gesegnetes Weihnachtsfest. Wir sehen uns! Im neuen Jahr 2019.

Ihr Stephan Goericke ASQF-Hauptgeschäftsführer

Was ist Ihre Meinung oder Erfahrung? Teilen Sie mir Ihre Gedanken mit! Ich freue mich auf Ihre Zuschrift und einen anregenden Austausch zu den verschiedensten Themen. s.goericke@sq-magazin.de


BLOCKCHAIN

ZWISCHEN HERAUS­ FORDERUNG UND BEREICHERUNG

ES MUSS NICHT IMMER BLOCKCHAIN SEIN

14 REX BLACK ZUM SELENIUM TESTER FOUNDATION

ABER WENN, DANN BITTE RICHTIG.

Inhalt

09 40 06 ASQF-NEWS SCHWERPUNKT 09 ES MUSS NICHT IMMER BLOCKCHAIN SEIN ABER WENN, DANN BITTE RICHTIG. 27

VERTRAUEN IST EIN SCHEUES REH JENSEITS DES HYPES UM DIE BLOCKCHAIN

31 BLOCKCHAIN-SECURITY UNSICHERE SMART CONTRACTS? 34 4 SCHLÜSSELFAKTOREN BEIM TESTEN VON BLOCKCHAIN ANWENDUNGEN

IM GESPRÄCH 14 Prof. Dr.-Ing. Katarina Adam BLOCKCHAIN ZWISCHEN HERAUS-­ FORDERUNG UND BEREICHERUNG 40 Rex Black SELENIUM TESTER FOUNDATION

37 iSQI-NEWS


5

BLOCKCHAIN GLOSSAR So sehr Blockchain auch in aller Munde sind, werfen manche Begriffe in diesem Zusammenhang doch eher mehr Fragen auf, als dass sie zu der Beantwortung beitragen. Um diese Ausgabe des SQ-Magazins auch ohne Expertenwissen im Bereich Blockchain leicht lesen und verstehen zu können, haben wir die wichtigsten Begriffe zusammengetragen:

B FULL NODES Nach den Regeln von Bitcoin verifizierter Server zur Speicherung der gesamten Blockchain.

B HASH­SUMMEN

SHARED LEDGER

Das Ergebnis einer Funktion, welche beliebigen Inhalt auf eine Zeichenkette fester Länge abbildet, nennt sich Hash oder Hashsumme. Aus dem Hash lassen sich die Originaldateien nicht wieder herleiten.

Auf alle Nodes repliziertes ‚Hauptbuch‘ mit der vollständigen Auflistung aller jemals getätigten Transaktionen (Blöcke).

B MINER Durchführung von Berechnungen (Proof of Work) um Transaktionen zu bestätigen und die Sicherheit zu erhöhen.

MININGFARMEN Datenzentren zur Generierung der Blöcke inklusive der Rechenzeit-aufwändigen Prüfsummen (mit speziellen Anforderungen) und Signaturen.

SMART CONTRACTS Ein Programm/Vertrag, der in der Blockchain gespeichert wird und auf allen im Netzwerk beteiligten Maschinen ausgeführt wird.

BB INITIAL COIN OFFERINGS Verkauf von Tokens oder einer anderen Kryptowährung meist bevor deren Veröffentlichung.

B

MINING-POOL

WALLETS

Zusammenschluss aus mehreren Minern mit dem Ziel, die Wahrscheinlichkeit einen Block an die Blockchain anhängen zu können, zu vergrößern.

Eine Art Container zur Speicherung von private keys und Beträgen von Bitcoin, der nur dem Eigentümer (Berechtigten) zugreifbar sein soll.

mit freundlicher Unterstützung unserer Autoren Wilfried Kirsch und Prof. Dr. Hartmut Pohl, softScheck GmbH


ASQF NEWS

Ausgabe 49  |  Dezember 2018

6

EXKLUSIVE RABATTE FÜR ASQF-MITGLIEDER Software Quality Days 15.-18.01.2019, Wien 20% RABATT FÜR ASQF-MITGLIEDER

REConf 11.-15.03.2019, München 15% RABATT FÜR ASQF-MITGLIEDER

FTA-Praxisforum Fehlerbaumanalyse & Co. 2019 27.-28.03.2019, München 10% RABATT FÜR ASQF-MITGLIEDER

VariantWorld 2019

ASQF Arbeitsgruppe Secure Software Engineering

03.-04.04.2019, Berlin 10% RABATT FÜR ASQF-MITGLIEDER

MOBILE MACHINES 2019 14.-15.5.2019, Leinfelden-Echterdingen 10% RABATT FÜR ASQF-MITGLIEDER

Neue Mitglieder im ASQF e.V. Allgeier Engineering GmbH München www.allgeier-engineering.com Beta Systems DCI Software AG Berlin www.betasystems.com/de

Werden Sie Mitglied im ASQF! Jetzt Mitgliedsantrag stellen und Teil einer Community aus über 1.400 Qualitätsexperten werden. www.asqf.de/asqf/mitglied-werden

Winter, Frühling, Sommer, Herbst: Vor einem Jahr rief der ASQF Experten auf, eine Arbeitsgruppe zu gründen. Unter dem Titel „Secure Software Engineering” wurde seither ein Lehrplan entwickelt. Der Inhalt ist die Umsetzung von Maßnahmen der Cyber Security in der Anwendungsentwicklung. Denn die digitale Transformation ist in vollem Gange und verspricht in naher Zukunft selbstfahrende Autos, selbsteinkaufende Kühlschränke und die selbstwartende Industrie. Die Einwände gegen eine vernetzte und durchdigitalisierte Zukunft sind berechtigt: Bequem ist schön und gut, der Sicherheitsaspekt sollte aber berücksichtigt werden. Um Entwicklern die Best Practices, vom Software Lifecycle über Requirements Engineering bis hin zum Testing und Betrieb nahe zu bringen, haben wir intensiv einen Lehrplan ausgearbeitet. Mit dem erworbenen Zertifikat zum Secure Software Engineer werden Entwickler die Kompetenz in ihr Team mitbringen, Aspekte der Cyber Security

vom Design bis zur Außerbetriebnahme eines Software-Haus Produktes zu berücksichtigen. Hierbei können und sollen nicht die Details aus anderen Fortbildungen wiederholt werden. Stattdessen werden die Security-relevanten Spotlights gesetzt. In drei Tagen geht es von Normen über Prozesse zum konstruktiven und analytischen Software-Engineering. Der Lehrplan ist allgemein genug gehalten, um in dem Kurs der Fortbildung auch auf unterschiedliche Schwerpunkte eingehen zu können: Web-Entwicklung, Embedded in Automation und Automotive oder klassische DesktopSysteme bringen jeweils eigene Besonderheiten mit, auf die die Trainer eingehen werden. Der Certified Professional Secure Software Engineer (CPSSE) wird also ein solides und allgemein anwendbares Grundwissen auf dem Gebiet sicherer Software-Entwicklung vermitteln. Max Perner, Software Developer, infoteam Software AG


7

ASQF NEWS

Qualitätssicherung in Industrie 4.0 und IoT Zwei Schlagworte, die man derzeit immer wieder hört, sind „Industrie 4.0” und „Internet of Things” (IoT). Wie sich diese Trendthemen auf den Bereich Qualitätssicherung und Software-Tes­ ten auswirken, wurde beim Testing Day Niedersachsen am 20. September 2018 intensiv diskutiert. Dr. Armin Metzger (German Testing Board e.V.) stellte vor, worum es beim IoT überhaupt geht und an welcher Stelle im Prozess man die Qualität am besten sichern kann. Auch welche Chancen und Gefahren es durch die neuen Entwicklungen in diesem Bereich überhaupt gibt, waren Thema seines Vortrags. Im Anschluss stellte Alexandra Schladebeck (Bredex GmbH) die Rolle des Testers im IoT-Umfeld vor. Welche Skills sind in Zukunft tatsächlich wichtig? Was kann und soll ein Tester eigentlich leisten können? Frau Schladebecks Antwort auf die zweite Frage umfasst die Stichpunkte: Quality Engineering, Qualitätssicherung, Testen und Checken. Dann wurde das erste Mal auf einem ASQF-Day ein Speaker per Webkonferenz zugeschaltet: Nils Röttger (imbus AG) referierte aus der fränkischen Heimat Richtung Braunschweig über Usability Tests für Apps und Teile des IoT. Dabei wurde auch die Bedeutung der Requirements zum Testen der Usability hervorgehoben. Matthias Pruksch (sepp.med gmbh) streute wiederum etwas Magie auf dem Testing Day mit seinem Vortrag „Der Geist aus der Flasche – oder wa-

rum das IoT automatisierte Tests benötigt“. Darin betonte er die Wichtigkeit der Wertschöpfung aus Daten und präsentierte Wünsche an datengetriebene Geschäftsmodelle. Im Anschluss stellte Tim Winselmann (Bredex GmbH) ein Projekt im mittelständischen Produktionsgewerbe vor, konkret „Kosten sparen durch Sensoren, eine Fallstudie um industrielles IoT zu testen“. Für alle Teilnehmer war es sehr interessant zu hören, wie die Kommunikation mit wenig digitalisierten Unternehmen läuft und welche Hürden es bei Projekten dort gibt. Sehr lebhaft diskutierten die Referenten zum Schluss in einer halbstündigen Podiumsdiskussion, moderiert von Fachgruppenleiter Guido Werner (Edag GmbH). Zur Sprache kamen dabei nicht nur technische Detailfragen sondern die Auswirkungen des IoT: der Nutzen und die Gefahren. Muss etwas entwickelt werden, nur weil es möglich ist? Was machen Entwicklungen im Bereich der Künstlichen Intelligenz mit dem Menschen? Wie entscheiden selbstfahrende Autos bei einem drohenden Unfall, wer lebt und wer stirbt? Alle waren sich einig, dass solche Fragen weiter intensiv diskutiert werden müssen, z.B. auch im Digitalrat der Bundesregierung. Wir bedanken uns bei den Vortragenden und den Sponsoren iSQI, BREDEX, CGI, eggplant, CTS eventim, imbus AG, Sogeti, BVMW und dpunktVerlag für einen erfolgreichen Testing Day Niedersachsen und hoffen auf ein baldiges Wiedersehen.

Kommende ASQF-Days

2019

v.l.nr. Guido Werner, Tim Winselmann, Alexandra Schladebeck, Norman Lieder, Matthias Pruksch, Dr. Armin Metzger

WWW.ASQF.DE/ASQF-DAYS


ASQF NEWS

Ausgabe 49  |  Dezember 2018

8

DevOps@Agile Rückblende auf die Agile Night Austria 2018 Die zweite Agile Night Austria stand ganz im Zeichen von DevOps und der Frage, unter welchen Voraussetzungen und Rahmenbedingungen DevOps im agilen Umfeld funktioniert und gelebt werden kann. In ihren Präsentationen gingen die Vortragenden sowohl auf technische als auch prozessuale, organisatorische, persönliche und kulturelle Aspekte ein. Sie zeigten so ein breites Spektrum, dessen man sich bei der Einführung von DevOps im Unternehmen bewusst sein sollte. Ingrid Vukovic (BearingPoint) zeigte z.B. auf, dass der Slogan „You build it, you run it!” durchaus ein Problem darstellen kann. Scrum-Teams, vielleicht erweitert um einen DevOps-Engineer, können oder wollen oft nicht so einfach einen 24x7 Betrieb gewährleisten, wie dies bei einem eingespielten Rechenzentrumbetrieb gegeben ist. Durch die Integration von Development und Operations ändern und erweitern sich auch die Aufgaben und Rollenbilder in den Teams. Potentiell übernehmen alle Teammitglieder Tätigkeiten eines klassischen Operations bis hin zum Help-Desk. Steffen Schild (CLEAR Group) ging aus Sicht eines agilen Testers darauf ein, wie sich dessen Wirkungsspektrum erweitert. Beispielsweise um das Herstellen und Wiederherstellen von TestUmgebungen oder das Monitoring der Produktionsumgebung des Nutzerverhaltens. Daraus zieht er direkt Rückschlüsse auf Qualitätsprobleme. Die Unmittelbarkeit dieser FeedbackZyklen ist ein entscheidender Vorteil von DevOps. In seinem Fazit sieht er den Qualitätssicherer bzw. den Tester als Brücke zwischen Entwicklung, Betrieb und den Stakeholdern des Unternehmens und somit als Herzstück von DevOps. DevOps@Agile ist aber auch geprägt durch kurze Deployment-Zyklen. „Continuous Everything“ ist nur durch massiven Einsatz von automatisierten

Abläufen und Tätigkeiten möglich. Thomas Fehlmann (Euro Project Office) erläuterte in seinem Vortrag eine Methode zur automatisierten TestfallGenerierung. Diese funktioniert auf Basis und durch Abgleich geeignet dokumentierter User-Stories mit entsprechenden Test-Stories und Test-Cases. Im Zentrum stehen die „Data-Movements“ zwischen Prozessen, Applikationen, Systemen, Datenbanken, Services und Devices. In einem konkreten Beispiel ging er auf die Anwendung dieser Methoden und Werkzeuge bei der Entwicklung von Software für autonome Fahrzeuge ein. Im Bereich des Internet of Things (IoT) bietet sich dieses Verfahren ebenfalls an. Damit jedoch der Aufwand für die Fehlersuche und Fehlerbehebung nicht zum Mühlstein im agilen DevOps-Projekt wird, müssen Fehlerquellen von vornhinein möglichst eingeschränkt werden. Ganz vorne in der Rangliste der effektivsten Fehlerverursacher liegt die mangelnde bzw. fehlerhafte Kommunikation. Thomas Goldberger (Nagarro) berichtete über seine Erfahrungen mit Behaviour Driven Development (BDD). Die gemeinsame Sprache und semiformale Notation – die auch für Mitarbeiterinnen und Mitarbeiter der Fachbereiche gut verständlich ist –

spielt dabei eine wesentliche Rolle. Somit kann über alle Stakeholder hinweg wesentlich mehr Klarheit und Präzision in die Formulierung der Anforderungen und Akzeptanzkriterien gebracht werden – mit dem zusätzlichen Vorteil der teilweise automatisierten Erstellung von Testabläufen. Doch all dem Vorangegangen zum Trotz: „Die Wahrheit liegt im Code“ und dieser Wahrheit stellt man sich oft nicht sehr gerne. „Code-Cop“ Peter Kofler führte dennoch deutlich vor Augen, was passiert, wenn man nicht frühzeitig und regelmäßig auch auf die „inneren Werte“ von Software-Code achtet: Unwartbarkeit, kostspielige und riskante funktionale Änderungen und Erweiterungen, Anstieg der Fehlerraten der Produktion. Daher lautet sein Motto „Developing Quality Software Developers”! Vielen Dank an alle Teilnehmer und Vortragenden bei der Agile Night Austria 2018 sowie an unsere Sponsoren und Partner Eggplant, iSQI, Microsoft, Nagarro, Software Quality Lab, Austrian Testing Board, d.punkt-Verlag und der STEV-Österreich. Manfred Baumgartner, Leiter der ASQFFachgruppe Agilität Österreich


Schwerpunkt

9

ES MUSS NICHT IMMER BLOCKCHAIN SEIN ABER WENN, DANN BITTE RICHTIG.

