IT-Radar

Aktuelle Usability-Trends

Nachdem es im ersten Teil des IT-Radar Interviews mit Prof. Mädche um Usability als Wettbewerbsfaktor ging, stehen im zweiten Teil aktuelle Trends in diesem Bereich im Zentrum unseres Interesses. Vordergründige Aufmerksamkeit schenkten wir dabei beispielsweise den Fragen, wie technologische Neuerungen die Gestaltung gebrauchstauglicher Softwareprodukte beeinflußen und welche dieser Trends Unternehmen im Sinne ihrer Kunden aufgreifen sollten.

Druckversion des Interviews als PDF herunterladen

Interview zum Thema "Usability" - Teil 2/3 (MP3, ca. 10 MIN)

Aktuelle Usability-Trends

Die Möglichkeiten, Produkte gebrauchstauglich zu gestalten, scheinen sehr stark mit den technischen Neuerungen zusammenzuhängen und sich zu verändern. Gerade zurzeit erleben wir einen Umbruch, so sind zum Beispiel Touch- und Gestensteuerung, wie wir sie von Smartphones oder Tablets kennen, vielleicht bald auch auf Desktop-Computern zu benutzen. Die Nutzer erwarten Mobilität von Geräten, Anwendungen sowie Daten und sie möchten möglichst jederzeit vollen Zugriff auf ihre gewohnten Anwendungen haben. Sensoren rücken von der Spezialanwendung in eingebetteten Systemen in viele alltägliche Smartphone-Apps vor, und nicht zuletzt demonstrieren Programme wie Siri, was sie im Bereich der Spracherkennung und -synthetisierung erreichen können und was möglich geworden ist.

Von welchem dieser neuen Trends erwarten sie denn die stärksten Impulse für den Bereich Usability?

Ich denke es gibt diesbezüglich zwei Kategorien. Zum einen sind das innovative Webanwendungen, die intensiv im Privatleben genutzt werden. Dafür kann ich als Beispiele Facebook oder auch Dropbox, ein Dokumentenmanagementsystem, nennen. Solche Anwendungen prägen Nutzeranforderungen dann auch im geschäftlichen Umfeld, da sie meiner Meinung nach sehr schön zeigen, wie man intuitive und benutzbare Software gestalten kann. Das ist die eine Seite.

Die andere Seite umfasst die ganze mobile Welt und somit sowohl die Smartphones als auch die Tablets. Dabei ist es egal, ob es Geräte von Apple sind oder ob sie mit Google-Android laufen. Man sieht hier schon ganz klar, wo die Reise hingeht und das prägt natürlich auch die Anforderungen in Bezug auf Anwendungssoftware, da die Anwender eben sehen, was heutzutage alles möglich ist. Es gibt dann keinen Grund, weshalb im unternehmerischen oder im betrieblichen Umfeld die Anwendungen nicht entsprechend gestaltet werden sollten.

Nun hört man gelegentlich auch Stoßseufzer von erfahrenen Anwendern, denn viele dieser technischen Neuerungen erscheinen ihnen eher als Rückschritte, so zum Beispiel die komplette Umgestaltung der Office-Programme von Microsoft, von der Menüsteuerung auf die sogenannten Ribbons und vergleichbare Beispiele. Sind das nur Anekdoten und Sentimentalitäten oder gibt es wissenschaftliche Hinweise darauf, dass derartige Umstellungen auch starke Rückschritte sein können?

Wenn sie sich die Usability-Definition anschauen – Usability ist nach der ISO-Norm 9241 definiert als das Ausmaß, in dem ein Produkt durch bestimmte Nutzer in einem bestimmten Nutzungskontext genutzt werden kann, um bestimmte Ziele effektiv effizient und zufriedenstellend zu erreichen – dann sind die Stoßseufzer absolut berechtigt, da leider der Nutzungskontext oft nicht berücksichtigt wird.

