CUSTOMER IDENTITY MANAGEMENT TESTS ZUR SECURITY Assurance SAP SuccessFactors Arndt Schaarschmidt, Leiter Konzern-Quali-tätssicherung VW, Geschäftsführer Automotive Quality Institute

Folgen Sie uns auf Twitter. Facebook. Instagram. twitter.com/SQMagazin / facebook.com/SQforyou / instagram.com/isqicert

ISS

N 2

367-

3516

PLUS: Die aktuellen Schulungs-termine für 2018

Ausgabe 47 | JUNI 2018

CUSTOMER IDENTITY MANAGEMENT in Zeiten von Industrie 4.0 und Digitalisierung im Zusammenhang mit dem neuen Datenschutzgesetz

QUALITÄT FÜR DAS INTERNET DER DINGE Im Gespräch mit Dr. Armin Metzger

TESTS ZUR PRODUKTSICHERHEITSichheitstest ist nicht Testen von Sicherheitsfunktionen

SECURITY FUNKTIONENHerausforderungen für den Test im Embedded Umfeld

Sprint forward with iSQI Scrum Master Pro

©Artistdesign2

9_shutterstock.com

YOUR SECUREPATH TO SUCCESS!Exclusively available through iSQI, that offers you the chance to take the initial exam and one retake of the same exam if needed.

www.asqf.de | www.isqi.org

Become a real Scrum Master within just 12 hours with our online course on high5.academy

kennen Sie den schon? „DSGVO ist, wenn Du plötzlich ohne eigenes Zutun aus sämtlichen Newslettern fliegst – was Dir vorher trotz eigenem Zutun nicht gelungen ist.”

Auf den ersten Blick, macht die neue Da-tenschutz-Grundverordnung (DSGVO) keinen Sinn. Vor der Schufa, der GEZ, dem Finanzamt oder den US-Behörden schützt sie mich nicht. Dafür darf der Sportverein Posemuckel nun seinen Newsletter nicht mehr versenden.

Das Problem liegt – wieder einmal – in der fehlenden Akzeptanz der Vorgaben und der schlechten Kommunikation. Sträflich rächt sich nun, dass versäumt wurde, Sinn und Nutzen zu erklären. Strafandrohungen allein sind keine überzeugenden Argumente.

Ich sage, diese Form der DSGVO bleibt nicht. Die Politik wird Anpassungen und Ausnahmen schaffen müssen. Wo Vorschriften die Entfaltung von Ideen verhindern, gehört die Vorschrift an-gepasst. Nicht umgekehrt. Es beruhigt

Editorial

3 Ausgabe 47 | Juni 2018

auch nicht wirklich, dass Datenschüt-zer und Politiker die Justiz ermahnen, bloß nicht allzu streng zu sein! Kapi-tulation also, schon bevor es los geht? Wozu dann der ganze Aufwand?

Wir beim ASQF und beim iSQI haben – so denke ich – alles getan, was mög-lich war, die Verwaltung nach DSGVO anzupassen. Der Aufwand war letztlich doch überschaubar, denn Datenschutz wurde bei uns immer schon groß ge-schrieben. Wenn Sie Fragen dazu ha-ben, sprechen Sie uns an.

Und nun wünsche ich Ihnen viel Spaß beim Lesen dieser neuesten Ausgabe – sofern Sie diese nach all der Aufre-gung doch noch bekommen haben.

Herzlichst

Ihr Stephan GoerickeASQF-Hauptgeschäftsführer

Was ist Ihre Meinung oder Erfahrung? Teilen Sie mir Ihre Gedanken mit! Ich freue mich auf Ihre Zuschrift und einen anregenden Austausch zu den verschiedensten Themen. [email protected]

Liebe Leser und Leserinnen des SQ-Magazins,

05 ASQF-NEWS

09 SCHWERPUNKT

09 Sicherheit in Technik und Gesellschaft

16 Customer Identity Management In Zeiten von Industrie 4.0 und Digitalisierung im Zusammenhang mit dem neuen Datenschutzgesetz

30 Tests zur Produktsicherheit Sicherheitstest ist nicht Testen von Sicherheitsfunktionen

34 Security Funktionen Herausforderung für den Test im Embedded UmfeldInha

lt16

09

CUSTOMER IDENTITY MANAGEMENTIN ZEITEN VON INDUSTRIE 4.0 UND DIGITALISIERUNG IM ZUSAMMENHANG MIT DEM NEUEN DATENSCHUTZGESETZ (DSGVO)

SICHERHEIT IN TECHNIK UND GESELLSCHAFT

QUALITÄT FÜR DAS INTERNET DER DINGE

IM GESPRÄCH MIT GTB-GESCHÄFTS-FÜHRER DR. ARMIN METZGER

14

14 IM FOKUS

14 Qualität für das Internet der Dinge Im Gespräch mit GTB-Geschäfts- führer Dr. Armin Metzger

26 Neue Welt, neue Jobs Der „Chief Digital Officer” kommt

28 iSQI-NEWS

38 IM GESPRÄCH mit Sabrina Cordes Security Testing

5 ASQF NEWS

Den Auftakt zur ASQF-Veranstaltungs-reihe im Jahr 2018 machte am 26. April der Testing Day NRW in den Räum-lichkeiten des LifeScience Düsseldorf. Unter dem Motto „Testmanagement inside out“ wurden neue Herausforde-rungen, Sichtweisen und Handlungs-optionen beleuchtet, die durch den aktuellen Wandel in der Digitalisierung verstärkt werden. Fakt ist: Aktivitäten wie Planung, Koordination, Abstim-mung und Reporting in Testinitiativen dürfen auch im Zuge von Themen wie Agilität, DevOps, Security oder Big Data nicht vernachlässigt werden. Die Disziplinen ändern sich, aber die An-forderungen und Aufgaben bleiben.In diesem Sinne starteten Michael Kutz und Oliver Monneke von REWE digital mit ihrem Vortrag und gaben span-nende Einblicke in die Entwicklung des Testmanagements von monolithi-schen Architekturen hin zu Microser-vices.Nach dem Beitrag von Dr. Matthias Hamburg, Sogeti GmbH, zum Thema „Testprozessverbesserung bei Ver-sicherungen mit TPI NEXT“, widme-te sich Dr. Ehrhard Wunderlich von Bombardier Transportation grund-sätzlichen Fragen des Testmanage-ment wie „Wozu brauchen wir Test-management?” und „Wie sieht die

ERSTER ASQF-DAY DES JAHRES WAR VOLLER ERFOLG

Zukunft des Testmanagements aus?”. Den Abschluss des Tages bildeten Dirk Hedderich von Micro Focus und Ralf Mack von Atos mit dem Thema „Datenschutz-Grundverordnung und Testmanagement – Wie passt das zu-sammen?”.Durch das Graphic Recording von Rai-ner Deußen, Capgemini, wurden die Inhalte noch zusätzlich visualisiert und dokumentiert. Die zahlreichen Anwe-senden waren begeistert. „Ja, für mich

war der Tag sehr inspirierend! Ange-fangen mit der außergewöhnlichen Dokumentation über die für mich neue Methode des World Cafés bis hin zu den Vorträgen und Gesprächen war es ein toller Tag und es wird bestimmt nicht mein letzter Testing Day gewe-sen sein! Bis 2019”, so ein Teilnehmer. Somit bildete der erste Day des Jahres 2018 einen gelungenen Start. Elf wei-tere Veranstaltungen sind für dieses Jahr geplant.

German Testing Day07.-08.06.2018, Frankfurt/Main10% RABATT FÜR ASQF-MITGLIEDER

Embedded Testing19.-21.06.2018, München10% RABATT FÜR ASQF-MITGLIEDER

XAAS Evolution02.-03.07.2018, Berlin20% RABATT FÜR ASQF-MITGLIEDER

QS-Barcamp01.09.2018, Hamburg10% RABATT FÜR ASQF-MITGLIEDER

TestBash14.09.2018, München50,- EUR RABATT FÜR ASQF-MITGLIEDER

Big Data Minds16.-18.09.2018, Berlin20% RABATT FÜR ASQF-MITGLIEDER

Rethink! IT16.-18.09.2018, Berlin20% RABATT FÜR ASQF-MITGLIEDER

Rethink! SPMS19.-21.09.2018, Berlin20% RABATT FÜR ASQF-MITGLIEDER

ASQF NEWS

Neue Mitglieder im ASQF e.V.

Ausgabe 47 | Juni 2018 6

auticon GmbH Berlin I auticon.de

metafinanz Informationssysteme GmbHMünchen I metafinanz.de

Sivantos GmbHErlangen I www.sivantos.de

TXS GmbHHamburg I www.txs.de

viception GmbH & Co. KGLangenau I www.viception.com

EXKLUSIVE RABATTE FÜR ASQF-MITGLIEDER

Der ASQF hat in Österreich eine neue Fachgruppe zum Thema Agilität ge-gründet. Unter dem Motto „Be Agile! Get Involved!” rufen die Fachgruppen-leiter Manfred Baumgartner (Nagarro) und Andreas Mayerhofer-Bollek (Ös-terreichische Post AG) zum Austausch unter Gleichgesinnten auf. Am 28. Juni findet das Gründungs-treffen statt, zu dem alle Interessen-ten herzlich eingeladen sind. Mit der „Agile Community Österreich” spricht der ASQF alle Software-Engineering-Disziplinen an sowie involvierte Fach-bereiche und Anwender, z. B. in ihrer Rolle als Product Owner. Auch Per-sonen und Unternehmen, die nicht zwingend aus der IT stammen, sind gerne eingeladen, über ihre Erfah-

Be Agile! Get Involved!Agile Community in Österreich

rungen im agilen Kontext zu berichten. Die Fachgruppe ist davon überzeugt, dass dadurch inspirierende Gedan-ken und tolle Synergien entstehen. Neben den Fachgruppentreffen findet auch eine Konferenz, die „Agile Night Austria“, am 16. Oktober 2018 in Wien statt. Das Thema der Agile Night Aus-tria lautet „DevOps@Agile – Continu-ous Quality in agilen Projekten” und und der ASQF freut sich über eine rege Beteiligung.

WENN SIE SICH IN DER AGILE COMMUNITY

ÖSTERREICH INHALTLICH UND ORGANISATO-

RISCH BETEILIGEN MÖCHTEN, ERREICHEN SIE

DIE FACHGRUPPENLEITER PER E-MAIL:

[email protected] [email protected]

Im März 2018 wurde der Beirat des ASQF e.V. vom Präsidium in seinem Amt bestätigt. Der aktuelle Beirat des ASQF setzt sich zusammen aus:

Peter Batt, IT-Direktor Bundesinnenministerium Herna Munoz-Galeano, Gründerin, Geschäfts-

führerin HMG Systems Engineering GmbH Dr. Walter Wintersteiger, selbständiger Un-

ternehmensberater und internationaler Experte zum Thema Software-Qualität

Robin Baldner, Senior Vice President Quality Assurance SAP SuccessFactors

Arndt Schaarschmidt, Leiter Konzern-Quali-tätssicherung VW, Geschäftsführer Automotive Quality Institute (AQI)

Chris Rupp, Gründerin und geschäftsführende Gesellschafterin der SOPHIST GmbH

Prof. Dr. Andreas Spillner, Professor i.R. im Fachbereich Elektrotechnik Hochschule Bremen

Anton Schlatter, Head of Test & Quality Ser-vices bei CGI Deutschland

Prof. Dr. Bernd Hindel, Vorstandsvorsitzender Method Park Software AG

ASQF Beirat im Amt bestätigt Sitzung zur Entwicklung des ASQF

Der ASQF bedankt sich für das bishe-rige und weitere Engagement des Bei-rates.

Im Anschluss traf sich der Beirat mit dem Präsidium und der Geschäftsfüh-rung des ASQF zu einer Sitzung über die Entwicklung des Verbands. Ein ent-scheidendes Thema der Sitzung war die Standortbestimmung und Positio-nierung des Verbands im Kontext der Digitalen Transformation und deren Auswirkungen im industriellen Produk-tionsumfeld. Der ASQF stärkt mit seinen Fortbildungen und Standardisierung in diesem Bereich den Qualitäts-Standort Deutschland und gibt der Industrie eine wichtige Hilfestellung.

Der ASQF und die Julius-Maximili-an-Universität Würzburg haben ihre langjährige Beziehung durch die Un-terzeichnung einer Kooperations-vereinbarung bekräftigt. Durch den intensiven Austausch zwischen der Universität und dem ASQF sollen das Bewusstsein für die Bedeutung der Software-Qualität gesteigert, der Wissenstransfer zwischen Akteuren im Bereich Software aus Industrie, Institutionen und Hochschulen gestei-gert sowie Anstöße zur Verbesserung von Prozessen in der Software-Ent-

ASQF NEWS

Dr. Armin Metzger verlässt den Ar-beitskreis Software-Qualität und -Fort-bildung als Direktor und wird neuer Geschäftsführer des German Testing Boards (GTB).Der ASQF e.V. gratuliert Herrn Dr. Metz-ger herzlich zu seiner neuen Aufgabe. Stephan Goericke, Hauptgeschäftsfüh-rer des ASQF e.V., über den Wechsel von Dr. Armin Metzger: „Wir bedanken uns bei Herrn Metzger für seine gute Arbeit und wünschen ihm viel Erfolg für seine neue Aufgabe beim GTB. Wir bleiben im Einsatz für System- und Software-Qualität mit Herrn Metzger und dem GTB herzlich verbunden.”Auch dem im März 2018 neu gewähl-ten Vorstand des GTBs spricht Stephan Goericke, seine herzlichen Glückwün-sche aus. Der Arbeitskreis Software-Qualität und -Fortbildung freut sich über die weitere Fortsetzung der guten Zusammenarbeit.So ist im letzten Jahr aus einer ge-meinsamen Arbeitsgruppe des ASQF und des GTB eine neue Zertifizierung entstanden: der „Certified Professional for IoT”. In der hochkarätigen Arbeits-gruppe des ASQF und des GTB wurde 2017 dieser Kurs entwickelt, der Me-

ASQF und Universität Würzburg unterzeichnen Kooperationsver-einbarung

Wechsel vom ASQF zum GTB

KommendeASQF-Days

2018

WWW.ASQF.DE/ASQF-DAYS

Dr. Armin Metzger schöpft aus 25 Jahren Erfahrung in der Software Entwicklung und zu Themen der Software- und System-Qua-lität in industriellen Projekten, Forschungs-vorhaben und internationalen Gremien.Seit April 2018 steht er dem German Tes-ting Board e.V. als Geschäftsführer zur Ver-fügung.

thoden und Leitlinien zu Absicherung der Qualität von IoT-Lösungen bietet. Der Kurs vermittelt die notwendigen grundlegenden Kompetenzen und Best Practices für alle Beteiligten.

wicklung gegeben werden. Die Ver-einbarung wird insbesondere für den Lehrstuhl für Informatik II / Software Engineering Anwendung finden. Die Studierenden des Lehrstuhls können somit alle Angebote des ASQF nut-zen. Auch wird der ASQF-Förderpreis noch in diesem Jahr verliehen. Am 30. Juni dieses Jahres wird ein Preisträger im Rahmen der Absolventenfeier des Lehrstuhls für Informatik II die Aus-zeichnung entgegennehmen können.

7

FACHGRUPPEN-TERMINEJuni 2018 bis August 2018

Alle Termine und Anmeldung unter: www.asqf.de/events

JUNI 2018

KW Mo Di Mi Do Fr Sa So

22 1 2 3

23 4 5 6 7 8 9 10

24 11 12 13 14 15 16 17

25 18 19 20 21 22 23 24

26 25 26 27 28 29 30

AUG 2018

KW Mo Di Mi Do Fr Sa So

31 1 2 3 4 5

32 6 7 8 9 10 11 12

33 13 14 15 16 17 18 19

34 20 21 22 23 24 25 26

35 27 28 29 30 31

JU

NI

13.06.2018: FG Automotive, Ingolstadt, 18:00 - 20:00 UhrThema: Wie wichtig ist die Toolqualifikation nach DO178 bzw. ISO26262 wirklich?