Die Geschichte der Blockchain ist eine Geschichte voller Missverständnisse. Für einige ist die Blockchain nur eine Datenstruktur aus miteinander verketteten Blöcken, für die anderen umfasst es zusätzlich eine Peer-to-Peer Infrastruktur mit integriertem Konsensus Algorithmus für ein verteiltes manipulationssicheres Datenregister (Ledger). Ursprünglich wurde sie konzipiert, um eine Änderungshistorie sicher abzuspeichern. Jeder Block der Kette baut in einer bestimmten Weise auf Eigenschaften des vorherigen Blockes auf. Diese Verkettung wird dann durch kryptografische Hashverfahren gesichert. Dabei wird in der Regel sichergestellt, dass das Verifizieren der Verkettung einfach ist, das Hinzufügen eines neuen Blockes jedoch schwer. Über das Thema Blockchain herrschen die unterschiedlichsten Meinungen. Viele Leute unterscheiden nicht korrekt zwischen Blockchain, Digital Leger und Kryptowährungen oder meinen, es gäbe nur „die Blockchain”. Auch die viel umworbenen Eigenschaften von Ausfall- und Manipulationssicherheit sind nicht inhärent Teil der Blockchain, sondern ergeben sich erst in Kombination aus weiteren Prozessen und Komponenten.

BITCOIN Die erste und wohl auch bekannteste Umsetzung einer Blockchain ist das sogenannten „Bitcoin-Netzwerk” und ihre Währung Bitcoin. Ziel der BitcoinGemeinschaft ist es, einen unabhängigen und dezentralen Gegenpol zum etablierten Finanzsystem der aktuellen Fiat-Währungen zu schaffen. Im Jahre 2008 wurde das so genannte „Bitcoin Whitepaper”, dessen Urheber unter dem Pseudonym „Satoshi Nakamoto” bekannt ist, in einschlägigen Internetkanälen verbreitet und fand dort schnell Anklang. Die stark wachsende Bitcoin-Community begann alsbald mit der Implementierung des Netzwerks und schon am 9. Januar 2009 wurde der erste Block der BitcoinBlockchain generiert. Bis heute kamen weitere 546.294 Blöcke hinzu. Somit kommt die Bitcoin-Blockchain mittlerweile auf eine Gesamtgröße von 219.10 GB (Stand: 28. Oktober 2018). Das Bitcoin-Netzwerk selbst ist ein dezentrales Peer-to-Peer-Netzwerk und setzt sich aus einer Vielzahl von unterschiedlichen Teilnehmerknoten zusammen. Jeder Teilnehmer entscheidet selbst, welche Rolle er in diesem Netzwerk übernimmt. Existierende Teilnehmertypen sind z. B. Miner, Fullnodes, Routingnodes und Wallets. Die


Schwerpunkt

„Bitcoin und Co. sind aufgrund der Masse an Teilnehmern so erfolgreich, nicht einzig und allein wegen der eingesetzten Technologie.“

Ausgabe 49  |  Dezember 2018

Teilnehmer selbst sind für die Verifizierung und die verteilte Speicherung der Blockchain zuständig, mit der Generierung neuer Blöcke beschäftigen sich allerdings direkt nur die so genannten „Miner“. Alle Teilnehmer können dagegen Transaktionen in das Netzwerk senden. Hierbei entspricht eine Transaktion einer Überweisung einer gewissen Menge an Bitcoins von einer BitcoinAdresse zu einer oder mehreren anderen. Die Miner sammeln, prüfen und verarbeiten die gesendeten Transaktionen und fügen diese gegen eine Gebühr mit in den nächsten Block ein. Das Erzeugen eines Blocks ist im Bitcoin-Netzwerk mit dem Lösen eines kryptographischen Puzzles verbunden, dessen Ergebnis nachträglich verifizierbar ist (Proof-of-Work Konzept). Findet ein Miner eine Lösung für das Puzzle, kann dieser den nächsten Block für die Kette erzeugen. Der neue Block wird sofort von den direkten Nachbarknoten des Miners verifiziert. Sollte der Block valide sein, wird er weiter im Netzwerk propagiert, ansonsten direkt verworfen und der entsprechende Miner wegen Betrugsvorwurf auf eine Sperrliste gesetzt. Die Teilnehmer, welche den Block akzeptieren, hängen diesen, mit den darin enthaltenden Transaktionen, an das Ende ihrer Kopie der verteilten Blockchain. Der Miner, der das Puzzle belegbar zuerst gelöst hat, wird nachträglich vom Netzwerk für seine Arbeit in Form von „neuen Bitcoins” entlohnt. Im Gegensatz zur Blockgenerierung ist die Verifizierung eine sehr einfache und schnelle Operation. Dies ist der primäre Mechanismus, der das Netzwerk gegen Manipulation von Transaktion, bösartigen Teilnehmern und sonstigen DoS-ähnlichen Angriffen schützt. Der Schwierigkeitsgrad des kryptographischen Puzzles wird ca. alle zwei Wochen automatisch angepasst und orientiert sich an der zuvor aufgebrachten Rechenleistung des Netzwerks. Ziel ist es, die Schwierigkeit so

10

anzupassen, dass ein Block im Schnitt alle zehn Minuten gefunden wird. Das Lösen der Puzzles war anfangs noch mit Endverbraucher-Hardware machbar und eine lukrative Nebeneinnahme für viele Teilnehmer. In den letzten Jahren wurde allerdings – meist aus Ländern mit niedrigen Stromkosten und durch Spezialhardware (ASIC) – so viel Rechenleistung dem Netzwerk hinzugefügt, dass der Schwierigkeitsgrad rasant ansteigen musste, um die zehn Minuten Zeitspanne zu halten. Dieser Wettkampf zwischen immer schnellerer Hardware und steigendem Schwierigkeitsgrad resultiert aktuell in einem netzwerkweiten Stromverbrauch, der dem eines kleinen Landes entspricht. Wenn im Jahr 2140 der letzte der momentan technisch auf ca. 16,4 Mio. begrenzten Bitcoins erzeugt und zugeteilt wurde und das Bitcoin-Netzwerk oder Währungen an sich noch existieren, wird die Anzahl der Miner und damit der Stromverbrauch wahrscheinlich sinken, da ab diesem Zeitpunkt als Anreiz für das Minen nur noch die „Transaktionsgebühren” verbleiben. Ob der Wert dieser Gebühren, den Einsatz von Mining-Pools und Mining-Farmen dann noch finanziell rechtfertigt, muss von zukünftigen Generationen entschieden werden. Das Bitcoin-Netzwerk ist jedenfalls, in seiner heutigen Form, dank der automatischen Anpassung gegen einen spontanen Ausfall von Minern gesichert. Ein anderes Problem des Netzwerkes sind die Limits der Blockgenerierungsrate und der Blockgrößen. Mit einer ca. zehnminütigen Bearbeitungszeit eignet es sich nicht wirklich für MicroTransaktionen und ist damit für den täglichen Gebrauch eher untauglich. Abhilfe soll hierfür u.a. eine schnellere Netzwerkschicht auf dem BitcoinNetzwerk, das so genannte „Lightning Network”, schaffen. An dieser Erweiterung, welche nicht direkt auf der Blockchain-Technologie basiert, wird seit 2017 aktiv gearbeitet. Erste Tests


11

wurden bereits Anfang 2018 unternommen und der erste Kaffee konnte in Sekunden statt Minuten mit Bitcoin bezahlt werden. Zusammengefasst kann man sagen, dass das Bitcoin-Netzwerk sich seit seiner Entstehung vor knapp zehn Jahren als erstaunlich flexibel und entgegen vieler Erwartungen als sehr widerstandsfähig erwiesen hat, wenn auch die Entwicklung dieser Technologien noch lange kein Ende gefunden hat.

ETHEREUM (BLOCKCHAIN 2.0 MIT „SMART CONTRACTS”) Neben Bitcoin gibt es noch weitere Blockchain-Netzwerke. Das wohl bekannteste nach Bitcoin ist das „Ethereum-Netzwerk” und seine Währung „Ether”. Im Gegensatz zum BitcoinNetzwerk liegt der Schwerpunkt hier stärker auf „wirtschaftlicher Innovation” als auf Unabhängigkeit vom zentral regulierten Finanzsystemen. Im Grunde ist das Ethereum-Netzwerk dem Bitcoin-Netzwerk ähnlich, birgt aber dennoch einige wesentliche Unterschiede. Neben einer deutlich schnelleren Blockgenerierung von ca. 15 Sekunden pro Block, führte Ethereum neben der Verarbeitung und Speicherung von Transaktionen auch die sogenannten „Smart Contracts” als Daten- bzw. Transaktionstypen ein. Diese erlauben es, ausführbaren Programmcode in der Blockchain zu speichern, welcher von anderen Teilnehmern ausgeführt werden kann. Darüber hinaus lassen sich hiermit logische oder businessrelevante Prozesse abbilden und auch Drittsysteme anbinden und steuern. Ethereum bezeichnet Smart Contracts selbst gerne als „Unstoppable Programs”, was wohl der Tatsache entspringt, dass die Ausführung garantiert ist – solange das Netzwerk störungsfrei funktioniert – was wiederum durch die im BitcoinNetzwerk beschriebenen Mechanismen sichergestellt wird. Möchte ein Netzwerkteilnehmer einen

Smart Contract ausführen, so entspricht dies einer Transaktion in das Netzwerk. Die Transaktion enthält u.a. die Adresse des Programmcodes, in der Ethereum-Blockchain gegebenenfalls Aufrufparameter für die Funktion sowie eine geringe Bearbeitungsgebühr. Wie beim Bitcoin-Netzwerk auch, sammeln und prüfen die Miner diese Smart-Contract-Transaktionen zusätzlich zu den regulären Überweisungen. Der eigentliche Programmcode wird dann von den Minern, in einer EVM (Ethereum Virtual Machine), ähnlich wie bei Java, ausgeführt. Das Ergebnis wird wieder als eine Transaktion in den nächsten Block der Ethereum-Blockchain geschrieben. Jede einzelne Operation eines Smart Contracts verbraucht ein bestimmtes Kontingent an Rechenzeit. Das Gesamtkontingent eines Smart Contracts ist durch die Implementierung selbst begrenzt. Der aufrufende Teilnehmer muss der veranschlagten Rechenzeit des Smart Contracts entsprechend hohe Bearbeitungsgebühren überweisen, sonst läuft die Ausführung des Programmcodes nicht vollständig durch und seine Transaktion wird abgebrochen. Damit wird das Lahmlegen des gesamten Netzwerkes, z. B. durch

eine Endlosschleife in einem Smart Contract, verhindert. Mittlerweile gibt es eine Vielzahl an Anwendungsmöglichkeiten für die Ethereum-Blockchain und ihre Smart Contracts. Neben nicht ganz ernst gemeinten, in Form von Sammelspielen wie „Cryptokitties” oder als Ersatz für Trauzeugen und Heiratsverträge, gibt es auch viele sinnvolle Einsatzgebiete. Zum Beispiel werden in einigen afrikanischen Ländern Besitzansprüche manipulationssicher in der Blockchain gespeichert, um diese im Falle eines ungewollten Machtwechsels geltend zu machen. Die Blockchain wird hiermit zu einer Art digitalem Notar. Eine der komplexeren Anwendungen von Smart Contract ist wohl die Abbildung einer digitalen dezentralen auto-


Schwerpunkt

Ingo Breuer ist IT-Spezialist mit langjähriger Erfahrung in den Bereichen Software-Entwicklung, Infrastruktur und Penetrationstesting. Derzeit arbeitet er in der Abteilung Cybersecurity bei der Sogeti Deutschland GmbH.

Ausgabe 49  |  Dezember 2018

nomen Organisation (DAO). Hierbei ist die vollständige Entscheidungslogik einer Organisation in einem Smart Contract umgesetzt. Idealerweise in einer sehr effizienten Form, ohne den Overhead von z. B. Verwaltungs- und Managementstrukturen. Jeder Teilnehmer einer DAO kann allen anderen Teilnehmern Vorschläge, z. B. in Form neuer Smart Contracts, unterbreiten und darüber abstimmen lassen. Dank der Blockchain-Technologie können diese Abstimmungen nicht manipuliert werden und dank Smart Contracts können die Resultate auch direkt und automatisch umgesetzt werden. Von der Idee her hört sich dies eventuell erst einmal sehr nach „direkter Demokratie” an. Wobei man aber bei einem solchen Vergleich anmerken muss, dass es sehr auf die tatsächliche Logik, die im Smart Contract umgesetzt wurde, ankommt. Man könnte ja auch eine oligarchische DAO konstruieren. Mit Smart Contracts wurde der Blockchain-Community ein mächtiges und vielseitiges Werkzeug in die Hand gegeben. Allerdings hat dieses Werkzeug in seiner jetzigen Form auch einige Schwächen. So ist beispielsweise die Ethereumeigene Smart Contract-Sprache „Solidity” noch nicht zu 100 Prozent ausgereift, befindet sich aber in ständiger Weiterentwicklung. Auch gibt es diese Technologie noch nicht allzu lange, weswegen es an erfahrenen Entwicklern und Projektleitern mangelt. Das spiegelt sich in einer Vielzahl an spektakulären Ether-Diebstählen wider, verursacht durch einfache Programmierfehler in den Smart Contracts. Ein Beispiel dafür ist der einfach als „The DAO” bekannt gewordene Zwischenfall. Da Smart Contracts als Programmcode direkt auf der Blockchain gespeichert werden, kann jeder mit Zugriff auf diese auch den kompletten Programmcode einsehen. Das nutzen natürlich auch Kriminelle aus, um nach Schwachstellen zu suchen. Auch in der Implementierung der EVM,

12

welche als Teil jedes Miners den Programmcode der Smart Contracts ausführt, werden regelmäßig Fehler gefunden. Die Ethereum Foundation gibt sich allerdings viel Mühe, diese Fehler schnell zu beheben, Best Practices für Entwickler zu etablieren sowie sichere Bibliotheken und Beispiele bereitzustellen. Mittlerweile beschäftigen sich sogar etablierte Organisationen wie das Open Web Application Security Project (OWASP) mit Schwachstellen in Smart Contract und der BlockchainTechnologie. Es gibt u.a. auch schon die ersten CVE-Einträge bzgl. dieser Technologien. Das alles deutet auf einen noch fehlenden Reifegrad hin und lässt großes Potenzial im Bereich der Sicherheitstests von Smart Contracts erahnen.

