Ausgabe 47 | JUNI 2018
CUSTOMER IDENTITY MANAGEMENT in Zeiten von Industrie 4.0 und Digitalisierung im Zusammenhang mit dem neuen Datenschutzgesetz
QUALITÄT FÜR DAS INTERNET DER DINGE
TESTS ZUR PRODUKTSICHERHEIT
SECURITY FUNKTIONEN
Sichheitstest ist nicht Testen von Sicherheitsfunktionen
Herausforderungen für den Test im Embedded Umfeld
Folgen Sie uns auf Twitter. Facebook. Instagram.
PLU
S: Die a ktuel len Schul ungstermi ne fü 2018 r
ISSN 2367-3516
Im Gespräch mit Dr. Armin Metzger
twitter.com/SQMagazin / facebook.com/SQforyou / instagram.com/isqicert
ŠArtistdesign29_shutterstock.com
YOUR SECURE PATH TO SUCCESS! Exclusively available through iSQI, that offers you the chance to take the initial exam and one retake of the same exam if needed.
www.asqf.de | www.isqi.org
Sprint forward with iSQI Scrum Master Pro Become a real Scrum Master within just 12 hours with our online course on high5.academy
3
Ausgabe 47 | Juni 2018
Editorial
Liebe Leser und Leserinnen des SQ-Magazins, kennen Sie den schon? „DSGVO ist, wenn Du plötzlich ohne eigenes Zutun aus sämtlichen Newslettern fliegst – was Dir vorher trotz eigenem Zutun nicht gelungen ist.”
auch nicht wirklich, dass Datenschützer und Politiker die Justiz ermahnen, bloß nicht allzu streng zu sein! Kapitulation also, schon bevor es los geht? Wozu dann der ganze Aufwand?
Auf den ersten Blick, macht die neue Datenschutz-Grundverordnung (DSGVO) keinen Sinn. Vor der Schufa, der GEZ, dem Finanzamt oder den US-Behörden schützt sie mich nicht. Dafür darf der Sportverein Posemuckel nun seinen Newsletter nicht mehr versenden.
Wir beim ASQF und beim iSQI haben – so denke ich – alles getan, was möglich war, die Verwaltung nach DSGVO anzupassen. Der Aufwand war letztlich doch überschaubar, denn Datenschutz wurde bei uns immer schon groß geschrieben. Wenn Sie Fragen dazu haben, sprechen Sie uns an.
Das Problem liegt – wieder einmal – in der fehlenden Akzeptanz der Vorgaben und der schlechten Kommunikation. Sträflich rächt sich nun, dass versäumt wurde, Sinn und Nutzen zu erklären. Strafandrohungen allein sind keine überzeugenden Argumente.
Und nun wünsche ich Ihnen viel Spaß beim Lesen dieser neuesten Ausgabe – sofern Sie diese nach all der Aufregung doch noch bekommen haben.
Herzlichst Ich sage, diese Form der DSGVO bleibt nicht. Die Politik wird Anpassungen und Ausnahmen schaffen müssen. Wo Vorschriften die Entfaltung von Ideen verhindern, gehört die Vorschrift angepasst. Nicht umgekehrt. Es beruhigt
Ihr Stephan Goericke ASQF-Hauptgeschäftsführer
Was ist Ihre Meinung oder Erfahrung? Teilen Sie mir Ihre Gedanken mit! Ich freue mich auf Ihre Zuschrift und einen anregenden Austausch zu den verschiedensten Themen. s.goericke@sq-magazin.de
CUSTOMER IDENTITY MANAGEMENT IN ZEITEN VON INDUSTRIE 4.0 UND DIGITALISIERUNG IM ZUSAMMENHANG MIT DEM NEUEN DATENSCHUTZGESETZ (DSGVO)
SICHERHEIT IN TECHNIK UND GESELLSCHAFT
09
Inhalt
16
IM GESPRÄCH MIT GTB-GESCHÄFTSFÜHRER DR. ARMIN METZGER
QUALITÄT FÜR DAS INTERNET DER DINGE
14 05 ASQF-NEWS
14 IM FOKUS
09 SCHWERPUNKT
14 Qualität für das Internet der Dinge Im Gespräch mit GTB-Geschäfts führer Dr. Armin Metzger
09 Sicherheit in Technik und Gesellschaft 16
Customer Identity Management In Zeiten von Industrie 4.0 und Digitalisierung im Zusammenhang mit dem neuen Datenschutzgesetz
30 Tests zur Produktsicherheit Sicherheitstest ist nicht Testen von Sicherheitsfunktionen 34 Security Funktionen Herausforderung für den Test im Embedded Umfeld
26 Neue Welt, neue Jobs Der „Chief Digital Officer” kommt
28 iSQI-NEWS 38 IM GESPRÄCH mit Sabrina Cordes Security Testing
ASQF NEWS
5
ERSTER ASQF-DAY DES JAHRES WAR VOLLER ERFOLG Den Auftakt zur ASQF-Veranstaltungsreihe im Jahr 2018 machte am 26. April der Testing Day NRW in den Räumlichkeiten des LifeScience Düsseldorf. Unter dem Motto „Testmanagement inside out“ wurden neue Herausforderungen, Sichtweisen und Handlungsoptionen beleuchtet, die durch den aktuellen Wandel in der Digitalisierung verstärkt werden. Fakt ist: Aktivitäten wie Planung, Koordination, Abstimmung und Reporting in Testinitiativen dürfen auch im Zuge von Themen wie Agilität, DevOps, Security oder Big Data nicht vernachlässigt werden. Die Disziplinen ändern sich, aber die Anforderungen und Aufgaben bleiben. In diesem Sinne starteten Michael Kutz und Oliver Monneke von REWE digital mit ihrem Vortrag und gaben spannende Einblicke in die Entwicklung des Testmanagements von monolithischen Architekturen hin zu Microservices. Nach dem Beitrag von Dr. Matthias Hamburg, Sogeti GmbH, zum Thema „Testprozessverbesserung bei Versicherungen mit TPI NEXT“, widmete sich Dr. Ehrhard Wunderlich von Bombardier Transportation grundsätzlichen Fragen des Testmanagement wie „Wozu brauchen wir Testmanagement?” und „Wie sieht die
Zukunft des Testmanagements aus?”. Den Abschluss des Tages bildeten Dirk Hedderich von Micro Focus und Ralf Mack von Atos mit dem Thema „Datenschutz-Grundverordnung und Testmanagement – Wie passt das zusammen?”. Durch das Graphic Recording von Rainer Deußen, Capgemini, wurden die Inhalte noch zusätzlich visualisiert und dokumentiert. Die zahlreichen Anwesenden waren begeistert. „Ja, für mich
war der Tag sehr inspirierend! Angefangen mit der außergewöhnlichen Dokumentation über die für mich neue Methode des World Cafés bis hin zu den Vorträgen und Gesprächen war es ein toller Tag und es wird bestimmt nicht mein letzter Testing Day gewesen sein! Bis 2019”, so ein Teilnehmer. Somit bildete der erste Day des Jahres 2018 einen gelungenen Start. Elf weitere Veranstaltungen sind für dieses Jahr geplant.
ASQF NEWS EXKLUSIVE RABATTE FÜR ASQF-MITGLIEDER German Testing Day 07.-08.06.2018, Frankfurt/Main 10% RABATT FÜR ASQF-MITGLIEDER
Embedded Testing 19.-21.06.2018, München 10% RABATT FÜR ASQF-MITGLIEDER
XAAS Evolution 02.-03.07.2018, Berlin 20% RABATT FÜR ASQF-MITGLIEDER
QS-Barcamp 01.09.2018, Hamburg 10% RABATT FÜR ASQF-MITGLIEDER
TestBash 14.09.2018, München
Ausgabe 47 | Juni 2018
6
Be Agile! Get Involved! Agile Community in Österreich Der ASQF hat in Österreich eine neue Fachgruppe zum Thema Agilität gegründet. Unter dem Motto „Be Agile! Get Involved!” rufen die Fachgruppenleiter Manfred Baumgartner (Nagarro) und Andreas Mayerhofer-Bollek (Österreichische Post AG) zum Austausch unter Gleichgesinnten auf. Am 28. Juni findet das Gründungstreffen statt, zu dem alle Interessenten herzlich eingeladen sind. Mit der „Agile Community Österreich” spricht der ASQF alle Software-EngineeringDisziplinen an sowie involvierte Fachbereiche und Anwender, z. B. in ihrer Rolle als Product Owner. Auch Personen und Unternehmen, die nicht zwingend aus der IT stammen, sind gerne eingeladen, über ihre Erfah-
rungen im agilen Kontext zu berichten. Die Fachgruppe ist davon überzeugt, dass dadurch inspirierende Gedanken und tolle Synergien entstehen. Neben den Fachgruppentreffen findet auch eine Konferenz, die „Agile Night Austria“, am 16. Oktober 2018 in Wien statt. Das Thema der Agile Night Austria lautet „DevOps@Agile – Continuous Quality in agilen Projekten” und und der ASQF freut sich über eine rege Beteiligung. WENN SIE SICH IN DER AGILE COMMUNITY ÖSTERREICH INHALTLICH UND ORGANISATORISCH BETEILIGEN MÖCHTEN, ERREICHEN SIE DIE FACHGRUPPENLEITER PER E-MAIL:
manfred.baumgartner@asqf.de andreas.mayerhofer-bollek@asqf.de
50,- EUR RABATT FÜR ASQF-MITGLIEDER
Big Data Minds 16.-18.09.2018, Berlin 20% RABATT FÜR ASQF-MITGLIEDER
Rethink! IT 16.-18.09.2018, Berlin 20% RABATT FÜR ASQF-MITGLIEDER
ASQF Beirat im Amt bestätigt Sitzung zur Entwicklung des ASQF Im März 2018 wurde der Beirat des ASQF e.V. vom Präsidium in seinem Amt bestätigt. Der aktuelle Beirat des ASQF setzt sich zusammen aus:
Rethink! SPMS 19.-21.09.2018, Berlin 20% RABATT FÜR ASQF-MITGLIEDER
Neue Mitglieder im ASQF e.V. auticon GmbH Berlin I auticon.de metafinanz Informationssysteme GmbH München I metafinanz.de Sivantos GmbH Erlangen I www.sivantos.de TXS GmbH Hamburg I www.txs.de viception GmbH & Co. KG Langenau I www.viception.com
Peter Batt, IT-Direktor Bundesinnenministerium Herna Munoz-Galeano, Gründerin, Geschäftsführerin HMG Systems Engineering GmbH Dr. Walter Wintersteiger, selbständiger Unternehmensberater und internationaler Experte zum Thema Software-Qualität Robin Baldner, Senior Vice President Quality Assurance SAP SuccessFactors Arndt Schaarschmidt, Leiter Konzern-Qualitätssicherung VW, Geschäftsführer Automotive Quality Institute (AQI) Chris Rupp, Gründerin und geschäftsführende Gesellschafterin der SOPHIST GmbH Prof. Dr. Andreas Spillner, Professor i.R. im Fachbereich Elektrotechnik Hochschule Bremen Anton Schlatter, Head of Test & Quality Services bei CGI Deutschland Prof. Dr. Bernd Hindel, Vorstandsvorsitzender Method Park Software AG
Der ASQF bedankt sich für das bisherige und weitere Engagement des Beirates. Im Anschluss traf sich der Beirat mit dem Präsidium und der Geschäftsführung des ASQF zu einer Sitzung über die Entwicklung des Verbands. Ein entscheidendes Thema der Sitzung war die Standortbestimmung und Positionierung des Verbands im Kontext der Digitalen Transformation und deren Auswirkungen im industriellen Produktionsumfeld. Der ASQF stärkt mit seinen Fortbildungen und Standardisierung in diesem Bereich den Qualitäts-Standort Deutschland und gibt der Industrie eine wichtige Hilfestellung.
7
ASQF NEWS
Wechsel vom ASQF zum GTB Dr. Armin Metzger verlässt den Arbeitskreis Software-Qualität und -Fortbildung als Direktor und wird neuer Geschäftsführer des German Testing Boards (GTB). Der ASQF e.V. gratuliert Herrn Dr. Metzger herzlich zu seiner neuen Aufgabe. Stephan Goericke, Hauptgeschäftsführer des ASQF e.V., über den Wechsel von Dr. Armin Metzger: „Wir bedanken uns bei Herrn Metzger für seine gute Arbeit und wünschen ihm viel Erfolg für seine neue Aufgabe beim GTB. Wir bleiben im Einsatz für System- und Software-Qualität mit Herrn Metzger und dem GTB herzlich verbunden.” Auch dem im März 2018 neu gewählten Vorstand des GTBs spricht Stephan Goericke, seine herzlichen Glückwünsche aus. Der Arbeitskreis SoftwareQualität und -Fortbildung freut sich über die weitere Fortsetzung der guten Zusammenarbeit. So ist im letzten Jahr aus einer gemeinsamen Arbeitsgruppe des ASQF und des GTB eine neue Zertifizierung entstanden: der „Certified Professional for IoT”. In der hochkarätigen Arbeitsgruppe des ASQF und des GTB wurde 2017 dieser Kurs entwickelt, der Me-
Kommende ASQF-Days
2018
Dr. Armin Metzger schöpft aus 25 Jahren Erfahrung in der Software Entwicklung und zu Themen der Software- und System-Qualität in industriellen Projekten, Forschungsvorhaben und internationalen Gremien. Seit April 2018 steht er dem German Testing Board e.V. als Geschäftsführer zur Verfügung.
thoden und Leitlinien zu Absicherung der Qualität von IoT-Lösungen bietet. Der Kurs vermittelt die notwendigen grundlegenden Kompetenzen und Best Practices für alle Beteiligten.
ASQF und Universität Würzburg unterzeichnen Kooperationsvereinbarung Der ASQF und die Julius-Maximilian-Universität Würzburg haben ihre langjährige Beziehung durch die Unterzeichnung einer Kooperationsvereinbarung bekräftigt. Durch den intensiven Austausch zwischen der Universität und dem ASQF sollen das Bewusstsein für die Bedeutung der Software-Qualität gesteigert, der Wissenstransfer zwischen Akteuren im Bereich Software aus Industrie, Institutionen und Hochschulen gesteigert sowie Anstöße zur Verbesserung von Prozessen in der Software-Ent-
wicklung gegeben werden. Die Vereinbarung wird insbesondere für den Lehrstuhl für Informatik II / Software Engineering Anwendung finden. Die Studierenden des Lehrstuhls können somit alle Angebote des ASQF nutzen. Auch wird der ASQF-Förderpreis noch in diesem Jahr verliehen. Am 30. Juni dieses Jahres wird ein Preisträger im Rahmen der Absolventenfeier des Lehrstuhls für Informatik II die Auszeichnung entgegennehmen können.
WWW.ASQF.DE/ASQF-DAYS
FACHGRUPPEN-TERMINE Juni 2018 bis August 2018 13.06.2018: FG Automotive, Ingolstadt, 18:00 - 20:00 Uhr KW Mo
14.06.2018: FG Software Test Schwaben, Ulm, 18:00 - 20:00 Uhr
22
Thema: Scrum im Arbeitsalltag - Erfahrungen mit agiler Entwicklung
JUNI
20.06.2018: FG Softwaretest Braunschweig, Braunschweig, 18:00 - 20:00 Uhr Thema: „Das Tool ist Nebensache: Testautomatisierungsprojekte und Vertrauen zwischen Entwickler und Tester“
26.06.2018: FG Software Test Wien, Wien, 18:00 - 20:00 Uhr
Di
Thema: Comparison of Image-based and Object-based Test Automation within Industrial Context
28.06.2018: FG Agilität Österreich, Wien, 18:00 - 20:00 Uhr Thema: BE AGILE! GET INVOLVED! Agile Community Österreich!
21.08.2018: FG Software Test, Berlin 18:00 – 20:00 Uhr Thema: Testautomatisierung
Alle Termine und Anmeldung unter: www.asqf.de/events
Mi
Do
Fr
Sa
1
2
So 3
23
4
5
6
7
8
9
10
24
11
12
13
14
15
16
17
25
18
19
20
21
22
23
24
26
25
26
27
28
29
30
KW Mo
Di
Thema: „Spontane Erkenntnisse (‚Aha‘-Erlebnisse): Forschungsergebnisse aus der kognitiven Neurowissenschaft & was wir daraus lernen können“
26.06.2018: FG Software Test Franken, Nürnberg, 18:00 - 20:00 Uhr
AUG
JUNI 2018
Thema: Wie wichtig ist die Toolqualifikation nach DO178 bzw. ISO26262 wirklich?