14.06.2018: FG Software Test Schwaben, Ulm, 18:00 - 20:00 UhrThema: Scrum im Arbeitsalltag - Erfahrungen mit agiler Entwicklung

20.06.2018: FG Softwaretest Braunschweig, Braunschweig, 18:00 - 20:00 UhrThema: „Das Tool ist Nebensache: Testautomatisierungsprojekte und Vertrauen zwischen Entwickler und Tester“

26.06.2018: FG Software Test Wien, Wien, 18:00 - 20:00 UhrThema: „Spontane Erkenntnisse (‚Aha‘-Erlebnisse): Forschungsergebnisse aus der kognitiven Neurowissenschaft & was wir daraus lernen können“

26.06.2018: FG Software Test Franken, Nürnberg, 18:00 - 20:00 UhrThema: Comparison of Image-based and Object-based Test Automation within Industrial Context

28.06.2018: FG Agilität Österreich, Wien, 18:00 - 20:00 UhrThema: BE AGILE! GET INVOLVED! Agile Community Österreich!

AU

G 21.08.2018: FG Software Test, Berlin 18:00 – 20:00 UhrThema: Testautomatisierung

Schwerpunkt99

Versorgung mit Lebensmitteln, Was-ser, Gas und Strom erfordern eine Vielfalt an verzahnten Technologien. Technik bestimmt Transport, Arbeit, Freizeit und Unterhaltung. Dieser Sta-tus Quo ist kein statischer Zustand, sondern verstärkt sich weiter. Dabei nimmt der Anteil digitaler Technik stetig zu. Ein Ausfall von nur weni-gen und kleinen Bereichen kann zu Auswirkungen führen, die mehr als nur unangenehm sind (man denke an einen feststeckenden Aufzug) und absichtlich herbeigeführte Störungen können lebensbedrohliche Konse-quenzen haben.

BEDROHLICHE KONSEQUENZEN

Computerviren zum Beispiel: Im Früh-jahr 2017 sorgte ein Cyber-Angriff durch die Viren „WannaCry“ und „NotPetya“ für erhebliche Gefähr-dungen in Krankenhäusern. Auch 2018 sind bereits gravierende Vorfälle beim Bund und Probleme beim US-Heimatschutzministerium bekannt ge-worden. Einer der größten „distribut-ed Denial of Service“ (dDoS)-Angriffe (d.h. viele einzelne Rechner greifen gemeinsam ein Ziel an, um dessen Service lahmzulegen) ist mit „Memca-ched Reflection Amplification“ im Fe-bruar 2018 bekannt geworden. Dabei wurden ausgewählte Ziele mit bis zu 1,7 TBit/s unter Beschuss genommen und damit deren Internetanbindung gesättigt, so dass reguläre Anfragen nicht mehr ihr Ziel erreichen konnten.

Im März 2018 hat ein Kryptotrojaner das Computernetz der Stadtregierung von Atlanta (USA) lahmgelegt. Wel-che Auswirkungen ein erfolgreicher Angriff auf die Uhrensynchronisati-on bei NTP (Network Time Protocol) oder Funkuhren haben kann, ist gar nicht absehbar. Zukünftige „Smart Homes“ mit dem umfangreichen Ein-satz des Internet of Things (IoT) bieten ebenfalls lohnende Ziele für Angriffe unterschiedlicher Art. Die Probleme mit dem besonderen elektronischen Anwaltspostfach (beA) sind seit Ende 2017 so gravierend, dass das System abgeschaltet werden musste. Das Thema elektronische Patientenakte steht vor der Tür. Angriffe auf Herz-schrittmacher via WLAN wurden schon vor Jahren als „Proof of Con-cept“ (PoC) demonstriert. Bei der Pa-tientenakte geht es um Verfügbarkeit (auch im Notfall) und um Datenschutz, bei unbefugtem Zugriff auf Herz-schrittmacher geht es unmittelbar um Menschenleben.

Je anfälliger die Gesellschaft auf Störungen reagiert, desto intensiver muss Technik abgesichert werden und desto sorgfältiger müssen Men-schen mit Technik umgehen. Auch unabsichtliche Fehlbedienungen, möglicherweise provoziert durch un-klare Eingabe-Erwartungen, liegen im Blickfeld von Sicherheit. Schließ-lich ist auch noch die europäische Datenschutz-Grundverordnung (EU-DSGVO) seit Mai 2018 vollständig in

Frank Guthausen hat über

drei Jahrzehnte Erfahrungen

in den Bereichen Compu-

tertechnik, Software-Ent-

wicklung, Administration,

Datenschutz und Sicherheit

erworben. Derzeit arbeitet er

in der Abteilung Cybersecurity

bei der Sogeti Deutschland

GmbH.

SICHERHEIT IN TECHNIK UND GESELLSCHAFT

Kraft und fordert die Absicherung per-sonenbezogener Daten mindestens nach dem Stand der Technik.

WER IST SCHULD? BLOCKADEN BEI DER SICHERHEIT

Nach dem bisher Gesagten sollte man ein verbreitetes Interesse an Sicher-heit in der digitalen Welt vermuten können. Allerdings sind Sicherheits-maßnahmen nicht direkt sichtbar und Angriffe werden oft nicht direkt wahrgenommen. Dies führt zu einer psychologischen Verdrängung des Problems. Ein vorausplanender Auf-wand scheint (gefühlt) unnötig und ist oft aus ökonomischer Sicht schwer zu rechtfertigen. Im Schadensfall kommt es schnell zum „Schwarzer Peter“-Prinzip, in dem das Problem dadurch oberflächlich gelöst wird, indem ein Schuldiger gefunden wird. Auch die gegenteilige Reaktion, in dem gar kei-ner verantwortlich gemacht wird, weil es „eben passiert ist”, ist nicht viel besser.Das gesellschaftlich verbreitete Di-lemma, alles mit einer vergleichenden (eindimensionalen) Metrik bewerten zu wollen, die sich direkt in Geld um-rechnen lässt, unterstützt die Sicht-weise, es beim Thema Sicherheit nicht so genau zu nehmen. Auf Ma-nagement- und Führungsebene zäh-len Umsatz und Gewinn und unnötige Kosten sind zu vermeiden. Bei Fragen zur Sicherheit fehlen klare Ansagen, was nötig und was unnötig ist. Es fehlt eine genaue Definition von Sicherheit.

Administratoren von Systemen haben aus technischer Sicht meist ein ausge-prägtes Verständnis für die Notwen-digkeit von Sicherheit. Auf der Ebene des Managements fehlt dieses Ver-ständnis häufig oder ist nur schwach ausgebildet. Und wie sieht es bei der größten Gruppe, den Anwendern, aus? Hier darf man ohne Übertrei-bung annehmen, dass das Interesse und Verständnis für Hintergrund und

Schwerpunkt Ausgabe 47 | Juni 2018 10

Umsetzung von Maßnahmen aller Art beim größten Teil allenfalls rudimen-tär oder gar nicht vorhanden ist.

Man denke an unsichere Passwörter für das private E-Mail-Postfach, die dann (zur Sicherheit) noch zusätzlich auf einem kleinen Zettel an den Mo-nitor geklebt werden. Oder das Pass-wort-Sharing, bei dem sich mehrere Kollegen einen Account teilen und dementsprechend das Passwort ken-nen – beispielsweise in Krankenhäu-sern. Das Benutzen unverschlüsselter HTTP-Verbindungen gehört ebenso zum guten Ton wie das Ignorieren von Zertifikatswarnungen bei der Nutzung von HTTPS. Vom regelmäßigen Aus-tausch abgelaufener Zertifikate auf IoT-Geräten fangen wir besser erst gar nicht an.

In vielen Fällen ist der Anwender allein nicht schuld. Oft haben Her-steller allzu viel Sicherheit auch gar nicht vorgesehen. Kommunikation zu verschlüsseln ist grundsätzlich „zu schwierig”. Wir haben uns einmal die Produkte eines führenden Software-Herstellers angesehen und müssen vermuten, dass die Lücken in der Si-cherheit nicht nur übersehen worden, sondern auch gewollt sind – und auch gar nicht gestopft werden sollen. Zieht man Beobachtungen aus dem privaten Bereich, der freien Wirtschaft und dem öffentlichen Dienst zu Rate, haben die Enthüllungen von Edward Snowden zu den Aktivitäten des US-Geheimdienstes NSA offensichtlich nie stattgefunden. Man sollte vermu-ten, dass wenigstens die ökonomische Vernunft zu einer Absicherung ge-gen Wirtschaftsspionage führt, aber selbst auf diesem Feld geht allenfalls von Optimisten noch Hoffnung aus.

VERIFIZIERUNG VON BERECHTIGUNGEN

Bei zugriffsgesicherten Systemen gibt es grundsätzlich drei Methoden, eine Berechtigung zu verifizieren: ich

weiß etwas, ich besitze etwas und ich bin etwas. Das Wissen um Passwör-ter kann belauscht oder abgepresst werden, der Besitzer von Smartcards kann wechseln. So bleibt scheinbar nur ein biometrisches Merkmal. Um eine Person ohne „False Positive“ ein-deutig zu authentifizieren, muss das System das Gesicht der Person „er-kennen”. Von „False Positive” spricht man in der IT, wenn ein System einen Fehlalarm auslöst oder fälschlicher-weise das System dicht macht.Leider ist auch diese Methode pro-blematisch. Die grundsätzliche Idee kam nach der Jahrtausendwende im-mer stärker in Mode und resultierte u.a. in der Aufnahme biometrischer Merkmale in Reisepass und Perso-nalausweis. Wie verschiedene For-schungsergebnisse auch und gerade aus dem Umfeld des Chaos Computer Clubs (CCC) in den letzten Jahren ge-zeigt haben, sind Verfahren wie Ge-sichtserkennung, Fingerabdruck-Scan oder Iris-Scan mit haushaltsüblichen Mitteln einfach zu überlisten. Anders als ein Passwort oder eine Smartcard sind biometrische Merkmale aber nicht austauschbar, sondern unverän-derlich an die Person gebunden. Eine Kompromittierung ist daher ein sehr schwerwiegendes Vergehen. Unklar ist, ob es sich bei biometrischen Merk-malen um personenbezogene Daten im Sinne der EU-DSGVO handelt, möglicherweise sogar um besonders schützenswerte.

GEFAHR: DER ANWENDER VERLIERT DEN ÜBERBLICK

Bei passwortgeschützten Systemen gibt es oftmals Richtlinien, welche die Sicherheit erhöhen sollen. Dazu ge-hören regelmäßige Passwortwechsel und die Verwendung von Sonderzei-chen sowie der Ausschluss von Wör-terbuch-Begriffen. Doch wie soll man sich die steigende Anzahl von Pass-wörtern merken? Man zähle einmal durch: Pins für Mobiltelefone, Bank-

111111

karten, Logins für Privatrechner, pri-vate E-Mail, Firmenrechner, Firmen-telefon, Social-Media-Accounts. Das überfordert nicht nur durchschnitt-liche Anwender. Die gängigen Gegen-maßnahmen sind Post-its mit Pass-wörtern unter der Tastatur oder am Monitor, kleine Gedankenstützen in Schubladen und im Telefonspeicher. Eine weitere beliebte Strategie ist, das gleiche Passwort für alle möglichen Accounts zu verwenden. Das hebelt natürlich den beabsichtigten Schutz aus. Hier begreift die IT nicht, dass Sicherheit an dieser Stelle weder ein technisches noch organisatorisches, sondern ein psychologisches Problem ist. Mehrfaktor-Authentifizierung mit Token und generierten Einmal-Be-rechtigungen sind da wesentlich wir-kungsvoller. Leider verursachen diese aber wiederum Kosten.

KRYPTOGRAFIE: KOMPLIZIERT, ABER EINE LÖSUNG Ebenfalls Opfer von Überforderung und Bequemlichkeit werden Verfah-ren zur Verschlüsselung bei Kommu-nikation und Datenhaltung. Während sich Festplattenverschlüsselung auch außerhalb von Nischenbranchen lang-sam durchsetzt, ist eine zuverlässige Verschlüsselung von E-Mails nicht selbstverständlich. Mit OpenPGP und S/MIME gibt es zwei große nicht kom-patible Verschlüsselungsstandards und die Unterstützung durch Software ist nicht einheitlich. Durch firmen-interne Vorgaben zur Verwendung und Nichtverwendung bestimmter Soft-ware ergeben sich weitere praktische Probleme.

Auch bei der Datenübertragung per Webbrowser hat sich HTTPS als ver-schlüsseltes Protokoll noch nicht voll-ständig gegen HTTP durchgesetzt. Ein Mitlesen durch Unbefugte kann dabei weder verhindert noch festgestellt werden. Hier ist allerdings durch die Initiative „Let‘s Encrypt“ in den letzten


zwei Jahren ein deutlicher Fortschritt zu erkennen – zumindest, wenn do-mainvalidierte Zertifikate ausreichen. Extended Validation kostet dagegen zusätzliches Geld. Die Verwaltung von Zertifikaten wird nicht immer sorgfäl-tig vorgenommen. Das Ergebnis sind häufig abgelaufene und ungültige Zertifikate. Revocation, also die Sperr-liste für Zertifikate, wird meistens erst gar nicht geprüft. Solche Probleme betreffen neben der Wirtschaft auch den Staat: Selbst grundsätzlich zuläs-sige Abfragen von Sicherheitsbehör-den bei einem Berliner Mailprovider liefen im Jahr 2018 noch unverschlüs-selt über das öffentliche Netz.

MONOKULTUREN UND HOMOGENE UMGEBUNGEN

Ein weiteres Problemfeld sind pro-prietäre Monokulturen und homo-gene Umgebungen. Das Netzwerk der Deutschen Bundesregierung hat eine solche kritische Infrastruktur und wurde deshalb Anfang 2018 auch Ziel eines großen Hackerangriffs. Was zunächst nach administrativer Ver-einfachung aussieht, kann bei einem tatsächlichen Sicherheitsproblem

statt zu einem Teilausfall gleich zu einem Totalausfall führen. Auch die Abhängigkeit vom Hersteller bei Up-dates und Sicherheitspatches verhin-dert eine schnelle, individuelle Reak-tion, selbst wenn hochqualifiziertes Personal vor Ort ist. Das Outsourcen von Verantwortung kann zum gefähr-lichen Bumerang werden. Mit der Cloud werden zusätzlich Daten in den Verantwortungsbereich von Dritten geschoben. Hier hat man es mit einer tickenden Zeitbombe zu tun!

Aktive Angriffe richten sich nicht im-mer gegen technische Systeme. Auch Menschen sind Ziele. Über Spam, Vi-ren- und Phishing-Mails sollen Mitar-beiter oder Privatpersonen motiviert werden, aus Unkenntnis Handlungen zu ihrem Nachteil auszuführen. Auf-klärung und Schulung sind unabding-bar. Niemand ist davor gefeit: Im April 2018 wurde der Autor selbst Ziel einer Social-Engineering-Attacke. Ein an-geblicher Mitarbeiter von Microsoft Technical Support berichtete telefo-nisch von einem identifizierten Pro-blem und kritischen Dateien auf des-sen Computer. Anschließend forderte er die Freigabe für den Zugriff auf den

Computer. Allerdings ohne Erfolg. Es ist vorstellbar, dass weniger erfahrene Computer-User auf solche hinterhäl-tigen Attacken hereinfallen könnten. Man kann sich denken, was ein solcher „Microsoft-Mitarbeiter” auf einem fremden Rechner anstellen wird.

FAZIT

Das Thema Sicherheit ist kein Puder-zucker, den man zusätzlich auf Pro-zesse und Technologie oben drüber streut. Sicherheit ist auf vielfältige Weise tief verankert und kann nicht überschätzt werden. Ein gesellschaft-lich breit aufgestelltes Bewusstsein für die Problematik, ähnlich wie beim Brandschutz, ist längst überfällig.

Bei der Neuentwicklung von Software spielt die User Experience eine immer größere Rolle. Denn nur dann, wenn der Nutzer das bekommt, was er möchte und genau so, wie er es möchte, ist sein Nutzungserlebnis positiv und er wird weiter gerne mit dem System arbeiten.

Auch bei der Entwicklung der Test-Bench Cloud Services wurde großer Wert auf sämtliche Facetten der User Experience gelegt. Das System – seit wenigen Wochen auf dem Markt – ist eine schnell und unkompliziert einsetz-bare cloudbasierte Lösung, um den Software-Test agil zu organisieren.

Damit der User ein bestmögliches Nutzungs-erlebnis hat, wurden die folgenden Punkte von Anfang an betrachtet:

Was sind die möglichen Nutzergruppen des Tools? In welchem Kontext nutzen

diese das Tool? Was für Funktionalitäten

benötigen die Nutzer? Wie muss die Bedienoberfläche

gestaltet sein? Wie kann der Nutzer effektiv,

effizient und zufriedenstellend mit dem Tool arbeiten?