FAZIT Die Blockchain-Technologie wird, im Rahmen der digitalen Nachweisbarkeit von Daten in Zukunft einen Vorteil für viele Bereiche bieten, wenn sie denn richtig eingesetzt wird. Leider besteht vielerorts die Meinung, die Blockchain sei einfach nur eine bessere Datenbank. Man könne also eine klassische Datenbank mit einem kleinen Blockchain-Netzwerk aus zwei Knoten ersetzen. Es sollte klar sein, dass das Konsensus-Prinzip mit so einem kleinen Netzwerk nicht funktionieren kann. An dieser Stelle funktioniert eine klassische Datenbank wesentlich besser und kann genauso gut repliziert und gesichert werden. Bitcoin und Co. sind aufgrund der Masse an Teilnehmern so erfolgreich, nicht einzig und allein wegen der eingesetzten Technologie. Wer sich mit dem Thema Blockchain wirklich auseinandersetzt und es nicht als Buzz- oder Hypeword ausnutzt, findet auch eine Reihe an interessanten und sinnvollen Anwendungsmöglichkeiten.


»T W I S T T H E S TAT U S Q U O . . .

. . .T O I M P A C T O U R D I G I TA L F U T U R E «

Europe‘s Interactive Business Festival for Movers & Makers

10 & 11 APR '19 www.hub.berlin

hub.berlin

5 ,0 0 0 + V I S I T O R S X 35 0 + S P E A K E R S X 1 ,0 0 0 + S TA R T U P S

#HUBBERLIN


Schwerpunkt

Ausgabe 49  |  Dezember 2018

BLOCKCHAIN

ZWISCHEN HERAUS­ FORDERUNG UND BEREICHERUNG Der Begriff der „Blockchain” geistert durch die Medien. Irgendwie hat sie mit Bitcoin zu tun und hat das Potential, das Bankenwesen umzukrempeln. Die Süddeutsche schreibt, die Blockchain kann das Frisieren vom Tacho im Auto unmöglich machen und selbstfahrende Autos mit heißen Extras, wie automatisches Bezahlen von Park- oder Mautgebühren, ausrüsten. Im Gesundheitswesen soll sie eingesetzet werden und überhaupt. Fast überall wo Digitalsierung und Automatisierung wichtig werden, soll die Blockchain ihre Rolle spielen. Doch was ist sie, die Block-

chain, eigentlich wirklich? Verschlüsselungstechnik? Kluger Speicher? Datenpolizist? Antworten darauf hat Prof. Dr.-Ing. Katarina Adam von der Hochschule für Technik und Wirtschaft (HTW) Berlin aus dem Fachbereich 4: Informatik, Kommunikation und Wirtschaft. Sie ist Expertin auf dem Gebiet Blockchain und hat mit dem SQ-Magazin über ihre Faszination von Blockchain-Technologien und die Entwicklung dieser gesprochen:

14


15

Frau Prof. Adam, was ist denn eine Blockchain nun? Ein verteiltes Register: Eine Blockchain ist die Aneinanderreihung von Blöcken, die verifizierte Daten speichert. Zunächst ist das kein Unterschied zu herkömmlichen Datenbanken, nur dass die Daten in einer herkömmlichen Datenbank „manipuliert“, also geändert, verändert, gelöscht, an andere Stelle geschoben werden können etc. Das alles kann man mit Daten, die auf einer Blockchain gespeichert werden, nicht machen. Das Wichtigste, was eine Blockchain von einer normalen Datenbank unterscheidet, ist, dass es spezifische Regeln gibt, wie man Daten in die Datenbank einträgt. Das heißt, es kann nicht mit anderen Daten kollidieren, die sich bereits in der Datenbank befinden (konsistent), es ist nur anhängig (unveränderlich), und die Daten selbst sind an einen Eigentümer gebunden (besitzbar), sie sind replizierbar und verfügbar. Schließlich sind sich alle einig darüber, wie der Zustand der Dinge in der Datenbank ist (kanonisch) ohne eine zentrale Partei (dezentralisiert). Woher kommt Ihre Begeisterung für Blockchain-Technologien? Was macht Blockchain für Sie persönlich so besonders? Besonders an dieser Technologie ist für mich, dass ich jeden Tag aufstehe und dazu lernen kann und darf. Lernen und Erkennen, wo der Einsatz von Blockchain unter welchen Annahmen in welchen Prozessen Sinn macht. Das ist Herausforderung und Bereicherung gleichermaßen! Wann kamen Sie das erste Mal mit Blockchain in Berührung? Das erste Mal hörte ich von dieser Technologie im Zusammenhang mit

Silk Road und Ross Ulbricht im Jahre 2013. Da ich Corporate Finance unterrichte, habe ich in diesem Zusammenhang mit Master-Studenten diskutiert, wie die Verwendung von einer digitalen Währung unser Verständnis zu Finanzierung verändern wird. Dass Blockchain so viel mehr als „nur” die Basis für Kryptowährungen wie Bitcoin sind, hat sich inzwischen herumgesprochen. Aber in welchem Bereich bietet sich die Verwendung von Blockchain-Technologien (außer eben im Finanzsektor) denn nun besonders an? Letztlich wird diese Technologie in jedem Industriesektor Einzug halten. Was jedoch unabdingbar für einen sinnvollen Einsatz ist, ist eine gute Prozessanalyse. Kennen Sie die Prozesse in Ihrem Unternehmen, dann ist es durch gezieltes Hinterfragen und Prüfen möglich, den Prozess herauszufiltern, der tatsächlich einen Mehrwert schafft. Blockchain zu nutzen, nur weil es momentan so hipp ist, macht keinen Sinn. Zusätzlich darf nicht vergessen werden, dass herkömmliche Datenbanken ebenfalls ihre Daseinsberechtigung haben und beileibe nicht jeder Prozess Blockchain-tauglich ist. Welchen Mehrwert haben BlockchainTechnologien im Alltag? Das hängt zunächst von der Perspektive ab. Für den einzelnen User wird es nicht so bedeutsam sein, ob im Hintergrund eine Blockchain basierte Lösung agiert. Vielmehr will „Joe Average“ eine App bzw. Eingabemaske haben, die er intuitiv bedienen kann und die ihm den Mehrwert bringt, den er sich von der App erwünscht. Wichtig werden kann für den User, dass er nicht mehr über einen Intermediär agieren muss, sondern verlässlich und sicher die Transaktionen direkt durchführen


Copyright Foto: HTW Berlin/Camilla Rackelmann.

Schwerpunkt

Prof. Dr.-Ing. Katarina Adam unterrichtet an der Hochschule für Technik und Wirtschaft (HTW) Berlin im Fachbereich 4: Informatik, Kommunikation und Wirtschaft. Sie engagiert sich im Bundesverband Blockchain im Bereich Real Estate.

Ausgabe 49  |  Dezember 2018

kann. Wichtig für mich ist auch, dass der Nutzer mittels so aufgebauter Lösungen in die Lage versetzt wird, selbst über seine Daten und (Aus-)Nutzung derselben zu bestimmen. Aus Unternehmenssicht können Blockchain-Lösungen ebenfalls erheblichen Mehrwert schaffen. Lassen Sie mich das Beispiel anführen, an dem ich gemeinsam mit drei Kollegen von meiner Hochschule am Forschen bin: Wir überlegen, wie wir eine Blockchainbasierte Lösung für CSR-Audits in der Supply Chain auch dann realisieren können, wenn Rohstoffe beispielsweise erst abgebaut werden müssen. Der Nachweis, dass z.B. beim Abbau dieser Rohstoffe keinerlei Kinder- oder Sklavenarbeit involviert ist, ist höchst erstrebenswert – für alle Beteiligten. Damit schaffen Unternehmen z.B. einen Mehrwert. Klassische andere Beispiele sind die effizienter, weil viel direkter gestalteten Prozesse. Hier ist das Stichwort die Kostenersparnis. Und, im Zuge von IoT, Industrie 4.0 etc. werden Tonnen von Daten allein in jedem Unternehmen produziert. Damit in Echtzeit die Sensoren miteinander und untereinander agieren können, kann eine Blockchain-Lösung über beispielsweise Smart Contracts einen Rahmen zur Verfügung stellen, der transparent und verlässlich nachvollziehbar ist. Dies generiert ebenfalls einen Mehrwert. Wie dieses dann im Einzelfall pro Unternehmen aussehen wird, muss man sich ansehen und analysieren. Wo steht die Entwicklung der Blockchain zur Zeit? Sind bisherige Entwicklungen überhaupt schon alltagstauglich? Es gibt mittlerweile keine Industrie mehr, die nicht den Einsatz von Blockchain Technology prüft. Jedes größere Unternehmen weltweit hat ein eigenes

16

Eine Blockchain ist die Aneinanderreihung von Blöcken, die verifizierte Daten speichert. Zunächst ist das kein Unterschied zu herkömmlichen Datenbanken, nur dass die Daten in einer herkömmlichen Datenbank „manipuliert“, werden können. Das kann man mit Daten, die auf einer Blockchain gespeichert werden, nicht machen.


Fit für morgen

17

K. Brünnler

Blockchain kurz & gut

Team, dass sich um die Prüfung von unternehmensspezifischen Use Cases kümmert. Daher, ja das Potential ist unbestritten. Warum es aber bisher noch keine massen- und damit alltagstauglichen Anwendungen gibt, liegt u.a. an der Komplexität der Materie und die Limitierung in den Transaktionen pro Sekunde. So schafft die BitcoinBlockchain 3,5 bis ca. 7 Transaktionen pro Sekunde, Ethereum schafft 15 Transaktionen pro Sekunde. Das reicht nicht aus für ein Massengeschäft. Sowie dieses Problem gelöst ist, an dem weltweit mit Hochdruck eine Vielzahl von verschiedenen Teams mit teilweise unglaublich interessanten Ansätzen arbeitet, wird diese Technologie auch im Massengeschäft Einzug halten. Wie sehen Sie die zukünftige Entwicklung der Blockchain-Technologien? Es gibt ja doch einige sich widersprechende Meinungen zwischen „die Blockchain ist DIE Zukunft“ und „die Blockchain ist noch vor ihrem Durchbruch auf dem absteigenden Ast…“ Sie kennen meine Begeisterung für das Thema. Ich gehöre damit klar zu der Gruppe, die überzeugt ist, dass Blockchain „DIE Zukunft“ ist. Eines ist jedoch gewiss: Man kann versuchen, diese Technologie zu verbannen oder zu ignorieren, nur „weggehen“ wird sie nicht!

2018, 90 Seiten € 11,90 (D) ISBN 978-3-96009-070-0 (O’Reilly)

Blockchain kurz & gut

O’REILLYS TASCHENBIBLIOTHEK

Kai Brünnler

A. M. Antonopoulos

Bitcoin & Blockchain – Grundlagen und Programmierung Die Blockchain verstehen, Anwendungen entwickeln 2. Auflage 2018, 412 Seiten € 36,90 (D) ISBN 978-3-96009-071-7 (O’Reilly)

T. Geis · K. Polkehn

Praxiswissen User Requirements Nutzungsqualität systematisch, nachhaltig und agil in die Produktentwicklung integrieren 2018, 220 Seiten € 32,90 (D) ISBN 978-3-86490-527-8

C. Avery

NEU

The Responsibility Process Wie Sie sich selbst und andere wirkungsvoll führen und coachen 2018, 294 Seiten € 24,90 (D) ISBN 978-3-86490-577-3

Vielen Dank Frau Prof. Adam.

NEU D. J. Anderson · A. Zheglov

Fit for Purpose Wie Unternehmen Kunden finden, zufriedenstellen und binden 2018, 302 Seiten € 34,90 (D) ISBN 978-3-86490-579-7

www.dpunkt.de Buch + E-Book: www.dpunkt.plus


FACHGRUPPEN-TERMINE Dezember 2018 bis Februar 2019 JANUAR 2019

FEB

JAN

26.01.2019: ASQF Qualitybrunch, Potsdam Gestern: V, heute: agil – und was ist mit der Qualität?

KW Mo

Di

Mi

Do

Fr

Sa

01

1

2

3

4

5

6

31.01.2019: FG Agilität, Nürnberg 18:00 – 20:00 Uhr

02

7

8

9

10

11

12

13

Vorankündigung

03

14

15

16

17

18

19

20

04

21

22

23

24

25

26

27

05

28

29

30

31

Fr

Sa

So

1

2

3

FEBRUAR 2019

12.02.2019: FG Software Test, Berlin 18:00 – 20:00 Uhr

KW Mo

Vorankündigung

Di

Mi

Do

35

WEITERE

So

April 2019: ASQF Testingday, NRW

36

4

5

6

7

8

9

10

37

11

12

13

14

15

16

17

38

18

19

20

21

22

23

24

39

25

26

27

28

Vorankündigung

Mai 2019: ASQF Project Management Day, Franken Vorankündigung

Alle Termine und Anmeldung unter: www.asqf.de/events

Das ASQF-Karriereportal Wir haben den passenden Job für Sie!

(Senior) Quality Assurance Professional EVENTIM.Inhouse mit Schwerpunkt Testautomatisierung

Spezialist für Qualitätssicherung und Testen für Beratung und Training (m/w/d) oose Innovative Informatik, Hamburg

CTS EVENTIM Solutions GmbH, Bremen

Technischer Software Tester (m/w) im agilen Umfeld Software Tester (m/w) Last- und Performancetest

Quality Assurance / Qualitätssicherung Professional (m/w) Teamleiter (m/w) Quality Assurance EVENTIM.TIXX

Software Tester (m/w) für Testautomatisierung

Software Testmanager (m/w) Account Manager (m/w) NRW Testautomatisierer C# / Java (m/w/d) CLEAR Group, Deutschland

Sogeti Deutschland GmbH, Ratingen, Hamburg, Frankfurt/Main, Stuttgart, München, Wolfsburg, Nürnberg

Security Tester (w/m) Agiler Tester/Testautomatisierer

Trainer und Berater (m/w)

(Junior) Test Automation Engineer

imbus AG, Deutschland

Software Quality Lab, Linz, Wien, Dornbirn, München

Qytera, Eschborn

Die ausführlichen Stellenangebote finden Sie auf asqf.de/karriereportal


der Hef tmitt

e heraus tren

Dezember 2018 - März 2019 Certified-Schulungen werden ausschließlich von akkreditierten Unternehmen durchgeführt. Das iSQI fungiert hier als Vermittler. Anmeldeformular und Preise unter www.isqi.org. Ort

Frankenthal Frankfurt Röttenbach Köln Braunschweig Hamburg Wolfsburg Braunschweig Berlin Braunschweig Ratingen Hamburg Berlin München (garantierte Durchführung) München Berlin Wien Berlin Berlin Frankfurt München Frankfurt Stuttgart Stuttgart Köln Berlin Ratingen München Röttenbach Frankfurt Köln Hamburg Stuttgart München Braunschweig München Düsseldorf Frankenthal Wien Köln Linz Hamburg Stuttgart München/Unterhaching Hamburg Stuttgart Berlin Stuttgart Stuttgart Braunschweig Wien - Englisch

nen

Mehr als 100 weitere Termine finden Sie unter: www.isqi.org/de/2-training-certification Datum (Start)