AUG 2018
31
Mi
Do
Fr
Sa
1
2
3
4
So 5
32
6
7
8
9
10
11
12
33
13
14
15
16
17
18
19
34
20
21
22
23
24
25
26
35
27
28
29
30
31
9
9
Schwerpunkt
SICHERHEIT IN TECHNIK UND GESELLSCHAFT Versorgung mit Lebensmitteln, Wasser, Gas und Strom erfordern eine Vielfalt an verzahnten Technologien. Technik bestimmt Transport, Arbeit, Freizeit und Unterhaltung. Dieser Status Quo ist kein statischer Zustand, sondern verstärkt sich weiter. Dabei nimmt der Anteil digitaler Technik stetig zu. Ein Ausfall von nur wenigen und kleinen Bereichen kann zu Auswirkungen führen, die mehr als nur unangenehm sind (man denke an einen feststeckenden Aufzug) und absichtlich herbeigeführte Störungen können lebensbedrohliche Konsequenzen haben.
BEDROHLICHE KONSEQUENZEN Computerviren zum Beispiel: Im Frühjahr 2017 sorgte ein Cyber-Angriff durch die Viren „WannaCry“ und „NotPetya“ für erhebliche Gefährdungen in Krankenhäusern. Auch 2018 sind bereits gravierende Vorfälle beim Bund und Probleme beim USHeimatschutzministerium bekannt geworden. Einer der größten „distributed Denial of Service“ (dDoS)-Angriffe (d.h. viele einzelne Rechner greifen gemeinsam ein Ziel an, um dessen Service lahmzulegen) ist mit „Memcached Reflection Amplification“ im Februar 2018 bekannt geworden. Dabei wurden ausgewählte Ziele mit bis zu 1,7 TBit/s unter Beschuss genommen und damit deren Internetanbindung gesättigt, so dass reguläre Anfragen nicht mehr ihr Ziel erreichen konnten.
Im März 2018 hat ein Kryptotrojaner das Computernetz der Stadtregierung von Atlanta (USA) lahmgelegt. Welche Auswirkungen ein erfolgreicher Angriff auf die Uhrensynchronisation bei NTP (Network Time Protocol) oder Funkuhren haben kann, ist gar nicht absehbar. Zukünftige „Smart Homes“ mit dem umfangreichen Einsatz des Internet of Things (IoT) bieten ebenfalls lohnende Ziele für Angriffe unterschiedlicher Art. Die Probleme mit dem besonderen elektronischen Anwaltspostfach (beA) sind seit Ende 2017 so gravierend, dass das System abgeschaltet werden musste. Das Thema elektronische Patientenakte steht vor der Tür. Angriffe auf Herzschrittmacher via WLAN wurden schon vor Jahren als „Proof of Concept“ (PoC) demonstriert. Bei der Patientenakte geht es um Verfügbarkeit (auch im Notfall) und um Datenschutz, bei unbefugtem Zugriff auf Herzschrittmacher geht es unmittelbar um Menschenleben. Je anfälliger die Gesellschaft auf Störungen reagiert, desto intensiver muss Technik abgesichert werden und desto sorgfältiger müssen Menschen mit Technik umgehen. Auch unabsichtliche Fehlbedienungen, möglicherweise provoziert durch unklare Eingabe-Erwartungen, liegen im Blickfeld von Sicherheit. Schließlich ist auch noch die europäische Datenschutz-Grundverordnung (EUDSGVO) seit Mai 2018 vollständig in
Frank Guthausen hat über drei Jahrzehnte Erfahrungen in den Bereichen Computertechnik, Software-Entwicklung, Administration, Datenschutz und Sicherheit erworben. Derzeit arbeitet er in der Abteilung Cybersecurity bei der Sogeti Deutschland GmbH.
Schwerpunkt
Ausgabe 47 | Juni 2018
10
Kraft und fordert die Absicherung personenbezogener Daten mindestens nach dem Stand der Technik.
WER IST SCHULD? BLOCKADEN BEI DER SICHERHEIT Nach dem bisher Gesagten sollte man ein verbreitetes Interesse an Sicherheit in der digitalen Welt vermuten können. Allerdings sind Sicherheitsmaßnahmen nicht direkt sichtbar und Angriffe werden oft nicht direkt wahrgenommen. Dies führt zu einer psychologischen Verdrängung des Problems. Ein vorausplanender Aufwand scheint (gefühlt) unnötig und ist oft aus ökonomischer Sicht schwer zu rechtfertigen. Im Schadensfall kommt es schnell zum „Schwarzer Peter“Prinzip, in dem das Problem dadurch oberflächlich gelöst wird, indem ein Schuldiger gefunden wird. Auch die gegenteilige Reaktion, in dem gar keiner verantwortlich gemacht wird, weil es „eben passiert ist”, ist nicht viel besser. Das gesellschaftlich verbreitete Dilemma, alles mit einer vergleichenden (eindimensionalen) Metrik bewerten zu wollen, die sich direkt in Geld umrechnen lässt, unterstützt die Sichtweise, es beim Thema Sicherheit nicht so genau zu nehmen. Auf Management- und Führungsebene zählen Umsatz und Gewinn und unnötige Kosten sind zu vermeiden. Bei Fragen zur Sicherheit fehlen klare Ansagen, was nötig und was unnötig ist. Es fehlt eine genaue Definition von Sicherheit. Administratoren von Systemen haben aus technischer Sicht meist ein ausgeprägtes Verständnis für die Notwendigkeit von Sicherheit. Auf der Ebene des Managements fehlt dieses Verständnis häufig oder ist nur schwach ausgebildet. Und wie sieht es bei der größten Gruppe, den Anwendern, aus? Hier darf man ohne Übertreibung annehmen, dass das Interesse und Verständnis für Hintergrund und
11
Umsetzung von Maßnahmen aller Art beim größten Teil allenfalls rudimentär oder gar nicht vorhanden ist. Man denke an unsichere Passwörter für das private E-Mail-Postfach, die dann (zur Sicherheit) noch zusätzlich auf einem kleinen Zettel an den Monitor geklebt werden. Oder das Passwort-Sharing, bei dem sich mehrere Kollegen einen Account teilen und dementsprechend das Passwort kennen – beispielsweise in Krankenhäusern. Das Benutzen unverschlüsselter HTTP-Verbindungen gehört ebenso zum guten Ton wie das Ignorieren von Zertifikatswarnungen bei der Nutzung von HTTPS. Vom regelmäßigen Austausch abgelaufener Zertifikate auf IoT-Geräten fangen wir besser erst gar nicht an. In vielen Fällen ist der Anwender allein nicht schuld. Oft haben Hersteller allzu viel Sicherheit auch gar nicht vorgesehen. Kommunikation zu verschlüsseln ist grundsätzlich „zu schwierig”. Wir haben uns einmal die Produkte eines führenden SoftwareHerstellers angesehen und müssen vermuten, dass die Lücken in der Sicherheit nicht nur übersehen worden, sondern auch gewollt sind – und auch gar nicht gestopft werden sollen. Zieht man Beobachtungen aus dem privaten Bereich, der freien Wirtschaft und dem öffentlichen Dienst zu Rate, haben die Enthüllungen von Edward Snowden zu den Aktivitäten des USGeheimdienstes NSA offensichtlich nie stattgefunden. Man sollte vermuten, dass wenigstens die ökonomische Vernunft zu einer Absicherung gegen Wirtschaftsspionage führt, aber selbst auf diesem Feld geht allenfalls von Optimisten noch Hoffnung aus.
VERIFIZIERUNG VON BERECHTIGUNGEN Bei zugriffsgesicherten Systemen gibt es grundsätzlich drei Methoden, eine Berechtigung zu verifizieren: ich
weiß etwas, ich besitze etwas und ich bin etwas. Das Wissen um Passwörter kann belauscht oder abgepresst werden, der Besitzer von Smartcards kann wechseln. So bleibt scheinbar nur ein biometrisches Merkmal. Um eine Person ohne „False Positive“ eindeutig zu authentifizieren, muss das System das Gesicht der Person „erkennen”. Von „False Positive” spricht man in der IT, wenn ein System einen Fehlalarm auslöst oder fälschlicherweise das System dicht macht. Leider ist auch diese Methode problematisch. Die grundsätzliche Idee kam nach der Jahrtausendwende immer stärker in Mode und resultierte u.a. in der Aufnahme biometrischer Merkmale in Reisepass und Personalausweis. Wie verschiedene Forschungsergebnisse auch und gerade aus dem Umfeld des Chaos Computer Clubs (CCC) in den letzten Jahren gezeigt haben, sind Verfahren wie Gesichtserkennung, Fingerabdruck-Scan oder Iris-Scan mit haushaltsüblichen Mitteln einfach zu überlisten. Anders als ein Passwort oder eine Smartcard sind biometrische Merkmale aber nicht austauschbar, sondern unveränderlich an die Person gebunden. Eine Kompromittierung ist daher ein sehr schwerwiegendes Vergehen. Unklar ist, ob es sich bei biometrischen Merkmalen um personenbezogene Daten im Sinne der EU-DSGVO handelt, möglicherweise sogar um besonders schützenswerte.
GEFAHR: DER ANWENDER VERLIERT DEN ÜBERBLICK Bei passwortgeschützten Systemen gibt es oftmals Richtlinien, welche die Sicherheit erhöhen sollen. Dazu gehören regelmäßige Passwortwechsel und die Verwendung von Sonderzeichen sowie der Ausschluss von Wörterbuch-Begriffen. Doch wie soll man sich die steigende Anzahl von Passwörtern merken? Man zähle einmal durch: Pins für Mobiltelefone, Bank-
karten, Logins für Privatrechner, private E-Mail, Firmenrechner, Firmentelefon, Social-Media-Accounts. Das überfordert nicht nur durchschnittliche Anwender. Die gängigen Gegenmaßnahmen sind Post-its mit Passwörtern unter der Tastatur oder am Monitor, kleine Gedankenstützen in Schubladen und im Telefonspeicher. Eine weitere beliebte Strategie ist, das gleiche Passwort für alle möglichen Accounts zu verwenden. Das hebelt natürlich den beabsichtigten Schutz aus. Hier begreift die IT nicht, dass Sicherheit an dieser Stelle weder ein technisches noch organisatorisches, sondern ein psychologisches Problem ist. Mehrfaktor-Authentifizierung mit Token und generierten Einmal-Berechtigungen sind da wesentlich wirkungsvoller. Leider verursachen diese aber wiederum Kosten.
KRYPTOGRAFIE: KOMPLIZIERT, ABER EINE LÖSUNG Ebenfalls Opfer von Überforderung und Bequemlichkeit werden Verfahren zur Verschlüsselung bei Kommunikation und Datenhaltung. Während sich Festplattenverschlüsselung auch außerhalb von Nischenbranchen langsam durchsetzt, ist eine zuverlässige Verschlüsselung von E-Mails nicht selbstverständlich. Mit OpenPGP und S/MIME gibt es zwei große nicht kompatible Verschlüsselungsstandards und die Unterstützung durch Software ist nicht einheitlich. Durch firmen interne Vorgaben zur Verwendung und Nichtverwendung bestimmter Software ergeben sich weitere praktische Probleme. Auch bei der Datenübertragung per Webbrowser hat sich HTTPS als verschlüsseltes Protokoll noch nicht vollständig gegen HTTP durchgesetzt. Ein Mitlesen durch Unbefugte kann dabei weder verhindert noch festgestellt werden. Hier ist allerdings durch die Initiative „Let‘s Encrypt“ in den letzten
Schwerpunkt
zwei Jahren ein deutlicher Fortschritt zu erkennen – zumindest, wenn domainvalidierte Zertifikate ausreichen. Extended Validation kostet dagegen zusätzliches Geld. Die Verwaltung von Zertifikaten wird nicht immer sorgfältig vorgenommen. Das Ergebnis sind häufig abgelaufene und ungültige Zertifikate. Revocation, also die Sperrliste für Zertifikate, wird meistens erst gar nicht geprüft. Solche Probleme betreffen neben der Wirtschaft auch den Staat: Selbst grundsätzlich zulässige Abfragen von Sicherheitsbehörden bei einem Berliner Mailprovider liefen im Jahr 2018 noch unverschlüsselt über das öffentliche Netz.
MONOKULTUREN UND HOMOGENE UMGEBUNGEN Ein weiteres Problemfeld sind proprietäre Monokulturen und homogene Umgebungen. Das Netzwerk der Deutschen Bundesregierung hat eine solche kritische Infrastruktur und wurde deshalb Anfang 2018 auch Ziel eines großen Hackerangriffs. Was zunächst nach administrativer Vereinfachung aussieht, kann bei einem tatsächlichen Sicherheitsproblem
Ausgabe 47 | Juni 2018
statt zu einem Teilausfall gleich zu einem Totalausfall führen. Auch die Abhängigkeit vom Hersteller bei Updates und Sicherheitspatches verhindert eine schnelle, individuelle Reaktion, selbst wenn hochqualifiziertes Personal vor Ort ist. Das Outsourcen von Verantwortung kann zum gefährlichen Bumerang werden. Mit der Cloud werden zusätzlich Daten in den Verantwortungsbereich von Dritten geschoben. Hier hat man es mit einer tickenden Zeitbombe zu tun! Aktive Angriffe richten sich nicht immer gegen technische Systeme. Auch Menschen sind Ziele. Über Spam, Viren- und Phishing-Mails sollen Mitarbeiter oder Privatpersonen motiviert werden, aus Unkenntnis Handlungen zu ihrem Nachteil auszuführen. Aufklärung und Schulung sind unabdingbar. Niemand ist davor gefeit: Im April 2018 wurde der Autor selbst Ziel einer Social-Engineering-Attacke. Ein angeblicher Mitarbeiter von Microsoft Technical Support berichtete telefonisch von einem identifizierten Problem und kritischen Dateien auf dessen Computer. Anschließend forderte er die Freigabe für den Zugriff auf den
12
Computer. Allerdings ohne Erfolg. Es ist vorstellbar, dass weniger erfahrene Computer-User auf solche hinterhältigen Attacken hereinfallen könnten. Man kann sich denken, was ein solcher „Microsoft-Mitarbeiter” auf einem fremden Rechner anstellen wird.
FAZIT Das Thema Sicherheit ist kein Puderzucker, den man zusätzlich auf Prozesse und Technologie oben drüber streut. Sicherheit ist auf vielfältige Weise tief verankert und kann nicht überschätzt werden. Ein gesellschaftlich breit aufgestelltes Bewusstsein für die Problematik, ähnlich wie beim Brandschutz, ist längst überfällig.
ADVERTORIAL
DER USER IM MITTELPUNKT TESTBENCH CLOUD SERVICES SETZT AUF BENUTZERZENTRIERTE ENTWICKLUNG Bei der Neuentwicklung von Software spielt die User Experience eine immer größere Rolle. Denn nur dann, wenn der Nutzer das bekommt, was er möchte und genau so, wie er es möchte, ist sein Nutzungserlebnis positiv und er wird weiter gerne mit dem System arbeiten. Auch bei der Entwicklung der TestBench Cloud Services wurde großer Wert auf sämtliche Facetten der User Experience gelegt. Das System – seit wenigen Wochen auf dem Markt – ist eine schnell und unkompliziert einsetzbare cloudbasierte Lösung, um den Software-Test agil zu organisieren. Damit der User ein bestmögliches Nutzungserlebnis hat, wurden die folgenden Punkte von Anfang an betrachtet: Was sind die möglichen Nutzergruppen des Tools? In welchem Kontext nutzen diese das Tool? Was für Funktionalitäten benötigen die Nutzer? Wie muss die Bedienoberfläche gestaltet sein? Wie kann der Nutzer effektiv, effizient und zufriedenstellend mit dem Tool arbeiten? Die TestBench Cloud Services wendet sich in erster Linie an kleine, agil arbeitende Teams. Anforderungen werden in Form von Epics und User Stories erfasst. Mit diesen Elementen verknüpft sind alle dazugehörigen Testfälle sowie die Defects, die während einer Testdurchführung erfasst werden. OFFENE AKTIVITÄTEN EINES EPICS UND DER DAZUGEHÖRIGEN USER STORIES Durch die selbsterklärende Bedien oberfläche unterstützt die TestBench
Cloud Services auch Teams, die keine speziell ausgebildeten Test-Experten in ihren Reihen haben. Das System leitet den User bei der Datenerfassung und der Testdurchführung an. Sobald essentielle Daten fehlen, die beispielsweise eine erfolgreiche Testdurchführung verhindern, wird das direkt über einen optischen Hinweis angezeigt. Die Abbildung zeigt ein Epic, die dazugehörigen User Stories und die Anzahl der offenen Aktivitäten. Die unterschiedlichen Icons (Feuer, Blitz, Notiz) sowie deren Farbgestaltung (rot, orange, blau) symbolisieren die Dringlichkeit der Aktivitäten. SELBSTERKLÄREND, BARRIEREFREI UND REAKTIV: DIE BEDIENOBERFLÄCHE DER TESTBENCH CLOUD SERVICES Die Bedienoberfläche der TestBench Cloud Services hat ein responsives Design. Egal ob der User am DesktopPC, auf dem Tablet oder dem Smartphone arbeitet, die Oberfläche passt sich dem jeweiligen Endgerät an. Alle Elemente wurden so gestaltet, dass sie auch touch-fähig sind. Zusätzlich
ist die Bedienoberfläche barrierefrei. Bei der farblichen Gestaltung wurde unter anderem darauf geachtet, dass User mit einer Rot-Grün-Schwäche alle Elemente kontrastreich wahrnehmen können. In vielen Projekten wird über mehrere Standorte verteilt gearbeitet. Die Standorte liegen dabei vielleicht sogar in unterschiedlichen Zeitzonen. Da die TestBench Cloud Services in der Open Telekom Cloud gehostet ist, ermöglicht dies jedem Anwender orts- und Endgeräte-unabhängig den Zugriff auf alle Daten. Zusätzlich erleichtert die reaktive Bedienoberfläche des Tools die Zusammenarbeit: Denn alle Daten, die ein Anwender in das System eingibt, werden unmittelbar für jeden anderen User sichtbar und verfügbar, da sich die Oberfläche an allen Arbeitsplätzen sofort selbständig aktualisiert.