Die TestBench Cloud Services wendet sich in erster Linie an kleine, agil arbei-tende Teams. Anforderungen werden in Form von Epics und User Stories er-fasst. Mit diesen Elementen verknüpft sind alle dazugehörigen Testfälle so-wie die Defects, die während einer Testdurchführung erfasst werden.

OFFENE AKTIVITÄTEN EINES EPICS UND DER DAZUGEHÖRIGEN USER STORIES

Durch die selbsterklärende Bedien-oberfläche unterstützt die TestBench

Cloud Services auch Teams, die keine speziell ausgebildeten Test-Experten in ihren Reihen haben. Das System lei-tet den User bei der Datenerfassung und der Testdurchführung an. Sobald essentielle Daten fehlen, die beispiels-weise eine erfolgreiche Testdurchfüh-rung verhindern, wird das direkt über einen optischen Hinweis angezeigt. Die Abbildung zeigt ein Epic, die da-zugehörigen User Stories und die An-zahl der offenen Aktivitäten. Die unter-schiedlichen Icons (Feuer, Blitz, Notiz) sowie deren Farbgestaltung (rot, oran-ge, blau) symbolisieren die Dringlich-keit der Aktivitäten.

SELBSTERKLÄREND, BARRIEREFREI UND REAKTIV: DIE BEDIENOBERFLÄCHE DER TESTBENCH CLOUD SERVICES

Die Bedienoberfläche der TestBench Cloud Services hat ein responsives Design. Egal ob der User am Desktop-PC, auf dem Tablet oder dem Smart-phone arbeitet, die Oberfläche passt sich dem jeweiligen Endgerät an. Alle Elemente wurden so gestaltet, dass sie auch touch-fähig sind. Zusätzlich

DER USER IM MITTELPUNKTTESTBENCH CLOUD SERVICES SETZT AUF BENUTZERZENTRIERTE ENTWICKLUNG

ist die Bedienoberfläche barrierefrei. Bei der farblichen Gestaltung wurde unter anderem darauf geachtet, dass User mit einer Rot-Grün-Schwäche alle Elemente kontrastreich wahrneh-men können.

In vielen Projekten wird über mehre-re Standorte verteilt gearbeitet. Die Standorte liegen dabei vielleicht sogar in unterschiedlichen Zeitzonen. Da die TestBench Cloud Services in der Open Telekom Cloud gehostet ist, ermög-licht dies jedem Anwender orts- und Endgeräte-unabhängig den Zugriff auf alle Daten. Zusätzlich erleichtert die re-aktive Bedienoberfläche des Tools die Zusammenarbeit: Denn alle Daten, die ein Anwender in das System eingibt, werden unmittelbar für jeden anderen User sichtbar und verfügbar, da sich die Oberfläche an allen Arbeitsplätzen sofort selbständig aktualisiert.

ADVERTORIAL

INTERESSIERTE LESER KÖNNEN EINE ZEIT-LICH AUF 90 TAGE VERLÄNGERTE TRIAL-LIZENZ (CODE: TBSQ062018) KOSTENFREI HIER ABRUFEN: 90DAYS.TESTBENCH.COM

Im Fokus Ausgabe 47 | Juni 2018 14

QUALITÄT FÜR DAS INTERNET DER DINGEIM GESPRÄCH MIT GTB-GESCHÄFTSFÜHRER DR. ARMIN METZGER

Das Internet der Dinge (Internet of Things (IoT)) wird immer mehr zum Bestandteil des alltäglichen Lebens und bringt für die Nutzer viele Vortei-le. Allerdings sind damit – sowohl für Unternehmen als auch für Privatper-sonen – aber auch Risiken verbunden, denn die vernetzten „Dinge” sind ein beliebtes Ziel für Angriffe und Mani-pulationen. Das SQ-Magazin hat mit dem GTB-Ge-schäftsführer Dr. Armin Metzger über das Internet der Dinge, Qualitätssiche-rung und Maßnahmen für die Sicher-heit des IoT gesprochen.

Heutzutage sind immer mehr „Din-ge” – auch im privaten Umfeld – mit dem Internet verbunden. Wie kann ich mich vor den Fallen in der digita-len Welt schützen?

Durch Qualitätssicherung. Wir müs-sen lernen, der Qualität mehr Auf-merksamkeit zu schenken – oder besser gesagt, die Aufmerksamkeit darauf zu lenken. Es ist wichtig, dass Sie die richtige Qualität der Anwen-dungsszenarien in IoT-Architekturen und der von ihnen verwendeten Kom-ponenten sicherstellen und dafür sen-sibel sind.Denken Sie zum Beispiel an Fahrer-assistenzsysteme in modernen Au-tos. Auf der einen Seite können sie

die Sicherheit der Passagiere deutlich verbessern. Auf der anderen Seite kann ein Mangel an Qualität schwer-wiegende Folgen haben. Denken Sie an IT-Sicherheit, denken Sie an ein gehacktes Auto oder an die automati-sierten Systeme eines Passagierflug-zeugs – hierbei geht es um Menschen-leben.

Aber was ist Qualität in diesem Kon-text? Wo liegen die wichtigen Quali-tätsaspekte? Wo ist der Fokus?

IoT-Szenarien verändern die Prioritä-ten von Qualitätsaspekten erheblich. In vielen Projekten wird die Bedeu-tung von IT-Sicherheit für die Quali-tät von IoT-Systemen unterschätzt. Wir müssen einen veränderten Fokus behalten und kontinuierlich auf Ver-änderungen reagieren, wenn wir IoT-Produkte entwickeln. Und wir müssen uns bewusst sein, wie wichtig es ist, die Qualität über den gesamten Le-benszyklus hinweg zu überprüfen und stetig zu verbessern.Quality Engineering ab den ersten Schritten im Lebenszyklus ist ein wich-tiges Stichwort. Einmal angewendet, schafft dies nicht nur einen sicheren Hintergrund für unseren Alltag. Es bie-tet insbesondere für die Qualitätsmar-ke „Made in Germany” einen nachhal-tigen Wettbewerbsvorteil.

1515

Wie wird unsere Gesellschaft auf diese Veränderungen reagieren? Wo sollten wir aufpassen?

Unsere Gesellschaft hat bereits re-agiert. Fast niemand verlässt das Haus ohne Smartphone. Vor ein paar Wochen wurde der erste Amazon Go Store eröffnet, Shopping kann kom-plett digital sein. Dies sind Beispiele für die digitale Transformation unse-rer Gesellschaft, die eine pure Digi-talisierung durch völlig neue Anwen-dungsszenarien ermöglicht.Aber die wirkliche Veränderung ist noch lange nicht erreicht. Die Benut-zer, die diese Möglichkeiten nutzen, sind nicht vollständig vorbereitet. Nicht nur die Entwickler sondern auch unsere Gesellschaft zeigen immer noch ein mangelndes Bewusstsein für die richtigen Qualitätsaspekte beim Einsatz von IoT-Produkten. Ein gutes Beispiel ist wiederum der IT-Sicher-heitsaspekt. Auch hier müssen wir vorsichtiger sein!

Zurück zu der Bedeutung von Quali-ty Engineering für IoT. Ist dies einer der Gründe für die Entwicklung des neuen Certified Professional für IoT-Kurs?

Ja genau. Der Arbeitskreis für Soft-ware-Qualität und -Fortbildung e.V. (ASQF) und das German Testing Board e.V. (GTB) – Deutschlands führende un-abhängige Non-Profit-Organisationen zur Qualifizierung in der Software-Qualitätssicherung – haben gemein-sam das erste unabhängige Training für Quality Engineering in der IoT-Welt entwickelt: Der „Certified Professional for IoT” (CPIoT), um das Bewusstsein und die Fähigkeiten für die Verän-derungen, über die ich gesprochen habe, zu etablieren. Sowohl der ASQF als auch das GTB haben ihre Arbeits-gruppen für IoT Quality Engineering gegründet, die gemeinsam den CPIoT Kurs entwickelt haben.

Was lehrt der Kurs?

Der dreitägige Kurs soll ein gemein-sames Verständnis aller Qualitätsas-pekte in IoT-Projekten und -Produkten vermitteln. Und wie diese Aspekte während des gesamten Lebenszyk-lus angewendet werden. Beginnend mit einem Verständnis der relevan-ten Qualitätsaspekte, verbindet der Kurs die konstruktiven Quality-En-gineering-Themen wie Architektur, Prozessanforderungen und konstruk-tive Methoden mit den analytischen Quality-Engineering-Aktivitäten, den Testaktivitäten. Er liefert nicht nur Antworten, sondern hilft auch, die richtigen Fragen zu stellen. Jetzt ist der Lehrplan auch auf Englisch ver-fügbar.Wir brauchen ein gemeinsames Ver-ständnis aller Qualitätsaspekte in IoT-Produkten und -Projekten, und Stan-dardisierung hilft, dieses gemeinsame Verständnis zu erreichen. Aus diesem Grund zielt der CPIoT-Kurs darauf ab, einen De-facto-Standard und ein ge-meinsames Glossar für die IoT-Teams zu setzen, denn: „Standards schüt-zen nur, wenn sie die gleiche Sprache sprechen.”

Für wen ist der Kurs geeignet?

Es wendet sich an Personen, die die Qualität von IoT-Lösungen über den gesamten Lebenszyklus hinweg si-cherstellen. Das Kursmodul richtet sich auch an Software-Tester, die sich auf die Mensch-Maschine-Interaktion konzentrieren und die Besonderheiten der Interaktion zwischen Maschine und Maschine im Internet der Dinge erfahren möchten. Darüber hinaus arbeitet das GTB derzeit an der naht-losen Integration des Kurses in das gut etablierte ISTQB® Certified Tester Framework.

Vielen Dank, Herr Dr. Metzger.

Dr. Armin Metzger

Schwerpunkt

CUSTOMER IDENTITY MANAGEMENTIN ZEITEN VON INDUSTRIE 4.0 UND DIGITALISIERUNG IM ZUSAMMENHANG MIT DEM NEUEN DATENSCHUTZGESETZ (DSGVO)

Digitale Services trennen die Spreu vom Weizen. Je besser ein Unterneh-men digitale Dienste für

seine Kunden anbietet, desto erfolg-reicher wird es sein. Zufriedene Kun-den werden mit ziemlicher Sicherheit wiederkommen. Deshalb ist die Iden-tifikation von Kunden und deren spe-zifisches Verhalten beim Nutzen von Services so wichtig. Das dient nicht nur dem Unterneh-men, sondern auch den Nutzern. Wenn Unternehmen die gesammel-ten Informationen auswerten und weiterverarbeiten und die dafür ver-wendeten Webshops, Apps, Kollabo-rationsportale oder anderen Interak-tionskanäle für Kunden verbessern, dann können sie ihnen kundenfreund-liche Log-Ins und weitere noch besse-re und noch individuellere Services anbieten. Durch digitale Tools und spezielle Programme lassen sich Kunden viel besser erreichen als mit traditionellen Methoden. Künftig wird sich die Ver-waltung von Kundenkontakten als Berechtigungsmanagement unter der Bezeichnung des „Customer Identity Managements” (CIM) durchsetzen. Je nach Einsatz ist das CIM ein Teil eines leistungsstarken Customer Re-lation Managementsystems (CRM) oder als eigenständige Lösung in die IT-Landschaft eines Unternehmens implementiert.Auf jeden Fall erleichtert solch ein CIM die internen Prozesse durch de-legierte Berechtigungen zum Beispiel für Bestellungen – dadurch können die Aufgaben bei der Kundenorgani-sation transparenter gestaltet und ef-fektiver verteilt werden. Ein weiterer wichtiger Faktor ist die frühzeitige Er-kennung von Betrugs- und Verdachts-fällen.


1717

DATENSCHUTZVERORDNUNG ALS HERAUSFORDERUNG

Für kleine und mittlere Unternehmen birgt die Digitalisierung ein entschei-dendes Potenzial, um im Wettbewerb erfolgreich zu sein. Es sind damit je-doch eine Reihe von Herausforde-rungen verbunden. Insbesondere die neue EU-Datenschutz-Grundver-ordnung (DSGVO) verunsichert viele Unternehmen. Die neue Datenschutz-regelung verlangt die Umsetzung ver-schiedener technischer und organisa-torischer Maßnahmen zum Schutz der Integrität und Vertraulichkeit perso-nenbezogener Daten. Vor diesem Hin-tergrund müssen viele Unternehmen die gesammelten Datensätze ihrer Kunden überprüfen und gegebenen-falls anpassen oder sogar löschen – das ist nicht unproblematisch.

INDUSTRIE-4.0-STRATEGIE UND DAS NEUE DATENSCHUTZGESETZ

Eine Industrie-4.0-Strategie, welche den digitalen Anforderungen (auch denen des Datenschutzes) gerecht wird, kann auf entsprechende cloud-basierte Software-Lösungen als Cu-stomer Identity Management (CIM) System zugreifen. Anbieter für CIM-Systeme gibt es viele. Das System von cidaas ist ein Beispiel, das neben der digitalen und automatisierten Unter-stützung des Kundenmanagements ein EU-DSGVO-konformes Consent Management System bereitstellt. Dieses und andere Systeme verfügen über sichere Schnittstellen. Darüber lassen sie sich in bestehende IT-Um-gebungen implementieren. Beispiele dafür sind etwa Mitarbeiter-, Kunden-, Lieferanten- oder Partnerportale. „Moderne Software ist intelligent, in-novativ und einfach zu bedienen. Wir

nutzen ein zentrales User Identity Ma-nagement für unsere Shops und Por-tale – unsere Kunden profitieren von der einfachen Bedienung und einem optimalen Service,“ sagt Karl-Heinz Klein, Leitung e-Business bei CAM-LOG, einem mittelständischen Unter-nehmen in der Gesundheitsbranche.

DEM NUTZER DIE KONTROLLE ÜBER SEINE DATEN GEBEN

Die Einhaltung der neuen Daten-schutzvorschrift, die gemäß Art. 5 Abs. 1 d) fordert, dass personenbezo-gene Daten sachlich richtig und erfor-derlichenfalls auf dem neusten Stand sein müssen, wird durch ein CIM-Sys-tem schnell und rechtskonform umge-setzt. Mit dem Benutzer Self-Service können Unternehmen die Kontrolle über die Daten zurück zum Nutzer ge-ben und sicherstellen, dass die Daten aktuell sind.Mit dem Inkrafttreten der EU-DSGVO sind Unternehmen zudem verstärkt zur Informationsauskunft über die erhobenen Daten verpflichtet. Auch hierbei hilft eine entsprechende Soft-ware-Lösung und durch das einfache Benutzer-Management können Kun-denprofile einfach gelöscht und somit dem Recht auf Löschung (Art. 13 EU-DSGVO) nachgekommen werden. SICHERHEIT DURCH MULTI-FAKTOR-AUTHENTIFIZIERUNG

Eine intelligente Multi-Faktor-Authen-tifizierung sorgt außerdem durch User Profiling und biometrische Faktoren für eine hohe Sicherheit. Auch das wird in der EU-DSGVO in Art. 32 ge-fordert.

Yael Widmann, Business Deve-

lopment bei cidaas

Sie hat ihren Bachelor in

Wirtschaftsinformatik an der

Hochschule Karlsruhe abge-

schlossen und wurde zu ihrem

ausgezeichneten Abschluss

mit dem Frauenförderpreis der

Hochschule und Preis der Stadt

Karlsruhe geehrt. Sie beendet

ihren Master in International

Business Development an der

ESB Business School in Reut-

lingen.