Tage

CMAP Mobile App Testing 21.01.2019 04.02.2019 26.02.2019 18.03.2019 ASQF ® Certified Professional for IoT 21.01.2019 04.02.2019 13.02.2019 18.03.2019 CMAP Mobile App Testing 07.01.2019 24.01.2019 04.02.2019 18.03.2019 18.03.2019 iSQI's CAT Certified Agile Tester ® 21.01.2019 04.02.2019 11.02.2019 18.02.2019 11.03.2019 18.03.2019 18.03.2019 ISTQB ® Certified Tester – Foundation Level 10.12.2018 10.12.2018 11.12.2018 11.12.2018 17.12.2018 07.01.2019 07.01.2019 14.01.2019 14.01.2019 14.01.2019 21.01.2019 23.01.2019 23.01.2019 28.01.2019 04.02.2019 04.02.2019 11.02.2019 11.02.2019 11.02.2019 11.02.2019 11.02.2019 11.02.2019 12.02.2019 12.02.2019 14.02.2019 18.02.2019 19.02.2019 25.02.2019 27.02.2019 04.03.2019 04.03.2019

Anbieter

4 4 4 4

EXCO GmbH SQS sepp.med gmbh SQS

3 3 3 3

BREDEX GmbH oose Innovative Informatik eG sepp.med gmbh BREDEX GmbH

2 2 2 2 2

CGI Deutschland Ltd. & Co. KG BREDEX GmbH Sogeti Deutschland GmbH Loyal Team GmbH Loyal Team GmbH

5 5 5 5 5 5 5

Sogeti Deutschland GmbH Integrata / CGI Deutschland Ltd. & Co. KG QualityDojo IT-Consulting GmbH Nagarro GmbH QualityDojo IT-Consulting GmbH Loyal Team GmbH Sogeti Deutschland GmbH

4 4 4 4 4 3 3 4 3 4 4 3 3 4 4 4 4 4 4 3 4 4 4 3 4 3 4 4 3 4 4

ISARTAL akademie GmbH Method Park Holding AG abilex GmbH CGI Deutschland Ltd. & Co. KG SQS QualityDojo IT-Consulting GmbH Sogeti Deutschland GmbH ISARTAL akademie GmbH sepp.med gmbh SQS SQS Loyal Team GmbH QualityDojo IT-Consulting GmbH SQS BREDEX GmbH Sogeti Deutschland GmbH CGI Deutschland Ltd. & Co. KG EXCO GmbH Nagarro GmbH QualityDojo IT-Consulting GmbH Software Quality Lab GmbH SQS Lysant GmbH Philotech Academy oose Innovative Informatik eG Sogeti Deutschland GmbH Software Quality Lab GmbH CGI Deutschland Ltd. & Co. KG QualityDojo IT-Consulting GmbH BREDEX GmbH Software Quality Lab GmbH

STAND: November 2018

Schulungen 2018/2019

Termine to go

einfach aus


München Frankfurt Berlin Braunschweig Wiesbaden Stuttgart Wien Frankfurt Stuttgart Bremen Frankfurt Düsseldorf München Röttenbach Köln Frankfurt Ratingen Frankfurt Berlin München Berlin Erlangen Stuttgart Frankfurt Köln Hamburg Röttenbach München Berlin Düsseldorf München Berlin Frankenthal Hamburg Röttenbach München Frankfurt Köln Düsseldorf Ratingen München Köln Berlin Frankfurt Hamburg Berlin Berlin Wien Frankfurt Hamburg München Köln Berlin Erlangen Berlin Berlin Stuttgart Berlin Stuttgart München Köln Frankfurt Berlin München Hamburg Frankfurt Hamburg Frankfurt Berlin München

11.03.2019 4 ISARTAL akademie GmbH 11.03.2019 3 QualityDojo IT-Consulting GmbH 11.03.2019 4 SQS 12.03.2019 4 G. Muth Partners GmbH 12.03.2019 4 G. Muth Partners GmbH 13.03.2019 3 Loyal Team GmbH 13.03.2019 3,5 OBJENTIS SOFTWARE INTEGRATION GMBH 18.03.2019 3 Sogeti Deutschland GmbH 19.03.2019 3 Software Quality Lab GmbH 20.03.2019 3 Loyal Team GmbH ISTQB ® Certified Tester – Foundation Level Extension, Agile Tester 10.01.2019 2 QualityDojo IT-Consulting GmbH 17.01.2019 2 CGI Deutschland Ltd. & Co. KG 21.01.2019 2 QualityDojo IT-Consulting GmbH 28.01.2019 2 sepp.med gmbh 07.02.2019 2 SQS 14.02.2019 2 QualityDojo IT-Consulting GmbH 14.02.2019 4 Sogeti Deutschland GmbH 21.02.2019 2 SQS 25.02.2019 2 QualityDojo IT-Consulting GmbH 25.02.2019 2 SQS 28.02.2019 2 Loyal Team GmbH 11.03.2019 2 Method Park Holding AG 13.03.2019 2 Lysant GmbH 14.03.2019 2 QualityDojo IT-Consulting GmbH 14.03.2019 2 QualityDojo IT-Consulting GmbH 18.03.2019 3 oose Innovative Informatik eG ISTQB ® Certified Tester – Foundation Level Extension, Model-Based Tester 24.01.2019 2 sepp.med gmbh 27.02.2019 2 SQS 08.03.2019 2 SQS ISTQB ® Certified Tester – Advanced Level, Test Manager 10.12.2018 5 CGI Deutschland Ltd. & Co. KG 07.01.2019 5 CGI Deutschland Ltd. & Co. KG 21.01.2019 5 QualityDojo IT-Consulting GmbH 28.01.2019 5 EXCO GmbH 28.01.2019 5 oose Innovative Informatik eG 04.02.2019 5 sepp.med gmbh 04.02.2019 5 Software Quality Lab GmbH 11.02.2019 5 QualityDojo IT-Consulting GmbH 11.02.2019 5 SQS 18.02.2019 5 CGI Deutschland Ltd. & Co. KG 18.02.2019 5 Sogeti Deutschland GmbH 18.02.2019 5 SQS 25.02.2019 5 Loyal Team GmbH 25.02.2019 5 QualityDojo IT-Consulting GmbH 25.02.2019 5 Sogeti Deutschland GmbH 04.03.2019 5 CGI Deutschland Ltd. & Co. KG 04.03.2019 5 Software Quality Lab GmbH 06.03.2019 5 Loyal Team GmbH 13.03.2019 5 Nagarro GmbH 18.03.2019 5 SQS ISTQB ® Certified Tester – Advanced Level, Test Analyst 10.12.2018 4 SQS 17.12.2018 5 Method Park Consulting GmbH 07.01.2019 4 SQS 04.02.2019 4 CGI Deutschland Ltd. & Co. KG 11.02.2019 4 Method Park Holding AG 11.02.2019 4 Software Quality Lab GmbH 11.02.2019 4 SQS 18.03.2019 5 Method Park Holding AG ISTQB ® Certified Tester – Advanced Level, Technical Test Analyst 17.12.2018 3 CGI Deutschland Ltd. & Co. KG 14.01.2019 3 CGI Deutschland Ltd. & Co. KG 29.01.2019 3 Software Quality Lab GmbH 04.02.2019 3 SQS 25.02.2019 3 Method Park Holding AG 26.02.2019 3 Software Quality Lab GmbH 04.03.2019 3 SQS 11.03.2019 3 CGI Deutschland Ltd. & Co. KG IREB ® Certified Professional for Requirements Engineering – Foundation Level 17.12.2018 3 Method Park Holding AG 07.01.2019 3 oose Innovative Informatik eG 07.01.2019 3 QualityDojo IT-Consulting GmbH 14.01.2019 3 microTOOL GmbH 21.01.2019 3 ISARTAL akademie GmbH


Blockchain Was sie heute ist und morgen vielleicht sein wird Wie Schuhkartons voller wichtiger Notizen, aufge- Die Vernetzungen und gleichberechtigte Teilnehmer reiht in einem Raum – so kann man sich die Block- (z.B. Aktionäre) machen beispielsweise Banken überchain vorstellen. Natürlich funktioniert das Bild, flüssig. Technisch sind Steuerberater und Buchhalwenn man sich das Prinzip der Blockchain genauer ter heute schon ersetzbar. Die Blockchain ist billig, ansieht, so nicht mehr. Aber es ist ein Anfang, um schnell und nahezu überall im digitalen Netz einsetzweiterzudenken.

bar. Laut Marktforschungsinstitut Gartner kann mit

Die Blockchain ist eine Technologie, die Informatio- der Blockchain bis 2030 gut Geld verdient werden. nen sammelt, dokumentiert, ordnet und verteilt. Ist Geschäftswert mehr als drei Billionen US-Dollar, so der Karton (Block) geschlossen, kann man an seinem Gartner. Man kann eine Entwicklung nicht ignorieInhalt nichts mehr ändern. Nun stellen wir uns vor, ren, für die eine immense Verbreitung prognostiziert dass alle Informationen in den Schachteln vonein- ist. Im Jahr 2030, sagt der Bericht von Gartner, wird ander abhängen. Gib es einen neuen Karton (Block), die Blockchain auf 10 bis 20 Prozent der Systeme, dann hat der die alten Informationen integriert. Die die die Infrastruktur der globalen Wirtschaft bilden, Kette entsteht. Das macht die Blockchain ziemlich laufen. sicher vor Fälschungen.

Die wesentlichen Gründe warum die Blockchain

Das Internet funktioniert ähnlich. Dezentral, verlink- solch ein Potenzial für Veränderung mitbringt, hat te Informationen und jeder Block, also jeder Karton, das global agierende Unternehmen Price Waterkennt die Informationen als Kettenglied in der Ket- house Cooper in einer großen Studie aufgezählt. Sie te. Die gesamte Geschichte der Information ist do- finden die vier Prinzipien auf den folgenden Seiten. kumentiert und jede Änderung ist nachvollziehbar. Das umseitige Schaubild zeigt das riesige Potenzial Dass jeder in der Kette alles sieht, macht die Block- für die wichtigsten Einsatzgebiete. chain manipulationssicher.


Visionen

Die Blockchain ist da

Mobilität – Verkehr Die Kommunikation zwischen Autos wird möglich. Speicherung von Verkehrsdaten. Autos lassen sich viel sicherer abschließen. Verwaltung der Zugänge zum Auto. Informationen über das Auto in Echtzeit. Erlaubnis für Fahrer erteilen. Postsendungen ans geparkte Auto senden lassen.

Blockchain Wird sie das Bankensystem umkrempeln? Welche Branchen beeinflusst sie?

Identität – Staat und Bürger Ausweise und Berechtigungsnachweise unbürokratisch und eindeutig. Authentifizierung der Identität in einer Blockchain für die Verwaltung von Berechtigungsnachweisen. Klare Identität für Treue- und Belohnungsprogramme.

Erste Anwendung der Blockchain 2008

Satoshi Nakamoto, unter diesem Pseudonym, veröffentlicht eine bis heute unbekannte Person „Bitcoin“. Das ist die erste Anwendung der Blockchain.

Bitcoin hat sich etabliert 2009

Im Januar findet die erste Transaktion statt. Nur wenige Monate später nimmt die Öffentlichkeit die digitale Währung wahr und wechselt Geld in Bitcoins um.


Warenwirtschaft – Logistik Tracking von Waren und Teilen ist unkompliziert. Sichtbarkeit aller Informationen entlang der Lieferkette und über den gesamten Lebenszyklus hinweg. Reparatur, Verwaltung, Planung und strategische Logistik verbessert sich immens.

$

Marktplätze – Geschäfte machen Schnelle Geldflüsse ohne Barrieren und Verluste. Geringer Verwaltungsaufwand. Wenig Streitpotenzial bei Abstimmungen. Automatisierte Geldverteilung in Echtzeit. Abrechnungen ohne Zeitverlust. Zahlungen unabhängig von Ländern und Grenzen.

Vertragsmanagement – Transparenz für alle Sicherstellen, dass alle Verträge ordnungsgemäß vorhanden sind. Bedingungen im Blick haben. Mit Verbrauchern Datensätze teilen. Die Privatsphäre schützen.

2015 Blockchain als Schlüsseltechnologie

Unternehmen und Entwickler erkennen das riesige Potenzial von Bitcoin und der Technologie der Blockchain.

2011 Bitcoin erreicht Zenit

Bitcoins sind nun 10 mal soviel wert wie zu Beginn. Der Hype um Bitcoins setzt ein.

2017 Erste Blockchain im Auto Porsche baut als erster Autohersteller erfolgreich eine Blockchain in ein Auto ein.


Blockchain Tokenisierung Mit dem Prinzip des Tokens lässt sich fast alles in einer Blockchain darstellen. Wertpapiere, Rohstoffe, Waren, Mitgliedsrechte, Verträge.

Enterprise Software Die Plattformen, mit denen Firmen Finanzen, Personal und Kundenbeziehungen verwalten, integrieren die Technologie der Blockchain.

Initial Coin Offering (ICO) Aus ICO entwickelt sich ein neues Modell für

Global Players wie Microsoft, Oracle, SAP haben damit schon begonnen.

Kryptowährungen. Die ICOs, die wie digitale Coupons fungieren, werden als Währung für das Projekt, das mit ihnen finanziert wird, eingesetzt. Geldgeber für das Projekt bekommen frühzeitig, noch bevor die Währung eigentlich verfügbar ist, die Möglichkeit in diese Kryptowährung zu investieren. Der Wert dieser Coupons steigt mit dem Erfolg des Projektes.

Neue Branchen, neue Marktführer

Verschiebungen in der Anwendung und den Einsatzgebieten der Blockchain zeichnen sich heute schon ab. Wird Technik im Finanzsektor eingesetzt, ziehen beispielsweise Industrie, Energieversorger und das Gesundheitswesen nach. Auch geographisch verschiebt sich die Blockchain von den USA nach Europa. Und bald, so die Prognosen, soll China Marktführer im Einsatz der Blockchain sein.

Unterschätzen Sie die Blockchain nicht! Damit Sie sie nicht vergessen, trennen Sie das Schaubild aus dem Heft und pinnen es an die Wand.