INTERESSIERTE LESER KÖNNEN EINE ZEITLICH AUF 90 TAGE VERLÄNGERTE TRIALLIZENZ (CODE: TBSQ062018) KOSTENFREI HIER ABRUFEN: 90DAYS.TESTBENCH.COM
Im Fokus
Ausgabe 47 | Juni 2018
14
QUALITÄT FÜR DAS INTERNET DER DINGE IM GESPRÄCH MIT GTB-GESCHÄFTSFÜHRER DR. ARMIN METZGER Das Internet der Dinge (Internet of Things (IoT)) wird immer mehr zum Bestandteil des alltäglichen Lebens und bringt für die Nutzer viele Vorteile. Allerdings sind damit – sowohl für Unternehmen als auch für Privatpersonen – aber auch Risiken verbunden, denn die vernetzten „Dinge” sind ein beliebtes Ziel für Angriffe und Manipulationen. Das SQ-Magazin hat mit dem GTB-Geschäftsführer Dr. Armin Metzger über das Internet der Dinge, Qualitätssicherung und Maßnahmen für die Sicherheit des IoT gesprochen. Heutzutage sind immer mehr „Dinge” – auch im privaten Umfeld – mit dem Internet verbunden. Wie kann ich mich vor den Fallen in der digitalen Welt schützen? Durch Qualitätssicherung. Wir müssen lernen, der Qualität mehr Aufmerksamkeit zu schenken – oder besser gesagt, die Aufmerksamkeit darauf zu lenken. Es ist wichtig, dass Sie die richtige Qualität der Anwendungsszenarien in IoT-Architekturen und der von ihnen verwendeten Komponenten sicherstellen und dafür sensibel sind. Denken Sie zum Beispiel an Fahrer assistenzsysteme in modernen Autos. Auf der einen Seite können sie
die Sicherheit der Passagiere deutlich verbessern. Auf der anderen Seite kann ein Mangel an Qualität schwerwiegende Folgen haben. Denken Sie an IT-Sicherheit, denken Sie an ein gehacktes Auto oder an die automatisierten Systeme eines Passagierflugzeugs – hierbei geht es um Menschenleben. Aber was ist Qualität in diesem Kontext? Wo liegen die wichtigen Qualitätsaspekte? Wo ist der Fokus? IoT-Szenarien verändern die Prioritäten von Qualitätsaspekten erheblich. In vielen Projekten wird die Bedeutung von IT-Sicherheit für die Qualität von IoT-Systemen unterschätzt. Wir müssen einen veränderten Fokus behalten und kontinuierlich auf Veränderungen reagieren, wenn wir IoTProdukte entwickeln. Und wir müssen uns bewusst sein, wie wichtig es ist, die Qualität über den gesamten Lebenszyklus hinweg zu überprüfen und stetig zu verbessern. Quality Engineering ab den ersten Schritten im Lebenszyklus ist ein wichtiges Stichwort. Einmal angewendet, schafft dies nicht nur einen sicheren Hintergrund für unseren Alltag. Es bietet insbesondere für die Qualitätsmarke „Made in Germany” einen nachhaltigen Wettbewerbsvorteil.
15
Wie wird unsere Gesellschaft auf diese Veränderungen reagieren? Wo sollten wir aufpassen?
Dr. Armin Metzger
Unsere Gesellschaft hat bereits reagiert. Fast niemand verlässt das Haus ohne Smartphone. Vor ein paar Wochen wurde der erste Amazon Go Store eröffnet, Shopping kann komplett digital sein. Dies sind Beispiele für die digitale Transformation unserer Gesellschaft, die eine pure Digitalisierung durch völlig neue Anwendungsszenarien ermöglicht. Aber die wirkliche Veränderung ist noch lange nicht erreicht. Die Benutzer, die diese Möglichkeiten nutzen, sind nicht vollständig vorbereitet. Nicht nur die Entwickler sondern auch unsere Gesellschaft zeigen immer noch ein mangelndes Bewusstsein für die richtigen Qualitätsaspekte beim Einsatz von IoT-Produkten. Ein gutes Beispiel ist wiederum der IT-Sicherheitsaspekt. Auch hier müssen wir vorsichtiger sein! Zurück zu der Bedeutung von Quality Engineering für IoT. Ist dies einer der Gründe für die Entwicklung des neuen Certified Professional für IoTKurs? Ja genau. Der Arbeitskreis für Software-Qualität und -Fortbildung e.V. (ASQF) und das German Testing Board e.V. (GTB) – Deutschlands führende unabhängige Non-Profit-Organisationen zur Qualifizierung in der SoftwareQualitätssicherung – haben gemeinsam das erste unabhängige Training für Quality Engineering in der IoT-Welt entwickelt: Der „Certified Professional for IoT” (CPIoT), um das Bewusstsein und die Fähigkeiten für die Veränderungen, über die ich gesprochen habe, zu etablieren. Sowohl der ASQF als auch das GTB haben ihre Arbeitsgruppen für IoT Quality Engineering gegründet, die gemeinsam den CPIoT Kurs entwickelt haben.
Was lehrt der Kurs? Der dreitägige Kurs soll ein gemeinsames Verständnis aller Qualitätsaspekte in IoT-Projekten und -Produkten vermitteln. Und wie diese Aspekte während des gesamten Lebenszyklus angewendet werden. Beginnend mit einem Verständnis der relevanten Qualitätsaspekte, verbindet der Kurs die konstruktiven Quality-Engineering-Themen wie Architektur, Prozessanforderungen und konstruktive Methoden mit den analytischen Quality-Engineering-Aktivitäten, den Testaktivitäten. Er liefert nicht nur Antworten, sondern hilft auch, die richtigen Fragen zu stellen. Jetzt ist der Lehrplan auch auf Englisch verfügbar. Wir brauchen ein gemeinsames Verständnis aller Qualitätsaspekte in IoTProdukten und -Projekten, und Standardisierung hilft, dieses gemeinsame Verständnis zu erreichen. Aus diesem Grund zielt der CPIoT-Kurs darauf ab, einen De-facto-Standard und ein gemeinsames Glossar für die IoT-Teams zu setzen, denn: „Standards schützen nur, wenn sie die gleiche Sprache sprechen.”
Für wen ist der Kurs geeignet? Es wendet sich an Personen, die die Qualität von IoT-Lösungen über den gesamten Lebenszyklus hinweg sicherstellen. Das Kursmodul richtet sich auch an Software-Tester, die sich auf die Mensch-Maschine-Interaktion konzentrieren und die Besonderheiten der Interaktion zwischen Maschine und Maschine im Internet der Dinge erfahren möchten. Darüber hinaus arbeitet das GTB derzeit an der nahtlosen Integration des Kurses in das gut etablierte ISTQB® Certified Tester Framework. Vielen Dank, Herr Dr. Metzger.
Schwerpunkt
CUSTOMER IDENTITY MANAGEMENT IN ZEITEN VON INDUSTRIE 4.0 UND DIGITALISIERUNG IM ZUSAMMENHANG MIT DEM NEUEN DATENSCHUTZGESETZ (DSGVO)
Ausgabe 47 | Juni 2018
D
16
igitale Services trennen die Spreu vom Weizen. Je besser ein Unternehmen digitale Dienste für seine Kunden anbietet, desto erfolgreicher wird es sein. Zufriedene Kunden werden mit ziemlicher Sicherheit wiederkommen. Deshalb ist die Identifikation von Kunden und deren spezifisches Verhalten beim Nutzen von Services so wichtig. Das dient nicht nur dem Unternehmen, sondern auch den Nutzern. Wenn Unternehmen die gesammelten Informationen auswerten und weiterverarbeiten und die dafür verwendeten Webshops, Apps, Kollaborationsportale oder anderen Interaktionskanäle für Kunden verbessern, dann können sie ihnen kundenfreundliche Log-Ins und weitere noch bessere und noch individuellere Services anbieten. Durch digitale Tools und spezielle Programme lassen sich Kunden viel besser erreichen als mit traditionellen Methoden. Künftig wird sich die Verwaltung von Kundenkontakten als Berechtigungsmanagement unter der Bezeichnung des „Customer Identity Managements” (CIM) durchsetzen. Je nach Einsatz ist das CIM ein Teil eines leistungsstarken Customer Relation Managementsystems (CRM) oder als eigenständige Lösung in die IT-Landschaft eines Unternehmens implementiert. Auf jeden Fall erleichtert solch ein CIM die internen Prozesse durch delegierte Berechtigungen zum Beispiel für Bestellungen – dadurch können die Aufgaben bei der Kundenorganisation transparenter gestaltet und effektiver verteilt werden. Ein weiterer wichtiger Faktor ist die frühzeitige Erkennung von Betrugs- und Verdachtsfällen.
17
DATENSCHUTZVERORDNUNG ALS HERAUSFORDERUNG Für kleine und mittlere Unternehmen birgt die Digitalisierung ein entscheidendes Potenzial, um im Wettbewerb erfolgreich zu sein. Es sind damit jedoch eine Reihe von Herausforderungen verbunden. Insbesondere die neue EU-Datenschutz-Grundverordnung (DSGVO) verunsichert viele Unternehmen. Die neue Datenschutzregelung verlangt die Umsetzung verschiedener technischer und organisatorischer Maßnahmen zum Schutz der Integrität und Vertraulichkeit personenbezogener Daten. Vor diesem Hintergrund müssen viele Unternehmen die gesammelten Datensätze ihrer Kunden überprüfen und gegebenenfalls anpassen oder sogar löschen – das ist nicht unproblematisch.
INDUSTRIE-4.0-STRATEGIE UND DAS NEUE DATENSCHUTZGESETZ Eine Industrie-4.0-Strategie, welche den digitalen Anforderungen (auch denen des Datenschutzes) gerecht wird, kann auf entsprechende cloudbasierte Software-Lösungen als Customer Identity Management (CIM) System zugreifen. Anbieter für CIMSysteme gibt es viele. Das System von cidaas ist ein Beispiel, das neben der digitalen und automatisierten Unterstützung des Kundenmanagements ein EU-DSGVO-konformes Consent Management System bereitstellt. Dieses und andere Systeme verfügen über sichere Schnittstellen. Darüber lassen sie sich in bestehende IT-Umgebungen implementieren. Beispiele dafür sind etwa Mitarbeiter-, Kunden-, Lieferanten- oder Partnerportale. „Moderne Software ist intelligent, innovativ und einfach zu bedienen. Wir
nutzen ein zentrales User Identity Management für unsere Shops und Portale – unsere Kunden profitieren von der einfachen Bedienung und einem optimalen Service,“ sagt Karl-Heinz Klein, Leitung e-Business bei CAMLOG, einem mittelständischen Unternehmen in der Gesundheitsbranche.
DEM NUTZER DIE KONTROLLE ÜBER SEINE DATEN GEBEN Die Einhaltung der neuen Datenschutzvorschrift, die gemäß Art. 5 Abs. 1 d) fordert, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neusten Stand sein müssen, wird durch ein CIM-System schnell und rechtskonform umgesetzt. Mit dem Benutzer Self-Service können Unternehmen die Kontrolle über die Daten zurück zum Nutzer geben und sicherstellen, dass die Daten aktuell sind. Mit dem Inkrafttreten der EU-DSGVO sind Unternehmen zudem verstärkt zur Informationsauskunft über die erhobenen Daten verpflichtet. Auch hierbei hilft eine entsprechende Software-Lösung und durch das einfache Benutzer-Management können Kundenprofile einfach gelöscht und somit dem Recht auf Löschung (Art. 13 EUDSGVO) nachgekommen werden.
SICHERHEIT DURCH MULTI-FAKTOR-AUTHENTIFIZIERUNG Eine intelligente Multi-Faktor-Authentifizierung sorgt außerdem durch User Profiling und biometrische Faktoren für eine hohe Sicherheit. Auch das wird in der EU-DSGVO in Art. 32 gefordert.
Yael Widmann, Business Development bei cidaas Sie hat ihren Bachelor in Wirtschaftsinformatik an der Hochschule Karlsruhe abgeschlossen und wurde zu ihrem ausgezeichneten Abschluss mit dem Frauenförderpreis der Hochschule und Preis der Stadt Karlsruhe geehrt. Sie beendet ihren Master in International Business Development an der ESB Business School in Reutlingen.
ADVERTORIAL
EVENT-TIPP:
SOZIALE VERANTWORTUNG IM SOFTWARETEST WAS IST DAS UND WAS GEHT DAS DEN TESTER AN? SEHR VIEL! „Was du nicht willst, das man dir tu‘, das füg‘ auch keinem anderen zu“. Diesen Spruch kennt man von Kindesbeinen an und er ist wohl eine die Menschheit umgreifende Grundeinstellung: Behandle andere so, wie du selbst behandelt werden willst. An Aktualität hat diese Geisteshaltung keineswegs eingebüßt – vielleicht ist sogar das Gegenteil der Fall und die Beschäftigung mit dieser Grundhaltung ist in der heutigen Zeit der sogenannten digitalen Revolution oder der Industrie 4.0 sogar noch eine Spur wichtiger (als vor der allumfassenden IT)? Robert Licen, Softwaretest-Exper-
te bei Nagarro, behauptet: dem ist so! Auf dem German Testing Day 2018 am 8. Juni hält Robert Licen den Vortrag „Was geht uns soziale Verantwortung an?“. Auslöser seiner Überlegungen war eine Test-Expertin, die ihren Herzschrittmacher gehackt hat: Es gab eine unerwartet hohe Zahl an nicht ausreichend dokumentierten Features und auch Fehlverhalten. In seinem Vortrag möchte er die Aufmerksamkeit auf dieses nicht allzu beleuchtete Thema lenken: Was, wenn man im Software-Test auf Datenmissbrauch, Security-Leaks oder gar Gefährdung von Menschenleben stößt? Was ist zu unternehmen,
EVENT-RÜCKBLICK: DEAR FUTURE, WE’RE READY!
folgten der Einladung. Dietmar Dahmen, Zukunftsexperte und hoch motivierender Visionär, nahm die Gäste mit auf eine Reise durch das ThemenUniversum zu Wandel, Innovation und Zukunft in 20 Jahren: „Die Zukunft der IT ist Individualisierung, AI hat Effekte auf jeden, KI ist unheim-
KI ist unheimlich fleißig und Blockchain ändert echt alles! Am 18. April 2018 lud Nagarro (vormals ANECON) zum allseits beliebten Expertenfrühstück nach Wien und über 120 Vertreter der IT-Branche
v.l.n.r.: Hrvoje Petrovic von PORR, Horst Bratfisch von der Österreichischen Post, Susanne Ebm vom Flughafen Wien, Erich Schuster von den Österreichischen Lotterien, Damianos Soumelidis und Renate Weichselbraun von Nagarro, Futurist Dietmar Dahmen sowie Hannes Färberböck von Nagarro.