„Was du nicht willst, das man dir tu‘, das füg‘ auch keinem anderen zu“. Diesen Spruch kennt man von Kin-desbeinen an und er ist wohl eine die Menschheit umgreifende Grundein-stellung: Behandle andere so, wie du selbst behandelt werden willst. An Aktualität hat diese Geisteshaltung keineswegs eingebüßt – vielleicht ist sogar das Gegenteil der Fall und die Beschäftigung mit dieser Grundhal-tung ist in der heutigen Zeit der so-genannten digitalen Revolution oder der Industrie 4.0 sogar noch eine Spur wichtiger (als vor der allumfassenden IT)? Robert Licen, Softwaretest-Exper-

te bei Nagarro, behauptet: dem ist so! Auf dem German Testing Day 2018 am 8. Juni hält Robert Licen den Vortrag „Was geht uns soziale Verantwortung an?“. Auslöser seiner Überlegungen war eine Test-Expertin, die ihren Herz-schrittmacher gehackt hat: Es gab eine unerwartet hohe Zahl an nicht ausrei-chend dokumentierten Features und auch Fehlverhalten. In seinem Vortrag möchte er die Aufmerksamkeit auf die-ses nicht allzu beleuchtete Thema len-ken: Was, wenn man im Software-Test auf Datenmissbrauch, Security-Leaks oder gar Gefährdung von Menschen-leben stößt? Was ist zu unternehmen,

wenn man in einen Konflikt mit dem Auftraggeber gerät, weil man auf Pro-bleme trifft, die weitestgehend als „un-ethisch“ bezeichnet werden? Erfahren Sie mehr zu diesem spannenden The-ma und besuchen Sie seinen Vortrag!

v.l.n.r.: Hrvoje Petrovic von PORR, Horst Bratfisch von der Österreichischen Post, Susanne Ebm vom Flughafen Wien, Erich Schuster von den Österreichischen Lotterien, Damianos Soumelidis und Renate Weichselbraun von Nagarro, Futurist Dietmar Dahmen sowie Hannes Färberböck von Nagarro.

EVENT-TIPP: SOZIALE VERANTWOR-TUNG IM SOFTWARETESTWAS IST DAS UND WAS GEHT DAS DEN TESTER AN? SEHR VIEL!

Robert Licen ist seit 2001 bei Nagarro

(vormals ANECON) und bringt langjährige

Erfahrung als Test-Spezialist, -Koordinator

und -Manager mit. Er ist Teamleiter, berät zu

Themen rund um das Qualitätsmanagement

und gibt sein Wissen als Trainer weiter.

ADVERTORIAL

Diese und viele weitere Learnings bot das Nagarro Expertenfrühstück: Jetzt QR-Code scannen, Details nachlesen und Video anschauen.

EVENT-RÜCKBLICK: DEAR FUTURE, WE’RE READY!KI ist unheimlich fleißig und Block-chain ändert echt alles!Am 18. April 2018 lud Nagarro (vor-mals ANECON) zum allseits beliebten Expertenfrühstück nach Wien und über 120 Vertreter der IT-Branche

folgten der Einladung. Dietmar Dah-men, Zukunftsexperte und hoch mo-tivierender Visionär, nahm die Gäste mit auf eine Reise durch das Themen-Universum zu Wandel, Innovation und Zukunft in 20 Jahren: „Die Zu-kunft der IT ist Individualisierung, AI hat Effekte auf jeden, KI ist unheim-

lich fleißig und unvoreingenommen. Und Blockchain ändert echt alles!”. In vier Lightning Talks brachten au-ßerdem Vertreter österreichischer Unternehmen ihre Visionen für die Zukunft der IT auf den Punkt: Auto-nome Zustellung von selbstfahren-den Autos und Drohnen oder das Stichwort Crowd Logistics – die Di-gitalisierung ist in der Zustell-Bran-che längst angekommen. Auch die IT-Abteilungen der Aviation Branche beschäftigen sich intensiv mit vielen neuen Themen und Technologien, al-len voran die biometrische ID.

Schulungen 2018Juni 2018 - August 2018Certified-Schulungen werden ausschließlich von akkreditierten Unternehmen durchgeführt. Das iSQI fungiert hier als Vermitt-ler. Anmeldeformular und Preise unter www.isqi.org.

Ort Datum (Start) Tage Anbieter

ASQF® Certified Professional for Project Management

Erlangen 04.06.2018 4 Method Park Holding AG

Frankenthal 18.06.2018 4 EXCO GmbH

Röttenbach 02.07.2018 4 sepp.med gmbh


Köln 13.08.2018 4 SQS

ASQF® Certified Professional for IoT

Braunschweig 11.06.2018 3 BREDEX GmbH




CMAP Mobile App Testing

München 04.06.2018 2 Sogeti Deutschland GmbH

Köln 07.06.2018 2 SQS


Stuttgart 09.07.2018 2 Sogeti Deutschland GmbH


CMAP Mobile App Test Automation


Düsseldorf 13.08.2018 3 CGI Deutschland Ltd. & Co. KG

CMAP Mobile App Perfomance Testing


iSQI® Certified Agile Business Analysis

Ratingen 20.06.2018 2 Sogeti Deutschland GmbH

Frankfurt 19.07.2018 2 CGI Deutschland Ltd. & Co. KG

iSQI® Certified Agile Essentials


iSQI's CAT Certified Agile Tester ®

München 04.06.2018 5 Loyal Team GmbH

Hamburg 11.06.2018 5 Loyal Team GmbH

Berlin 11.06.2018 5 Loyal Team GmbH

Wien 18.06.2018 5 Nagarro

Köln 18.06.2018 5 SQS


ISTQB® Certified Tester – Foundation Level




München 11.06.2018 4 ISARTAL akademie GmbH

München 11.06.2018 4 SQS



Frankfurt 02.07.2018 3 QualityDojo IT-Consulting GmbH

Hamburg 02.07.2018 4 SQS

München 02.07.2018 4 CGI Deutschland Ltd. & Co. KG

München 02.07.2018 3 QualityDojo IT-Consulting GmbH


Stuttgart 03.07.2018 4 Lysant GmbH

Ingolstadt 04.07.2018 3 sepp.med gmbh

Köln 09.07.2018 4 SQS




Frankfurt/Main 30.07.2018 4 SQS

Termine to goeinfach aus der Heftmitte heraustrennen

Mehr als 100 weitere Termine finden Sie unter: www.isqi.org/de/2-training-certification

STA

ND

: Mai

201

8

http://www.isqi.org

Frankfurt a.M. 06.08.2018 4 Sogeti Deutschland GmbH


Berlin 20.08.2018 4 CGI Deutschland Ltd. & Co. KG

Hamburg 20.08.2018 4 Sogeti Deutschland GmbH

Berlin (Englisch) 21.08.2018 3 Software Quality Lab GmbH

Frankfurt 21.08.2018 3 Software Quality Lab GmbH

Hamburg 21.08.2018 3 Software Quality Lab GmbH


Linz 27.08.2018 4 Software Quality Lab GmbH

Stuttgart 27.08.2018 4 CGI Deutschland Ltd. & Co. KG

Wien 27.08.2018 4 Software Quality Lab GmbH

Frankfurt (Englisch) 28.08.2018 3 Software Quality Lab GmbH

Köln (Englisch) 28.08.2018 3 Software Quality Lab GmbH


Hamburg 03.09.2018 4 CGI Deutschland Ltd. & Co. KG

Lustenau 03.09.2018 4 Software Quality Lab GmbH

Zürich 03.09.2018 4 Software Quality Lab GmbH

Frankfurt a.M. 04.09.2018 4 Sogeti Deutschland GmbH

München 04.09.2018 3 Software Quality Lab GmbH

Frankfurt 05.09.2018 3 QualityDojo IT-Consulting GmbH


ISTQB® Certified Tester – Foundation Level Extension, Agile Tester

Stuttgart 17.05.2018 2 Lysant GmbH


Wolfsburg 21.06.2018 2 sepp.med gmbh




Ingolstadt 21.08.2018 2 sepp.med gmbh




ISTQB® Certified Tester – Foundation Level Extension, Model-Based Tester


ISTQB® Certified Tester – Advanced Level, Test Manager


Wolfsburg 11.06.2018 5 sepp.med gmbh


Hamburg 25.06.2018 5 Sogeti Deutschland GmbH


Berlin 09.07.2018 5 SQS

Hamburg 09.07.2018 5 CGI Deutschland Ltd. & Co. KG



Frankfurt 13.08.2018 5 Sogeti Deutschland GmbH

Frankfurt 20.08.2018 5 CGI Deutschland Ltd. & Co. KG

Köln 27.08.2018 5 SQS

Berlin 03.09.2018 5 Software Quality Lab GmbH

Köln 03.09.2018 5 Software Quality Lab GmbH




ISTQB® Certified Tester – Advanced Level, Test Analyst

München 04.06.2018 5 Method Park Consulting GmbH

Köln 02.07.2018 4 SQS

München 03.07.2018 4 CGI Deutschland Ltd. & Co. KG



Berlin 27.08.2018 4 CGI Deutschland Ltd. & Co. KG

Frankfurt am Main 27.08.2018 5 Method Park Holding AG

ISTQB® Certified Tester – Advanced Level, Technical Test Analyst

Hamburg 11.06.2018 3 SQS


München bei Isartal Akademie GmbH 23.07.2018 4 Method Park Holding AG






ISTQB® Certified Tester – Advanced Level, Security Tester

Hannover 11.07.2018 3 CGI Deutschland Ltd. & Co. KG

ISTQB® Certified Tester – Advanced Level, Test Automation Engineer (TAE)



IREB® Certified Professional for Requirements Engineering – Foundation Level


Berlin 11.06.2018 3 microTOOL GmbH

Düsseldorf 12.06.2018 3 SOPHIST GmbH

Wien 13.06.2018 3 Nagarro

München 27.06.2018 3 SOPHIST GmbH

Stuttgart 27.06.2018 3 SOPHIST GmbH



Nürnberg 09.07.2018 3 SOPHIST GmbH



München 24.07.2018 3 Method Park Holding AG

Frankfurt 13.08.2018 3 SOPHIST GmbH





Graz 04.09.2018 3 Software Quality Lab GmbH



Köln 05.09.2018 3 SQS


IREB® Certified Professional for Requirements Engineering – Advanced Level, Requirements Elicitation and Consolidation


IREB® Certified Professional for Requirements Engineering – Advanced Level, Requirements Modeling





Berlin 17.07.2018 3 microTOOL GmbH


München bei Isartal Akademie GmbH 30.07.2018 3 Method Park Holding AG



Hannover 04.09.2018 3 Method Park Holding AG

IREB® Certified Professional for Requirements Engineering – Advanced Level, Requirements Management


München 16.07.2018 3 Method Park Holding AG

IREB – RE@Agile Primer


ICPMSB Certified Professional for Medical Software



UXQB® Certified Professional for Usability and User Experience – Foundation Level

Köln 09.08.2018 2 CGI Deutschland Ltd. & Co. KG


Sonstige

München 09.04.2018 2 ISARTAL akademie GmbH GTB® Certified Automotive Softwaretester


Köln 05.07.2018 2 SQS GTB® Certified Automotive Softwaretester





Wien 03.09.2018 4 Software Quality Lab GmbH ISAQB Certified Professional for Software Architecture – Foundation Level

Linz 03.09.2018 4 Software Quality Lab GmbH ISAQB Certified Professional for Software Architecture – Foundation Level

Graz 03.09.2018 4 Software Quality Lab GmbH ISAQB Certified Professional for Software Architecture – Foundation Level

S O F T WA R E T E S T I N G

P R O D U C T M A N A G E R M E D I C A L W E I T E R E A N G E B O T E

U S A B I L I T Y S P E C I A L I S E D

R E Q U I R E M E N T S E N G I N E E R I N G S E C U R I T Y M O B I L E

P R O J E C T M A N A G E M E N T

A G I L E

Zusätzliche Schulungs- und Seminartermine finden Sie auf www.isqi.org!

Ansprechpartner:Nadia DiesentExamination and Organization+49 331 [email protected]

Irrtümer, Termin- und Preisänderungen vorbehalten. Es gelten die allgemeinen Geschäfts- und Preisbedingungen des jeweiligen Veranstalters.

SIE WOLLEN IHR SEMINAR AUCH IMNÄCHSTEN SQ-MAGAZIN BEWERBEN? Wir freuen uns über eine Nachricht. Bitte sendenSie uns Ihre Termine per E-Mail zu: [email protected]

Friedrich-Engels-Straße 24 14473 PotsdamTel.: +49 331 231810-0Fax: +49 331 231810-10

Alle Themen auch als Inhouse-Angebot buchbar!

Das iSQI fungiert hier als Vermittler.Ausführliche Seminarbeschreibungen, Preise und Anmeldeformular: www.isqi.org

Seminartitel Ort Datum(Start) Tage Anbieter

Automotive SPICE® - iNTACS™ certified Provisional Assessor (deutschsprachig) Kornwestheim 18.09.2017 5 KUGLER MAAG CIE GmbH

Automotive System Design nach ISO 26262 - TÜV Functional Safety Engineer ohne Prüfung (deutschsprachig)

Kornwestheim 26.09.2017 3 KUGLER MAAG CIE GmbH

Teletrust Professional for Secure Software Engineering Unterhaching/München 05.06.2018 3 Philotech Academy

Design Thinking erleben und begreifen Hamburg 11.06.2018 2 oose Innovative Informatik eG

Requirements Based Engineering Unterhaching/München 14.06.2018 1 Philotech Academy

Agiles Requirements-Engineering - Vom Stakeholder zum Backlog Nürnberg 18.06.2018 2 SOPHIST GmbH

Usability und User Experience gestalten (inkl. Zertifizierung CPUX-F) Hamburg 25.06.2018 3 oose Innovative Informatik eG

Requirements-Engineering in der Praxis: Anforderungen mit Prosa und Modellen clever erheben und dokumentieren


Einführung in CMMI for Services + DEV: Schwerpunkt Dienstleistungen inkl. der Erweiterung für Produktentwicklung

München 02.07.2018 3 Anywhere.24 GmbH

Scrum Master Introduction (SMI) München 02.07.2018 2 SQS

Requirementsengineering für die agile Software-Entwicklung Köln 04.07.2018 2 Software Quality Lab GmbH

Enterprise Architecture Management Wien 09.07.2018 1 Software Quality Lab GmbH

Testautomatisierung – Foundation Hamburg 09.07.2018 1 SQS

Strategische Transformationsplanung Wien 10.07.2018 2 Software Quality Lab GmbH

IREB Certified Professional for Requirements Engineering plus Praxis Hamburg 13.08.2018 5 oose Innovative Informatik eG



Agiles Requirements Engineering inkl. Zertifizierung RE@Agile Primer gemäß IREB Hamburg 20.08.2018 4 oose Innovative Informatik eG

Design Thinking erleben und begreifen Hamburg 27.08.2018 2 oose Innovative Informatik eG

Rahmenbedingungen für die Entwicklung von Medizinprodukten München 27.08.2018 1 Software Quality Lab GmbH

Scrum Master Introduction (SMI) Hamburg 27.08.2018 2 SQS

Entwicklung medizinischer Software nach EN 62304 München 28.08.2018 1 Software Quality Lab GmbH

Risikomanagement für medizinische Software München 29.08.2018 1 Software Quality Lab GmbH

Mobile Medical Apps München 30.08.2018 1 Software Quality Lab GmbH

Testdatenmanagement - GTB Test Data Specialist Wiesbaden 04.09.2018 2 G. Muth Partners GmbH


Düsseldorf 04.09.2018 2 SOPHIST GmbH

Model-Based Functional Safety Hamburg 04.09.2018 3 oose Innovative Informatik eG

Prof. Requirementsengineering und Management Frankfurt 04.09.2018 3 Software Quality Lab GmbH

Systems-Engineering - Wieviel Requirements und Architektur benötigen Sie wirklich?


Usability und User Experience gestalten (inkl. Zertifizierung CPUX-F) Hamburg 10.09.2018 3 oose Innovative Informatik eG

Seminare 2018Juni 2018 - August 2018

STA

ND

: Mai

201

8

http://www.isqi.org/de/seminare.html

Ohne Software-Tests kommen heut-zutage weder kommerzielle noch freie Software-Projekte aus. Professionell geschulte Tester prüfen häufig bereits über den gesamten Entwicklungszyk-lus hinweg Design, Funktionalität und Performance des Software-Systems nach erprobten Verfahren wie zum Beispiel denen des ISTQB®. Die so ge-testete Software stellt damit zunächst Auftraggeber und Endbenutzer quali-tativ und funktional zufrieden.

Allerdings wird von vielen auch nach WannaCry, Spectre und Mirai das The-ma Software- und Datensicherheit weiterhin stark vernachlässigt. Wenn an Sicherheitstests gedacht wird, dann meist erst kurz vor dem Software-Re-lease oder wenn es bereits zu spät ist und der öffentlich bekannt gewordene Schadensfall eingetreten ist.