Wolfsburg Berlin Nürnberg Hamburg Hamburg Frankfurt Wien Berlin Frankfurt München - Englisch Köln Linz - Englisch Berlin München Ratingen Berlin Hamburg Berlin Erlangen Hamburg Nürnberg Stuttgart Wien Röttenbach München Berlin Nürnberg Berlin Wien Frankfurt am Main Berlin Wien Erlangen Berlin Nürnberg Stuttgart München Hamburg München Linz Wien Wien - Englisch Zürich München

22.01.2019 3 sepp.med gmbh 23.01.2019 3 QualityDojo IT-Consulting GmbH 23.01.2019 3 SOPHIST GmbH 28.01.2019 5 oose Innovative Informatik eG 04.02.2019 3 SOPHIST GmbH 11.02.2019 3 QualityDojo IT-Consulting GmbH 12.02.2019 3 Software Quality Lab GmbH 13.02.2019 3 microTOOL GmbH 18.02.2019 3 SQS 19.02.2019 3 Software Quality Lab GmbH 25.02.2019 3 SQS 26.02.2019 3 Software Quality Lab GmbH 27.02.2019 3 QualityDojo IT-Consulting GmbH 27.02.2019 3 SOPHIST GmbH 28.02.2019 3 Sogeti Deutschland GmbH 04.03.2019 3 microTOOL GmbH 04.03.2019 3 oose Innovative Informatik eG 04.03.2019 3 SQS 06.03.2019 3 Method Park Holding AG 11.03.2019 3 QualityDojo IT-Consulting GmbH 11.03.2019 3 SOPHIST GmbH 11.03.2019 3 SQS 12.03.2019 3 Software Quality Lab GmbH 13.03.2019 3 sepp.med gmbh 18.03.2019 3 ISARTAL akademie GmbH 18.03.2019 3 Loyal Team GmbH IREB ® Certified Professional for Requirements Engineering – Advanced Level, Requirements Modeling 14.01.2019 3 SOPHIST GmbH 05.02.2019 3 microTOOL GmbH 12.02.2019 3 Software Quality Lab GmbH 20.03.2019 3 SOPHIST GmbH IREB ® Certified Professional for Requirements Engineering – Advanced Level, Requirements Management 08.01.2019 3 microTOOL GmbH 28.01.2019 3 Software Quality Lab GmbH 18.02.2019 3 Method Park Holding AG IREB – RE@Agile Primer 17.01.2019 1 microTOOL GmbH 11.02.2019 1 SOPHIST GmbH 04.03.2019 2 Method Park Holding AG UXQB ® Certified Professional for Usability and User Experience – Foundation Level 24.01.2019 2 CGI Deutschland Ltd. & Co. KG 25.02.2019 3 oose Innovative Informatik eG 26.02.2019 2 Software Quality Lab GmbH 13.03.2019 2 Software Quality Lab GmbH 20.03.2019 2 Software Quality Lab GmbH iSAQB Certified Professional for Software Architecture – Foundation Level 28.01.2019 4 Software Quality Lab GmbH 25.02.2019 4 Software Quality Lab GmbH 18.03.2019 4 Software Quality Lab GmbH SONSTIGE

Datum

Datum

Tage

Anbieter

Düsseldorf

13.02.2019

3

CGI Deutschland Ltd. & Co. KG

Thema

Ratingen

06.02.2019

2

Sogeti Deutschland GmbH

Frankenthal

18.02.2019

4

EXCO GmbH

Wien

05.02.2019

3

Software Quality Lab GmbH

IREB ® CPRE – Advanced Level, Requirements Elicitation and Consolidation

Nürnberg

20.03.2019

3

SOPHIST GmbH

IREB ® CPRE – Advanced Level, Requirements Elicitation and Consolidation

Frankfurt

31.01.2019

2

Sogeti Deutschland GmbH

iSQI ® Certified Agile Business Analysis

Berlin

07.03.2019

2

CGI Deutschland Ltd. & Co. KG

iSQI ® Certified Agile Business Analysis

München

16.01.2019

2

Sogeti Deutschland GmbH

iSQI ® Certified Agile Essentials

München

24.01.2019

2

ISARTAL akademie GmbH

ISTQB ® Certified Automotive Softwaretester

Ratingen

11.02.2019

3

Sogeti Deutschland GmbH

ISTQB ® Certified Tester – Advanced Level, Security Tester

Frankfurt

28.01.2019

3

Sogeti Deutschland GmbH

ISTQB ® CTFL – Advanced Level, Test Automation Engineer (TAE)

München

28.01.2019

2

Sogeti Deutschland GmbH

Scrum Master Pro

Ratingen

28.02.2019

2

Sogeti Deutschland GmbH

Scrum Master Pro

Frankfurt

23.01.2019

3

Sogeti Deutschland GmbH

Selenium

Ratingen

13.03.2019

3

Sogeti Deutschland GmbH

Selenium

CMAP Mobile App Performance Testing CMAP Mobile App Test Automation ICPMSB Certified Professional for Medical Software

AGILE

REQUIREMENTS ENGINEERING

SECURIT Y

MOBILE

SOF T WA RE T E S T ING

PROJECT MANAGEMENT

USABILIT Y

SPECIALISED

PRODUCT MANAGER

SOF T WA RE A RCHI T EC T URE

WEITERE ANGEBOTE

MEDICAL


Seminare 2019 Januar 2019 - März 2019 Das iSQI fungiert hier als Vermittler. Ausführliche Seminarbeschreibungen, Preise und Anmeldeformular: www.isqi.org Ort

Datum(Start)

Design Thinking erleben und begreifen

Hamburg

28.01.2019

2

oose Innovative Informatik eG

Digital Manager & Practitioner – Ausbildungsgang

Hamburg

28.01.2019

12

oose Innovative Informatik eG

Entwicklung von domänenspez. Sprachen und Code-Generatoren mit Xtext und Xtend

Wien

28.01.2019

2

Software Quality Lab GmbH

Vorgehen zur digitalen Transformation

München

28.01.2019

3

Software Quality Lab GmbH

Test Basics

Stuttgart

29.01.2019

2

Lysant GmbH

Secure Systems Engineering

Wien

30.01.2019

1

Software Quality Lab GmbH

Datenschutz-Grundverordnung

München

04.02.2019

1

Software Quality Lab GmbH

Modellbasiertes Systems Engineering mit SysML inklusive Vorbereitung und Prüfung OCSMP-Model-User

Hamburg

04.02.2019

5

oose Innovative Informatik eG

Vorbereitungskurs Certified Systems Engineer Level C

Hamburg

04.02.2019

12

oose Innovative Informatik eG

Atlassian: Jira Essentials

Wien

05.02.2019

1

Software Quality Lab GmbH

Atlassian: JIRA Administration Part 1

Wien

06.02.2019

1

Software Quality Lab GmbH

Model-Based Functional Safety

Hamburg

06.02.2019

3

oose Innovative Informatik eG

Testentwicklungsprozess und Testentwurf

Stuttgart

07.02.2019

1

Lysant GmbH

Testkonzeption

Stuttgart

08.02.2019

1

Lysant GmbH

Scrum Master Introduction (SMI)

Köln

11.02.2019

2

SQS

Grundkurs techn. Schreiben

Wien

12.02.2019

1

Software Quality Lab GmbH

Atlassian: JIRA Administration Part 2

Linz

14.02.2019

1

Software Quality Lab GmbH

System- und Softwarearchitekturen für das Internet der Dinge (IoT)

Hamburg

14.02.2019

3

oose Innovative Informatik eG

Geschäftsprozesse mit BPMN 2.0 verständlich modellieren inkl. Zertifizierung OCEB2-F

Hamburg

18.02.2019

5

oose Innovative Informatik eG

Testgetriebene SW-Entwicklung

Berlin

19.02.2019

3

Software Quality Lab GmbH

Unittesten

Berlin

19.02.2019

3

Software Quality Lab GmbH

Requirements-Engineering in der Praxis

Frankfurt am Main

25.02.2019

2

SOPHIST GmbH

Testen im agilen Umfeld

Stuttgart

26.02.2019

1

Lysant GmbH

Pragmatisches Enterprise Architecture Management

Hamburg

04.03.2019

3

oose Innovative Informatik eG

Inspirierend Führen

Linz

05.03.2019

2

Software Quality Lab GmbH

Secure Coding

München

05.03.2019

1

Software Quality Lab GmbH

Security Awareness

München

05.03.2019

1

Software Quality Lab GmbH

RE für die agile SW-Entw

Wien

11.03.2019

2

Software Quality Lab GmbH

Scrum Master Introduction (SMI)

Frankfurt

11.03.2019

2

SQS

Atlassian: Jira Essentials

Linz

12.03.2019

1

Software Quality Lab GmbH

Code Review

Linz

12.03.2019

1

Software Quality Lab GmbH

Kanban

München

14.03.2019

1

Software Quality Lab GmbH

Zusätzliche Schulungs- und Seminartermine finden Sie auf www.isqi.org! Irrtümer, Termin- und Preisänderungen vorbehalten. Es gelten die allgemeinen Geschäfts- und Preisbedingungen des jeweiligen Veranstalters.

Friedrich-Engels-Straße 24 14473 Potsdam Tel.: + 49 331 231810-0 Fax: + 49 331 231810-10

Ansprechpartner: Nadia Diesent Examination and Organization +49 331 231810-33 exam@isqi.org

Tage

Anbieter

Alle Themen auch als Inhouse-Angebot buchbar!

SIE WOLLEN IHR SEMINAR AUCH IM NÄCHSTEN SQ-MAGAZIN BEWERBEN? Wir freuen uns über eine Nachricht. Bitte senden Sie uns Ihre Termine per E-Mail zu: exam@isqi.org

STAND: November 2018

Seminartitel


Schwerpunkt

27

VERTRAUEN IST EIN SCHEUES REH JENSEITS DES HYPES UM DIE BLOCKCHAIN Der Hype um die Blockchain hält an. Eine Technologie, die die Welt verändern wird, so lautet die gängigste Prognose. Eine sehr positive Einschätzung, welche die Herausforderungen dieser Technologie vielleicht etwas verklärt. Es gibt aber auch pragmatische Menschen: Das sind diejenigen, die sich zuerst das Konzept ansehen und anschließend versuchen, daraus Lösungsansätze für bisher nicht oder nur unzulänglich zu bewältigende Probleme zu finden. In diesem Artikel soll explizit vom Konzept des „distributed ledger“ (des „verteilten Hauptbuchs“) die Rede sein. Das ist zugleich der Oberbegriff u.a. für eine Blockchain, die eine spezielle Ausprägung des Update-Mechanismus für den Datenspeicher beschreibt, also wie mit neuen Daten umgegangen wird und alte Daten archiviert werden. Bitcoin wiederum als spezielle Ausprägung einer Blockchain (mit fragwürdigen Begleiterscheinungen) werde ich nur als Beispiel referenzieren.

DISTRIBUTED LEDGER TECHNOLOGIEN ALS VERTRAUENSBASIS „Distributed Ledger Technologien“ (DLT) beschreiben einen dezentral organisierten Datenspeicher. Die Einträge bleiben nach ihrer Speicherung unverändert (Ade, Du „Recht auf Vergessen“!). Es werden ausschließlich neue Einträge hinzugefügt. Das ist anders als zum Beispiel bei einem Hauptbuch eines Betriebes oder einem Adressverzeichnis in der

Cloud. Im Gegensatz zu diesen, bei denen jede Kopie – beim Steuerberater oder auf dem Smartphone – von der Authentizität und Aktualität des zentral gehaltenen Originals abhängt, gibt es hier kein einzelnes „Original“. Vielmehr liegt die Verantwortung für die Richtigkeit und Unversehrtheit der bisherigen Speichereinträge sowie der neu hinzugefügten Daten bei einer Vielzahl von Berechtigten (oder „Controllern“). An diesem Punkt ändert sich die Prämisse. Zu technologischer Fertigkeit kommt eine menschliche Emotion hinzu: Vertrauen. Denn das Vertrauen ist es, das die Beteiligten sowohl den Berechtigten als auch dem zugrunde liegenden Prozess der Organisation und der technischen Umsetzung des Speichers entgegenbringen müssen. Von diesem Vertrauen in Berechtigte und Prozesse hängt letztlich die Verwendbarkeit des Speichers ab. Bitcoin wurde mit dem Ziel konzipiert, Finanztransaktionen zu ermöglichen, ohne dabei Finanzinstitute (die bisherigen Träger des Vertrauens) einzuschalten. Transaktionen unter Abwesenden zu organisieren, war von vornherein nur mit neuen Trägern für das Vertrauen der Menschen erreichbar. Alle Geschäfte zwischen Abwesenden – und damit Partnern, die einander oftmals unbekannt sind – erfordern auch im Zeitalter der Digitalisierung weiterhin Vertrauen. Die Basis für Geschäftsbeziehungen ist die Bereitschaft, ein Risiko in Kauf zu nehmen.


Schwerpunkt

Ausgabe 49  |  Dezember 2018

Die Vertrauensbeziehung basiert im Zeitalter der Digitalisierung regelmäßig nicht auf persönlichem Vertrauen, sondern auf Systemvertrauen. Speziell bei DLT beruht dieses auf der Dezentralität, die durch die berechtigten Peers, die Controller, hergestellt wird, auf deren Möglichkeit, den Datenspeicher zu kontrollieren und auf der eingesetzten Software (und Kryptographie).

Dezentralität und Verantwortungsverteilung kennzeichnen auch den Prozess von Updates. Denn jedes einer Blockchain hinzugefügte Datum wird erst nach einer Konsensbildung von dazu autorisierten Teilnehmern akzeptiert. Ein Beispiel ist der „proof of work” bei Bitcoin. Diese Konsensbildung unter den Peers (bei Bitcoin den Minern) ist aufwändig – sie kostet viel Zeit und Geld.

DIE DEZENTRALITÄT

Einem Bürger in Deutschland kommt das bekannt vor. Denn die Konsensbildung im föderal organisierten Staat war und ist häufig Gegenstand der Diskussion. Das reichte von scharfer Kritik (Deutschland als kranker Mann von Europa – Anfang des Jahrhunderts) über große Bewunderung (Deutschland als besonders krisenfest wegen der dezentralen und damit flexiblen Tarifbildung – um das Jahr 2013/2014) bis hin zu neuerdings wieder kritischeren Stimmen (Deutschland als zu langsam für das Tempo der digitalisierten Welt).

Viele kennen ihn: Den ewigen – oft ideologischen – Wettkampf zwischen Zentralisierern und Dezentralisierern. Wichtige Vorteile von Zentralität: bessere Kontrolle (und damit mehr Transparenz), Stringenz (weil weniger Abstimmungsaufwand) effizienter Ressourceneinsatz Dezentralität wird insbesondere mit mehr Flexibilität (und Agilität) und größerer, weil delegierter Verantwortung verbunden. Die Vorteile des einen Konzepts sind umgekehrt die Nachteile des anderen. Und natürlich handelt es sich nicht um absolute Vorteile. Denn die „richtige“ Organisationsform ist abhängig von vielen Faktoren. Insbesondere sind Größe und Komplexität des Organisationsgegenstands wichtig. Oder auch: Je größer und verzweigter die Organisation (z.B. bei einer weltweit agierenden Firma), umso dezentraler sollte sie sein. Andererseits hat sich im Fall von Bitcoin gezeigt, dass viele Nutzer „ihr Geld“ nicht in ihrem privaten, dezentralen „Wallet“ lassen. Sie empfinden dieses als angreifbar. Sie vertrauen es lieber einer sicherheitstechnisch für sie überlegenen, zentralen Handelsplattform an. Das hat das Konzept der Dezentralisierung und des reinen „peer-to-peer“ bereits konterkariert.

Dieser kleine Ausflug in die deutsche Geschichte macht die Gefahr klar: Dezentralität als bloße Abkehrreaktion gegenüber zentralen Institutionen ist keine Lösung – für kein Problem. Es erzeugt für sich genommen nicht mehr Vertrauen in die gewählte Organisationsform. Für den Architekten, der DLT als Lösung in Betracht zieht, stellt sich vielmehr – in gleicher Weise wie im gewählten Beispiel für den deutschen Staat – die Frage: Stehen Aufwand und Nutzen in meinem Organisationsentwurf im richtigen Verhältnis zueinander? Ohne das konkrete Anwendungsszenario zu kennen und zu bewerten, ist diese Frage nicht belastbar zu beantworten.