Das beste Beispiel dafür kann ich Ihnen selbst berichten: der Umstieg von einem Blackberry auf ein Smartphone. Die Effizienz eine Kurznachricht in ein Blackberry einzutippen ist aus meiner Sicht unschlagbar. Es ist nun einmal so, dass Benutzer, die sehr viele Nachrichten schreiben, mit einer Tastatur, wie sie ein Blackberry anbietet, viel besser bedient sind als mit den Möglichkeiten, die ihnen ein Smartphone bietet. Und dafür ist die Berücksichtigung des Nutzerkontextes entscheidend. Wenn ich sehr viel im Internet browse, navigiere und wenig schreibe, dann ist ein Smartphone toll. Wenn ich primär ein Business-User bin, dessen Schwerpunkt im Umgang mit dem Gerät auf der Kommunikation liegt, dann bin ich nach wie vor mit einem Blackberry gut bedient.

Und das können sie direkt auf transaktional orientierte Sachbearbeiter übertragen: Wenn ich Massendaten verarbeiten will, dann brauche ich keine interaktiven Benutzerschnittstellen, sondern – ähnlich, wie es Cobol früher gemacht hat – effiziente Masken, in denen ich zum Beispiel mit der Tabulator-Taste navigieren kann, um meine Dateneingabe möglichst effizient zu gestalten.

Sprich: Ich muss einfach verstehen, was der Nutzugskontext ist und entsprechend gestalten. Das ist Usability. Es geht nicht darum möglichst hübsche User-Interfaces zu schaffen, sondern solche, die möglichst gut für einen bestimmten Benutzungskontext geeignet sind und einem Benutzer dabei helfen, seine Ziele zu erreichen.

Kann man denn sagen, wenn ein Unternehmen entscheiden soll, ob es die angesprochenen technischen Neuerungen mit einbezieht oder nicht, ist ein wesentlicher Aspekt der Nutzungskontext? Und gibt es da noch weitere Aspekte, die relevant sind?

Ich denke man kann das noch etwas generalisieren. Ich glaube man muss einfach feststellen, die Unternehmen müssen in sehr enger Zusammenarbeit mit ihren Kunden ihre Produkte entwickeln, von der ersten Idee zur Evolution, während des Entwicklungsprozesses aber auch zur formalen Evolution am Abschluss der Produktentwicklung. Außerdem muss dies mit konkreten Metriken gemessen werden.

Ich denke generell, ein reines Kopieren der Usabilty-Konzepte vom Wettbewerber reicht nicht aus, denn damit geht natürlich auch das Alleinstellungsmerkmal von meinem Produkt etwas verloren. Viel wichtiger ist es, zu verstehen, was wünscht sich mein Kunde, was macht mich einzigartig und wie integriere ich die unterschiedlichen Technologietrends und die Konzepte. Die Trends und Konzepte müssen aber übersetzt werden und mit kopieren ist es da ganz sicher nicht getan. Ich bin überzeugt, dass man sich dabei wirklich stark am Kunden orientieren und den Nutzungskontext verstehen muss, um dann eben möglichst gute Lösungen kundengerecht zu entwickeln.

Trotzdem lassen sich ja Trends erkennen, beispielsweise wurde früher die Integration möglichst vieler Aufgaben in immer mächtigere Anwendungen gefordert und auch umgesetzt, dagegen scheint sich mit den als Apps bekannten Single-Purpose-Anwendungen der Trend eher umgekehrt zu haben. Zunächst: Können Sie diese Beobachtung denn bestätigen?

Ja, absolut. Den Trend sieht man ja auch im Bereich der Anwendungssoftware. Als konkretes Beispiel kann ich hier die SAP nennen: Die SAP hat für sehr viel Geld den On-Demand-Softwarehersteller SuccessFactors gekauft, der Personalmanagementlösungen herstellt, die das Kernprodukt der Enterprise-Ressource-Planning-Software komplementieren. Das ist sehr ähnlich zum App-Gedanken. Man hat eine spezifische, für eine Fachabteilung zugeschnittene Applikation, die on-demand und ergänzend zu dem Integrationssystem angeboten wird, welches eben Enterprise-Ressource-Planning ist. Auch im Business-Umfeld sieht man also ganz klar, dass es wieder so eine Art Dezentralisierung gibt, zumindest zu einem bestimmten Grad.

Was könnten im technologischen Umfeld die Ursachen für diese Trendwende sein?