Viele Schwachstellen in Software-Sys-temen werden häufig zuerst von Kri-minellen oder Regierungen gefunden und ausgenutzt. Nach einer Studie der RAND Corporation aus dem Jahr 2017 sind ZeroDay Exploits – also neu ent-deckte Schwachstellen in Open- und Closed-Source Software – im Schnitt schon seit sieben Jahren vorhanden. Das bedeutet: Software, die im Jahr 2018 auf den Markt gebracht wird, könnte schon 2025 für den nächsten großen Datenskandal sorgen.So geschehen Anfang März 2017 bei dem amerikanischen Finanzdienst-leister Equifax. Fehlerhaftes Excepti-onhandling eines Parsers des Apache Struts-Frameworks ermöglichte es An-greifern, serverseitig beliebige Codes auszuführen und damit auf ca. 145 Mil-lionen personenbezogenen Datensätze zuzugreifen. Der finanzielle Gesamt-schaden wird in dreistelliger Millionen-höhe vermutet.

Nach eigenen Angaben wurde Equifax von der Behörde US-CERT vor dem Einbruch auf diese Sicherheitslücke aufmerksam gemacht. Trotz mehrfa-cher Versuche konnte das firmeneige-ne IT-Sicherheitsteam die anfälligen Systeme nicht rechtzeitig identifizie-ren.

Wie gefährlich unaufgeklärtes Perso-nal und schwache Sicherheitsrichtli-nien sein können, zeigen die „Spear Phishing“ Attacken auf Angestellte großer Behörden und Unternehmen im Jahre 2016. Damals wurden von Kriminellen gefälschte Auszahlungs-anweisungen, vermeintlich im Namen von CEOs, an Mitarbeiter versendet.Alleine im Jahr 2016 wurden 50 Fälle von deutschen Unternehmen gemel-det, die Dunkelziffer liegt hier sehr wahrscheinlich deutlich höher. In mehr als der Hälfte dieser gemeldeten Fälle entstanden jeweils Schäden in Höhe von bis zu 40 Millionen Euro.

Aber auch in Europa wird der Schutz von personenbezogenen Daten erst seit Anfang 2018 seitens der Regie-

rungen ernster genommen. Spätes-tens seit Inkrafttreten der neuen euro-paweiten Datenschutzrichtlinie GDPR am 25. Mai 2018 kommen die Verur-sacher solcher Datenskandale nicht mehr mit kleinen Bußgeldern im unte-ren sechsstelligen Bereich davon. Je nach Ausmaß des Datenlecks können dann – alleine in Europa – Strafzah-lungen von bis zu 4% des weltweiten Umsatzes fällig werden. Damit es gar nicht erst zu solch hohen Strafzahlun-gen kommt, sollten neu entwickelte Software-Systeme sowie firmenin-terne Prozesse und Richtlinien auf Si-cherheitsaspekte hin getestet werden.

Genau hier setzt das aktuellste Zer-tifizierungsschema des ISTQB®, der „Certified Tester Advanced Level Se-curity Tester” (CTAL-SEC) an. Tester mit vorhandener „ISTQB® – Foundati-on Level” Zertifizierung und relevan-ter Praxiserfahrung können sich in entsprechenden Schulungen zum Si-cherheitstester spezialisieren lassen. In Deutschland gibt es derzeit noch re-lativ wenige Anbieter für diese Schu-lung, aber die Notwendigkeit ent-

SICHERHEITSLÜCKEN GEZIELT ENTLARVENQUALIFIZIERUNG VON TESTTEAMS AUF ISTQB® CTAL-SEC

ADVERTORIAL

Ein Schwerpunkt des ISTQB® CTAL-SEC beschäftigt sich mit der meistverbreiteten Sicherheitslücke, welche in jedem Unternehmen zu finden ist: dem Menschen.

24

sprechende Spezialisten auszubilden, wurde mittlerweile erkannt. So bietet das Unternehmen Sogeti Deutschland GmbH als ISTQB®-Partner neben den schon bekannten Schulungen „Test Automation Engineer” oder „Agile Tester” in Kürze auch den „Advanced Level Security Tester” an.

Im Lehrplan des „CTAL-SEC“ werden alle notwendigen Aspekte hinsichtlich Sicherheitstests und Optimierung von Sicherheitsprozessen abgedeckt. The-matisch vermittelt dieser zunächst die Grundlagen des Sicherheitstestens, wie die Analyse und Beurteilung von vorhandenen Assets und die Bewer-tung von Risiken und Sicherheits-richtlinien, gefolgt von Planung und Umsetzung des Sicherheitstest-Pro-zesses über den gesamten Entwick-

ADVERTORIAL

Mete Boz, Head of

Cybersecurity,

Sogeti Deutschland

lungszyklus von Softwaresystemen hinweg, bis hin zu den nötigen Ver-fahren und Werkzeugen, die einem Si-cherheitstester bekannt sein sollten. Ein Schwerpunkt beschäftigt sich mit der meistverbreiteten Sicherheitslü-cke, welche in jedem Unternehmen zu finden ist: dem Menschen. Sicher-heitstester, die nach „CTAL-SEC“ zer-tifiziert wurden, sind darauf geschult, nach Schwachstellen in firmeninter-nen Prozessen und Richtlinien zu su-chen, diese zu erkennen und gezielte Maßnahmen zu ergreifen.

Abschließend bleibt festzuhalten: Funktionierende Software ist gut – funktionierende und sichere Software ist jedoch besser. Diese Aussage gilt im gleichen Maße für Richtlinien und Prozesse.

Das ASQF-KarriereportalWir haben den passenden Job für Sie!

Die ausführlichen Stellenangebote finden Sie auf

asqf.de/karriereportal

Quality Assurance / Qualitätssicherung Professional

(m/w)CTS Eventim

Bremen

Ingenieur Qualitätssicherung (m/w) im Use Case Test

System- und Server-Administrator (m/w)

Ingenieur (m/w)

Qualitätssicherung der Werkzeugkette virtuelle Validierung

dSpace GmbHPaderborn

Testspezialist (m/w)ckc group

Region Braunschweig/Wolfsburg

Software Test Manager (m/w)Nagarro GmbH

Dresden

Mitarbeiter Softwarequalitätssicherung (m/w)

eggheads GmbHMünster oder Bochum

252525 Buchvorstellung

www.dpunkt.de

Agi

le B

usin

ess

Inte

llige

nce

Trah

asch

• Z

imm

er

Agile Business Intelligence

Agile Methoden und Vorgehensweisen werden heute auch in BI-Projekten erfolgreich und ge-winnbringend eingesetzt. Dabei steht eine ganze Reihe unterschiedlicher Ansätze zur Steigerung der BI-Agilität zur Verfügung. Entscheidend für den Erfolg ist die ganzheitliche Betrachtung von BI-Architekturen, -Organisationsformen, -Techno-logien und an BI angepasste agile Vorgehens-modelle.

Die Autoren erörtern in diesem Buch Agile Business Intelligence, indem sie zunächst BI-Agilität mithilfe eines Ordnungsrahmens definieren und strukturieren. Auf diesen Grund-lagen aufbauend zeigen sie anhand von konkreten Fallstudien, wie Agilität in BI-Projekten umge-setzt werden kann. Hierbei handelt es sich bei-spielsweise um die Durchführung agiler Projekte zum Aufbau eines Data Warehouse oder um die Umsetzung von Sandboxes auf Basis von In-Memory-Technologien.

Behandelt werden im Einzelnen:

• Der Einsatz von Scrum in der Business Intelligence

• Anforderungsmanagement durch User Stories• Modellierung agiler BI-Systeme• Data Vault für agile Data-Warehouse-

Architekturen• Agile BI-Architekturen• Automatisiertes Testen• BI-Agilität: Relevanz, Anforderungen und

Maßnahmen• Agil und dezentral zum Enterprise Data Warehouse

Das Buch richtet sich an Praktiker aus dem BI-Projektmanagement und der BI-Entwick-lung sowie an BI-Entscheider, BI-Berater und Mitarbeiter aus den Fachabteilungen, die für BI-Lösungen verantwortlich sind.

Thema• Business Intelligence• Data Warehouse• Informationssysteme • Wirtschaftsinformatik

Leser• Business-Intelligence-Manager• Daten- und Informations-

verantwortliche• Projektleiter• Studierende der Informatik

und Wirtschaftsinformatik

9 783864 903120

ISBN 978-3-86490-312-0

In der Edition TDWI erscheinen Titel,die vom dpunkt.verlag gemeinsam mitdem TDWI Germany e.V. ausgewähltund konzipiert werden. Inhaltliche Schwer-punkte dieser Reihe sind BusinessIntelligence und Data Warehousing.

Herbert Stauffer

und Business-

Erhebung, Design und Implementierung von Sicherheitsanforderungen

Stephan Trahasch • Michael Zimmer (Hrsg.)

Security für Data-Warehouse-

Intelligence-Systeme

Security & Testing

H. Stauffer

Security für Data-Warehouse- und Business-Intelligence-SystemeErhebung, Design und Implementierung von Sicherheitsanforderungen

2018, ca. 250 SeitenFesteinbandca. € 59,90 (D) ISBN 978-3-86490-419-6

K. Franz · T. Tremmel · E. Kruse

Basiswissen Testdaten-managementAus- und Weiterbildung zum Test Data SpecialistCertified Tester Foundation Level nach GTB

2018, 208 Seiten€ 32,90 (D) ISBN 978-3-86490-558-2

J. Albrecht-Zölch

Testdaten und TestdatenmanagementVorgehen, Methoden und Praxis

2018, 454 Seiten€ 42,90 (D) ISBN 978-3-86490-486-8

J. Bergsmann

Requirements Engineering für die agile Software-entwicklungMethoden, Techniken und Strategien

2. Auflage2018, 386 Seiten€ 36,90 (D)ISBN 978-3-86490-485-1

Kostenfreie Broschüre zum Buch »Lean Testing für C++-Programmierer«

Jetzt herunterladen:

www.dpunkt.de/s/ltLean Testing fürC++-Programmierer

Spillner

Breymann

Lean

Testin

g fü

r C++

-Pro

gram

mie

rer

Angemessen statt aufwendig testen

Lean Testing fürC++-Programmierer

Andreas Spillner . Ulrich Breymann

Konform zu ISO 29119

9 783864 903083

www.dpunkt.deInteresse am E-Book? www.dpunkt.de/plus

Thema• Programmierung • Softwaretest• Qualitätssicherung• Softwareentwicklung

Leser• Programmierer• Softwareentwickler • Softwaretester • Dozenten und Studenten

Website• http://leantesting.de

€ 29,90 (D) € 30,80 (A)

ISBN 978-3-86490-308-3

Andreas Spillner . Ulrich BreymannLean Testing für C++-Programmierer

Sie programmieren – auch in C++. Sie führen regelmäßig Unit Tests durch. Sie sind sich manchmal unsicher, ob Sie ausreichend oder zu viel getestet haben. Werfen Sie einen Blick in dieses Buch, Sie werden viele Anregungen für Ihre tägliche Arbeit finden! »Lean Testing« steht für einen Ansatz, der auf der einen Seite alle wichtigen Testfälle zur Prüfung der Software berücksichtigt, auf der anderen Seite aber den Testaufwand in einem überschaubaren Rahmen hält. Der angemes-sene Mittelweg zwischen zu wenig und zu viel Testen wird bei jedem Vorgehen zum Entwerfen der Testfälle diskutiert und erörtert.

Die in diesem Buch präsentierten Vorgehens-weisen zum Testfallentwurf werden konkret mit den entsprechenden C++-Programmtexten und den jeweiligen Testfällen dargelegt. Sind hierzu unterstützende Werkzeuge erforderlich, beschreiben die Autoren deren Anwendung. Dabei geben sie nützliche Hinweise für die Verwendung der Testverfahren und bieten einen Leitfaden für ihren Einsatz. Alle Testverfahren des aktuellen ISO-Standards 29119, die für den Unit Test relevant sind, werden vorgestellt und ausführlich behandelt. Ulrich Breymann ist ein bekannter Fachautor für die Programmiersprache C++ – Andreas Spillner für den Testbereich. Beide Autoren bringen ihre Fachkompetenz ein und schlagen eine Brücke zwischen Programmierung und Test. Das Buch unterstützt die aktuelle Entwicklung, bei der Softwareerstellung keine strikte (personen-bezogene) Trennung zwischen Implementie-rung und Test auf Unit-Ebene vorzusehen (z.B. TDD & Test-first-Ansatz).

Buch + E-Book: www.dpunkt.plus

COLLABORATIVE UX DESIGN Alle möglichen Software-Produkte werden immer öfter von crossfunkti-onalen Teams gezimmert. Die einzel-nen Mitglieder eines solchen Teams arbeiten häufig nur zeitlich begrenzt miteinander. Sie bringen jeweils ihre Expertise aus verschiedenen Be-reichen ein. In diesem Buch geht es sehr viel um Workshops, in denen diese Bereiche zu-sammenkommen. Da werden Projekt-konstellationen geklärt, Fortschritte, Barrieren und Risiken der Projektpha-sen identifiziert, kleinere und größere Ergebnisse erarbeitet und nächste Pro-jektschritte geplant.Für diese Zusammenarbeit bietet das Buch einen Köcher voll nützlicher Me-thoden, wie aus einem Guss und doch jede auf den ihr zugedachten Zweck zugeschnitten. Eingebettet in ein leicht verständliches Alltagsbeispiel kann man so ein fiktionales Team beim Bau ihrer Software begleiten; dabei liegt der Schwerpunkt auf dem UX-Teil. Im Beispiel geht es um das Produkt „4Service“, mit dem die Nutzerinnen und Nutzer später ihre Kunden und Projekte verwalten, Leistungen er-fassen, Finanzen verwalten und mit einem HR-Modul auch noch Perso-nalanwendungsfälle abbilden können. Im Buch durchläuft das Team einen Problemlösungsprozess, der sich in folgenden UX-Workshoptypen dar-stellt: Scoping, Synthese, Ideation, Konzept, Prototyping, Validierung und MVP-Planung.Die Autoren vermitteln gut ein fun-diertes Grundwissen zur Kollabora-tion im UX-Design. Sie beschreiben die Auswahl und den Einsatz von dis-ziplinübergreifenden UX-Methoden

und illustrieren deren Verzahnung im beschriebenen Vorgehensmodell. Der Ansatz basiert auf menschzentrierten agilen Entwicklungsmodellen, Design Thinking und Lean UX.Einziger winziger Punktabzug: Als Nachschlagewerk funktioniert der als Geschichte aufbereitete Inhalt we-niger gut. Man muss schon ein paar konzentrierte Momente investieren, wenn man gezielt etwas nachsehen möchte.

Auf der Website zum Buch findet man dafür ein Glossar, das als Mininach-schlagewerk dienen kann: www.collaborative-uxdesign.com/glossar

Fazit: Gut zum Einstieg, leicht ver-ständlich, praktikabel.

TEAMARBEIT: UX DESIGNEN UND NÜTZLICHE SW-PRODUKTE FERTIG STELLEN

Toni Steimle & Dieter Wallach: „COLLABORATIVE UX DESIGN. LEAN UX UND DESIGN THINKING: TEAMBASIERTE ENTWICK-LUNG MENSCHZENTRIERTER PRODUKTE“ dpunkt.verlag 201829,90 EURISBN 978-3-86490-532-2

Maria Oelinger ist

IT-Systemanalyti-

kerin bei Kinder-

nothilfe e. V. und

dort aktiv im Pro-

jekt- und Anforde-

rungsmanagement.

[email protected]

Im Fokus Ausgabe 47 | Juni 2018 26

Transformation heißt Übersetzung. Digitale Transformation heißt Arbei-ten, die bisher mit echten Werkzeu-gen, mit Stiften, Druckern, Scheren, Briefkuverts, Aktenordnern und mit unseren Händen und Hirnen erledigt worden sind, digital zu erledigen. Mit Computern und Handys, auf Bildschir-men und in Programmen, online und in Clouds. Dass sich hier Berufsbilder ändern, liegt auf der Hand. Digitali-sierung hat sehr viel im operativen Bereich verändert. Nun rücken die Aufgaben für Strategen und Mana-ger in den Fokus. Sie beschäftigen sich mit neuen Fragen. Was macht die digitale Wirtschaft mit unseren Ge-schäften? Was haben wir davon, wenn wir schneller und effektiver arbeiten können? Wie lassen sich die heute digitalen Prozesse für neue Prozesse, neue Geschäfte nutzen?