DIE BEHERRSCHUNG DES DATENSPEICHERS DLT bauen darauf, dass die autorisierten Controller, die den Konsens bilden, den Datenspeicher auch tech-

28

„Distributed Ledger Technologien“ (DLT) beschreiben einen dezentral organisierten Datenspeicher. Die Einträge bleiben nach ihrer Speicherung unverändert. Es werden ausschließlich neue Einträge hinzugefügt.


29

nisch (im Wortsinn) beherrschen. Das ist bei open ledgers, z.B. komplett öffentlichen Blockchains wie Bitcoin, eigentlich gar nicht zu gewährleisten. Die Erwartung, dass den Berechtigten, wer und wieviel sie auch sein mögen, stets die überlegene Rechenleistung zu Gebote steht („die Logik der Masse“), ist ein ungedeckter Scheck auf die Zukunft. Vertrauen ist gleich einem scheuen Reh: Ist es erst einmal im Wald verschwunden, ist es nur mit Mühe wieder hervorzulocken. Je unklarer der Fachjargon, je ungenauer Begriffe verwendet werden und je mehr Sicherheits- und Betrugsvorfälle sich im Umfeld von Bitcoin und anderer Kryptowährungen ereignen, desto größer werden die Zweifel. Diese Unsicherheit überträgt sich aus dem Halbdunkel der Spekulationsobjekte heraus auf sinnvolle technologische Lösungen. Das lenkt den Blick auf closed (= „private“) ledgers: Je kleiner und kontrollierter der Kreis der Berechtigten ist, je bekannter und renommierter sie aus Sicht des Nutzers sind, umso größer wird das Vertrauen in DLT sein. Der Lösungsraum, in dem DLT ernsthaft anwendbar und akzeptiert sein kann, ist damit aber logischerweise beschränkt.

DIE SOFTWARE Die Nutzer von DLT müssen darauf vertrauen können, dass die zugrundeliegende Software und die verwendete kryptographische Lösung zuverlässig sind. Wenn schon nicht frei von jeglichen Fehlern, muss ihre Implementierung doch frei von entscheidenden Fehlern sein. Ein Menetekel an der Wand für die heraufziehende Ära des Machine Learning und der künstlichen Intelligenz. Denn externe Korrekturmechanismen jenseits des

Peter Batt ist Jurist mit Zusatzausbildung zum IT-Organisator und -Programmierer. Er war sechs Jahre CIO der Deutschen Rentenversicherung Bund, bevor er vor neun Jahren ins Bundesinnenministerium wechselte. Dort leitet er die Abteilung DG (Digitale Gesellschaft, Verwaltungsdigitalisierung und Informationstechnik).

Datenspeichers existieren für die reine Lehre im Bereich der DLT nicht. Das „DAO Event“ und die Diskussion um die Korrektur des „170-Million-Bug“ in der Ethereum-Blockchain haben dies zuletzt wieder gezeigt. Oder auch kurz auf den Punkt gebracht: Fehlerfreie Software gibt es nicht. Daran ändern DLT rein gar nichts.

„PICK YOUR POISON!” Entweder wird das Vertrauen in die Peers, die Controller der DLT-Lösung, enttäuscht oder aber das Vertrauen in die Bestandskraft und Unabänderbarkeit des Datenspeichers. Und so werden „forks“ oder andere klügere Korrekturmechanismen an Bedeutung gewinnen und zunehmend nachgefragt werden. Und damit der Reinheit einer von Peers bewachten ewigen Blockchain widersprechen. Aber alles andere würde (insbesondere für jemand, der gerade viel Geld verloren hat oder dessen private Daten der Welt unrichtig und zugleich unveränderbar offenbart wurden) nur bedeu-

ten: „Wenn das die Lösung ist, will ich das Problem zurück.“ DLT bieten ein interessantes organisatorisches und technisches Konzept an. Entscheidend für den Erfolg dieses Konzepts wird sein, wie schnell es gelingt, sich von den Heilsversprechen und Dogmen zu lösen, welche die Diskussion zu dominieren scheinen. Auch Cloud Computing konnte seine Vorteile erst ausspielen, als die Versprechungen – und Erwartungen – auf ein realistisches Maß reduziert wurden. Für viele Anwendungsbereiche wurden dabei nach dem ersten Hype dann doch Private Clouds, Verschlüsselungslösungen u.a.m. gewählt – nicht ganz so günstig wie von vielen zuerst vorhergesagt, aber immer noch vorteilhaft. So werden auch DLT erst mit ihrem praktischen Einsatz in überzeugenden Use Cases Verbreitung finden und das Vertrauen rechtfertigen, das in sie gesetzt wird. Wenn das Reh bis dahin nicht schon im Wald verschwunden ist.


Security Schulung? Aber sicher. Mit Sogeti. ISTQB® CTFL • ISTQB® CTFL Agile Tester ISTQB® CTAL Testmanager • ISTQB® CTAL Test Automation Engineer iSQI’s CAT • iSQI’s® CABA • iSQI’s® CAE CMAP Mobile App Testing – Foundation Level • Performance Testing • Test Automation IREB® CPRE-FL TMap NEXT® Test Engineer • Test Manager • Praxisworkshop TPI NEXT® Foundation • TPI NEXT® für Testmanager Individuelle Schulungen: u.a. Security • Testautomatisierung • Agilität

Besuchen Sie uns unter

www.sogeti.de/2018

Demnächst ebenfalls akkreditiert: ISTQB® CTAL Security Tester • GTB CTFL Test Data Specialist


Schwerpunkt

31

BLOCKCHAIN-SECURITY UNSICHERE SMART CONTRACTS? Der Hype um Kryptowährungen wie Bitcoin und Ethereum und der dahinter steckenden Technologie Blockchain ist – trotz deren Wertschwankungen – groß. Blochchain kann jedoch nicht nur für Kryptowährungen verwendet werden: Ein breites Einsatzgebiet eröffnen computerbasierte Verträge, die sogenannten Smart-Contracts. Diese wiederum können für politische Wahl-Systeme, virtuelle Organisationen, Spiele, Identity-Management, Initial Coin Offerings (ICOs) und viele mehr genutzt werden. Aus diesem Grund ist es Zeit, sich genauer mit der Sicherheit des Konzepts und der Implementierung der Blockchain zu beschäftigen.

ANGRIFFSSZENARIEN AUF DIE BLOCKCHAIN Die Sicherheit der Blockchain basiert auf der Integrität der Blöcke. Ob ein Block manipuliert wurde, kann an dem nachfolgenden Block erkannt werden, denn dieser enthält den Hashwert des Vorgängers. Hashsummen können

nur eine bestimmte Länge haben. Daher kommt es beim Hashen größerer Informationsmengen unweigerlich dazu, dass zweimal derselbe Hashwert mit unterschiedlichen Eingabewerten erzeugt wird. Ein Angreifer kann also versuchen einen Block so zu manipulieren, dass dieser den geforderten Hashwert erfüllt (PreimageAngriff). Ein weiteres Angriffsszenario ist die 51 Prozent Attacke. Hält ein Miner oder ein Pool mehr als 50 Prozent der Rechenleistung des Netzwerkes, so ist es ihm möglich, Blöcke fortlaufend schneller als alle anderen zu generieren und diese an seine alternative Blockchain anzuhängen – bis diese länger als die Original-Kette ist. Dies ermöglicht dem Angreifer DoubleSpending (dasselbe Geld mehr als einmal auszugeben) oder das Aussetzen von Bestätigungen anderer Blöcke. Bei Kryptowährungen mit vielen Minern dürfte es also sehr kostenaufwändig sein, solche Angriffe zu fah­ ren. Dieser Angriff könnte aufgrund


Schwerpunkt

Ausgabe 49  |  Dezember 2018

der Verbreitung und daraus folgend weltweiten Überprüfbarkeit der Blockchain sehr schnell erkannt werden und der Wert der Währung einstürzen (Sabotage).

ANGRIFFE AUF BLOCKCHAIN-IMPLEMENTIERUNGEN

Auch wenn viele unsicher sind, ob sich Kryptowährungen durchsetzen können, sind sich Experten einig, dass die Blockchain bleibt, da sie sichere und dezentrale Transaktionen erlaubt.

Das Konzept der Blockchain scheint also gut gesichert zu sein. Dennoch muss eine auf dem Papier sichere Technologie auch sicher implementiert werden. Es gab in der Vergangenheit eine ganze Reihe von erfolgreichen Angriffen auf Produkte, die auf Blockchain basieren. Am 19. Juli 2011 beispielsweise wurde die damals größte Bitcoin Tauschbörse Mt. Gox gehackt. Der Hacker stahl Bitcoins im damaligen (!) Wert von 8,75 Millionen US-Dollar, woraufhin der Wert der Bitcoins kurzfristig auf 1 Cent pro Bitcoin sank. 2014 musste Mt. Gox schließen, da insgesamt über 850.000 Bitcoins fehlten. Knapp 200.000 konnten wiedergefunden werden, der Rest fehlt bis heute. Aktuell sind vermehrt Angriffe ICOs zu beobachten. Das ist eine Art Crowdfunding-Methode, welche mit

32

Kryptowährungen aufgesetzt wird. Ein Anbieter, der Geld für ein Produkt sammeln möchte, erstellt ein ICO. Investoren senden Geld an die dort angegebene Adresse und bekommen dafür im Tausch Anteile am – noch nicht fertigen – Produkt. Ändert ein Angreifer den Wert der Zieladresse kurz vor der Auszahlung (z.B. durch eine MySQL Injection), so wird das Geld fälschlicherweise dem Angreifer gutgeschrieben anstatt dem Ersteller des ICOs. So geschehen unter anderem bei dem Startup Coindash.

SMART CONTRACTS In einigen modernen Blockchains, wie der Ethereum Blockchain, können nicht nur Transkationen gespeichert werden, sondern insbesondere auch Smart Contracts. Es handelt sich hierbei um Programme, die auf jedem Rechner, der am Netzwerk teilnimmt, verarbeitet werden. Um einen Smart Contract auszuführen, überweist ein Nutzer eine gewisse Summe an die Adresse eines Smart Contracts und gibt die Funktion an, die er aufrufen möchte. Mittels Smart Contracts werden häufig große Summen in Form


33

von Kryptowährungen oder Tokens transferiert. Ein erfolgreicher Angriff kann also teuer werden. Erschwerend kommt hinzu, dass ein einmal in der Blockchain gespeicherter Smart Contract nicht mehr verändert werden kann. Es ist also ratsam, von vorneherein einen möglichst sicheren Smart Contract zu programmieren. Bei einer Untersuchung von knapp einer Million Smart Contracts erkannten Forscher mit automatisierten Werkzeugen in 34.200 Smart Contracts Sicherheitslücken. Der wohl bekannteste durch einen fehlerhaften Smart Contract ermöglichte Angriff ist der Hack auf die DAO (Distributed Anonymous Organization). Bei DAO konnten Stimmrechte durch eingezahltes Geld erlangt werden. Es war möglich, diese Stimmrechte wieder abzugeben und Geld zurückzubekommen. Durch einen Recursive Call Exploit im Smart Contract der DAO war es allerdings auch möglich, mehr Geld zurückzufordern, als man überhaupt eingezahlt hatte. Entwickler von Smart Contracts sollten also möglichst defensiv programmieren und ihre Smart Contracts mit Tools auf Security testen.

ABSICHERN DURCH DEN ‚SECURITY TESTING PROCESS‘ Wie das Blockchain Graveyard Projekt zeigt, sind nahezu alle Lücken, die mit der Blockchain zusammenhängen, keine Fehler der Blockchain selbst. Stattdessen entstehen die Lücken bei der Implementierung, also in der Software, die die Blockchain

nutzt. Um Software sicher zu machen – insbesondere gegen bislang unveröffentlichte Sicherheitslücken (ZeroDay-Vulnerabilities) – muss Software von Grund auf sicher entwickelt werden. Hierzu bietet sich beispielsweise der sichere Entwicklungsprozess von softScheck an. Dieser basiert auf der ISO 27034 und enthält folgende 6 Methoden zur Identifizierung von Sicherheitslücken: Prof. Dr. Hartmut Pohl, ge-

SECURITY REQUIREMENTS ANALYSIS THREAT MODELING CONFORMANCE TESTING STATIC SOURCE CODE ANALYSIS PENETRATION TESTING DYNAMIC ANALYSIS: FUZZING

schäftsführender Gesellschafter der IT-Sicherheitsberatung softScheck GmbH u.a. auf der Grundlage BSI-Grundschutz, ISO 27000-Familie, COBIT, NIST SP 800, ITIL etc. inkl. Forensik in Köln/Sankt Augustin

Jede dieser Methoden identifiziert andere Klassen von Sicherheitslücken. Insbesondere Smart Contracts lassen sich gut durch Static Source Code Analysis und Fuzzing testen. Auch wenn viele unsicher sind, ob sich Kryptowährungen durchsetzen können, sind sich Experten einig, dass die Blockchain bleibt, da sie sichere und dezentrale Transaktionen erlaubt. Viele Unternehmen könnten von der Blockchain profitieren. Doch ein sicheres Konzept reicht noch lange nicht aus. Es muss auch sicher implementiert werden! Dies gilt insbesondere bei der Blockchain – vor allem dann, wenn sie im Finanzbereich eingesetzt wird: Hier können durch die Ausnutzung (Exploit) schon einer einzigen Sicherheitslücke große Schäden entstehen. Es ist daher äußerst wichtig, in Sicherheit zu investieren.

Wilfried Kirsch ist Berater bei der IT-Sicherheitsberatung softScheck GmbH. Seine beruflichen Schwerpunkte umfassen IT-Security Audits von Netzwerken, Soft- und Hardware-Produkte sowie die Entwicklung, Prüfung und Bewertung von Security Requirements, Sicherheitskonzepten und Sicherheitsarchitekturen.


Schwerpunkt

Ausgabe 49  |  Dezember 2018

4 SCHLÜSSEL­ FAKTOREN BEIM TESTEN VON BLOCKCHAINANWENDUNGEN Die typischen Eigenschaften einer Blockchain sind eine ständig wachsende Liste von Datensätzen – den sogenannten Blöcken – die kryptographisch verknüpft und gesichert sind. Jeder dieser Blöcke enthält typischerweise einen Hash-Pointer als Verknüpfung zu einem vorherigen Block, einen Zeitstempel und Transaktionsdaten – welche die eigentlichen Nutzdaten repräsentieren. Blockchain verwendet ein intelligentes Vertragsprotokoll – sogenannte Smart Contracts – welche unveränderlich und dauerhaft festlegen, wie Transaktionen abgewickelt werden. Nehmen wir zum Beispiel an,

dass eine aktualisierte Version eines bestehenden Smart Contracts erstellt wird, um einen Produktionsfehler zu beheben. So ist eine manuelle Migration der gespeicherten Transaktionsdaten erforderlich – was in der Praxis ein umständlicher Prozess ist. Aufgrund dieser Eigenschaften hat das richtige und ausführliche Testen und Validieren von Blockchain-Anwendungen im Vergleich zu anderen Anwendungen deutlich an Bedeutung gewonnen.