Robert Licen ist seit 2001 bei Nagarro (vormals ANECON) und bringt langjährige Erfahrung als Test-Spezialist, -Koordinator und -Manager mit. Er ist Teamleiter, berät zu Themen rund um das Qualitätsmanagement und gibt sein Wissen als Trainer weiter.
wenn man in einen Konflikt mit dem Auftraggeber gerät, weil man auf Probleme trifft, die weitestgehend als „unethisch“ bezeichnet werden? Erfahren Sie mehr zu diesem spannenden Thema und besuchen Sie seinen Vortrag!
lich fleißig und unvoreingenommen. Und Blockchain ändert echt alles!”. In vier Lightning Talks brachten außerdem Vertreter österreichischer Unternehmen ihre Visionen für die Zukunft der IT auf den Punkt: Autonome Zustellung von selbstfahrenden Autos und Drohnen oder das Stichwort Crowd Logistics – die Digitalisierung ist in der Zustell-Branche längst angekommen. Auch die IT-Abteilungen der Aviation Branche beschäftigen sich intensiv mit vielen neuen Themen und Technologien, allen voran die biometrische ID.
Diese und viele weitere Learnings bot das Nagarro Expertenfrühstück: Jetzt QR-Code scannen, Details nachlesen und Video anschauen.
Term ine to go
einfach aus
Schulungen 2018
der Hef tmitt
e heraus tren
Juni 2018 - August 2018 Certified-Schulungen werden ausschließlich von akkreditierten Unternehmen durchgeführt. Das iSQI fungiert hier als Vermittler. Anmeldeformular und Preise unter www.isqi.org. Ort
nen
Mehr als 100 weitere Termine finden Sie unter: www.isqi.org/de/2-training-certification Datum (Start)
Tage
Anbieter
ASQF ® Certified Professional for Project Management Erlangen
04.06.2018
4
Method Park Holding AG
Frankenthal
18.06.2018
4
EXCO GmbH
Röttenbach
02.07.2018
4
sepp.med gmbh
Erlangen
23.07.2018
4
Method Park Holding AG
Köln
13.08.2018
4
SQS
ASQF ® Certified Professional for IoT Braunschweig
11.06.2018
3
BREDEX GmbH
Röttenbach
25.06.2018
3
sepp.med gmbh
Braunschweig
08.08.2018
3
BREDEX GmbH
Braunschweig
04.09.2018
3
BREDEX GmbH
CMAP Mobile App Testing München
04.06.2018
2
Sogeti Deutschland GmbH
Köln
07.06.2018
2
SQS
Braunschweig
21.06.2018
2
BREDEX GmbH
Stuttgart
09.07.2018
2
Sogeti Deutschland GmbH
Braunschweig
23.08.2018
2
BREDEX GmbH
CMAP Mobile App Test Automation München
06.06.2018
3
Sogeti Deutschland GmbH
Düsseldorf
13.08.2018
3
CGI Deutschland Ltd. & Co. KG
3
Sogeti Deutschland GmbH
CMAP Mobile App Perfomance Testing Stuttgart
11.07.2018 iSQI ® Certified Agile Business Analysis
Ratingen
20.06.2018
2
Sogeti Deutschland GmbH
Frankfurt
19.07.2018
2
CGI Deutschland Ltd. & Co. KG
2
Sogeti Deutschland GmbH
iSQI ® Certified Agile Essentials Ratingen
18.06.2018 iSQI's CAT Certified Agile Tester ®
München
04.06.2018
5
Loyal Team GmbH
Hamburg
11.06.2018
5
Loyal Team GmbH
Berlin
11.06.2018
5
Loyal Team GmbH
Wien
18.06.2018
5
Nagarro
Köln
18.06.2018
5
SQS
München
25.06.2018
5
Sogeti Deutschland GmbH
Frankenthal
04.06.2018
4
EXCO GmbH
Ratingen
04.06.2018
4
Sogeti Deutschland GmbH
Braunschweig
11.06.2018
4
BREDEX GmbH
München
11.06.2018
4
ISARTAL akademie GmbH
München
11.06.2018
4
SQS
Stuttgart
18.06.2018
4
Sogeti Deutschland GmbH
München
25.06.2018
5
ISARTAL akademie GmbH
Frankfurt
02.07.2018
3
QualityDojo IT-Consulting GmbH
Hamburg
02.07.2018
4
SQS
München
02.07.2018
4
CGI Deutschland Ltd. & Co. KG
München
02.07.2018
3
QualityDojo IT-Consulting GmbH
Ratingen
03.07.2018
4
Sogeti Deutschland GmbH
Stuttgart
03.07.2018
4
Lysant GmbH
Ingolstadt
04.07.2018
3
sepp.med gmbh
Köln
09.07.2018
4
SQS
Düsseldorf
16.07.2018
4
CGI Deutschland Ltd. & Co. KG
München
16.07.2018
4
ISARTAL akademie GmbH
München
23.07.2018
4
Sogeti Deutschland GmbH
Frankfurt/Main
30.07.2018
4
SQS
STAND: Mai 2018
ISTQB ® Certified Tester – Foundation Level
Frankfurt a.M.
06.08.2018
4
Sogeti Deutschland GmbH
Braunschweig
13.08.2018
4
BREDEX GmbH
Berlin
20.08.2018
4
CGI Deutschland Ltd. & Co. KG
Hamburg
20.08.2018
4
Sogeti Deutschland GmbH
Berlin (Englisch)
21.08.2018
3
Software Quality Lab GmbH
Frankfurt
21.08.2018
3
Software Quality Lab GmbH
Hamburg
21.08.2018
3
Software Quality Lab GmbH
München
21.08.2018
4
ISARTAL akademie GmbH
Linz
27.08.2018
4
Software Quality Lab GmbH
Stuttgart
27.08.2018
4
CGI Deutschland Ltd. & Co. KG
Wien
27.08.2018
4
Software Quality Lab GmbH
Frankfurt (Englisch)
28.08.2018
3
Software Quality Lab GmbH
Köln (Englisch)
28.08.2018
3
Software Quality Lab GmbH
Frankfurt/Main
03.09.2018
4
SQS
Hamburg
03.09.2018
4
CGI Deutschland Ltd. & Co. KG
Lustenau
03.09.2018
4
Software Quality Lab GmbH
Zürich
03.09.2018
4
Software Quality Lab GmbH
Frankfurt a.M.
04.09.2018
4
Sogeti Deutschland GmbH
München
04.09.2018
3
Software Quality Lab GmbH
Frankfurt
05.09.2018
3
QualityDojo IT-Consulting GmbH
München
05.09.2018
3
QualityDojo IT-Consulting GmbH
ISTQB ® Certified Tester – Foundation Level Extension, Agile Tester Stuttgart
17.05.2018
2
Lysant GmbH
Ratingen
11.06.2018
2
Sogeti Deutschland GmbH
Wolfsburg
21.06.2018
2
sepp.med gmbh
Düsseldorf
12.07.2018
2
CGI Deutschland Ltd. & Co. KG
Stuttgart
16.07.2018
2
Sogeti Deutschland GmbH
Röttenbach
19.07.2018
2
sepp.med gmbh
Ingolstadt
21.08.2018
2
sepp.med gmbh
München
03.09.2018
2
QualityDojo IT-Consulting GmbH
Wien
04.09.2018
2
Software Quality Lab GmbH
Linz
04.09.2018
2
Software Quality Lab GmbH
ISTQB ® Certified Tester – Foundation Level Extension, Model-Based Tester Röttenbach
14.06.2018
2
sepp.med gmbh
ISTQB ® Certified Tester – Advanced Level, Test Manager München
11.06.2018
5
Sogeti Deutschland GmbH
Wolfsburg
11.06.2018
5
sepp.med gmbh
Frankfurt/Main
18.06.2018
5
SQS
Hamburg
25.06.2018
5
Sogeti Deutschland GmbH
München
02.07.2018
5
ISARTAL akademie GmbH
Berlin
09.07.2018
5
SQS
Hamburg
09.07.2018
5
CGI Deutschland Ltd. & Co. KG
Ratingen
09.07.2018
5
Sogeti Deutschland GmbH
Röttenbach
30.07.2018
5
sepp.med gmbh
Frankfurt
13.08.2018
5
Sogeti Deutschland GmbH
Frankfurt
20.08.2018
5
CGI Deutschland Ltd. & Co. KG
Köln
27.08.2018
5
SQS
Berlin
03.09.2018
5
Software Quality Lab GmbH
Köln
03.09.2018
5
Software Quality Lab GmbH
München
03.09.2018
5
QualityDojo IT-Consulting GmbH
München
03.09.2018
5
SQS
München
05.09.2018
6
ISARTAL akademie GmbH
ISTQB ® Certified Tester – Advanced Level, Test Analyst München
04.06.2018
5
Method Park Consulting GmbH
Köln
02.07.2018
4
SQS
München
03.07.2018
4
CGI Deutschland Ltd. & Co. KG
München
23.07.2018
4
SQS
Frankfurt/Main
06.08.2018
4
SQS
Berlin
27.08.2018
4
CGI Deutschland Ltd. & Co. KG
Frankfurt am Main
27.08.2018
5
Method Park Holding AG
ISTQB ® Certified Tester – Advanced Level, Technical Test Analyst Hamburg
11.06.2018
3
SQS
Erlangen
10.07.2018
3
Method Park Holding AG
München bei Isartal Akademie GmbH
23.07.2018
4
Method Park Holding AG
Frankfurt/Main
20.08.2018
3
SQS
Frankfurt
21.08.2018
3
Software Quality Lab GmbH
Köln
21.08.2018
3
Software Quality Lab GmbH
Berlin
28.08.2018
3
Software Quality Lab GmbH
Hamburg
28.08.2018
3
Software Quality Lab GmbH
3
CGI Deutschland Ltd. & Co. KG
ISTQB ® Certified Tester – Advanced Level, Security Tester Hannover
11.07.2018
ISTQB ® Certified Tester – Advanced Level, Test Automation Engineer (TAE) Ratingen
16.07.2018
3
Sogeti Deutschland GmbH
Stuttgart
23.07.2018
3
Sogeti Deutschland GmbH
IREB ® Certified Professional for Requirements Engineering – Foundation Level München
04.06.2018
3
ISARTAL akademie GmbH
Berlin
11.06.2018
3
microTOOL GmbH
Düsseldorf
12.06.2018
3
SOPHIST GmbH
Wien
13.06.2018
3
Nagarro
München
27.06.2018
3
SOPHIST GmbH
Stuttgart
27.06.2018
3
SOPHIST GmbH
München
02.07.2018
3
QualityDojo IT-Consulting GmbH
München
09.07.2018
3
ISARTAL akademie GmbH
Nürnberg
09.07.2018
3
SOPHIST GmbH
Röttenbach
11.07.2018
3
sepp.med gmbh
München
23.07.2018
3
SOPHIST GmbH
München
24.07.2018
3
Method Park Holding AG
Frankfurt
13.08.2018
3
SOPHIST GmbH
Berlin
21.08.2018
3
Software Quality Lab GmbH
Köln
21.08.2018
3
Software Quality Lab GmbH
Frankfurt
28.08.2018
3
Software Quality Lab GmbH
Hamburg
28.08.2018
3
Software Quality Lab GmbH
Graz
04.09.2018
3
Software Quality Lab GmbH
Linz
04.09.2018
3
Software Quality Lab GmbH
Wien
04.09.2018
3
Software Quality Lab GmbH
Köln
05.09.2018
3
SQS
München
05.09.2018
3
QualityDojo IT-Consulting GmbH
IREB ® Certified Professional for Requirements Engineering – Advanced Level, Requirements Elicitation and Consolidation München
16.07.2018
3
SOPHIST GmbH
IREB ® Certified Professional for Requirements Engineering – Advanced Level, Requirements Modeling München
12.03.2018
3
Method Park Consulting GmbH
München
16.04.2018
3
Method Park Consulting GmbH
Frankfurt
18.06.2018
3
SOPHIST GmbH
München
16.07.2018
3
Method Park Consulting GmbH
Berlin
17.07.2018
3
microTOOL GmbH
Nürnberg
25.07.2018
3
SOPHIST GmbH
München bei Isartal Akademie GmbH
30.07.2018
3
Method Park Holding AG
Wien
28.08.2018
3
Software Quality Lab GmbH
Linz
28.08.2018
3
Software Quality Lab GmbH
Hannover
04.09.2018
3
Method Park Holding AG
IREB ® Certified Professional for Requirements Engineering – Advanced Level, Requirements Management Erlangen
27.06.2018
3
Method Park Holding AG
München
16.07.2018
3
Method Park Holding AG
1
SOPHIST GmbH
IREB – RE@Agile Primer Nürnberg
11.06.2018 ICPMSB Certified Professional for Medical Software
Frankenthal
25.06.2018
4
EXCO GmbH
Erlangen
23.07.2018
4
Method Park Holding AG
UXQB ® Certified Professional for Usability and User Experience – Foundation Level Köln
09.08.2018
2
CGI Deutschland Ltd. & Co. KG
Wien
05.09.2018
2
Software Quality Lab GmbH
Sonstige München
09.04.2018
2
ISARTAL akademie GmbH
GTB ® Certified Automotive Softwaretester
München
11.06.2018
2
ISARTAL akademie GmbH
GTB ® Certified Automotive Softwaretester
Köln
05.07.2018
2
SQS
GTB ® Certified Automotive Softwaretester
München
30.07.2018
2
ISARTAL akademie GmbH
GTB ® Certified Automotive Softwaretester
München
31.07.2018
2
ISARTAL akademie GmbH
GTB ® Certified Automotive Softwaretester
München
03.09.2018
2
ISARTAL akademie GmbH
GTB ® Certified Automotive Softwaretester
München
03.09.2018
2
ISARTAL akademie GmbH
GTB ® Certified Automotive Softwaretester
Wien
03.09.2018
4
Software Quality Lab GmbH
ISAQB Certified Professional for Software Architecture – Foundation Level
Linz
03.09.2018
4
Software Quality Lab GmbH
ISAQB Certified Professional for Software Architecture – Foundation Level
Graz
03.09.2018
4
Software Quality Lab GmbH
ISAQB Certified Professional for Software Architecture – Foundation Level
AGILE
REQUIREMENTS ENGINEERING
SECURIT Y
MOBILE
SOF T WA RE TESTING
PROJECT MANAGEMENT
USABILITY
SPECIALISED
PRODUCT MANAGER
MEDICAL
WEITERE ANGEBOTE
Seminare 2018 Juni 2018 - August 2018 Das iSQI fungiert hier als Vermittler. Ausführliche Seminarbeschreibungen, Preise und Anmeldeformular: www.isqi.org Ort
Datum(Start)
Automotive SPICE ® - iNTACS™ certified Provisional Assessor (deutschsprachig)
Kornwestheim
18.09.2017
5
KUGLER MAAG CIE GmbH
Automotive System Design nach ISO 26262 - TÜV Functional Safety Engineer ohne Prüfung (deutschsprachig)
Kornwestheim
26.09.2017
3
KUGLER MAAG CIE GmbH
Teletrust Professional for Secure Software Engineering
Unterhaching/München
05.06.2018
3
Philotech Academy
Design Thinking erleben und begreifen
Hamburg
11.06.2018
2
oose Innovative Informatik eG
Requirements Based Engineering
Unterhaching/München
14.06.2018
1
Philotech Academy
Agiles Requirements-Engineering - Vom Stakeholder zum Backlog
Nürnberg
18.06.2018
2
SOPHIST GmbH
Usability und User Experience gestalten (inkl. Zertifizierung CPUX-F)
Hamburg
25.06.2018
3
oose Innovative Informatik eG
Requirements-Engineering in der Praxis: Anforderungen mit Prosa und Modellen clever erheben und dokumentieren
Nürnberg
02.07.2018
2
SOPHIST GmbH
Einführung in CMMI for Services + DEV: Schwerpunkt Dienstleistungen inkl. der Erweiterung für Produktentwicklung
München
02.07.2018
3
Anywhere.24 GmbH
Scrum Master Introduction (SMI)
München
02.07.2018
2
SQS
Requirementsengineering für die agile Software-Entwicklung
Köln
04.07.2018
2
Software Quality Lab GmbH
Enterprise Architecture Management
Wien
09.07.2018
1
Software Quality Lab GmbH
Testautomatisierung – Foundation
Hamburg
09.07.2018
1
SQS
Strategische Transformationsplanung
Wien
10.07.2018
2
Software Quality Lab GmbH
IREB Certified Professional for Requirements Engineering plus Praxis
Hamburg
13.08.2018
5
oose Innovative Informatik eG
Requirements-Engineering in der Praxis: Anforderungen mit Prosa und Modellen clever erheben und dokumentieren
Frankfurt
20.08.2018
2
SOPHIST GmbH
Agiles Requirements Engineering inkl. Zertifizierung RE@Agile Primer gemäß IREB
Hamburg
20.08.2018
4
oose Innovative Informatik eG
Design Thinking erleben und begreifen
Hamburg
27.08.2018
2
oose Innovative Informatik eG
Rahmenbedingungen für die Entwicklung von Medizinprodukten
München
27.08.2018
1
Software Quality Lab GmbH
Scrum Master Introduction (SMI)
Hamburg
27.08.2018
2
SQS
Entwicklung medizinischer Software nach EN 62304
München
28.08.2018
1
Software Quality Lab GmbH
Risikomanagement für medizinische Software
München
29.08.2018
1
Software Quality Lab GmbH
Mobile Medical Apps
München
30.08.2018
1
Software Quality Lab GmbH
Testdatenmanagement - GTB Test Data Specialist
Wiesbaden
04.09.2018
2
G. Muth Partners GmbH
Requirements-Engineering in der Praxis: Anforderungen mit Prosa und Modellen clever erheben und dokumentieren
Düsseldorf
04.09.2018
2
SOPHIST GmbH
Model-Based Functional Safety
Hamburg
04.09.2018
3
oose Innovative Informatik eG
Prof. Requirementsengineering und Management
Frankfurt
04.09.2018
3
Software Quality Lab GmbH
Systems-Engineering - Wieviel Requirements und Architektur benötigen Sie wirklich?