MIT POWER IN DIE DIGITALISIERUNG

Das überblickt niemand, der sich mit Systemintegration beschäftigt. Das kann keiner, der im traditionellen Mar-keting groß geworden ist, einfach so. Und der Manager, der heute die Perso-nalabteilung leitet, der weiß nicht von selbst, wo die digitalen Chancen für seinen Bereich wirklich liegen. Wie er beispielsweise eine Personalakte an-legt und nutzt, wie er die persönlichen Profile von Facebook nutzt ohne Re-

geln des Datenschutzes zu verletzen. Wir müssen noch viele Dinge heraus-finden, viele Dinge abwarten und uns auf viele Dinge vorbereiten. Digitale Transformation hat keinen festen Zeitplan und wird nicht nach einer be-stimmten Phase abgeschlossen sein. Überall entstehen ständig neue Inno-vationen, die digitale Welt vernetzt sich immer stärker. Die Wirtschaft steht vor der Herausforderung, die Im-plikationen für das eigene Geschäfts-modell regelmäßig zu überprüfen.

VOLL DIGITAL INS GESCHÄFT

Das lässt sich nicht mehr nebenbei er-ledigen. Dafür braucht es Power. Ein Unternehmen, das digital gut oder sogar sehr gut aufgestellt sein will, braucht jemanden, der verantwortlich ist. Einen digitalen Manager – eine ganz neue Rolle. Und die findet man in Jobbeschreibungen schon. Doch sind die meisten Ausschreibungen noch ziemlich schwammig. Der digitale Chef soll so ziemlich alles sein – plus technikaffin, flexibel und er soll vor Neuerungen nicht zurückschrecken. Geht das? Die FOKUS-Akademie des Fraunhofer-Instituts und das Internati-onal Software Quality Institute (iSQI) meinen ja. Es geht und es geht ganz konkret. Die beiden IT-Spezialisten entwickelten eine Schulung zum „Cer-tified Chief Digital Officer” (CCDO).

NEUE WELT, NEUE JOBSDER „CHIEF DIGITAL OFFICER” KOMMT

EIN UNTERNEHMEN, DAS DIGITAL GUT ODER SOGAR SEHR GUT AUFGESTELLT SEIN WILL, BRAUCHT JEMANDEN, DER VERANTWORTLICH IST. EINEN DIGITALEN MANAGER – EINE GANZ NEUE ROLLE.

2727

Für die Teilnehmer verspricht dieses Berufsbild nicht weniger als die digi-tale Transformation für das eigene Un-ternehmen richtig nutzen zu können. Strategien zu entwickeln, Mitarbeiter für die digitale Welt zu begeistern und natürlich (nicht nur) mit digitalen Mit-teln gute Geschäfte zu machen.

NEUER JOB MIT ZERTIFIKAT: DER „CHIEF DIGITAL OFFICER”?

Zunächst bekommt der angehende CCDO also einen Überblick über den Megatrend „Digitalisierung“. Was heißt das eigentlich für Unterneh-mensbereiche? Wo sind Ansätze, was darf es kosten, was sind Charakteri-stika der digitalen Transformation und was haben wir davon? Welche Technologien sind neu, was ist schon Standard und wo liegen potenzielle Revolutionen? Ein wenig in die Zu-kunft zu schauen lernt der CCDO ge-nauso wie den Status Quo kritisch zu sehen und damit zu arbeiten. Nur so kann er die Geschäftsprozesse der

wicklung der CCDO-Schulung wurde das Team von getready.digital, einer Tochter der iSQI GmbH und Impuls-geber für Unternehmen im Bereich der digitalen Transformation, ergänzt. Während die iSQI GmbH die Zertifizie-rung übernimmt und das Fraunhofer FOKUS den wissenschaftlichen Part innehat, brachte getready.digital die Unternehmensperspektive ein. Ent-standen ist eine praxisnahe Schulung, deren Inhalte nicht nur an zwei Tagen vor Ort, sondern auch online vermit-telt werden.

eigenen Organisation auf die digi-tale Transformation ausrichten und notwendige organisatorische und technische Anforderungen und Rah-menbedingungen formulieren, ge-zielt begleiten, evaluieren und gege-benenfalls anpassen.

ZERTIFIZIERUNG ZUM CCDO

Die Schulung zum „Certified Chief Di-gital Officer” (CCDO) der FOKUS-Aka-demie des Fraunhofer-Instituts schafft Klarheit für eine Rolle der Zukunft. Sie vermittelt Grundlagen und versetzt in die Lage, das eigene Geschäft digital zu machen und digital zu halten. Das Zertifikat setzt einen Standard in der Branche. Es weist den Zertifizierten als digitalen Fachmann aus, der Ver-knüpfung von digitaler und analoger Welt versteht und zu nutzen weiß.Das iSQI und das Fraunhofer FOKUS verbindet eine lange Tradition. Immer wieder werden neue Trendthemen in Weiterbildungsformate umge-wandelt. Bei der gemeinsamen Ent-

WEITERE INFORMATIONEN ZUM„CERTIFIED CHIEF DIGITAL OFFICER” FINDEN SIE AUF WWW.BLOG.ISQI.ORG

iSQI NEWS Ausgabe 47 | Juni 2018 28

Vom 17. bis 18. April fand in Frankfurt am Main die erste Software Product Summit statt. Veranstalter der Kon-ferenz war die International Software Product Management Association e.V. (ISPMA). Das Expertennetzwerk aus Wirtschaft und Wissenschaft setzt sich für hohe Standards im Software-Produktmanagement ein und bietet in dem Zuge auch weltweit Trainings an. iSQI arbeitet als globaler Zertifizie-rungspartner bereits seit Jahren eng mit der ISPMA zusammen und durfte

ERSTE SOFTWARE PRODUCT SUMMIT IN FRANKFURT/MAIN

daher auf der ersten internationalen Konferenz im Bereich Software-Pro-duktmanagement nicht fehlen.

Führende Köpfe der Branche nutzten die Gelegenheit sich zu vernetzen und weiterzubilden. Im Fokus der Veran-staltung stand der intensive Erfah-rungsaustausch der Teilnehmer. Bei in-teraktiven Formaten und Gesprächen gab es viel Raum für Fragen und Dis-kussionen. Die nächste Software Pro-duct Summit ist bereits in Planung.

Nach 2016 war das International Soft-ware Quality Institut (iSQI) in diesem Jahr wieder Silber-Sponsor der IT-Messe informática in Havanna. Die Messe markierte damals den Anfang des Engagements von iSQI in Kuba. In den vergangenen zwei Jahren un-terstützte iSQI im Rahmen des von der Deutschen Investitions- und Ent-wicklungsgesellschaft (DEG) geför-derten developpp.-Projekts die Aus- und Weiterbildung der kubanischen IT-Fachkräfte. Ziel war die Einfüh-rung international anerkannter Qua-lifizierungsstandards. Damit sollten einerseits kubanische IT-Fachkräfte Zugang zum internationalen Markt er-halten und andererseits internationa-le Firmen auch auf kubanische, hoch-qualifizierte Fachleute zurückgreifen können. Im Laufe der zwei Jahre enga-gierte sich iSQI vor Ort, führte diverse Gespräche mit IT-Fachleuten, spende-te Fachliteratur an die Bibliothek der Universidad Tecnológica de la Habana (CUJAE) und organisierte zuletzt eine Präsidiumsreise mit dem Arbeitskreis

NACH ZWEI ERFOLGREICHEN JAHREN: iSQI ERNEUT SILBER-SPONSOR DER INFORMÁTICA 2018 IN KUBA

Software-Qualität und -Fortbildung e.V. (ASQF) nach Havanna.Mit dem Unternehmen DESOFT konn-te iSQI einen Partner gewinnen, der zukünftig in Kuba Schulungen für das ISTQB® und IREB® Foundation Level durchführt. Die Zertifizierung über-nimmt iSQI. Außerdem werden der-zeit Verträge mit zwei Universitäten in Havanna als weiteren potenziellen Schulungsanbietern abgeschlossen.Auf der informática-Messe im März

2018 präsentierte sich iSQI mit einem Stand direkt neben dem neuen Part-ner DESOFT. Maimir Mesa Ramos, Ku-bas Minister für Informatik und Kom-munikation, bedankte sich am Stand persönlich bei iSQI für die Initiative in Kuba. Aufgrund der positiven Resonanz und des großen Potenzials des Projekts wird es um ein weiteres Jahr verlän-gert.

2929292929 iSQI NEWS Aus dem iSQI-Konferenzplaner 2018

Der internationale „Girls in ICT Day“ wird seit drei Jahren von der Inter-national Telecommunication Union (ITU), einer Sonderorganisation der Vereinten Nationen, ausgerufen. Er soll Mädchen und junge Frauen ermu-tigen, stärker am IT-Sektor zu partizi-pieren. Als weltweit marktführender Zertifizierer von IT-Fachkräften unter-stützt iSQI das und nahm den dies-

IMMER MEHR FRAUEN LASSEN SICH BEI iSQI ZERTIFIZIEREN

©shutterstock

2500Girls

certified

more than

by

in 2018

iSQI

jährigen Aktionstag am 26. April zum Anlass, einen Blick auf die Anzahl der Prüfungssteilnehmerinnen zu werfen. Ergebnis: Über 2.500 Frauen haben von Anfang des Jahres bis April 2018 bei iSQI erfolgreich eine Prüfung ab-gelegt und somit ein Zertifikat erwor-ben. Zwar ist das noch weniger als ein Viertel aller Absolventen, aber eine steigende Tendenz ist erkennbar!

04.-06.06. 2018expo:QAMadrid, Spanien

07.-08.06.2018Think StageKiev, Ukraine

07.-08.06.2018German Testing DayFrankfurt a.M., Deutschland

16.06.2018Testing en ChileSantiago, Chile

11.-13.06.2018Italian Software Testing ForumMailand, Italien

20.06.2018The European Product Owner & Requirements Engineering DayZürich, Schweiz

27.-29.06.2018DevOps DaysAmsterdam, Niederlande

Der neue Webshop auf www.isqi.org wächst und gedeiht. Prüfungen zu Zer-tifikaten wie dem ISTQB® Foundation Level, Advanced Level und Expert Le-vel; IREB®, iSAQB®, UXQB® und viele mehr sind im Shop zu finden. iSQI baut die Usability aus, um noch lesefreund-licher zu werden und noch besseren Service für Software-Architekten und Tester, Requirements Engineers und Manager und alle, die in der IT-Branche unterwegs sind, zu bieten.Ziel ist es, noch internationaler zu wer-den und mehr Sprachen anzubieten. Momentan stehen die meisten Prü-fungen in Englisch und Deutsch zur Verfügung. Langfristig sollen die Prü-fungsfragen in weitere Sprachen über-setzt werden.

iSQI WIRD IMMER INTERNATIONALER

iSQI will damit die Trainingsanbieter dabei unterstützen, Trainings für ihre Regionen anzubieten und ihre Trai-ningspläne auf dem Marktplatz auf www.isqi.org zu veröffentlichen. Zur Zeit intensiviert iSQI die Geschäftsakti-vitäten auf unterschiedlichen Märkten.Für die Ukraine war es nur eine Frage der Zeit, wer zuerst eine Ausbildung in russischer Sprache anbieten wür-de. Das Rennen hat nun Code Space gemacht, eine ukrainische IT-Bildungs-plattform mit Hauptsitz in Kiew. Sie bietet seit dem 18. Mai 2018 den Kurs „ISTQB® Advanced Level Test Mana-ger” als virtuelles Präsenztraining an.

Der Marktplatz auf www.isqi.org

Schwerpunkt

Das Thema Sicherheit ist mittlerwei-le von regulatorischen Dokumenten umzingelt. Etwa die „Verordnung 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten” der EU oder die Veröffent-lichungen des National Institute of Standards and Technology (NIST). Zum Beispiel die Special Publication 80053 „Security and Privacy Controls for Federal Information Systems and Organizations”. Um diese und noch viele andere Verordnungen einhalten zu können, sind Sicherheitstests un-umgänglich.Andererseits hat der Testing Guide 4 des Open Web Application Security Projects (OWASP) schon 2013 fest-gestellt, dass zwar die Zeit zwischen der Entdeckung einer Gefährdung und ihrem Patch gleich bleibt, die Zeit bis zur aktiven Ausnutzung jedoch im-mer kürzer wird1. Umso notwendiger wird die Durchführung angemessener Schritte zur Risikoanalyse und der re-gelmäßige Test des Produkts auf Si-cherheitslücken.


TESTS ZUR PRODUKT-SICHERHEIT

SICHERHEITSTEST IST NICHT TESTEN VON SICHERHEITSFUNKTIONENO

DE

R

SECURE DEVELOPMENT LIFECYCLE

Wenn wir von Sicherheit reden, dann müssen wir zwei Themen unterschei-den: Sicherheitstest einer Firma und ihrer Infrastruktur oder Sicherheits-test eines Produkts. Der klassische Software Development Lifecycle erfuhr mittlerweile eine Er-weiterung und wurde zum Secure De-velopment Lifecycle (SDLC)2.Er enthält eine ganze Reihe von Ar-beitsschritten, die Sicherheit gewähr-leisten sollen. Einige unerlässliche, aber bei weitem nicht alle, sollen hier kurz angerissen werden3:

Bei der Projekt-Klassifizierung geht es unter anderem um die Analyse der folgenden Punkte:

Gibt es Anfragen von Kunden bzw. Behör-den zur Sicherheit des Produkts?

Gibt es regulatorische Anforderungen? Will ein Kunde eigene Sicherheitstests

durchführen? Welche Aufmerksamkeit erreichen er-

folgreiche Angriffe auf das Produkt und wie groß ist der Imageverlust für den Produzenten oder hat er rechtliche Kon-sequenzen?

1 https://www.owasp.org/images/1/19/OTGv4.pdf page 12f2 https://www.microsoft.com/en-us/download/details.aspx?id=29884 http://www.microsoft.com/en-us/SDL3 Welche Arbeitsschritte des SDLC essenziell sind, welche Werkzeuge Unterstützung bieten, wie sie dokumentiert werden können, wie der Test sie wiederum beeinflusst, welche Maßnahmen sich daraus ableiten, kann hier nicht tiefer betrachtet werden.

31

Im Schritt Bestimmung der Assets/Firmenwerte geht es darum, welche Werte gefährdet sein könnten und was die wertvollen Eigenschaften des Produkts sind.

Die Risikoanalyse beschäftigt sich mit Fragen wie:

Wer ist daran beteiligt? Wann wird sie zum ersten Mal durchge-

führt und wie oft wird sie wiederholt? Welche Methode wird verwendet? Welche Risiken enthält das Produkt, wie

wahrscheinlich ist es, dass sie auftreten und welche Folgen hat ihr Eintreten?

Welche der erkannten Risiken können zu welchem Zeitpunkt und mit welchem Auf-wand beseitigt werden?4

Es gilt Programmierrichtlinien zu er-arbeiten. Dabei werden mindestens Schulungen für die Entwickler ange-setzt, über die Programmiersprache entschieden, Design-Richtlinien, Zeit-punkt und Methode der Code Analyse festgelegt.Sehr viele Produkte enthalten zudem Fremdsoftware. Deren aktive Entwick-lung ist zu hinterfragen. Die Veröffent-lichung von Verwundbarkeiten und Patches durch den Anbieter der Fremd- Software sind Basis, um über deren Si-cherheit entscheiden zu können.Bei der Festlegung von Sicherheits-anforderungen werden Meilensteine in der Entwicklung definiert, zu denen Sicherheitsanforderungen zu verwirk-lichen sind. Außerdem werden Konse-quenzen und Maßnahmen festgehal-ten, wie die Entwicklung weitergehen kann, wenn die Sicherheitsanforde-rungen nicht eingehalten werden kön-nen.Außerdem muss eine Konfiguration und System-Härtung erfolgen. Es muss unter anderem geprüft werden, ob kritische Daten auf dem System und beim Versenden verschlüsselt werden. Ob es Standard-Passwörter zum Einrichten des Produkts beim

Kunden gibt und wie diese nach der Konfiguration geändert werden. Aber nicht nur das eigene Produkt, sondern auch das Betriebssystem ist auf seine Härtung zu prüfen. Offene Schnittstel-len wie FTP sprechen nicht für ein ge-härtetes System.Im Hotfix/Patch Prozess wird geprüft, wie oft das Produkt Sicherheitspatches erhält und wie diese installiert werden.Schließlich erfolgt die Bewertung des Restrisikos. Was bedeutet es für das Produkt, wenn nicht alle Risiken be-seitigt werden können?5 Und wer be-wertet das Restrisiko und wann?