34


35

HERAUSFORDERUNGEN BEI BLOCKCHAIN-ANWENDUNGEN Neben allen klassischerweise erforderlichen Testarten wie Funktions-, Integrations-, Sicherheits-, Last- und Performancetests erfordert die Arbeit mit Blockchains zusätzliche Testarten wie Smart Contract Testing, NodeTests und Advanced Level Non-Functional Testing. Bevor wir auf spezielle Faktoren eingehen, die beim Testen zu berücksichtigen sind, lassen Sie uns über die wichtigsten allgemeinen Herausforderungen sprechen: Der Technologie-Stack einer Software ist ein Hauptfaktor, der das Testen beeinflusst. Die zugrunde liegenden Entwicklungsplattformen wie beispielsweise Ethereum, Openchain oder jede andere kundenspezifische Plattform haben zwar Richtlinien und Empfehlungen bzgl. eines optimalen Testansatzes, dennoch ist eine detaillierte Analyse und Erarbeitung einer individuellen Teststrategie erforderlich, um maßgeschneiderte Funktionalität effektiv zu testen. Es ist schwierig sicherzustellen, dass eine Blockchain-Anwendung, für sich isoliert betrachtet, fehlerfrei ist. Noch herausfordernder ist jedoch die Integration einer solchen Anwendung in verschiedene Systeme und Umgebungen. Der Hauptfokus bei diesen Tests sollte daher sein, sicherzustellen, dass sämtliche Schnittstellen konsistente Rückmeldungen liefern und keine Verbindungsprobleme zwischen den Systemen auftreten. In der Praxis ist dies aufgrund fehlender oder unzureichender Spezifikationen oder einem unklaren erwarteten Verhalten der Schnittstellen oftmals nur schwer möglich.

Für Last- und Performance Tests ist eine Nachbildung der Produktionsumgebung erforderlich. Die tatsächliche, realitätsnahe Replikation der Performance-Eigenschaften ist allerdings schwierig und daher ist auch die Durchführbarkeit und Aussagekraft von dieser Testart nur eingeschränkt möglich. Um zum Beispiel zu einem bestimmten Zeitpunkt eine BitcoinTransaktion einzuleiten, müssen Miner zuerst die Transaktion bestätigen und validieren und das kann aufgrund diverser Rahmenbedingungen unterschiedlich lange Zeiträume in Anspruch nehmen. Dieses Verhalten kann nicht realitätsnah in einer Dummy-Umgebung repliziert werden. Rajni Singh ist Quality Assu-

Knoten und der „Shared Ledger“ – also die zentrale Datenstruktur einer Blockchain – sind die wichtigsten Komponenten für die Validierung der Sicherheit einer Blockchain-Anwendung. Wenn beispielsweise ein oder eine Menge von Knoten im Netzwerk von einer Distributed Denial of Service (DDoS) Attacke ausgesetzt sind, so sind potentiell sämtliche darauf aufbauenden Anwendungen ebenfalls betroffen. Auf einer Blockchain-Infrastruktur wird ein großes Volumen von Transaktionen im gesamten Netzwerk repliziert. Auch dieses inhärente Verhalten kann zu einer Herausforderung werden, da dadurch Bandbreitenengpässe im Netzwerk entstehen können.

4 TESTS FÜR EINE ERFOLGREICHE BLOCKCHAIN Für die Implementierung einer erfolgreichen Teststrategie für Blockchain-Anwendungen sollten darum folgende vier Überlegungen berücksichtigt werden:

rance Manager bei Nagarro und verfügt über mehr als zwölf Jahre Erfahrung im Bereich des Software-Tests. Ihre Schwerpunkte liegen auf Digital Testing, wie z.B. Blockchain, Chatbot, KI/ML, und agiler Transformation.


Schwerpunkt

Ausgabe 49  |  Dezember 2018

36

1

4

Die Methoden für Smart Contracts sind in der gleichen Weise zu validieren wie bei API-Tests – einschließlich der Validierung der einzelnen Methoden sowie von Eingaben und der möglichen Alternativpfade durch das Szenario. Anschließend wird die Validierung der Verschlüsselung für den Smart Contract über ein verteiltes Ledger an ein anderes System gesendet. Der Hauptfokus in dieser Teststufe besteht darin, alle APIs für den Smart Contract einzeln zu testen und anschließend breitere Integrationstests durchzuführen.

Es ist wichtig, die Integrität des Netzwerks sicherzustellen. Auch wenn alle Transaktionen kryptographisch verschlüsselt sind, können durch Schwachstellen ungültige und nicht validierte Transaktionen eingeschleust und dann nicht mehr aufgehalten werden. Einige spezifische Tests müssen daher zur Sicherstellung der Integrität der Blockchain-Anwendung in Betracht gezogen werden. Herausforderungen, die es im Zuge dessen zu meistern gilt, sind z.B.:

SMART CONTRACT TESTING

2

NODE TESTS

Blockchains arbeiten mit einem verteilten Peerto-Peer-Netzwerk zwischen Netzwerkknoten unter Verwendung eines speziellen Protokolls zur gegenseitigen Authentifizierung. Es prüft auf Basis einer Mehrheitsentscheidung von sämtlichen Knoten Blöcke auf deren Gültigkeit, um eine Transaktion zu genehmigen und somit durchzuführen. Daher müssen alle heterogenen Knoten auch unabhängig voneinander getestet werden.

3

LAST- UND PERFORMANCE TESTS

Um die Herausforderung von Last- und Performance Tests zu bewältigen, werden eine Vielzahl von Details wie die Netzwerklatenz basierend auf Blockgröße, Größe des Netzwerks (Anzahl der Nodes), erwartete Transaktionsgröße und die Durchlaufzeit einer Abfrage benötigt. Lastund Performance-Tests werden auf der Grundlage dieser Parameter geplant und durchgeführt. Um einen abrupten Lastanstiegs oder einen Ausfall überwinden zu können, kann auf CloudInfrastruktur und Funktionen wie Auto-Scaling zurückgegriffen werden.

SICHERHEIT

Zugang und Authentifizierung Sicherer Hash, Konsens-Algorithmus Wallet Signaturverfahren Private Schlüssel OWAPS-Richtlinie für mobile und webbasierte Anwendungen Schwachstellenanalyse Validierung der bereitgestellten Informationen Diese Faktoren beeinflussen nicht nur die Implementierung einer Blockchain-Anwendung, sondern ebenfalls die Art und Weise wie effizient und effektiv Tests durchgeführt werden können. Die oben beschriebenen Faktoren, Überlegungen und Testarten geben jedoch einen guten grundlegenden Leitfaden für ein effektives Testen und einem geeigneten Validierungs- und Verifizierungsansatz für auf Blockchain-Technologie basierenden Anwendungen.


iSQI NEWS

37

SOFTWARE MADE IN KUBA Suzanna Salem (2. v. r.) mit unseren kubanischen und internationalen Freunden und Partnern beim Abschluss der UCIENCIA in Havanna.

Das International Software Quality Institute (iSQI) setzt die Initiative für Qualifikation in Kuba fort und nahm im September an der III. Conference of international Science UCIENCIA in Havanna teil. Diese gilt als eine der wichtigsten Plattformen in Kuba für den Austausch inländischer Wissenschaftler mit dem internationalen Markt. iSQI nahm diese Gelegenheit zum Anlass, um nicht nur das eigene Unternehmen zu präsentieren, sondern auch die Gespräche mit Wissenschaft und Wirtschaft, Behörden und Ministerien in Kuba fortzusetzen. Seit 2016 engagiert sich Suzanna Salem, Projektmanagerin bei iSQI, für ein internationales Netzwerk für den kubanischen Markt: „Kuba hat unglaubliches Potential. Das Land investiert verstärkt in technologische Forschung und Entwicklung. Vielmehr als andere Länder, 30 mal mehr als Indien zum Beispiel.” Kubas junge IT-Professionals stehen seit Jahren vor vielen Hindernissen.

Es fehlt Infrastruktur. Zwar gibt es zaghafte Ansätze für den Export von Software ins Ausland, doch fehlen immer noch Verbindungen zum Internet und vernünftige Bandbreiten. Trotzdem gibt es in den letzten Jahren im ganzen Land große Anstrengungen, den Rückstand auf dem internationalen Markt aufzuholen. So haben im vergangenen Jahr 180 Internetcafés auf der ganzen Insel eröffnet, weitere 150 sind ge­ plant. Das Telekommunikationsunternehmen Etecsa nahm 2017 mehr als 35 öffentlich zugängliche Wi-Fi-Zonen in öffentlichen Parks in Havanna und einigen anderen Städten in Betrieb. „Der Ausbau des Internets ist für kubanische Technologie-Experten sehr wichtig. Anders wird die IT nur wenig Chancen haben, den Weg in den globalen Markt zu finden”, sagt Suzanna Salem. Tatsächlich liegt die Alphabetisierungsrate bei 100 Prozent und die Anzahl kubanischer IT-Fachkräfte wächst ständig. Es gibt viele Wissenschaftler

und Ingenieure, die an 47 Universitäten und in über 200 Zentren für Forschung und Entwicklung (FuE) arbeiten. Kuba kämpft um weltweite Anerkennung. iSQI sieht viele Möglichkeiten, unterstützt das Land und versucht die Rahmenbedingungen für die Ausbildung und Zertifizierung zu festigen. „Kubaner haben eine sehr gute Ausbildung und ein hohes Bildungsniveau. Sie haben die besten Voraussetzungen, können diese jedoch nicht nachweisen. Deshalb haben sie auf dem internationalen Markt wenig bis keine Chancen,” erläutert Suzanna Salem das Problem. Zertifizierungen bringen den kubanischen Fachleuten die internationale Anerkennung bei Unternehmen auf der ganzen Welt. Umgekehrt machen Zertifizierungen es internationalen Firmen möglich, in Kuba Dependancen zu eröffnen und mit kubanischen Fachkräften zu arbeiten.


iSQI NEWS POSITIVE MARKT­ REAKTION:

30. A4Q CERTIFIED SELENIUM TESTER TRAININGS­PROVIDER Mit der imbus AG haben in kürzester Zeit weltweit (darunter Nationen wie Deutschland, Großbritanien, Südafrika, Indien, USA, Kanada, China, Chile und viele mehr) 30 Trainingsprovider den Selenium Tester Kurs in ihr Portfolio aufgenommen. Hinzu kommt eine Reihe von Boards des ISTQB®s, welche den Kurs als ergänzendes Produkt für ihre nationale Tester-Gemeinschaft zugänglich machen wird. Das International Software Quality Institute (iSQI) und die Global Association for Software Quality (GASQ) kündigten am 10. August 2018 an, dass sie den Certified Selenium Tester als Prüfung anbieten werden. Bisheriges Kundenfeedback war weltweit durchgehend positiv. CEO der iSQI GmbH Stephan Goericke bestätigt: „Das große Interesse an diesen neuen Zertifikat ist überwältigend. Es zeigt sich durch die Vielzahl an Anfragen zu Kursen mit anschließender Prüfung. Die Anfragen kommen nicht nur von Einzelpersonen sondern aus Unternehmen, die die Testautomatisierungsskills ihrer Mitarbeiter mit dem Selenium Web Driver verbessern wollen. Unsere Trainingsprovider schätzen v.a. für Ihre Kunden, dass der Kurs einen starken Praxisbezug hat sowie die hohen Qualitätsstandards unserer Zertifikate.” Lesen Sie mehr zum Kurs und Zertifikat ab S. 40

Ausgabe 49  |  Dezember 2018

38

NEUE WELT, NEUE JOBS: ISQI ZERTIFIZIERT ZUM CHIEF DIGITAL OFFICER

Ein Unternehmen, das digital gut aufgestellt sein will, braucht einen digitalen Manager – eine ganz neue Rolle. Das International Software Quality Institute (iSQI) bietet ab sofort eine Zertifizierung zum „Certified Chief Digital Officer” (CCDO) an. Die Schulung übernimmt die FOKUS-Akademie des Fraunhofer Instituts für Offene Kommunikationssysteme. Digitalisierung hat sehr viel im operativen Bereich verändert. Nun rücken die Aufgaben für Strategen und Manager in den Fokus. Die CCDO-Schulung lehrt die Teilnehmer, die digitale Transformation für das eigene Unternehmen richtig zu nutzen. Bei der Entwicklung wurde das Team von getready.digital, einer Initiative des ASQF e.V. und Impulsgeber für Unternehmen im Bereich der digitalen Transformation, ergänzt. Während die iSQI GmbH die Zertifizierung übernimmt und Fraunhofer FOKUS den wissenschaftlichen Part innehat, brachte getready.digital die Unternehmensperspektive ein. „Die Bedeutung und das Ausmaß der Digitalisierung für Unternehmen sind enorm. Nicht umsonst gibt es dafür in der Wirtschaft den schwerwiegenden Begriff Transformation. Das bedeutet, das eigene Geschäftsmodell steht regelmäßig auf dem Prüfstand. Das lässt sich nicht mehr nebenbei erledigen. Ein Unternehmen, das digital gut oder

sogar sehr gut aufgestellt sein will, braucht jemanden, der verantwortlich ist”, sagt Stephan Goericke, CEO iSQI GmbH. Der angehende CCDO bekommt während des Trainings einen Überblick über den Megatrend „Digitalisierung“. Was heißt das eigentlich für die verschiedenen Unternehmensbereiche? Die Teilnehmer lernen Strategien zu entwickeln, Mitarbeiter für die digitale Welt zu begeistern und natürlich mit digitalen Mitteln gute Geschäfte zu machen. Ein wenig in die Zukunft zu schauen lernt der CCDO genauso wie den Status Quo kritisch zu sehen und damit zu arbeiten. Nur so kann er die Geschäftsprozesse der eigenen Organisation auf die digitale Transformation ausrichten und notwendige organisatorische und technische Anforderungen und Rahmenbedingungen formulieren, gezielt begleiten, evaluieren und gegebenenfalls anpassen. Die Schulung schließt nach erfolgreicher Prüfung mit einem Zertifikat ab, welches einen Standard in der Branche setzt. Es weist den Zertifizierten als digitalen Fachmann aus, der die Verknüpfung von digitaler und analoger Welt versteht und zu nutzen weiß. CDO was? Und was ist der Unterschied zum CIO, CEO und CTO? LESEN SIE DAZU: blog.isqi.org/blog/2018/10/22/cdo_was/


iSQI NEWS

39

ISQI BEIM ISTQB® GA-MEETING IN BERLIN

Aus dem iSQIKonferenzplaner 2018 15.01.-18.01.2019 Software Quality Days Wien, Österreich 11.03.-12.03.2019 UKStar 2019 London, Groß Britanien 20.03.2019 Swiss Tetsing Day Zürich, Schweiz 29.03.-30.03.2019 Testing Stage Kiev, Ukraine

Das iSQI-Team beim GA-Meeting in Berlin. V.l.n.r.: Frank Frambach, Sabrina Cordes, Agustina Gay, Erika Paasche, Debbie Archer, Suzanna Salem, Stephan Goericke und Carolin Kallenbach.