Frankfurt
05.09.2018
3
SOPHIST GmbH
Usability und User Experience gestalten (inkl. Zertifizierung CPUX-F)
Hamburg
10.09.2018
3
oose Innovative Informatik eG
Zusätzliche Schulungs- und Seminartermine finden Sie auf www.isqi.org! Irrtümer, Termin- und Preisänderungen vorbehalten. Es gelten die allgemeinen Geschäfts- und Preisbedingungen des jeweiligen Veranstalters.
Friedrich-Engels-Straße 24 14473 Potsdam Tel.: + 49 331 231810-0 Fax: + 49 331 231810-10
Ansprechpartner: Nadia Diesent Examination and Organization +49 331 231810-33 exam@isqi.org
Tage
Anbieter
Alle Themen auch als Inhouse-Angebot buchbar!
SIE WOLLEN IHR SEMINAR AUCH IM NÄCHSTEN SQ-MAGAZIN BEWERBEN? Wir freuen uns über eine Nachricht. Bitte senden Sie uns Ihre Termine per E-Mail zu: exam@isqi.org
STAND: Mai 2018
Seminartitel
ADVERTORIAL
SICHERHEITSLÜCKEN GEZIELT ENTLARVEN QUALIFIZIERUNG VON TESTTEAMS AUF ISTQB® CTAL-SEC Ohne Software-Tests kommen heutzutage weder kommerzielle noch freie Software-Projekte aus. Professionell geschulte Tester prüfen häufig bereits über den gesamten Entwicklungszyklus hinweg Design, Funktionalität und Performance des Software-Systems nach erprobten Verfahren wie zum Beispiel denen des ISTQB®. Die so getestete Software stellt damit zunächst Auftraggeber und Endbenutzer qualitativ und funktional zufrieden. Allerdings wird von vielen auch nach WannaCry, Spectre und Mirai das Thema Software- und Datensicherheit weiterhin stark vernachlässigt. Wenn an Sicherheitstests gedacht wird, dann meist erst kurz vor dem Software-Release oder wenn es bereits zu spät ist und der öffentlich bekannt gewordene Schadensfall eingetreten ist. Viele Schwachstellen in Software-Systemen werden häufig zuerst von Kriminellen oder Regierungen gefunden und ausgenutzt. Nach einer Studie der RAND Corporation aus dem Jahr 2017 sind ZeroDay Exploits – also neu entdeckte Schwachstellen in Open- und Closed-Source Software – im Schnitt schon seit sieben Jahren vorhanden. Das bedeutet: Software, die im Jahr 2018 auf den Markt gebracht wird, könnte schon 2025 für den nächsten großen Datenskandal sorgen. So geschehen Anfang März 2017 bei dem amerikanischen Finanzdienstleister Equifax. Fehlerhaftes Exceptionhandling eines Parsers des Apache Struts-Frameworks ermöglichte es Angreifern, serverseitig beliebige Codes auszuführen und damit auf ca. 145 Millionen personenbezogenen Datensätze zuzugreifen. Der finanzielle Gesamtschaden wird in dreistelliger Millionenhöhe vermutet.
Ein Schwerpunkt des ISTQB® CTAL-SEC beschäftigt sich mit der meistverbreiteten Sicherheitslücke, welche in jedem Unternehmen zu finden ist: dem Menschen.
Nach eigenen Angaben wurde Equifax von der Behörde US-CERT vor dem Einbruch auf diese Sicherheitslücke aufmerksam gemacht. Trotz mehrfacher Versuche konnte das firmeneigene IT-Sicherheitsteam die anfälligen Systeme nicht rechtzeitig identifizieren. Wie gefährlich unaufgeklärtes Personal und schwache Sicherheitsrichtlinien sein können, zeigen die „Spear Phishing“ Attacken auf Angestellte großer Behörden und Unternehmen im Jahre 2016. Damals wurden von Kriminellen gefälschte Auszahlungsanweisungen, vermeintlich im Namen von CEOs, an Mitarbeiter versendet. Alleine im Jahr 2016 wurden 50 Fälle von deutschen Unternehmen gemeldet, die Dunkelziffer liegt hier sehr wahrscheinlich deutlich höher. In mehr als der Hälfte dieser gemeldeten Fälle entstanden jeweils Schäden in Höhe von bis zu 40 Millionen Euro. Aber auch in Europa wird der Schutz von personenbezogenen Daten erst seit Anfang 2018 seitens der Regie-
rungen ernster genommen. Spätestens seit Inkrafttreten der neuen europaweiten Datenschutzrichtlinie GDPR am 25. Mai 2018 kommen die Verursacher solcher Datenskandale nicht mehr mit kleinen Bußgeldern im unteren sechsstelligen Bereich davon. Je nach Ausmaß des Datenlecks können dann – alleine in Europa – Strafzahlungen von bis zu 4% des weltweiten Umsatzes fällig werden. Damit es gar nicht erst zu solch hohen Strafzahlungen kommt, sollten neu entwickelte Software-Systeme sowie firmeninterne Prozesse und Richtlinien auf Sicherheitsaspekte hin getestet werden. Genau hier setzt das aktuellste Zertifizierungsschema des ISTQB®, der „Certified Tester Advanced Level Security Tester” (CTAL-SEC) an. Tester mit vorhandener „ISTQB® – Foundation Level” Zertifizierung und relevanter Praxiserfahrung können sich in entsprechenden Schulungen zum Sicherheitstester spezialisieren lassen. In Deutschland gibt es derzeit noch relativ wenige Anbieter für diese Schulung, aber die Notwendigkeit ent-
24
ADVERTORIAL
sprechende Spezialisten auszubilden, wurde mittlerweile erkannt. So bietet das Unternehmen Sogeti Deutschland GmbH als ISTQB® -Partner neben den schon bekannten Schulungen „Test Automation Engineer” oder „Agile Tester” in Kürze auch den „Advanced Level Security Tester” an. Im Lehrplan des „CTAL-SEC“ werden alle notwendigen Aspekte hinsichtlich Sicherheitstests und Optimierung von Sicherheitsprozessen abgedeckt. Thematisch vermittelt dieser zunächst die Grundlagen des Sicherheitstestens, wie die Analyse und Beurteilung von vorhandenen Assets und die Bewertung von Risiken und Sicherheitsrichtlinien, gefolgt von Planung und Umsetzung des Sicherheitstest-Prozesses über den gesamten Entwick-
lungszyklus von Softwaresystemen hinweg, bis hin zu den nötigen Verfahren und Werkzeugen, die einem Sicherheitstester bekannt sein sollten. Ein Schwerpunkt beschäftigt sich mit der meistverbreiteten Sicherheitslücke, welche in jedem Unternehmen zu finden ist: dem Menschen. Sicherheitstester, die nach „CTAL-SEC“ zertifiziert wurden, sind darauf geschult, nach Schwachstellen in firmeninternen Prozessen und Richtlinien zu suchen, diese zu erkennen und gezielte Maßnahmen zu ergreifen.
Mete Boz, Head of Cybersecurity, Sogeti Deutschland
Abschließend bleibt festzuhalten: Funktionierende Software ist gut – funktionierende und sichere Software ist jedoch besser. Diese Aussage gilt im gleichen Maße für Richtlinien und Prozesse.
Das ASQF-Karriereportal Wir haben den passenden Job für Sie! Quality Assurance / Qualitätssicherung Professional (m/w)
Testspezialist (m/w) ckc group Region Braunschweig/Wolfsburg
CTS Eventim Bremen
Ingenieur Qualitätssicherung (m/w) im Use Case Test
Mitarbeiter Softwarequalitätssicherung (m/w) eggheads GmbH Münster oder Bochum
System- und Server-Administrator (m/w) Ingenieur (m/w) Qualitätssicherung der Werkzeugkette virtuelle Validierung
Software Test Manager (m/w)
dSpace GmbH Paderborn
Nagarro GmbH Dresden
Die ausführlichen Stellenangebote finden Sie auf asqf.de/karriereportal
25
Buchvorstellung
Security & Testing ISBN 978-3-86490-312-0
TEAMARBEIT: UX DESIGNEN UND NÜTZLICHE SW-PRODUKTE FERTIG STELLEN
Agile Business Intelligence
In der Edition TDWI erscheinen Titel, die vom dpunkt.verlag gemeinsam mit dem TDWI Germany e.V. ausgewählt und konzipiert werden. Inhaltliche Schwerpunkte dieser Reihe sind Business Intelligence und Data Warehousing.
Die Autoren erörtern in diesem Buch Agile Business Intelligence, indem sie zunächst BI-Agilität mithilfe eines Ordnungsrahmens definieren und strukturieren. Auf diesen Grundlagen aufbauend zeigen sie anhand von konkreten Fallstudien, wie Agilität in BI-Projekten umgesetzt werden kann. Hierbei handelt es sich beispielsweise um die Durchführung agiler Projekte zum Aufbau eines Data Warehouse oder um die Umsetzung von Sandboxes auf Basis von In-Memory-Technologien.
Agile Business Intelligence
Security für DataWarehouse- und Business-IntelligenceSysteme
Agile Methoden und Vorgehensweisen werden heute auch in BI-Projekten erfolgreich und gewinnbringend eingesetzt. Dabei steht eine ganze Reihe unterschiedlicher Ansätze zur Steigerung der BI-Agilität zur Verfügung. Entscheidend für den Erfolg ist die ganzheitliche Betrachtung von BI-Architekturen, -Organisationsformen, -Technologien und an BI angepasste agile Vorgehensmodelle.
Herbert Stauffer
Security für Data-Warehouse-
Erhebung, Design und Implementierung von Sicherheitsanforderungen
• Der Einsatz von Scrum in der Business Intelligence • Anforderungsmanagement durch User Stories • Modellierung agiler BI-Systeme • Data Vault für agile Data-WarehouseArchitekturen • Agile BI-Architekturen • Automatisiertes Testen • BI-Agilität: Relevanz, Anforderungen und Maßnahmen • Agil und dezentral zum Enterprise Data Warehouse
Thema • Business Intelligence • Data Warehouse • Informationssysteme • Wirtschaftsinformatik
Leser • Business-Intelligence-Manager • Daten- und Informationsverantwortliche • Projektleiter • Studierende der Informatik und Wirtschaftsinformatik
2018, ca. 250 Seiten Festeinband ca. € 59,90 (D) ISBN 978-3-86490-419-6
Das Buch richtet sich an Praktiker aus dem BI-Projektmanagement und der BI-Entwicklung sowie an BI-Entscheider, BI-Berater und Mitarbeiter aus den Fachabteilungen, die für BI-Lösungen verantwortlich sind.
und BusinessIntelligence-Systeme Erhebung, Design und Implementierung von Sicherheitsanforderungen
Trahasch • Zimmer
Behandelt werden im Einzelnen:
COLLABORATIVE UX DESIGN
J. Bergsmann
Requirements Engineering für die agile Softwareentwicklung
Auf der Website zum Buch findet man dafür ein Glossar, das als Mininachschlagewerk dienen kann: www.collaborative-uxdesign.com/glossar Fazit: Gut zum Einstieg, leicht verständlich, praktikabel.
2. Auflage 2018, 386 Seiten € 36,90 (D) ISBN 978-3-86490-485-1
K. Franz · T. Tremmel · E. Kruse
Basiswissen Testdatenmanagement Aus- und Weiterbildung zum Test Data Specialist Certified Tester Foundation Level nach GTB 2018, 208 Seiten € 32,90 (D) ISBN 978-3-86490-558-2
J. Albrecht-Zölch
Testdaten und Testdatenmanagement Vorgehen, Methoden und Praxis 2018, 454 Seiten € 42,90 (D) ISBN 978-3-86490-486-8
Kostenfreie Broschüre zum Buch »Lean Testing für C++-Programmierer« Andreas Spillner .
9 783864 903083
Ulrich Breymann
Lean Testing für C++-Programmier er
Sie programmier en – auch in C++. Sie führen regelmäßig Unit Tests durch. Sie sind sich manchmal unsicher, ob Sie ausreichend viel getestet haben. oder zu Werfen Sie einen Blick dieses Buch, Sie werden viele Anregungen in Ihre tägliche Arbeit für finden! »Lean Testing« steht für einen Ansatz, der der einen Seite alle wichtigen Testfälle auf Prüfung der Software zur berücksichtigt, auf der anderen Seite aber den Testaufwand in einem überschaubaren Rahmen hält. Der angemessene Mittelweg zwischen zu wenig und zu viel Testen wird bei jedem Vorgehen zum Entwerfen der Testfälle diskutiert und erörtert. Die in diesem Buch präsentierten Vorgehensweisen zum Testfallentw urf werden konkret mit den entsprechen den C++-Program mtexten und den jeweiligen Testfällen dargelegt. hierzu unterstützen Sind de Werkzeuge erforderlich, beschreiben die Autoren deren Anwendung. Dabei geben sie nützliche Hinweise für die Verwendung der Testverfahren und bieten einen Leitfaden für ihren Einsatz. Alle Testverfahre n des aktuellen ISO-Standards 29119, die für den Unit Test relevant sind, werden vorgestellt und ausführlich behandelt. Ulrich Breymann ist ein bekannter Fachautor für die Programmier sprache C++ – Andreas für den Testbereich. Spillner Beide Autoren bringen Fachkompetenz ihre ein und zwischen Programmier schlagen eine Brücke ung und Test. Das unterstützt die Buch aktuelle Entwicklung , bei der Softwareerstellung keine strikte (personenbezogene) Trennung zwischen Implementie rung und Test auf Unit-Ebene vorzusehen TDD & Test-first-Ans (z.B. atz).
Jetzt herunterladen:
Maria Oelinger ist IT-Systemanalytikerin bei Kinder nothilfe e. V. und dort aktiv im Projekt- und Anforderungsmanagement. maria.oelinger@knh.de
www.dpunkt.de/s/lt Thema
• Programmierung • Softwaretest • Qualitätssicherung • Softwareentwicklung
Leser
• Programmierer • Softwareentwickler • Softwaretester • Dozenten und Studenten Website • http://leantesting.de
€ 29,90 (D) € 30,80 (A) ISBN 978-3-86490 -308-3
C++-Programm ierer
und illustrieren deren Verzahnung im beschriebenen Vorgehensmodell. Der Ansatz basiert auf menschzentrierten agilen Entwicklungsmodellen, Design Thinking und Lean UX. Einziger winziger Punktabzug: Als Nachschlagewerk funktioniert der als Geschichte aufbereitete Inhalt weniger gut. Man muss schon ein paar konzentrierte Momente investieren, wenn man gezielt etwas nachsehen möchte.
Methoden, Techniken und Strategien
Lean Tes Leatin ng Tes fürting für C++-ProC+ gra+mm -Proiere grarmmierer Lean Testing für
Toni Steimle & Dieter Wallach: „COLLABORATIVE UX DESIGN. LEAN UX UND DESIGN THINKING: TEAMBASIERTE ENTWICKLUNG MENSCHZENTRIERTER PRODUKTE“ dpunkt.verlag 2018 29,90 EUR ISBN 978-3-86490-532-2
Andreas Spillner .