Die Antworten auf solche Fragen be-stimmen und strukturieren den Test, der die Entwicklung des Produkts be-gleitet.Auf der Ebene der Software-Entwick-lung läuft der Test unter dem Stich-wort „statische Code Analyse“, die eigentlich keine statische mehr ist, sondern begleitend zur Software-Ent-wicklung den nichtkompilierten Code nach Fehlern untersucht. Dieser Test ist bei größeren Produkten nur als au-tomatischer Test mit Werkzeugunter-stützung möglich.

STIG UND CVE

Alle anderen Punkte der Sicher-heitsanforderungen müssen expli-zit getestet werden. Dafür gibt es zwei Hilfsmittel, die die Planung und Durchführung des Tests erleichtern: die STIGs und die CVE.Das Department of Defence der USA hat 2002 die Entwicklung von Security Technology Implementation Guides (STIGs) angestoßen. STIGs sind Li-sten mit Sicherheitsanforderungen für mittlerweile zirka 450 Produkte. Abgedeckt werden aktuelle Betriebs-systeme, viel genutzte Software-Pro-dukte, mobile Geräte, Netzwerk-Pro-dukte6. Zwei Beispiele: der Windows 10 STIG enthält 280, der Red Hat Li-nux STIG 259 Anforderungen. Die

4 Meltdown (CVE-2017-5754) und Spectre (CVE-2017-5753) sind zwei Risiken, die im eigenen Produkt mit eigenen Mitteln nicht beseitigt werden können.5 Das ist eigentlich immer so; alle Schwachstellen und Verwundbarkeiten sind niemals bekannt.6 https://iase.disa.mil/stigs/Pages/index.aspx


Werkzeugunterstützung. Der Penetrati-onstest, der Test mit Werkzeugen und Methoden eines Hackers, ist das Herz-stück des Sicherheitstests. Im Gegen-satz zum Angriff auf das Produkt von außen (der Hacker weiß nicht genau, was er vor sich hat), wird der Penetra-tionstest gerne als „grey box test“ ge-fahren. Der Tester kennt zwar nicht den SourceCode, aber die Systemarchitek-tur des Produkts. Ein solcher Test ist ein „negativer“ Test, er will nachwei-sen, dass das Produkt böswilligen An-griffen standhält.8

KONTROLLIERTE SICHERHEIT

Vollständige Sicherheit des Produkts kann ein Test niemals erreichen. Das Ziel des Tests ist es „kontrollierte Si-cherheit” zu gewährleisten. Kontrol-lierte Sicherheit ist der Zustand, wenn das Produkt nur noch ein akzeptables Risiko aufweist.9 Wann das erreicht ist, darauf muss wiederum der Software Development Life Cycle, insbesonde-re die Risiko Analyse und die Bestim-mung der Assets, Antwort geben.Der Test zur Produkt-Sicherheit ist kei-ne einmalige Angelegenheit. Jede Än-derung im Produkt, etwa neue Funkti-onen oder das Aufspielen von Patches, erfordert ein erneutes Abarbeiten des Prozesses von der Risiko analyse zur Testplanung, Durchführung und Be-wertung.

Eine abschließende Bemerkung: „Functionality testing does not test a product’s security. Even if a vulnerabi-lity is difficult to discover, someone will discover it given enough time. Various types of people test software security: security testers who work for software development companies, malicious users who hunt for security vulnerabi-lities so that they can commit crimes or spy, security consultants who are hired to break into a target, and hobbyists who do it for fun and profit.“10

Schwerpunkt

Dr. Ulrich Bieberich ist seit 16

Jahren bei der sepp.med gmbh

zuständig für Testvorberei-

tung, Testplanung und explo-

ratives Testen. Darüber hinaus

befasst er sich seit drei Jahren

mit der Planung und Durchfüh-

rung von Sicherheitstests.

für das Produkt passenden STIGs müssen zum Teil von Hand getestet werden, der andere Teil kann mit ver-schiedenen Werkzeugen automatisch ausgeführt werden. Die Sicherheits-anforderungen der STIGs sind nicht statisch: Viermal im Jahr werden sie aktualisiert.Das zweite Standbein des Sicherheits-tests ist die Datenbank der „Common Vulnerabilities and Exposures“ (CVE). Hier werden alle bekannten und ge-schlossenen Verwundbarkeiten ver-zeichnet. Sie wird beim NIST als „Na-tional Vulnerability Database“ (NVD) gespiegelt.7 Diese Datenbank muss regelmäßig nach den Patchdays der großen Produkthersteller abgearbei-tet werden. Auch dafür gibt es Werk-zeugunterstützung.

PASSIVE UND AKTIVE SICHERHEIT

Alle bisher aufgezählten Schritte der Planung und eingeleitete Maßnah-men können nur passive Sicherheit gewährleisten. Denn bisher wurden Sicherheitsaspekte betrachtet, die all-gemeiner Natur sind oder sicherheits-relevante Fehler, die andere schon gefunden haben. Das Reagieren auf Patchdays von Software-Herstellern ist ein eindeutiges Zeichen für diesen Zustand des Tests. Unentdeckte Fehler im eigenen Produkt werden dadurch nicht berücksichtigt.Aktive Sicherheit kann nur durch pro-duktspezifische Tests erreicht werden. Aktive Sicherheit heißt, proaktiv und explorativ mögliche Schwachstellen und Angriffsszenarien zu finden und wenn möglich zu schließen. Erst Fuz-zing und Penetrationstests können ak-tive Sicherheit gewährleisten. Fuzzing ist eine Methode, bei der die Schnitt-stellen eines Produkts mit gezielten, unerwarteten Daten auf Robustheit getestet werden. Für gängige Protokol-le, wie Imap, Pop3, http, https, dicom, smb, TLS, wifi und viele mehr gibt es

7 https://nvd.nist.gov/ https://cve.mitre.org/index.html

8 T.Gallagher, Hunting Security Bugs, Microsoft Press 2006 schreibt pointiert „the tester verifies that bad things don’t happen“9 FDA, Postmarket Management of Cybersecurity in Medical Devices, 910 T.Gallagher, Hunting Security Bugs, Microsoft Press 2006, 9

Besuchen Sie uns unterwww.sogeti.de/2018

ISTQB® CTFL ■ ISTQB® CTFL Agile Tester

ISTQB® CTAL Testmanager ■ ISTQB® CTAL Test Automation Engineer

iSQI’s CAT ■ iSQI’s® CABA ■ iSQI’s® CAE

CMAP Mobile App Testing – Foundation Level ■ Performance Testing ■ Test Automation

TMap NEXT® Test Engineer ■ Test Manager ■ Praxisworkshop

TPI NEXT® Foundation ■ TPI NEXT® für Testmanager

Individuelle Schulungen:u.a. Security ■ Testautomatisierung ■ Agilität

Demnächst ebenfalls akkreditiert:ISTQB® CTAL Security Tester ■ GTB CTFL Test Data Specialist

SECURITY SCHULUNG?ABER SICHER. MIT SOGETI.

Foto

: © ra

ven,

foto

lia.c

om

Anzeige-SQ-Security2018.indd 1 03.05.18 18:21

Besuchen Sie uns unterwww.sogeti.de/2018

ISTQB® CTFL ■ ISTQB® CTFL Agile Tester

ISTQB® CTAL Testmanager ■ ISTQB® CTAL Test Automation Engineer

iSQI’s CAT ■ iSQI’s® CABA ■ iSQI’s® CAE

CMAP Mobile App Testing – Foundation Level ■ Performance Testing ■ Test Automation

TMap NEXT® Test Engineer ■ Test Manager ■ Praxisworkshop

TPI NEXT® Foundation ■ TPI NEXT® für Testmanager

Individuelle Schulungen:u.a. Security ■ Testautomatisierung ■ Agilität

Demnächst ebenfalls akkreditiert:ISTQB® CTAL Security Tester ■ GTB CTFL Test Data Specialist

SECURITY SCHULUNG?ABER SICHER. MIT SOGETI.

Foto

: © ra

ven,

foto

lia.c

om

Anzeige-SQ-Security2018.indd 1 03.05.18 18:21

Schwerpunkt

EU-Datenschutz und Hackerangriffe, gestohlene Daten bei Facebook und automatisch fahrende Autos. Sicher-heit rückt immer mehr in den Fokus. Weil die Systeme immer komplizierter werden und immer mehr Schnitt-stellen besitzen, steigen die Anfor-derungen an die Entwicklung und das Testen von Software. Wie sollen Software-Teile in den tiefen vernetzen Systemen sicher gemacht werden? Wie geht man mit eingebetteten Sys-temen um, ohne die Weiterentwick-lung von Programmen und Methoden zu verzögern? Kann man funktionale Sicherheit, also Sicherheit im Sinne von Gefahrlosigkeit (Safety), über-haupt von Sicherheit im Sinne von Schutz (Security) trennen? Mit Inter-net of Things (IoT), Industrie 4.0 und Car2x-Kommunikation bildet die Si-cherheit einen zentralen Punkt in der Entwicklung und dem Test eingebet-teter Systeme.

Die Entwicklung und die Tests ein-gebetteter Systeme bei Steuergerä-ten im Automobilbereich unterliegen einem rasanten technischen Fort-schritt. Die Komplexität der Systeme


und damit der Entwicklungs- und der Testaufwand steigen stetig an. Mit dem Einzug von Funktionen, wie zum Beispiel dem autonomen Fahren und der Car2x-Kommunikation, wird – ne-ben der Sicherheit im Sinn der Safe-ty – auch die Sicherheit im Sinne der Security immer wichtiger. Die Safety ist dabei mit den einschlägigen Nor-men, wie zum Beispiel IEC 61508 und ISO 26262, und den darauf aufbauen-den Entwicklungsprozessen gut abge-deckt. Das Thema Security dagegen ist im Bereich der eingebetteten Sys-teme hingegen noch kaum berück-sichtigt.

TEST EINGEBETTETER SYSTEME – HEUTE

Eingebettete Systeme erfüllen ty-pischerweise spezielle Steuerungs- bzw. Regelungsaufgaben. Dabei müs-sen sie nicht zwingend eine direkte Schnittstelle zum Nutzer aufweisen. Mit Hilfe von Sensoren werden Wer-te der Umwelt, wie zum Beispiel die Feuchtigkeit und Temperatur der Straße, gemessen. Über die Aktoren (beispielsweise Elektromotoren oder Ventile) werden dann Reaktionen des

SECURITY FUNKTIONENHERAUSFORDERUNG FÜR DEN TEST IM EMBEDDED UMFELD

3535

eingebetteten Systems – wie zum Bei-spiel die automatische Drosselung der Geschwindigkeit des Fahrzeugs – aus-geführt. Der Eingriff eines Menschen ist nicht mehr notwendig. Weiterhin steht heute das Thema Vernetzung dieser Systeme – meist über einfache Bussysteme – im Zentrum. In Abbil-dung 1 ist der Aufbau eines typischen eingebetteten Systems am Beispiel eines Automobil-Steuergeräts darge-stellt.

Für den Test von eingebetteten Syste-men kommt heute oft der „Hardware in the Loop” (HIL)-Test zum Einsatz. Der Aufbau eines solchen HIL-Testsy-stems ist in Abbildung 2 (S. 36) dar-gestellt. Die zentrale Komponente des Testsy-stems stellt der Echtzeitrechner dar. Dieses System führt die Umgebungs-simulation in Echtzeit (typische Zy-kluszeit 500 µs bis 1 ms) aus. Neben der Ausführung der Simulation stellt dieses System auch die Schnittstel-len zum Device Under Test (DUT, dem zu testenden Steuergerät) zur Verfü-gung. Diese Schnittstellen können auf der einen Seite analoge, digitale oder PWM-Kanäle sein. Auf der ande-

ren Seite kommen verschiedene Bus-systeme, wie zum Beispiel CAN, Flex-Ray oder Ethernet, zum Einsatz. Die Signale der Schnittstellen dienen der Nachbildung der Umgebung des DUT. Analoge Signale können zum Beispiel die Werte analoger Sensoren (z. B. Beschleunigungs- oder Höhenstands-sensoren) widerspiegeln. Ein weiterer Teil des Testsystems um-fasst die Lastsimulation. Lasten sind dabei alle angesteuerten Aktoren (z. B. Ventile oder Motoren). Diese La-sten können als Originalteil verbaut sein oder durch Simulationen (z. B. elektronische Lastsimulation) ersetzt sein. Die Ansteuerung der Lastsimula-tion erfolgt über den Echtzeitrechner.Zwischen der Lastsimulation und dem DUT befindet sich die Fehlerinjektion. Diese ermöglicht es, Kurzschlüsse und Unterbrechungen an den Lasten zu schalten, um die Fehlererkennung und Fehlerreaktion des DUT zu prü-fen. Die Steuerung der Fehlerinjektion erfolgt ebenfalls über den Echtzeit-rechner.Ein weiteres Element des Testsystems ist der Steuerrechner. Dieser Com-puter ist meist Windows-basiert. Er dient der Ausführung der automati-sierten Tests sowie der Steuerung des

Testsystems für manuelle Tests. Die Automatisierung der Tests kann mit verschiedenen Tools (z. B. iSyst iTest-Studio oder sepp.med MBT-Suite) und in verschiedenen Beschreibungsspra-chen (z. B. Python oder UML) erfol-gen. Des Weiteren sind oft Tools für das Messen der Buskommunikation (z. B. Vector CANalyzer) oder Tools für den Zugriff in die Steuergeräte-software zur Laufzeit (z. B. Vector CA-Nape, iSYSTEM WinIDEA oder Lau-terbach TRACE32) im Einsatz. Diese Tools erweitern die Möglichkeiten und die Abdeckung der Tests. Heutzutage steckt ein großer Teil des Aufwandes für die Realisierung des HIL-Testsystems im Umgebungsmo-dell. Dieses Modell muss die reale Umgebung des DUTs so exakt nach-bilden, dass das Steuergerät keinen Unterschied zur realen Einsatzumge-bung feststellen kann. Dabei entfällt mittlerweile ein großer Anteil des Auf-wands auf die Nachbildung der Bus-kommunikation – Restbus-Simulation genannt. Es ist möglich, dass für ein einzelnes DUT mehrere 100 Botschaf-ten mit zusammen mehreren 1.000 Datensignalen darzustellen sind.Außerdem müssen die HIL-Testsy-steme so ausgelegt sein, dass per Fehlerinjektion alle denkbaren Fehler realisiert werden können. Dies be-ginnt bei dem Ausfall einzelner elek-trischer Signale, geht über das Schal-ten von Kurzschlüssen an Aktoren und Sensoren bis hin zum Test des Ausfalls einzelner Botschaften bzw. fehlerhafter Werte einzelner Signale innerhalb der Buskommunikation. Ziel ist es dabei, alle Fehlerreaktionen des DUTs in simulierter Umgebung zu prüfen, um das Risiko für Mensch und Maschine bei der Erprobung zu mini-mieren und die Safety (also die funkti-onale Sicherheit) sicherzustellen. Aufbauend auf den Möglichkeiten des HIL-Testsystems ist es heutzutage zwingend erforderlich, die durchzu-führenden Tests zu automatisieren. Alleine bei typischen 5.000 oder mehr Abbildung 1: Eingebettetes System – Automobil-Steuergerät

SENSORVERSORGUNGKL31

SPANNUGS-

VERSORGUNGSENSOR(EN)

AKTOR(EN)BUSSYSTEM(E)

KL30

KL15

CAN,

FLEXRAY,

LIN,

MOST, ...

ANALOGES

SENSORSIGNAL,

PWM-SIGNAL,

PSI5

SCHWARZ-WEISS

SCHALTER,

PWM-ANSTEUERUNG, ...