Im Oktober fand in Berlin das ISTQB® General Assembly Meeting statt. Mitarbeiter des International Software Quality Institute (iSQI) waren dabei und unterstützten die Mitglieder des

International Software Quality Boards (ISTQB) bei ihrer Arbeit. Es sind viele spannende Entwicklungen zu erwarten.

ISQI BIETET DESIGN THINKING ZERTIFIZIERUNG AN Die Alliance for Qualification (A4Q) hat eine neue Zertifizierung zu Design Thinking herausgebracht und das International Software Quality Institute (iSQI) bietet diese in seinem Portfolio an. Das Foundation Level validiert Kenntnisse und Fähigkeiten des Inhabers, diesen innovativen Ansatz zur Problemlösung und Lösungsfindung einzusetzen. iSQI-CEO Stephan Goericke zu der neuen Zertifizierung: „Design Thinking

(DT) spielt eine entscheidende Rolle bei der Art und Weise, wie Unternehmen ihre Geschäftsmodelle ausrichten – es ist ein grundlegender Wandel. DT ist auf die Kundenbedürfnisse ausgerichtet und kann ein Unternehmen dabei unterstützen mehr Produkte zu bauen, die wiederum mehr Marktattraktivität haben. Die neue Zertifizierung von A4Q wird Organisationen dabei unterstützen, DT für einen echten geschäftlichen Mehrwert zu nutzen.“


Im Gespräch

Ausgabe 49  |  Dezember 2018

40

REX BLACK ZUM SELENIUM TESTER FOUNDATION Nach wie vor ist automatisiertes Testen ein wesentlicher Faktor in der Software-Entwicklung. In den vergangenen Jahren ist der Bedarf an Experten in diesem Bereich stetig gestiegen und es besteht kein Zweifel daran, dass Kenntnisse über Automatisierung von hohem Wert sind. „Selenium WebDriver“ hat sich als Tool als sehr hilfreich erwiesen. Darum bildete sich um diese Open-Source-Software inzwischen eine große Community. In diesem Zusammenhang hat sich eine große Nachfrage nach einer Zertifizierung über den Umgang mit diesem Testing-Tool herauskristallisiert und das International Software Quality Institute (iSQI) hat daraufhin die Zertifizierung „A4Q Selenium Tester Foundation” in sein Portfolio aufgenommen. Rex Black, Geschäftsführer von Rex Black Consulting Services, Inc. (RBCS) und ehemaliger Präsident des ISTQB® war an der Entwicklung des neuen Kurses und der neuen Zertifizierung maßgeblich beteiligt. Das SQ-Magazin sprach mit ihm zum „A4Q Selenium Tester Foundation”: Rex, es gibt einen neuen Stern am Zertifizierungshimmel: den A4Q Selenium Tester Foundation. Was können Sie uns dazu sagen? Das Training zum Selenium Tester Foundation vermittelt die Grundlagen der Testautomatisierung. Im Speziellen geht es um GUI-Anwendungen, die mit Hilfe des Selenium WebDriver getestet werden. Das Training geht

über drei Tage und die Teilnehmer lernen anhand von ganz konkreten Beispielen aus der Praxis. Das ist für die Testautomatisierung sehr wichtig, denn nur, wenn man die Automatismen im tatsächlichen Umfeld anwendet und ausprobiert, lernt man damit umzugehen. Die anschließende Prüfung für die Zertifizierung ermöglicht es den Teilnehmern zu zeigen, dass sie die Grundkenntnisse der SeleniumTestautomatisierung beherrschen. Wir glauben, dass dieser neue Stern ein wirklich schöner Stern ist! Was ist das Besondere am Selenium WebDriver? Warum arbeiten so viele Tester mit diesem Tool? Dass Selenium so bekannt ist, hat viele Gründe. Zum einen ist es ein Open-Source-Tool – anders als bei vielen anderen Tools für die Testautomatisierung kostet die Anwendung von Selenium nichts. Zum anderen hat sich inzwischen eine große Community um das Tool aufgebaut. Deshalb ist es eine sichere Wahl. Selenium wird nicht mehr plötzlich aufgrund mangelnden Interesses verschwinden – wie es sonst schnell bei Open-Source-Projekten passieren kann. Der Selenium WebDriver ist zudem eng mit BehaviorDriven Development (BDD) verbunden. BDD ist eine beliebte Technik in der agilen Software-Entwicklung. Mit BDD werden automatisierte Tests parallel zur Entwicklung der Software erstellt. Es gibt

Selenium wird nicht mehr plötzlich aufgrund mangelnden Interesses verschwinden – wie es sonst schnell bei Open-SourceProjekten passieren kann.


41

Rex Black, Geschäftsführer von Rex Black Consulting Services, Inc. (RBCS) und ehemaliger Präsident des ISTQB®

als Open-Source-Lösung eine ganze Reihe von Werkzeugen für die Testautomatisierung, die um BDD gewachsen sind. Selenium ist ein Teil davon. Eine Vielzahl von Anwendungen laufen zudem heute in Browsern. Für die Tests der browser-basierten Userinterfaces eignet sich Selenium deshalb besonders, da es selbst browser-basiert ist. Dadurch ergänzt es viele andere Tools, die eine Automatisierung via APIs, Data Layers u.ä. ermöglichen. Triftige Gründe also für Tester, den Umgang mit Selenium zu erlernen. Bisher fehlte jedoch eine international anerkannte Zertifizierung für Selenium. Auch waren die Möglichkeiten für ein Training begrenzt. Wir glauben, dass die von uns entwickelten Trainings und die Zertifizierung diese Lücke perfekt schließen und gehen von einer hohen Nachfrage nach dem A4Q Selenium Tester Foundation aus.

Was lernen Teilnehmer in den Trainings zum Selenium Tester Foundation? Unsere Trainer gehen sehr praxisnah an das Thema. In drei intensiven Tagen lernen die Teilnehmer, was sie beim Einsatz von Testautomatisierung berücksichtigen müssen. Dazu gehören bestimmte Navigationsmethoden, die Interaktion mit GUI-Elementen, Protokollierung, Berichterstellung usw. Die Teilnehmer arbeiten von Beginn an mit Selenium. Die Trainer leiten an und erläutern die Konzepte und begleiten die sehr realistischen Übungen. Anhand eines Lösungskatalogs können die Teilnehmer ihre Ergebnisse sofort überprüfen. Nach dem abgeschlossenen Training beherrschen Teilnehmer folgendes: Automatisierungslösungen durch die korrekte Anwendung von Prinzipien zur Testautomatisierung erstellen

Auswahl und Implementierung von Testautomatisierungstools vornehmen Implementieren von Selenium WebDriver-Skripten, die funktionale Anwendungstests ausführen Erstellen und Ausführen von Selenium WebDriver-Tests, die ohne Überwachung durchlaufen Außerdem geht es bei dem Training nicht darum, möglichst viele automatisierte Tests unstrukturiert zu kombinieren. Dieser Ansatz bringt nur eine Menge unorganisierter Testautomatisierungsassets mit sich, die im Laufe der Zeit keinen Wert liefern. Im Rahmen des Kurses lernen die Teilnehmer stattdessen, wie sie die Selenium-Testautomatisierung in den Kontext einer TestautomatisierungsArchitektur einpassen, und das im Einklang mit den Anforderungen an das ISTQB® Advanced Level Test Automation Engineering (TAE).


Im Gespräch Wir haben das Training so gestaltet, dass es sich für ein möglichst breites Publikum eignet. Besonders sprechen wir folgende Zielgruppen an: Alle, die noch keine Erfahrung bei der Testautomatisierung haben und die mit Selenium arbeiten wollen. Alle, die erste Erfahrungen bei der GUITestautomatisierung gemacht haben, die Selenium noch nicht kennen und nun beginnen möchten, damit zu arbeiten. Alle, die Erfahrungen in der Testautomatisierung haben, sich jedoch noch nicht mit Selenium auseinandergesetzt haben und nun damit beginnen möchten.

Ausgabe 49  |  Dezember 2018

Kurz gesagt: Jeder, der Grundkenntnisse über Selenium erwerben möchte, kann an dem Kurs teilnehmen. Voraussetzung ist, dass er über Grundkenntnisse im technischen Bereich verfügt und mit Programmiersprachen wie Java und Skriptsprachen wie Python vertraut ist. 4. Inwiefern unterstützt diese Zertifizierung die persönliche Entwicklung und Karriere von Software Testern? Selenium steht heute wirklich im Trend, und ein Ende ist nicht abzu-

Das englische Original lesen Sie im SQ mag No. 5: www.sq-mag.com.

42

sehen. Schauen wir zum Beispiel auf Agilität. Immer mehr Organisationen setzen agile Methoden ein. Bei der Einstellung von Testern in agilen Software-Unternehmen werden technische Fähigkeiten, insbesondere zur Testautomatisierung, immer öfter eingefordert. Mit einem weltweit gültigen Zertifikat weisen Software Tester ihre Kenntnisse in diesem Bereich nach und können so ihre Karriere zukunftsgerichtet planen. Vielen Dank, Rex.


Impressum

Das SQ-Quiz

HERAUSGEBER

6

Sudoku

2

2

Die Lösung des letzten

9 3

8

1

6

6 4

1

Sudokus lautete:

8

7

5

5

4

1

3 2

Die Gewinner aus Heft 48 sind: Martin Menzel, Hilden Campos Kopecky, München

8

Andreas Wüst, Ostfildern Jan Schlichting, Hamburg

FAX +49 331 231810-10 info@asqf.de, www.asqf.de REDAKTION Stephan Goericke (Hauptgeschäftsführer) Chefredaktion: Anja Schreinert Redaktionsteam: Gerhard Wistuba, Carolin Kallenbach Friedrich-Engels-Str. 24, 14473 Potsdam TEL +49 331 231810-18 FAX +49 331 231810-10

Daniel Siegrist, Bruchsal

redaktion@sq-magazin.de,

Martin Schmetzstorff, Fellbach

www.sq-magazin.de

Mohamed Elbasiony, Düsseldorf Robert Weiß, Obernzell Jörg Befard, Eltville

7

Friedrich-Engels-Str. 24, 14473 Potsdam TEL +49 331 231810-29

V.i.S.d.P.:

Armin Ruhland-König, Frankfurt/Main

3 9

KLUGE SYSTEME

ASQF e.V.

SATZ / LAYOUT Frenkelson Werbeagentur, Potsdam www.frenkelson.de FOTOS: ASQF e.V. und iSQI GmbH Editorial-Bild: Karoline Wolf

LÖSUNGSWORT

Buchstaben:

Titelseite: © Sashkin - shutterstock

1=I, 2=H, 3=B, 4=U,

Seite 4: ©bejo - shutterstock

5=C, 6=G, 7=R, 8=N, 9=E

Seite 4,9,11,12: © Sashkin - shutterstock Seite 4, 14,15,17: © icons8-team - unsplash Seite 6: ©mimi-thian - unsplash Seite 28: matt-palmer - unsplash Seite 31: john-salvino - unsplash

Bitcoin & Blockchain - Grundlagen und Programmierung Erleben Sie die technische Revolution, die die Finanzwelt im Sturm erobert. Bitcoin & Blockchain – Grundlagen und Programmierung ist Ihr Leitfaden durch die scheinbar komplexe Welt von Bitcoin. Es vermittelt Ihnen das nötige Wissen, um am Internet des Geldes teilnehmen zu können und die BlockchainTechnologie zu verstehen. Ganz gleich, ob Sie die

nächste Killer-App entwickeln, in ein Start-up investieren oder einfach mehr über die Technik erfahren wollen: Diese überarbeitete zweite Auflage enthält alle grundlegenden Informationen, die Sie für den Einstieg benötigen.

Seite 32: thought-catalog - unsplash Seite 34, 36: pietro-jeng - unsplash Alle Portraits und Grafiken mit freundlicher Genehmigung der Autoren. DRUCK: PRINTEC OFFSET, Kassel DRUCKAUFLAGE: 4.000 Stück INTERNETAUSGABE: www.sq-magazin.de

Senden Sie bis zum 1. Februar 2019 das Lösungswort des Gewinnspiels an info@asqf.de und gewinnen Sie eines von fünf Büchern.

*Der Rechtsweg ist wie immer ausgeschlossen. Die Mitarbeiter der iSQI GmbH und des ASQF e.V. sowie sämtliche am Gewinnspiel beteiligten Personen sind von der Teilnahme ausgeschlossen. Teilnehmer erklären sich mit der Veröffentlichung ihres Namens in der Folgeausgabe einverstanden.

MEDIADATEN Gern senden wir Ihnen unsere Mediadaten zu. Richten Sie Ihre Anfrage an werben@sq-magazin.de Namentlich gekennzeichnete Beiträge müssen nicht mit der Meinung der Redaktion übereinstimmen. Die Redaktion behält sich das Recht auf sinngerechte Kürzung und Bearbeitung eingereichter Manuskripte vor. Wir machen darauf aufmerksam, dass Daten nicht an Dritte weitergegeben und ausschließlich zur internen Auswertung herangezogen werden können.

№ 50

erscheint im März 2019

SQ № 50 Thema: Automatisierung Anzeigenschluss: 01.02.2019 Redaktionsschluss: 25.01.2019

Im nächsten Heft:

AUTOMATISIERUNG Automatisierungen bieten viele Vorteile, allein weil sie sich immer wieder wiederholende Vorgänge deutlich abkürzen. Automatisierungen findet man in vielen Bereichen: in Produktionen, beim Testen, … Mit welchen Automatisierungen beschäftigen Sie sich? Was haben Sie für Erfahrungen gemacht? Teilen Sie Ihr Wissen mit unseren Lesern und werden Sie Autor im SQMagazin. Senden Sie Ihren Beitrag bis zum 25. Januar 2019 an redaktion@sq-magazin.de

In den Texten sind stets Personen männlichen und weiblichen Geschlechts gleichermaßen gemeint; aus Gründen der einfacheren Lesbarkeit wird im SQ-Magazin nur die männliche Form verwendet.


Certified - Now

Perfekt für alle, die das Selenium WebDriver Toolset nutzen wollen. Ideal für die Karriere mit international anerkanntem Nachweis von Skills durch einen unabhängigen Zertifizierer.

isqi.org/de/certified-selenium-tester-foundation

©bejo_shutterstock

Get

Selenium

Profile for International Software Quality Institute

SQ-Magazin Nr. 49  

Das Thema Blockchain wirft viele Fragen auf, auf die es bisher nur wenige Antworten gibt. Obwohl schon seit zehn Jahren davon gesprochen wir...

SQ-Magazin Nr. 49  

Das Thema Blockchain wirft viele Fragen auf, auf die es bisher nur wenige Antworten gibt. Obwohl schon seit zehn Jahren davon gesprochen wir...

Profile for isqi
Advertisement

Recommendations could not be loaded

Recommendations could not be loaded

Recommendations could not be loaded

Recommendations could not be loaded