Ulrich Breyman n
Angemessen statt aufwendig testen
Konform ISO 291 zu 19
Spillner Breymann
Alle möglichen Software-Produkte werden immer öfter von crossfunktionalen Teams gezimmert. Die einzelnen Mitglieder eines solchen Teams arbeiten häufig nur zeitlich begrenzt miteinander. Sie bringen jeweils ihre Expertise aus verschiedenen Bereichen ein. In diesem Buch geht es sehr viel um Workshops, in denen diese Bereiche zusammenkommen. Da werden Projektkonstellationen geklärt, Fortschritte, Barrieren und Risiken der Projektphasen identifiziert, kleinere und größere Ergebnisse erarbeitet und nächste Projektschritte geplant. Für diese Zusammenarbeit bietet das Buch einen Köcher voll nützlicher Methoden, wie aus einem Guss und doch jede auf den ihr zugedachten Zweck zugeschnitten. Eingebettet in ein leicht verständliches Alltagsbeispiel kann man so ein fiktionales Team beim Bau ihrer Software begleiten; dabei liegt der Schwerpunkt auf dem UX-Teil. Im Beispiel geht es um das Produkt „4Service“, mit dem die Nutzerinnen und Nutzer später ihre Kunden und Projekte verwalten, Leistungen erfassen, Finanzen verwalten und mit einem HR-Modul auch noch Personalanwendungsfälle abbilden können. Im Buch durchläuft das Team einen Problemlösungsprozess, der sich in folgenden UX-Workshoptypen darstellt: Scoping, Synthese, Ideation, Konzept, Prototyping, Validierung und MVP-Planung. Die Autoren vermitteln gut ein fundiertes Grundwissen zur Kollaboration im UX-Design. Sie beschreiben die Auswahl und den Einsatz von disziplinübergreifenden UX-Methoden
9 783864 903120
H. Stauffer
Stephan Trahasch • Michael Zimmer (Hrsg.)
www.dpunkt.de
Interesse am E-Book? www.dpunkt.de/plus
www.dpunkt.de Buch + E-Book: www.dpunkt.plus
Im Fokus
Ausgabe 47 | Juni 2018
NEUE WELT, NEUE JOBS
DER „CHIEF DIGITAL OFFICER” KOMMT Transformation heißt Übersetzung. Digitale Transformation heißt Arbeiten, die bisher mit echten Werkzeugen, mit Stiften, Druckern, Scheren, Briefkuverts, Aktenordnern und mit unseren Händen und Hirnen erledigt worden sind, digital zu erledigen. Mit Computern und Handys, auf Bildschirmen und in Programmen, online und in Clouds. Dass sich hier Berufsbilder ändern, liegt auf der Hand. Digitalisierung hat sehr viel im operativen Bereich verändert. Nun rücken die Aufgaben für Strategen und Manager in den Fokus. Sie beschäftigen sich mit neuen Fragen. Was macht die digitale Wirtschaft mit unseren Geschäften? Was haben wir davon, wenn wir schneller und effektiver arbeiten können? Wie lassen sich die heute digitalen Prozesse für neue Prozesse, neue Geschäfte nutzen?
MIT POWER IN DIE DIGITALISIERUNG Das überblickt niemand, der sich mit Systemintegration beschäftigt. Das kann keiner, der im traditionellen Marketing groß geworden ist, einfach so. Und der Manager, der heute die Personalabteilung leitet, der weiß nicht von selbst, wo die digitalen Chancen für seinen Bereich wirklich liegen. Wie er beispielsweise eine Personalakte anlegt und nutzt, wie er die persönlichen Profile von Facebook nutzt ohne Re-
geln des Datenschutzes zu verletzen. Wir müssen noch viele Dinge herausfinden, viele Dinge abwarten und uns auf viele Dinge vorbereiten. Digitale Transformation hat keinen festen Zeitplan und wird nicht nach einer bestimmten Phase abgeschlossen sein. Überall entstehen ständig neue Innovationen, die digitale Welt vernetzt sich immer stärker. Die Wirtschaft steht vor der Herausforderung, die Implikationen für das eigene Geschäftsmodell regelmäßig zu überprüfen.
VOLL DIGITAL INS GESCHÄFT Das lässt sich nicht mehr nebenbei erledigen. Dafür braucht es Power. Ein Unternehmen, das digital gut oder sogar sehr gut aufgestellt sein will, braucht jemanden, der verantwortlich ist. Einen digitalen Manager – eine ganz neue Rolle. Und die findet man in Jobbeschreibungen schon. Doch sind die meisten Ausschreibungen noch ziemlich schwammig. Der digitale Chef soll so ziemlich alles sein – plus technikaffin, flexibel und er soll vor Neuerungen nicht zurückschrecken. Geht das? Die FOKUS-Akademie des Fraunhofer-Instituts und das International Software Quality Institute (iSQI) meinen ja. Es geht und es geht ganz konkret. Die beiden IT-Spezialisten entwickelten eine Schulung zum „Certified Chief Digital Officer” (CCDO).
EIN UNTERNEHMEN, DAS DIGITAL GUT ODER SOGAR SEHR GUT AUFGESTELLT SEIN WILL, BRAUCHT JEMANDEN, DER VERANTWORTLICH IST. EINEN DIGITALEN MANAGER – EINE GANZ NEUE ROLLE.
26
27
Für die Teilnehmer verspricht dieses Berufsbild nicht weniger als die digitale Transformation für das eigene Unternehmen richtig nutzen zu können. Strategien zu entwickeln, Mitarbeiter für die digitale Welt zu begeistern und natürlich (nicht nur) mit digitalen Mitteln gute Geschäfte zu machen.
NEUER JOB MIT ZERTIFIKAT: DER „CHIEF DIGITAL OFFICER”? Zunächst bekommt der angehende CCDO also einen Überblick über den Megatrend „Digitalisierung“. Was heißt das eigentlich für Unternehmensbereiche? Wo sind Ansätze, was darf es kosten, was sind Charakteristika der digitalen Transformation und was haben wir davon? Welche Technologien sind neu, was ist schon Standard und wo liegen potenzielle Revolutionen? Ein wenig in die Zukunft zu schauen lernt der CCDO genauso wie den Status Quo kritisch zu sehen und damit zu arbeiten. Nur so kann er die Geschäftsprozesse der
eigenen Organisation auf die digitale Transformation ausrichten und notwendige organisatorische und technische Anforderungen und Rahmenbedingungen formulieren, gezielt begleiten, evaluieren und gegebenenfalls anpassen.
ZERTIFIZIERUNG ZUM CCDO Die Schulung zum „Certified Chief Digital Officer” (CCDO) der FOKUS-Akademie des Fraunhofer-Instituts schafft Klarheit für eine Rolle der Zukunft. Sie vermittelt Grundlagen und versetzt in die Lage, das eigene Geschäft digital zu machen und digital zu halten. Das Zertifikat setzt einen Standard in der Branche. Es weist den Zertifizierten als digitalen Fachmann aus, der Verknüpfung von digitaler und analoger Welt versteht und zu nutzen weiß. Das iSQI und das Fraunhofer FOKUS verbindet eine lange Tradition. Immer wieder werden neue Trendthemen in Weiterbildungsformate umgewandelt. Bei der gemeinsamen Ent-
wicklung der CCDO-Schulung wurde das Team von getready.digital, einer Tochter der iSQI GmbH und Impulsgeber für Unternehmen im Bereich der digitalen Transformation, ergänzt. Während die iSQI GmbH die Zertifizierung übernimmt und das Fraunhofer FOKUS den wissenschaftlichen Part innehat, brachte getready.digital die Unternehmensperspektive ein. Entstanden ist eine praxisnahe Schulung, deren Inhalte nicht nur an zwei Tagen vor Ort, sondern auch online vermittelt werden.
WEITERE INFORMATIONEN ZUM „CERTIFIED CHIEF DIGITAL OFFICER” FINDEN SIE AUF WWW.BLOG.ISQI.ORG
iSQI NEWS
Ausgabe 47 | Juni 2018
28
ERSTE SOFTWARE PRODUCT SUMMIT IN FRANKFURT/MAIN Vom 17. bis 18. April fand in Frankfurt am Main die erste Software Product Summit statt. Veranstalter der Konferenz war die International Software Product Management Association e.V. (ISPMA). Das Expertennetzwerk aus Wirtschaft und Wissenschaft setzt sich für hohe Standards im SoftwareProduktmanagement ein und bietet in dem Zuge auch weltweit Trainings an. iSQI arbeitet als globaler Zertifizierungspartner bereits seit Jahren eng mit der ISPMA zusammen und durfte
daher auf der ersten internationalen Konferenz im Bereich Software-Produktmanagement nicht fehlen. Führende Köpfe der Branche nutzten die Gelegenheit sich zu vernetzen und weiterzubilden. Im Fokus der Veranstaltung stand der intensive Erfahrungsaustausch der Teilnehmer. Bei interaktiven Formaten und Gesprächen gab es viel Raum für Fragen und Diskussionen. Die nächste Software Product Summit ist bereits in Planung.
NACH ZWEI ERFOLGREICHEN JAHREN: iSQI ERNEUT SILBER-SPONSOR DER INFORMÁTICA 2018 IN KUBA Nach 2016 war das International Software Quality Institut (iSQI) in diesem Jahr wieder Silber-Sponsor der ITMesse informática in Havanna. Die Messe markierte damals den Anfang des Engagements von iSQI in Kuba. In den vergangenen zwei Jahren unterstützte iSQI im Rahmen des von der Deutschen Investitions- und Entwicklungsgesellschaft (DEG) geförderten developpp.-Projekts die Ausund Weiterbildung der kubanischen IT-Fachkräfte. Ziel war die Einführung international anerkannter Qualifizierungsstandards. Damit sollten einerseits kubanische IT-Fachkräfte Zugang zum internationalen Markt erhalten und andererseits internationale Firmen auch auf kubanische, hochqualifizierte Fachleute zurückgreifen können. Im Laufe der zwei Jahre engagierte sich iSQI vor Ort, führte diverse Gespräche mit IT-Fachleuten, spendete Fachliteratur an die Bibliothek der Universidad Tecnológica de la Habana (CUJAE) und organisierte zuletzt eine Präsidiumsreise mit dem Arbeitskreis
Software-Qualität und -Fortbildung e.V. (ASQF) nach Havanna. Mit dem Unternehmen DESOFT konnte iSQI einen Partner gewinnen, der zukünftig in Kuba Schulungen für das ISTQB® und IREB® Foundation Level durchführt. Die Zertifizierung übernimmt iSQI. Außerdem werden derzeit Verträge mit zwei Universitäten in Havanna als weiteren potenziellen Schulungsanbietern abgeschlossen. Auf der informática-Messe im März
2018 präsentierte sich iSQI mit einem Stand direkt neben dem neuen Partner DESOFT. Maimir Mesa Ramos, Kubas Minister für Informatik und Kommunikation, bedankte sich am Stand persönlich bei iSQI für die Initiative in Kuba. Aufgrund der positiven Resonanz und des großen Potenzials des Projekts wird es um ein weiteres Jahr verlängert.
iSQI NEWS
29
more than
2500 certified
Aus dem iSQIKonferenzplaner 2018
Girls in 2018
04.-06.06. 2018 expo:QA Madrid, Spanien 07.-08.06.2018 Think Stage Kiev, Ukraine
by
iSQI ©shutterstock
07.-08.06.2018 German Testing Day Frankfurt a.M., Deutschland 16.06.2018 Testing en Chile Santiago, Chile
IMMER MEHR FRAUEN LASSEN SICH BEI iSQI ZERTIFIZIEREN Der internationale „Girls in ICT Day“ wird seit drei Jahren von der International Telecommunication Union (ITU), einer Sonderorganisation der Vereinten Nationen, ausgerufen. Er soll Mädchen und junge Frauen ermutigen, stärker am IT-Sektor zu partizipieren. Als weltweit marktführender Zertifizierer von IT-Fachkräften unterstützt iSQI das und nahm den dies-
11.-13.06.2018 Italian Software Testing Forum Mailand, Italien
jährigen Aktionstag am 26. April zum Anlass, einen Blick auf die Anzahl der Prüfungssteilnehmerinnen zu werfen. Ergebnis: Über 2.500 Frauen haben von Anfang des Jahres bis April 2018 bei iSQI erfolgreich eine Prüfung abgelegt und somit ein Zertifikat erworben. Zwar ist das noch weniger als ein Viertel aller Absolventen, aber eine steigende Tendenz ist erkennbar!
20.06.2018 The European Product Owner & Requirements Engineering Day Zürich, Schweiz 27.-29.06.2018 DevOps Days Amsterdam, Niederlande
iSQI WIRD IMMER INTERNATIONALER Der neue Webshop auf www.isqi.org wächst und gedeiht. Prüfungen zu Zertifikaten wie dem ISTQB® Foundation Level, Advanced Level und Expert Level; IREB®, iSAQB®, UXQB® und viele mehr sind im Shop zu finden. iSQI baut die Usability aus, um noch lesefreundlicher zu werden und noch besseren Service für Software-Architekten und Tester, Requirements Engineers und Manager und alle, die in der IT-Branche unterwegs sind, zu bieten. Ziel ist es, noch internationaler zu werden und mehr Sprachen anzubieten. Momentan stehen die meisten Prüfungen in Englisch und Deutsch zur Verfügung. Langfristig sollen die Prüfungsfragen in weitere Sprachen übersetzt werden.
iSQI will damit die Trainingsanbieter dabei unterstützen, Trainings für ihre Regionen anzubieten und ihre Trainingspläne auf dem Marktplatz auf www.isqi.org zu veröffentlichen. Zur Zeit intensiviert iSQI die Geschäftsaktivitäten auf unterschiedlichen Märkten. Für die Ukraine war es nur eine Frage der Zeit, wer zuerst eine Ausbildung in russischer Sprache anbieten würde. Das Rennen hat nun Code Space gemacht, eine ukrainische IT-Bildungsplattform mit Hauptsitz in Kiew. Sie bietet seit dem 18. Mai 2018 den Kurs „ISTQB® Advanced Level Test Manager” als virtuelles Präsenztraining an.
Der Marktplatz auf www.isqi.org
Schwerpunkt
Ausgabe 47 | Juni 2018
ODER
TESTS ZUR PRODUKTSICHERHEIT SICHERHEITSTEST IST NICHT TESTEN VON SICHERHEITSFUNKTIONEN
Das Thema Sicherheit ist mittlerweile von regulatorischen Dokumenten umzingelt. Etwa die „Verordnung 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten” der EU oder die Veröffentlichungen des National Institute of Standards and Technology (NIST). Zum Beispiel die Special Publication 80053 „Security and Privacy Controls for Federal Information Systems and Organizations”. Um diese und noch viele andere Verordnungen einhalten zu können, sind Sicherheitstests unumgänglich. Andererseits hat der Testing Guide 4 des Open Web Application Security Projects (OWASP) schon 2013 festgestellt, dass zwar die Zeit zwischen der Entdeckung einer Gefährdung und ihrem Patch gleich bleibt, die Zeit bis zur aktiven Ausnutzung jedoch immer kürzer wird1. Umso notwendiger wird die Durchführung angemessener Schritte zur Risikoanalyse und der regelmäßige Test des Produkts auf Sicherheitslücken.
SECURE DEVELOPMENT LIFECYCLE Wenn wir von Sicherheit reden, dann müssen wir zwei Themen unterscheiden: Sicherheitstest einer Firma und ihrer Infrastruktur oder Sicherheitstest eines Produkts. Der klassische Software Development Lifecycle erfuhr mittlerweile eine Erweiterung und wurde zum Secure Development Lifecycle (SDLC)2. Er enthält eine ganze Reihe von Arbeitsschritten, die Sicherheit gewährleisten sollen. Einige unerlässliche, aber bei weitem nicht alle, sollen hier kurz angerissen werden3: Bei der Projekt-Klassifizierung geht es unter anderem um die Analyse der folgenden Punkte: Gibt es Anfragen von Kunden bzw. Behörden zur Sicherheit des Produkts? Gibt es regulatorische Anforderungen? Will ein Kunde eigene Sicherheitstests durchführen? Welche Aufmerksamkeit erreichen erfolgreiche Angriffe auf das Produkt und wie groß ist der Imageverlust für den Produzenten oder hat er rechtliche Konsequenzen?