Wenn man in die Vergangenheit schaut, ist es so, dass das ja alles schon einmal da war. Es gab funktionale Systeme, die sehr spezifisch für die jeweiligen Fachbereiche eines Unternehmens zugeschnitten wurden. Dann hat man versucht alles zu integrieren und zu einem bestimmten Grad gleich zu machen und zu zentralisieren.

Wenn man zentralisiert und integriert, hat man jedoch geringere Flexibilität und Agilität und dabei stellt sich natürlich immer die Frage, auf welche Kosten das geht. Jetzt merkt man einfach, dass die Dezentralisierung wieder mehr Flexibilität sowie eine Spezialisierung auf die eigentlichen Bedürfnisse der jeweiligen Fachbereiche schafft. Das ist aus meiner Sicht genau das, was die Treiber dafür sind.
Das heißt, man kann metaphorisch von einem Pendel sprechen, dass gerade wieder in die eine Richtung schlägt. Ist denn vielleicht absehbar, wann sich das Pendel wieder in die andere Richtung bewegen wird?

Die IT-Branche ist ja durch Pendel gekennzeichnet. Es gab früher Mainframes, dann gab es Client/Server, jetzt gibt es Cloud. Ich glaube daran, dass diese Pendel einfach Teil unserer Branche sind. Ich glaube aber auch, dass man einen guten Mittelweg finden kann, auch in Bezug auf das ganze Thema Integration.

Die Kunst ist es doch, einen stabilen harmonisierten Kern zu schaffen und um diesen Kern dann Flexibilität zu ermöglichen. Es hilft ja nichts, wenn ich nur noch dezentrale Applikationen habe und keine harmonisierten Stammdaten. Das führt ja letztendlich zum Chaos und im Unternehmen habe ich Redundanzen und Inkonsistenzen. Es hat einen guten Grund, dass man integriert. Man muss sich nur sehr gut überlegen, wie weit integriere ich und wo mache ich vielleicht so eine Art „break-out“, wo dann eben nicht der maximale Grad an Integration geschaffen wird. Diese Kunst der Balance ist nicht immer leicht zu finden und das wird letztendlich in Zukunft auch noch eine Herausforderung bleiben. Ich glaube allerdings schon, dass diese Pendel schwingen und dass sie auch noch eine ganze Weile weiterschwingen werden.

In der nächsten Ausgabe können Sie mehr über die Ausbildung von Usability-Professionals und die Zukunft der Usability in Deutschland erfahren!

Das Interview führten Katharina König und Philipp Rothmann

Usability in Deutschland

Usability spielt eine zunehmend bedeutende Rolle bei der Entscheidung für oder gegen ein Softwareprodukt. Die Gebrauchstauglichkeit ist bei der Auswahl einer Software mittlerweile mindestens so wichtig wie klassische Kriterien, etwa die Funktionalität. Während allerdings das Thema Usability im Kontext bestimmter Produkte gut erforscht ist, ist das Feld der wissenschaftlichen Beiträge, welche sich mit der Integration und Bedeutung von Software-Usability im Unternehmenskontext auseinandersetzen, noch überschaubar.

Haben die deutschen Softwarehersteller die Bedeutung von Usability bereits erkannt und nutzen ihre Chancen? Wie lässt sich Usability optimal in den Softwareherstellungsprozess integrieren? Und nicht zu letzt: Welche Bedeutung haben aktuelle Software-Trends wie die zunehmende Verbreitung von Apps für die Usability im Unternehmenskontext?

Prof. Dr. Mädche mit Redakteurin Katharina König

Über diese und viele weitere spannende Fragen sprechen wir mit Prof. Dr. Alexander Mädche im aktuellen IT-Radar Interview. Prof. Mädche leitet den Lehrstuhl für Wirtschaftsinformatik IV und das Institut für Enterprise Systems an der Universität Mannheim.

Weitere Informationen zu Prof. Dr. Alexander Mädche finden Sie auf den Webseiten des Forschungsprojektes "Usabiliy in Deutschland".

Green IT im Fokus

Beim Thema „Green IT“ denken viele zunächst an ressourcenschonende Rechenzentren, umweltfreundliche Hardwareherstellung oder sparsame Prozessoren. Welche Potentiale allerdings im Bereich von „grünen“ Softwareprodukten liegen, wird häufig nicht bedacht.