ELECTRONIC CONTROL UNIT (ECU – STEUERGERÄT)


Anforderung für ein eingebettetes System ist ein manueller (System-)Test nicht mehr sinnvoll möglich. Aber vor allem die Buskommunikati-on mit tausenden von Testfällen (z. B. falsche Werte für jedes Signal, Ausfall einer Botschaft, …) macht eine Test-automatisierung unabdingbar.Bisher beziehen sich die gesamten Testaufwände meist auf die Erfüllung der Anforderungen mit dem Blick auf die funktionale Sicherheit. Weiterhin zielen die Tests auf die Einhaltung von Qualitätszielen, wie zum Beispiel An-zahl offener Fehler zum Release, ab. Eine vollständige Automatisierung der Test findet in der Praxis selten statt. Im Bereich der eingebetteten Systeme werden Methoden zur Sicherstellung der Security (also der Sicherheit der Software – damit niemand auf diese von außen zugreifen kann) kaum bzw. gar nicht angewendet.

SECURITY IM EMBEDDED UMFELD

Es zeigen sich immer häufiger Secu-rity-Probleme bei eingebetteten Sys-

temen, die auch von einem breiteren Publikum wahrgenommen werden. Beispielhaft sei hier der Distributed-Denial-of-Service-Angriff (DDoS) im Jahr 2016 genannt. Hier wurde zum Angriff auf Server-Systeme internati-onaler Konzerne ein Bot-Netzwerk be-stehend aus IP-Kameras, Routern und digitalen Videorekordern eingesetzt. Weitere Beispiele, wie Industriesteue-rungen oder Heizungssysteme für Ein-familienhäuser, die über das Internet zugreifbar sind, waren auch mehrfach in der Berichterstattung.

Bei diesen Fällen kamen immer wie-der die gleichen Probleme zum Vor-schein:1) Es kommen oft veraltete Versionen von

Bibliotheken oder auch Betriebssyste-men auf den eingebetteten Systemen zum Einsatz. Die Systeme sind meist auch nicht speziell gegen Angriffe gehärtet.

2) Zugänge über Netzwerke werden meist nur unzureichend geschützt. Zum Teil werden fest einprogrammierte Benutzer-namen und Passwörter verwendet, wenn überhaupt ein Login notwendig ist.

3) Meist fehlt eine Strategie für den weite-ren Support im Feld. Es ist nicht vorgese-hen, dass nach der Entwicklung Sicher-heitslücken bzw. Fehler behoben werden.

4) Es fehlt eine Möglichkeit zum Update der Software auf dem eingebetteten System. Ohne eine einfach nutzbare Möglichkeit zum Software-Update ist das Schließen von Sicherheitslücken unmöglich.

In Zukunft werden die Anforderun-gen an die Security von eingebette-ten Systemen noch weiter steigen. Vor allem die steigende Vernetzung in den Bereichen IoT, Industrie 4.0 und Car2X-Kommunikation erhöhen die Möglichkeiten von Angriffen drama-tisch.Des Weiteren führt die Anbindung an „Cloud“-Dienste zu einer immer wei-ter reichenden Vernetzung der Sys-teme. Der damit verbundene Einsatz von Webservices erweitert die Pro-blemstellung der Sicherheit im Sinne der Security bis hin zu Aspekten der Datensicherheit und des Datenschut-zes auch im Bereich der eingebetteten Systeme.

Abbildung 2: Testsystem – schematischer Aufbau

STEUERUNG

STEUERGERÄT

MESSDATEN

STEUERUNG

VERSORGUNGBATTERIESIMULATION

STEUERGERÄTEVERSORGUNG

ECHTZEITRECHNER FÜR UMGEBUNGSSIMULATION

SIGNALANPASSUNG

FEHLERINJEKTION

LASTSIMULATION

BUSINTERFACEz.B. DIAGNOSE ODER MESSEN UND KALIBRIEREN

BUSISYSTEMEz.B. CAN, FLEXRAY ODER ETHERNET

3737

Dr.-Ing. Kristian Trenkel ist

Abteilungsleiter Forschung und

Software-Entwicklung bei iSyst

Intelligente Systeme GmbH

HERAUSFORDERUNGEN FÜR DEN TEST

Die beschriebenen Probleme haben dabei direkte Auswirkungen auf den Test. Die bisherigen Ansätze und Me-thoden für den Test eingebetteter Sys-teme konzentrieren sich auf die funk-tionalen Anforderungen. Dabei sind im Normalfall klare Kriterien für die Bewertung der korrekten Funktionali-tät vorhanden. Im Bereich des Security-Testings kommen hingegen andere Methoden zum Einsatz. Beispielhaft seien hier Fuzzing und genetische Algorithmen zu nennen. Diese Methoden werden im IT-Umfeld erfolgreich eingesetzt. Dabei wird der Test als erfolgreich (PASSED) angesehen, wenn die zu te-stende Applikation nicht abstürzt. Im Bereich der eingebetteten Syste-me können diese Methoden ebenfalls angewendet werden. Das Problem liegt hier aber in der Festlegung des PASSED-Kriteriums für einen erfolg-reichen Test. Der Absturz ist hier kein sinnvolles Kriterium. Es muss sicher-gestellt werden, dass das System wei-terhin seine Funktion erfüllt und Ziele der funktionalen Sicherheit (Safety Goals) nicht verletzt werden. Dies ist eine komplexe Problemstellung, für die es bisher keine allgemeingültigen Lösungsansätze gibt. In der Praxis zei-gen sich noch weitere Probleme. Vor allem die Verfügbarkeit von Entwick-lern und Testern mit dem notwendi-gen Know-How ist schwierig. Des Weiteren ist die Reproduzierbar-keit von Test mit Fuzzing und gene-tischen Algorithmen nur schwer zu realisieren. Es müssen alle Ausgabe-daten des Testsystems aufgezeichnet werden, um diese später wieder ab-spielen zu können. Dies führt wiede-rum zu einer fast unüberschaubaren Menge an Testdaten. Auch die Verfügbarkeit von Tools für die automatisierte Durchführung die-ser Tests stellt ein Problem dar. Diese Werkzeuge sind auf den Einsatz im IT-Umfeld ausgerichtet und lassen sich

damit nur schwer im Bereich der ein-gebetteten Systeme einsetzen. Abschließend ist noch die Integration von Security-Funktionen in die Umge-bungssimulation der HIL-Testsysteme zu betrachten. Beispielsweise ist es vorgesehen, die Kommunikation zwi-schen verschiedenen eingebetteten Systemen zu verschlüsseln bzw. die Datenkommunikation zu signieren. Im Automobil-Bereich steht dafür der Standard SecOC aus dem AUTOSAR-Konsortium zur Verfügung. Die Inte-gration der eigentlichen Algorithmen in die Testsysteme stellt dabei kein Problem dar. Für die Umgebungssi-mulation ist es notwendig, die Kom-munikationspartner des DUTs zu simulieren. Hierfür ist es aber notwen-dig, dass das Testsystem die Schlüs-sel aller zu simulierenden Steuerge-räte kennt. Das wiederum wirft die Frage auf, wie sicherzustellen ist, dass die Schlüssel nicht in die Hände unbe-fugter Personen geraten. Ebenso ist die Aufzeichnung der Buskommuni-kation bei Versuchsfahrten nicht mehr direkt möglich. Die Aufzeichnungssy-steme müssen die Möglichkeit zur Ent-schlüsselung der Daten haben, ohne dabei die Security zu schwächen.

FAZIT

Bisher ist das Thema Security in der Entwicklung und dem Test von ein-gebetteten Systemen noch kaum präsent. Viele Problemstellungen, vor allem im Bereich des Tests, sind bisher nicht zufriedenstellend geklärt. Die absehbaren Entwicklungen im Bereich der eingebetteten Systeme machen eine rasche Diskussion und Klärung dieser Fragen zwingend er-forderlich. Andernfalls kann weder die Safety noch die Security solcher Systeme sichergestellt werden. Dies kann und wird Auswirkung in allen Bereichen der Wirtschaft und der Ge-sellschaft haben.

Sicherheit ist ein wichtiges Thema in der heutigen Gesellschaft. Insbeson-dere auch im Bezug auf die Digitali-sierung und das Internet of Things (IoT), das sowohl in Firmen als auch in private Haushalte immer mehr Einzug erhält. Das „Security Testing” gewinnt in der Software-Entwicklung bereits immer mehr an Bedeutung. Das SQ-Magazin hat mit Sabrina Cordes gesprochen, Key Account Ma-nagerin beim International Software Quality Institute (iSQI).

Das Bedürfnis nach Sicherheit steigt mit der Technisierung unserer Welt. Wenn noch mehr digital wird, hat Si-cherheit da überhaupt ein Chance?

Sicherheit hat aus Sicht des Anwen-ders viele Facetten. Wir nehmen Si-cherheit jedoch erst dann bewusst wahr, wenn sie nicht mehr vorhanden ist. Der Tester sucht nach etwas, was so gar nicht vorhanden ist. Er sucht nicht nach einem Fehler sondern nach einer Lücke. Nach Schwachstellen mit denen niemand rechnet. Nach etwas, das gefährlich werden könnte.

Das klingt ja so, als bräuchte ein Tes-ter eine Glaskugel, um in die Zukunft zu schauen. Wer soll denn solche Tests verantworten? Und umgekehrt. Wem kann man solche Tests anver-trauen?

Ja, wenn man ein Programm sicher machen will, dann muss man schon ein Stück nach vorne schauen. Etwas zu testen, was möglicherweise pas-sieren könnte, erfordert vom Tester viel Intuition und Kreativität. Das kann man trainieren! Wichtig dabei ist, up-to-date zu sein. Nicht nur was Tools

SECURITY TESTINGEIN BLICK IN DIE GLASKUGEL?

und Methodik anbelangt. Sich täglich über Angriffe, Viren, neue Schlupflö-cher in Software und neue Entwick-lungen zu informieren, gehört dazu. Nur so kann man ein wenig in die Zu-kunft schauen und diese beeinflussen. Mit viel Erfahrung und Expertenwis-sen muss die Waage gehalten werden zwischen dem Blick fürs Detail und dem Blick auf das Große Ganze. Je besser der Tester das kann, desto bes-ser wird er seine Aufgaben erledigen.

Gut, also doch keine Glaskugel?

Nein, keine Glaskugel. Aber Ausbil-dung und Wissen helfen. Neben den technischen Grundlagen von sicherer Informationsübermittlung zwischen Schnittstellen, den Sicherheitsstan-dards mobiler Kommunikation, den unterschiedlichen Netzwerk-Umge-bungen und den Gesetzen und Stan-dards muss ein Security Tester die unterschiedlichen Arten typischer An-griffe von Hacker-Seite kennen. Das hilft dabei, den Gegner von morgen einschätzen zu können. Unterstüt-zung bekommt der Tester durch Tools, die entwickelte Software gezielt auf Schwachstellen abklopfen. Mit Tools und einem Werkzeugkasten an Me-thoden lässt sie sich systematisch und geplant scannen. Das geht teilweise automatisch, teilweise manuell. Gut informiert zu sein gehört zum Job des Security Testers. Nur so kann er das Risiko erfolgreicher Angriffe auf neu entwickelte Software so gering wie möglich halten.

DAS INTERNATIONAL SOFT-WARE QUALITY INSTITUTE (ISQI) BIETET IN SEINEM ZERTIFIZIERUNGSPORTFO-LIO DEN ISTQB® CERTIFIED TESTER – ADVANCED LEVEL, SECURITY TESTER AN. DIE SCHULUNG UND DIE PRÜFUNG BEREITEN SOFTWARE TESTER IDEAL AUF IHRE AUFGABE ALS SECURITY TESTER VOR.

MEHR INFORMATIONEN FINDEN SIE AUF WWW.ISQI.ORG

Im Gespräch Ausgabe 47 | Juni 2018 38

Testdaten werden in jedem Softwareentwicklungsprojekt benötigt. Das Management von Testdaten stellt sicher, dass diese jederzeit bedarfs-, zeit- und regelgerecht bereitstehen, und erhöht so die Effizienz und

die Qualität des Testens.Dieses Buch bietet eine umfassende Einfüh-rung in Testdaten und ein effizientes Testdaten-management. Dabei werden sowohl fachliche

Sudoku3 5 7 9

2 6 1 5

8 9 2 1

1 7 8 9 6

9 8 2 5

2 4 8

8 5 6 2 9

9 5 7 6 1

7 4 8

Buchstaben: 1=X, 2=R, 3=Z, 4=K, 5=E, 6=T, 7=W, 8=N, 9=P

LÖSUNGSWORT

*Der Rechtsweg ist wie immer ausgeschlossen. Die Mitarbeiter der iSQI GmbH und des ASQF e.V. sowie sämtliche am Gewinnspiel beteiligten Personen sind von der Teilnahme ausgeschlossen. Teilnehmer erklären sich mit der Veröffentlichung ihres Namens in der Folgeausgabe einverstanden.

SQ № 48Thema: Intelligence of ThingsAnzeigenschluss: 01.08.2018Redaktionsschluss: 27.07.2018

erscheint im September 2018№ 48

HERAUSGEBER

ASQF e.V.

Friedrich-Engels-Str. 24, 14473 Potsdam

TEL +49 331 231810-29

FAX +49 331 231810-10

[email protected], www.asqf.de

REDAKTION

V.i.S.d.P.:

Stephan Goericke (Hauptgeschäftsführer)

Chefredaktion: Anja Schreinert

Redaktionsteam:

Gerhard Wistuba, Christine von Kleist,

Carolin Kallenbach

Friedrich-Engels-Str. 24, 14473 Potsdam

TEL +49 331 231810-18

FAX +49 331 231810-10

[email protected],

www.sq-magazin.de

SATZ / LAYOUT

Frenkelson Werbeagentur, Potsdam

www.frenkelson.de

FOTOS: ASQF e.V. und iSQI GmbH

Editorial-Bild: Karoline Wolf

Titelseite: ©[email protected]

Alle Portraits und Grafiken mit freundlicher

Genehmigung der Autoren.

DRUCK: PRINTEC OFFSET, Kassel

DRUCKAUFLAGE: 4.000 Stück

INTERNETAUSGABE: www.sq-magazin.de

MEDIADATEN

Gern senden wir Ihnen unsere Mediadaten zu.

Richten Sie Ihre Anfrage an

[email protected]

Namentlich gekennzeichnete Beiträge müssen

nicht mit der Meinung der Redaktion übereinstim-

men. Die Redaktion behält sich das Recht auf sinn-

gerechte Kürzung und Bearbeitung eingereichter

Manuskripte vor. Wir machen darauf aufmerksam,

dass Daten nicht an Dritte weitergegeben und aus-

schließlich zur internen Auswertung herangezogen

werden können.

In den Texten sind stets Personen männlichen und

weiblichen Geschlechts gleichermaßen gemeint;

aus Gründen der einfacheren Lesbarkeit wird im

SQ-Magazin nur die männliche Form verwendet.

Das SQ-Quiz Impressum

als auch technische Konzepte vorgestellt. Zahlreiche Erfahrungsberichte und Praxisbei-spiele geben Einblicke in die reale Welt des Testdatenmanagements und erlauben dem Le-ser einen direkten Transfer zu seiner täglichen Arbeit.

Senden Sie bis zum 2. August 2018 das Lö-sungswort des Gewinnspiels an [email protected] und gewinnen Sie eines von fünf Büchern.

Die Lösung des letzten

Sudokus lautete:

CHANCEN & RISIKEN

Die Gewinner aus Heft 46 sind:

Niels Hohn, Garchingen

Dr. Rainer Hübenthal, Ismaning

Stefan Sader, Buckow

Vanessa Michalk, Seubersdorf i.d. Opf.

Peter Ovenhausen, Nürnberg

Im nächsten Heft:INTELLIGENCE OF THINGS

Das Internet der Dinge und künstliche Intelligenz sind Themen, die heutzutage interessanter sind denn je. Welche Erfahrungen haben Sie mit der Kombination aus diesen beiden Bereichen bereits gemacht? Wel-che Chancen bieten sich und auf welche Risiken müs-sen wir uns einstellen?

Werden Sie Autor im SQ-Magazin und senden Sie Ihren Beitrag bis zum 27. Juli an [email protected]

Testdaten und Testdatenmanagement

Smart. Agile. TestBench.

TestBench Cloud Services simplifies and improves the testing performance in agile teams.

Try it for free for 90 days: TBSQ06201890days.testbench.com

Raw

pixe

l.com

@fo

tolia

.com

Documents

CUSTOMER IDENTITY MANAGEMENT TESTS ZUR SECURITY Assurance SAP SuccessFactors Arndt Schaarschmidt, Leiter Konzern-Quali-tätssicherung VW, Geschäftsführer Automotive Quality Institute