1 https://www.owasp.org/images/1/19/OTGv4.pdf page 12f 2 https://www.microsoft.com/en-us/download/details.aspx?id=29884 http://www.microsoft.com/en-us/SDL 3 Welche Arbeitsschritte des SDLC essenziell sind, welche Werkzeuge Unterstützung bieten, wie sie dokumentiert werden können, wie der Test sie wiederum beeinflusst, welche Maßnahmen sich daraus ableiten, kann hier nicht tiefer betrachtet werden.
30
31
Im Schritt Bestimmung der Assets/ Firmenwerte geht es darum, welche Werte gefährdet sein könnten und was die wertvollen Eigenschaften des Produkts sind. Die Risikoanalyse beschäftigt sich mit Fragen wie: Wer ist daran beteiligt? Wann wird sie zum ersten Mal durchgeführt und wie oft wird sie wiederholt? Welche Methode wird verwendet? Welche Risiken enthält das Produkt, wie wahrscheinlich ist es, dass sie auftreten und welche Folgen hat ihr Eintreten? Welche der erkannten Risiken können zu welchem Zeitpunkt und mit welchem Aufwand beseitigt werden?4 Es gilt Programmierrichtlinien zu erarbeiten. Dabei werden mindestens Schulungen für die Entwickler angesetzt, über die Programmiersprache entschieden, Design-Richtlinien, Zeitpunkt und Methode der Code Analyse festgelegt. Sehr viele Produkte enthalten zudem Fremdsoftware. Deren aktive Entwicklung ist zu hinterfragen. Die Veröffentlichung von Verwundbarkeiten und Patches durch den Anbieter der FremdSoftware sind Basis, um über deren Sicherheit entscheiden zu können. Bei der Festlegung von Sicherheitsanforderungen werden Meilensteine in der Entwicklung definiert, zu denen Sicherheitsanforderungen zu verwirklichen sind. Außerdem werden Konsequenzen und Maßnahmen festgehalten, wie die Entwicklung weitergehen kann, wenn die Sicherheitsanforderungen nicht eingehalten werden können. Außerdem muss eine Konfiguration und System-Härtung erfolgen. Es muss unter anderem geprüft werden, ob kritische Daten auf dem System und beim Versenden verschlüsselt werden. Ob es Standard-Passwörter zum Einrichten des Produkts beim
Kunden gibt und wie diese nach der Konfiguration geändert werden. Aber nicht nur das eigene Produkt, sondern auch das Betriebssystem ist auf seine Härtung zu prüfen. Offene Schnittstellen wie FTP sprechen nicht für ein gehärtetes System. Im Hotfix/Patch Prozess wird geprüft, wie oft das Produkt Sicherheitspatches erhält und wie diese installiert werden. Schließlich erfolgt die Bewertung des Restrisikos. Was bedeutet es für das Produkt, wenn nicht alle Risiken beseitigt werden können?5 Und wer bewertet das Restrisiko und wann? Die Antworten auf solche Fragen bestimmen und strukturieren den Test, der die Entwicklung des Produkts begleitet. Auf der Ebene der Software-Entwicklung läuft der Test unter dem Stichwort „statische Code Analyse“, die eigentlich keine statische mehr ist, sondern begleitend zur Software-Entwicklung den nichtkompilierten Code nach Fehlern untersucht. Dieser Test ist bei größeren Produkten nur als automatischer Test mit Werkzeugunterstützung möglich.
STIG UND CVE Alle anderen Punkte der Sicherheitsanforderungen müssen explizit getestet werden. Dafür gibt es zwei Hilfsmittel, die die Planung und Durchführung des Tests erleichtern: die STIGs und die CVE. Das Department of Defence der USA hat 2002 die Entwicklung von Security Technology Implementation Guides (STIGs) angestoßen. STIGs sind Listen mit Sicherheitsanforderungen für mittlerweile zirka 450 Produkte. Abgedeckt werden aktuelle Betriebssysteme, viel genutzte Software-Produkte, mobile Geräte, Netzwerk-Produkte6. Zwei Beispiele: der Windows 10 STIG enthält 280, der Red Hat Linux STIG 259 Anforderungen. Die
4 Meltdown (CVE-2017-5754) und Spectre (CVE-2017-5753) sind zwei Risiken, die im eigenen Produkt mit eigenen Mitteln nicht beseitigt werden können. 5 Das ist eigentlich immer so; alle Schwachstellen und Verwundbarkeiten sind niemals bekannt. 6 https://iase.disa.mil/stigs/Pages/index.aspx
Schwerpunkt für das Produkt passenden STIGs müssen zum Teil von Hand getestet werden, der andere Teil kann mit verschiedenen Werkzeugen automatisch ausgeführt werden. Die Sicherheitsanforderungen der STIGs sind nicht statisch: Viermal im Jahr werden sie aktualisiert. Das zweite Standbein des Sicherheitstests ist die Datenbank der „Common Vulnerabilities and Exposures“ (CVE). Hier werden alle bekannten und geschlossenen Verwundbarkeiten verzeichnet. Sie wird beim NIST als „National Vulnerability Database“ (NVD) gespiegelt.7 Diese Datenbank muss regelmäßig nach den Patchdays der großen Produkthersteller abgearbeitet werden. Auch dafür gibt es Werkzeugunterstützung.
PASSIVE UND AKTIVE SICHERHEIT Alle bisher aufgezählten Schritte der Planung und eingeleitete Maßnahmen können nur passive Sicherheit gewährleisten. Denn bisher wurden Sicherheitsaspekte betrachtet, die allgemeiner Natur sind oder sicherheitsrelevante Fehler, die andere schon gefunden haben. Das Reagieren auf Patchdays von Software-Herstellern ist ein eindeutiges Zeichen für diesen Zustand des Tests. Unentdeckte Fehler im eigenen Produkt werden dadurch nicht berücksichtigt. Aktive Sicherheit kann nur durch produktspezifische Tests erreicht werden. Aktive Sicherheit heißt, proaktiv und explorativ mögliche Schwachstellen und Angriffsszenarien zu finden und wenn möglich zu schließen. Erst Fuzzing und Penetrationstests können aktive Sicherheit gewährleisten. Fuzzing ist eine Methode, bei der die Schnittstellen eines Produkts mit gezielten, unerwarteten Daten auf Robustheit getestet werden. Für gängige Protokolle, wie Imap, Pop3, http, https, dicom, smb, TLS, wifi und viele mehr gibt es
7 https://nvd.nist.gov/ https://cve.mitre.org/index.html
Ausgabe 47 | Juni 2018
Werkzeugunterstützung. Der Penetrationstest, der Test mit Werkzeugen und Methoden eines Hackers, ist das Herzstück des Sicherheitstests. Im Gegensatz zum Angriff auf das Produkt von außen (der Hacker weiß nicht genau, was er vor sich hat), wird der Penetrationstest gerne als „grey box test“ gefahren. Der Tester kennt zwar nicht den SourceCode, aber die Systemarchitektur des Produkts. Ein solcher Test ist ein „negativer“ Test, er will nachweisen, dass das Produkt böswilligen Angriffen standhält.8
KONTROLLIERTE SICHERHEIT Vollständige Sicherheit des Produkts kann ein Test niemals erreichen. Das Ziel des Tests ist es „kontrollierte Sicherheit” zu gewährleisten. Kontrollierte Sicherheit ist der Zustand, wenn das Produkt nur noch ein akzeptables Risiko aufweist.9 Wann das erreicht ist, darauf muss wiederum der Software Development Life Cycle, insbesondere die Risiko Analyse und die Bestimmung der Assets, Antwort geben. Der Test zur Produkt-Sicherheit ist keine einmalige Angelegenheit. Jede Änderung im Produkt, etwa neue Funktionen oder das Aufspielen von Patches, erfordert ein erneutes Abarbeiten des Prozesses von der Risiko analyse zur Testplanung, Durchführung und Bewertung.
32
Dr. Ulrich Bieberich ist seit 16 Jahren bei der sepp.med gmbh zuständig für Testvorbereitung, Testplanung und exploratives Testen. Darüber hinaus befasst er sich seit drei Jahren mit der Planung und Durchführung von Sicherheitstests.
Eine abschließende Bemerkung: „Functionality testing does not test a product’s security. Even if a vulnerability is difficult to discover, someone will discover it given enough time. Various types of people test software security: security testers who work for software development companies, malicious users who hunt for security vulnerabilities so that they can commit crimes or spy, security consultants who are hired to break into a target, and hobbyists who do it for fun and profit.“10
8 T.Gallagher, Hunting Security Bugs, Microsoft Press 2006 schreibt pointiert „the tester verifies that bad things don’t happen“ 9 FDA, Postmarket Management of Cybersecurity in Medical Devices, 9 10 T.Gallagher, Hunting Security Bugs, Microsoft Press 2006, 9
Foto: © raven, fotolia.com
SECURITY SCHULUNG? ABER SICHER. MIT SOGETI. ISTQB® CTFL ISTQB® CTFL Agile Tester ■
ISTQB® CTAL Testmanager ISTQB® CTAL Test Automation Engineer ■
iSQI’s CAT iSQI’s® CABA iSQI’s® CAE ■
■
CMAP Mobile App Testing – Foundation Level Performance Testing Test Automation
■
■
TMap NEXT® Test Engineer Test Manager Praxisworkshop ■
■
TPI NEXT® Foundation TPI NEXT® für Testmanager ■
Individuelle Schulungen: u.a. Security Testautomatisierung Agilität ■
■
Demnächst ebenfalls akkreditiert: ISTQB® CTAL Security Tester GTB CTFL Test Data Specialist ■
Besuchen Sie uns unter www.sogeti.de/2018
Schwerpunkt
Ausgabe 47 | Juni 2018
SECURITY FUNKTIONEN HERAUSFORDERUNG FÜR DEN TEST IM EMBEDDED UMFELD EU-Datenschutz und Hackerangriffe, gestohlene Daten bei Facebook und automatisch fahrende Autos. Sicherheit rückt immer mehr in den Fokus. Weil die Systeme immer komplizierter werden und immer mehr Schnittstellen besitzen, steigen die Anforderungen an die Entwicklung und das Testen von Software. Wie sollen Software-Teile in den tiefen vernetzen Systemen sicher gemacht werden? Wie geht man mit eingebetteten Systemen um, ohne die Weiterentwicklung von Programmen und Methoden zu verzögern? Kann man funktionale Sicherheit, also Sicherheit im Sinne von Gefahrlosigkeit (Safety), überhaupt von Sicherheit im Sinne von Schutz (Security) trennen? Mit Internet of Things (IoT), Industrie 4.0 und Car2x-Kommunikation bildet die Sicherheit einen zentralen Punkt in der Entwicklung und dem Test eingebetteter Systeme. Die Entwicklung und die Tests eingebetteter Systeme bei Steuergeräten im Automobilbereich unterliegen einem rasanten technischen Fortschritt. Die Komplexität der Systeme
und damit der Entwicklungs- und der Testaufwand steigen stetig an. Mit dem Einzug von Funktionen, wie zum Beispiel dem autonomen Fahren und der Car2x-Kommunikation, wird – neben der Sicherheit im Sinn der Safety – auch die Sicherheit im Sinne der Security immer wichtiger. Die Safety ist dabei mit den einschlägigen Normen, wie zum Beispiel IEC 61508 und ISO 26262, und den darauf aufbauenden Entwicklungsprozessen gut abgedeckt. Das Thema Security dagegen ist im Bereich der eingebetteten Systeme hingegen noch kaum berücksichtigt.
TEST EINGEBETTETER SYSTEME – HEUTE Eingebettete Systeme erfüllen typischerweise spezielle Steuerungsbzw. Regelungsaufgaben. Dabei müssen sie nicht zwingend eine direkte Schnittstelle zum Nutzer aufweisen. Mit Hilfe von Sensoren werden Werte der Umwelt, wie zum Beispiel die Feuchtigkeit und Temperatur der Straße, gemessen. Über die Aktoren (beispielsweise Elektromotoren oder Ventile) werden dann Reaktionen des
34
35
eingebetteten Systems – wie zum Beispiel die automatische Drosselung der Geschwindigkeit des Fahrzeugs – ausgeführt. Der Eingriff eines Menschen ist nicht mehr notwendig. Weiterhin steht heute das Thema Vernetzung dieser Systeme – meist über einfache Bussysteme – im Zentrum. In Abbildung 1 ist der Aufbau eines typischen eingebetteten Systems am Beispiel eines Automobil-Steuergeräts dargestellt. Für den Test von eingebetteten Systemen kommt heute oft der „Hardware in the Loop” (HIL)-Test zum Einsatz. Der Aufbau eines solchen HIL-Testsystems ist in Abbildung 2 (S. 36) dargestellt. Die zentrale Komponente des Testsystems stellt der Echtzeitrechner dar. Dieses System führt die Umgebungssimulation in Echtzeit (typische Zykluszeit 500 µs bis 1 ms) aus. Neben der Ausführung der Simulation stellt dieses System auch die Schnittstellen zum Device Under Test (DUT, dem zu testenden Steuergerät) zur Verfügung. Diese Schnittstellen können auf der einen Seite analoge, digitale oder PWM-Kanäle sein. Auf der ande-
ren Seite kommen verschiedene Bus systeme, wie zum Beispiel CAN, FlexRay oder Ethernet, zum Einsatz. Die Signale der Schnittstellen dienen der Nachbildung der Umgebung des DUT. Analoge Signale können zum Beispiel die Werte analoger Sensoren (z. B. Beschleunigungs- oder Höhenstandssensoren) widerspiegeln. Ein weiterer Teil des Testsystems umfasst die Lastsimulation. Lasten sind dabei alle angesteuerten Aktoren (z. B. Ventile oder Motoren). Diese Lasten können als Originalteil verbaut sein oder durch Simulationen (z. B. elektronische Lastsimulation) ersetzt sein. Die Ansteuerung der Lastsimulation erfolgt über den Echtzeitrechner. Zwischen der Lastsimulation und dem DUT befindet sich die Fehlerinjektion. Diese ermöglicht es, Kurzschlüsse und Unterbrechungen an den Lasten zu schalten, um die Fehlererkennung und Fehlerreaktion des DUT zu prüfen. Die Steuerung der Fehlerinjektion erfolgt ebenfalls über den Echtzeitrechner. Ein weiteres Element des Testsystems ist der Steuerrechner. Dieser Computer ist meist Windows-basiert. Er dient der Ausführung der automatisierten Tests sowie der Steuerung des
KL31 KL30 KL15
SENSORVERSORGUNG SPANNUGSVERSORGUNG
SENSOR(EN)
ELECTRONIC CONTROL UNIT (ECU – STEUERGERÄT) CAN, FLEXRAY, LIN, MOST, ...
BUSSYSTEM(E)
AKTOR(EN)
Abbildung 1: Eingebettetes System – Automobil-Steuergerät
ANALOGES SENSORSIGNAL, PWM-SIGNAL, PSI5
SCHWARZ-WEISS SCHALTER, PWM-ANSTEUERUNG, ...