Das Interview mit Prof. Stefan Naumann und Markus Dick vom Forschungsprojekt "Greensoft" auf it-radar.org:

Das gesamte Interview als PDF herunterladen

Das gesamte Interview als MP3 herunterladen
(MP3, ca. 32 Min.)

Trailer zum Interview "Green-IT" von IT-Radar auf Vimeo.

Weitere Informationen zum Forschungsprojekt "Greensoft" finden Sie hier: Forschungsprojekt Greensoft

Software Testing in der Cloud

Cloud Computing ist seit geraumer Zeit ein Hype-Thema und es wird viel darüber geredet. Im Gegensatz zu anderen Hypes lässt sich jedoch tatsächlich eine zunehmende Nutzung und damit einhergehend ein Trend zur Verlagerung von Diensten in die Cloud verzeichnen.

Die Big Player der Softwareindustrie IBM, Google, Microsoft und mittlerweile auch Apple bieten cloud-basierte Dienste an. Amazon war einer der Vorreiter auf diesem Gebiet, heute sind die Cloud-Dienste der am schnellsten wachsende Geschäftsbereichs des Online-Versandhändlers. Doch nicht nur die Großen der Branche setzen auf Cloud Computing, auch die kleinen und mittelständischen Unternehmen bieten zunehmend cloud-basierte Dienstleistungen an oder greifen zumindest für die Bereitstellung von Diensten auf eine Cloud-Infrastruktur zurück.

Das Bereitstellen von Softwarediensten in der Cloud wirft jedoch auch einige neue Fragen auf: Muss Software, die in der Cloud ausgeführt wird anders getestet werden, als Software, die auf dem Desktop ausgeführt wird? Bietet die Etablierung des Cloud Computings neue Möglichkeiten für das Testen von Software im Allgemeinen? Zu diesem Thema gibt es bislang eine übersichtliche Menge an Forschungsarbeiten, doch die Anzahl der Wissenschaftler, die sich diesem Thema widmen und somit auch die Anzahl der entsprechenden Arbeiten, steigt stetig an.

Der IT-Radar geht diesen Fragen nach und gibt im IT-Radar Report einen Überblick über den Stand der Forschung sowie Forschungsfragen, die noch bearbeitet werden müssen.

Druckversion als PDF herunterladen...

Cloud Computing

Es gibt keine einheitliche Definition von Cloud Computing. Wissenschaftler und Anbieter von Cloud-Diensten definieren Cloud Computing im Detail stets unterschiedlich. Der gemeinsame Nenner
ist, dass sich eine Cloud-Anwendung über einen einfachen (On-Demand-) Zugriff auf skalierbare Speicherdienste, Rechen- oder Netzwerkinfrastruktur definiert. Weiterhin wird Cloud Computing hinsichtlich
des angebotenen Service-Modells und des Deployment-Modells unterschieden. Dabei werden die folgenden Service- und Deployment-Modelle unterschieden:

Service-Modelle:

1. Software as a Service (SaaS)

2. Platform as a Service (PaaS)

3. Infrastructure as a Service (IaaS)

Deployment-Modelle:

1. Private Clouds

2. Community Clouds

3. Public Clouds

4. Hybrid Clouds

Nach diesen Kriterien definiert auch das US National Institute of Standards and Technology (NIST) den Terminus Cloud Computing. Die Service- und Deployment-Modelle sind dabei genauso Veränderungen
unterworfen, wie das Cloud Computing selbst. Das bedeutet, dass es zukünftig weitere Service- und Deployment-Modelle geben wird. Wie zum Beispiel Human as a Service (HaaS), das auf
Crowdsourcing zurückgreift und wofür bereits heute entsprechende Dienste verfügbar sind.

Testen in der Cloud

Die Art und Weise des Testens in der Cloud ist eine grundsätzliche Frage. Dabei muss unterschieden werden, ob Software getestet wird, die in der Cloud als Software as a Service bereitgestellt wird,
ob Standard-Web-Anwendungen getestet werden, oder ob die Cloud selbst getestet werden soll. Die Cloud nimmt beim Test dann entweder die Rolle des „System under Test (SUT)“, oder die des Testtreibers ein.