Testsystems für manuelle Tests. Die Automatisierung der Tests kann mit verschiedenen Tools (z. B. iSyst iTestStudio oder sepp.med MBT-Suite) und in verschiedenen Beschreibungssprachen (z. B. Python oder UML) erfolgen. Des Weiteren sind oft Tools für das Messen der Buskommunikation (z. B. Vector CANalyzer) oder Tools für den Zugriff in die Steuergerätesoftware zur Laufzeit (z. B. Vector CANape, iSYSTEM WinIDEA oder Lauterbach TRACE32) im Einsatz. Diese Tools erweitern die Möglichkeiten und die Abdeckung der Tests. Heutzutage steckt ein großer Teil des Aufwandes für die Realisierung des HIL-Testsystems im Umgebungsmodell. Dieses Modell muss die reale Umgebung des DUTs so exakt nachbilden, dass das Steuergerät keinen Unterschied zur realen Einsatzumgebung feststellen kann. Dabei entfällt mittlerweile ein großer Anteil des Aufwands auf die Nachbildung der Buskommunikation – Restbus-Simulation genannt. Es ist möglich, dass für ein einzelnes DUT mehrere 100 Botschaften mit zusammen mehreren 1.000 Datensignalen darzustellen sind. Außerdem müssen die HIL-Testsysteme so ausgelegt sein, dass per Fehlerinjektion alle denkbaren Fehler realisiert werden können. Dies beginnt bei dem Ausfall einzelner elektrischer Signale, geht über das Schalten von Kurzschlüssen an Aktoren und Sensoren bis hin zum Test des Ausfalls einzelner Botschaften bzw. fehlerhafter Werte einzelner Signale innerhalb der Buskommunikation. Ziel ist es dabei, alle Fehlerreaktionen des DUTs in simulierter Umgebung zu prüfen, um das Risiko für Mensch und Maschine bei der Erprobung zu minimieren und die Safety (also die funktionale Sicherheit) sicherzustellen. Aufbauend auf den Möglichkeiten des HIL-Testsystems ist es heutzutage zwingend erforderlich, die durchzuführenden Tests zu automatisieren. Alleine bei typischen 5.000 oder mehr
Schwerpunkt STEUERUNG
Ausgabe 47 | Juni 2018
ECHTZEITRECHNER FÜR UMGEBUNGSSIMULATION
MESSDATEN
SIGNALANPASSUNG
z.B. DIAGNOSE ODER MESSEN UND KALIBRIEREN
z.B. CAN, FLEXRAY ODER ETHERNET
STEUERUNG VERSORGUNG BATTERIESIMULATION
BUSINTERFACE
BUSISYSTEME
36
STEUERGERÄTE VERSORGUNG STEUERGERÄT
FEHLERINJEKTION
LASTSIMULATION
Anforderung für ein eingebettetes System ist ein manueller (System-) Test nicht mehr sinnvoll möglich. Aber vor allem die Buskommunikation mit tausenden von Testfällen (z. B. falsche Werte für jedes Signal, Ausfall einer Botschaft, …) macht eine Testautomatisierung unabdingbar. Bisher beziehen sich die gesamten Testaufwände meist auf die Erfüllung der Anforderungen mit dem Blick auf die funktionale Sicherheit. Weiterhin zielen die Tests auf die Einhaltung von Qualitätszielen, wie zum Beispiel Anzahl offener Fehler zum Release, ab. Eine vollständige Automatisierung der Test findet in der Praxis selten statt. Im Bereich der eingebetteten Systeme werden Methoden zur Sicherstellung der Security (also der Sicherheit der Software – damit niemand auf diese von außen zugreifen kann) kaum bzw. gar nicht angewendet.
SECURITY IM EMBEDDED UMFELD Es zeigen sich immer häufiger Security-Probleme bei eingebetteten Sys-
temen, die auch von einem breiteren Publikum wahrgenommen werden. Beispielhaft sei hier der DistributedDenial-of-Service-Angriff (DDoS) im Jahr 2016 genannt. Hier wurde zum Angriff auf Server-Systeme internationaler Konzerne ein Bot-Netzwerk bestehend aus IP-Kameras, Routern und digitalen Videorekordern eingesetzt. Weitere Beispiele, wie Industriesteuerungen oder Heizungssysteme für Einfamilienhäuser, die über das Internet zugreifbar sind, waren auch mehrfach in der Berichterstattung. Bei diesen Fällen kamen immer wieder die gleichen Probleme zum Vorschein: 1) Es kommen oft veraltete Versionen von Bibliotheken oder auch Betriebssystemen auf den eingebetteten Systemen zum Einsatz. Die Systeme sind meist auch nicht speziell gegen Angriffe gehärtet. 2) Zugänge über Netzwerke werden meist nur unzureichend geschützt. Zum Teil werden fest einprogrammierte Benutzernamen und Passwörter verwendet, wenn überhaupt ein Login notwendig ist.
Abbildung 2: Testsystem – schematischer Aufbau
3) Meist fehlt eine Strategie für den weiteren Support im Feld. Es ist nicht vorgesehen, dass nach der Entwicklung Sicherheitslücken bzw. Fehler behoben werden. 4) Es fehlt eine Möglichkeit zum Update der Software auf dem eingebetteten System. Ohne eine einfach nutzbare Möglichkeit zum Software-Update ist das Schließen von Sicherheitslücken unmöglich. In Zukunft werden die Anforderungen an die Security von eingebetteten Systemen noch weiter steigen. Vor allem die steigende Vernetzung in den Bereichen IoT, Industrie 4.0 und Car2X-Kommunikation erhöhen die Möglichkeiten von Angriffen dramatisch. Des Weiteren führt die Anbindung an „Cloud“-Dienste zu einer immer weiter reichenden Vernetzung der Systeme. Der damit verbundene Einsatz von Webservices erweitert die Problemstellung der Sicherheit im Sinne der Security bis hin zu Aspekten der Datensicherheit und des Datenschutzes auch im Bereich der eingebetteten Systeme.
37
HERAUSFORDERUNGEN FÜR DEN TEST Die beschriebenen Probleme haben dabei direkte Auswirkungen auf den Test. Die bisherigen Ansätze und Methoden für den Test eingebetteter Systeme konzentrieren sich auf die funktionalen Anforderungen. Dabei sind im Normalfall klare Kriterien für die Bewertung der korrekten Funktionalität vorhanden. Im Bereich des Security-Testings kommen hingegen andere Methoden zum Einsatz. Beispielhaft seien hier Fuzzing und genetische Algorithmen zu nennen. Diese Methoden werden im IT-Umfeld erfolgreich eingesetzt. Dabei wird der Test als erfolgreich (PASSED) angesehen, wenn die zu testende Applikation nicht abstürzt. Im Bereich der eingebetteten Systeme können diese Methoden ebenfalls angewendet werden. Das Problem liegt hier aber in der Festlegung des PASSED-Kriteriums für einen erfolgreichen Test. Der Absturz ist hier kein sinnvolles Kriterium. Es muss sichergestellt werden, dass das System weiterhin seine Funktion erfüllt und Ziele der funktionalen Sicherheit (Safety Goals) nicht verletzt werden. Dies ist eine komplexe Problemstellung, für die es bisher keine allgemeingültigen Lösungsansätze gibt. In der Praxis zeigen sich noch weitere Probleme. Vor allem die Verfügbarkeit von Entwicklern und Testern mit dem notwendigen Know-How ist schwierig. Des Weiteren ist die Reproduzierbarkeit von Test mit Fuzzing und genetischen Algorithmen nur schwer zu realisieren. Es müssen alle Ausgabedaten des Testsystems aufgezeichnet werden, um diese später wieder abspielen zu können. Dies führt wiederum zu einer fast unüberschaubaren Menge an Testdaten. Auch die Verfügbarkeit von Tools für die automatisierte Durchführung dieser Tests stellt ein Problem dar. Diese Werkzeuge sind auf den Einsatz im ITUmfeld ausgerichtet und lassen sich
damit nur schwer im Bereich der eingebetteten Systeme einsetzen. Abschließend ist noch die Integration von Security-Funktionen in die Umgebungssimulation der HIL-Testsysteme zu betrachten. Beispielsweise ist es vorgesehen, die Kommunikation zwischen verschiedenen eingebetteten Systemen zu verschlüsseln bzw. die Datenkommunikation zu signieren. Im Automobil-Bereich steht dafür der Standard SecOC aus dem AUTOSARKonsortium zur Verfügung. Die Integration der eigentlichen Algorithmen in die Testsysteme stellt dabei kein Problem dar. Für die Umgebungssimulation ist es notwendig, die Kommunikationspartner des DUTs zu simulieren. Hierfür ist es aber notwendig, dass das Testsystem die Schlüssel aller zu simulierenden Steuergeräte kennt. Das wiederum wirft die Frage auf, wie sicherzustellen ist, dass die Schlüssel nicht in die Hände unbefugter Personen geraten. Ebenso ist die Aufzeichnung der Buskommunikation bei Versuchsfahrten nicht mehr direkt möglich. Die Aufzeichnungssysteme müssen die Möglichkeit zur Entschlüsselung der Daten haben, ohne dabei die Security zu schwächen.
FAZIT Bisher ist das Thema Security in der Entwicklung und dem Test von eingebetteten Systemen noch kaum präsent. Viele Problemstellungen, vor allem im Bereich des Tests, sind bisher nicht zufriedenstellend geklärt. Die absehbaren Entwicklungen im Bereich der eingebetteten Systeme machen eine rasche Diskussion und Klärung dieser Fragen zwingend erforderlich. Andernfalls kann weder die Safety noch die Security solcher Systeme sichergestellt werden. Dies kann und wird Auswirkung in allen Bereichen der Wirtschaft und der Gesellschaft haben.
Dr.-Ing. Kristian Trenkel ist Abteilungsleiter Forschung und Software-Entwicklung bei iSyst Intelligente Systeme GmbH
Im Gespräch
Ausgabe 47 | Juni 2018
SECURITY TESTING EIN BLICK IN DIE GLASKUGEL? Sicherheit ist ein wichtiges Thema in der heutigen Gesellschaft. Insbesondere auch im Bezug auf die Digitalisierung und das Internet of Things (IoT), das sowohl in Firmen als auch in private Haushalte immer mehr Einzug erhält. Das „Security Testing” gewinnt in der Software-Entwicklung bereits immer mehr an Bedeutung. Das SQ-Magazin hat mit Sabrina Cordes gesprochen, Key Account Managerin beim International Software Quality Institute (iSQI).
und Methodik anbelangt. Sich täglich über Angriffe, Viren, neue Schlupflöcher in Software und neue Entwicklungen zu informieren, gehört dazu. Nur so kann man ein wenig in die Zukunft schauen und diese beeinflussen. Mit viel Erfahrung und Expertenwissen muss die Waage gehalten werden zwischen dem Blick fürs Detail und dem Blick auf das Große Ganze. Je besser der Tester das kann, desto besser wird er seine Aufgaben erledigen.
Gut, also doch keine Glaskugel? Das Bedürfnis nach Sicherheit steigt mit der Technisierung unserer Welt. Wenn noch mehr digital wird, hat Sicherheit da überhaupt ein Chance? Sicherheit hat aus Sicht des Anwenders viele Facetten. Wir nehmen Sicherheit jedoch erst dann bewusst wahr, wenn sie nicht mehr vorhanden ist. Der Tester sucht nach etwas, was so gar nicht vorhanden ist. Er sucht nicht nach einem Fehler sondern nach einer Lücke. Nach Schwachstellen mit denen niemand rechnet. Nach etwas, das gefährlich werden könnte.
Das klingt ja so, als bräuchte ein Tester eine Glaskugel, um in die Zukunft zu schauen. Wer soll denn solche Tests verantworten? Und umgekehrt. Wem kann man solche Tests anvertrauen? Ja, wenn man ein Programm sicher machen will, dann muss man schon ein Stück nach vorne schauen. Etwas zu testen, was möglicherweise passieren könnte, erfordert vom Tester viel Intuition und Kreativität. Das kann man trainieren! Wichtig dabei ist, upto-date zu sein. Nicht nur was Tools
Nein, keine Glaskugel. Aber Ausbildung und Wissen helfen. Neben den technischen Grundlagen von sicherer Informationsübermittlung zwischen Schnittstellen, den Sicherheitsstandards mobiler Kommunikation, den unterschiedlichen Netzwerk-Umgebungen und den Gesetzen und Standards muss ein Security Tester die unterschiedlichen Arten typischer Angriffe von Hacker-Seite kennen. Das hilft dabei, den Gegner von morgen einschätzen zu können. Unterstützung bekommt der Tester durch Tools, die entwickelte Software gezielt auf Schwachstellen abklopfen. Mit Tools und einem Werkzeugkasten an Methoden lässt sie sich systematisch und geplant scannen. Das geht teilweise automatisch, teilweise manuell. Gut informiert zu sein gehört zum Job des Security Testers. Nur so kann er das Risiko erfolgreicher Angriffe auf neu entwickelte Software so gering wie möglich halten.
DAS INTERNATIONAL SOFTWARE QUALITY INSTITUTE (ISQI) BIETET IN SEINEM ZERTIFIZIERUNGSPORTFOLIO DEN ISTQB ® CERTIFIED TESTER – ADVANCED LEVEL, SECURITY TESTER AN. DIE SCHULUNG UND DIE PRÜFUNG BEREITEN SOFTWARE TESTER IDEAL AUF IHRE AUFGABE ALS SECURITY TESTER VOR. MEHR INFORMATIONEN FINDEN SIE AUF WWW.ISQI.ORG
38
Das SQ-Quiz 5
3
2
Impressum 7
6 8
9
1 2
1
7 8
9
9 7
1
8
6 5
9
6
Die Lösung des letzten
TEL +49 331 231810-29
Friedrich-Engels-Str. 24, 14473 Potsdam
Sudokus lautete:
FAX +49 331 231810-10
CHANCEN & RISIKEN
info@asqf.de, www.asqf.de
Die Gewinner aus Heft 46 sind:
V.i.S.d.P.:
Niels Hohn, Garchingen Dr. Rainer Hübenthal, Ismaning Stefan Sader, Buckow Vanessa Michalk, Seubersdorf i.d. Opf.
8
Peter Ovenhausen, Nürnberg
2 7
ASQF e.V.
REDAKTION
5 4
5
8
5
2
2
9
HERAUSGEBER
Sudoku
Carolin Kallenbach Friedrich-Engels-Str. 24, 14473 Potsdam FAX +49 331 231810-10
1
4
Redaktionsteam: Gerhard Wistuba, Christine von Kleist,
TEL +49 331 231810-18
9
6
Stephan Goericke (Hauptgeschäftsführer) Chefredaktion: Anja Schreinert
8
redaktion@sq-magazin.de, www.sq-magazin.de SATZ / LAYOUT Frenkelson Werbeagentur, Potsdam www.frenkelson.de
Buchstaben: 1=X, 2=R, 3=Z, 4=K, 5=E, 6=T, 7=W, 8=N, 9=P LÖSUNGSWORT
FOTOS: ASQF e.V. und iSQI GmbH Editorial-Bild: Karoline Wolf Titelseite: ©goh-rhy-yan@unsplash.com Alle Portraits und Grafiken mit freundlicher Genehmigung der Autoren.
Testdaten und Testdatenmanagement Testdaten werden in jedem Softwareentwicklungsprojekt benötigt. Das Management von Testdaten stellt sicher, dass diese jederzeit bedarfs-, zeitund regelgerecht bereitstehen, und erhöht so die Effizienz und die Qualität des Testens. Dieses Buch bietet eine umfassende Einführung in Testdaten und ein effizientes Testdatenmanagement. Dabei werden sowohl fachliche
als auch technische Konzepte vorgestellt. Zahlreiche Erfahrungsberichte und Praxisbeispiele geben Einblicke in die reale Welt des Testdatenmanagements und erlauben dem Leser einen direkten Transfer zu seiner täglichen Arbeit.
DRUCK: PRINTEC OFFSET, Kassel DRUCKAUFLAGE: 4.000 Stück INTERNETAUSGABE: www.sq-magazin.de MEDIADATEN Gern senden wir Ihnen unsere Mediadaten zu. Richten Sie Ihre Anfrage an werben@sq-magazin.de Namentlich gekennzeichnete Beiträge müssen nicht mit der Meinung der Redaktion übereinstimmen. Die Redaktion behält sich das Recht auf sinn-
Senden Sie bis zum 2. August 2018 das Lösungswort des Gewinnspiels an info@asqf.de und gewinnen Sie eines von fünf Büchern.
*Der Rechtsweg ist wie immer ausgeschlossen. Die Mitarbeiter der iSQI GmbH und des ASQF e.V. sowie sämtliche am Gewinnspiel beteiligten Personen sind von der Teilnahme ausgeschlossen. Teilnehmer erklären sich mit der Veröffentlichung ihres Namens in der Folgeausgabe einverstanden.
gerechte Kürzung und Bearbeitung eingereichter Manuskripte vor. Wir machen darauf aufmerksam, dass Daten nicht an Dritte weitergegeben und ausschließlich zur internen Auswertung herangezogen werden können. In den Texten sind stets Personen männlichen und weiblichen Geschlechts gleichermaßen gemeint; aus Gründen der einfacheren Lesbarkeit wird im SQ-Magazin nur die männliche Form verwendet.
№ 48
erscheint im September 2018
SQ № 48 Thema: Intelligence of Things Anzeigenschluss: 01.08.2018 Redaktionsschluss: 27.07.2018
Im nächsten Heft:
INTELLIGENCE OF THINGS Das Internet der Dinge und künstliche Intelligenz sind Themen, die heutzutage interessanter sind denn je. Welche Erfahrungen haben Sie mit der Kombination aus diesen beiden Bereichen bereits gemacht? Welche Chancen bieten sich und auf welche Risiken müssen wir uns einstellen? Werden Sie Autor im SQ-Magazin und senden Sie Ihren Beitrag bis zum 27. Juli an redaktion@sq-magazin.de
Rawpixel.com@fotolia.com
Smart. Agile. TestBench. TestBench Cloud Services simplifies and improves the testing performance in agile teams. Try it for free for 90 days: TBSQ062018 90days.testbench.com