Software Testing as a Service

Der Klassifikation der Service-Modelle folgend kann Software Testing as a Service als eigenständiges Modell die Reihe der Service-Modelle erweitern. Das Ziel ist hierbei, das Testen von Software
als Dienst in der Cloud anzubieten. Die Bereitstellung des Dienstes kann dabei über eine Software erfolgen, die in der Cloud als Software as a Service bereitgestellt wird, oder als Service, der vollständig
von einem Menschen als Testdienstleister bereitgestellt wird. Im Aufsatz „Research Issues for Software Testing in the Cloud“ [1] werden für dieses Service-Modell drei Facetten identifiziert:

1. Die zu testende Anwendung ist online. Es
kann sich dabei um eine Software as a Service
(SaaS) handeln oder um eine Standard-Web-
Anwendung.

2. Die Testinfrastruktur ist auf verschiedenen
Plattformen und Cloud-Deployment-Modellen
(Private, Community, Public oder Hybrid)
bereitgestellt.

3. Die Cloud selbst soll getestet werden, zum
Beispiel mit dem Ziel die Lastleistung und
Sicherheit zu bestimmen.

Diese Facetten zeigen die vielfältigen Möglichkeiten und Spielarten für den Einsatz von Softwaretests in
der Cloud. So ist es nicht nur möglich Web-Anwendungen zu testen, egal ob es sich um eine Standard-Web-Anwendung handelt oder eine Software as a
Service oder auch die Cloud selbst.

Beispiele

Es gibt bereits einige Beispiele, die den erfolgreichen Einsatz von Cloud Computing im Softwaretest dokumentieren. Diese werden im Folgenden dargestellt und deren wichtigste Ergebnisse usammengefasst. Die Lektüre der Artikel ist für Anwender des cloud-basierten Testens sehr zu empfehlen.

Test eines Network Management Systems

[2] beschreibt den Test eines Network-Management-Systems (NMS) für ein VoIP-System. Die Cloud wurde aufgrund der Skalierbarkeit gewählt. Ausgeführt wurden die Tests auf Amazons Elastic
Cloud 2 (EC2). Die erzielten Ergebnisse sind beeindruckend, insbesondere die Kosten sind mit 120$ überschaubar.

York Extensible Testing Infrastructure

Der Artikel [3] stellt den Einsatz der York Extensible Testing Infrastructure (YETI) dar, einem automatisierten Werkzeug für den Zufallstest in der Cloud. Obwohl YETI zu den schnellsten Werkzeugen seiner
Art zählt, gibt es Performanceprobleme bei dem Testen umfangreicher Software. Es wurde beobachtet, dass die Ausführungsgeschwindigkeit von 106 Methodenaufrufen pro Minute auf 10³ Methodenaufrufe
pro Minute sinken kann. Darüber hinaus gibt es auch Sicherheits-Probleme von YETI, die durch den Einsatz in der Cloud gelöst werden konnten. Es wird gezeigt, dass durch den intensiven
Einsatz paralleler Rechenkapazität in der Cloud, die Performanceprobleme von YETI gelöst werden konnten.

Cloud9

[1] beschreibt Cloud9, einen cloud-basierten Ansatz, der auf einer parallelen symbolischen Ausführung (symbolic execution) basiert. Symbolic Execution ist eine Technik des Softwaretests. Sie wird der Methodik der statischen Analyse zugeordnet und verwendet eine formale mathematische Beschreibung. Das zu testende Programm wird nicht ausgeführt, es wird lediglich der Quellcode untersucht.
Das Problem solcher Analyseverfahren ist die hohe Komplexität und der große Rechenaufwand, den sie erfordern. Der Ansatz bei Cloud9 ist, dass die Skalierbarkeit der symbolischen Ausführung (bzw.
der Engine, die sie ausführt) verbessert wird und dann mittels einer skalierenden Cloud-Lösung effizient eingesetzt wird. Die erzielten Ergebnisse zeigen, dass diese Lösung um ein bis zwei Größenordnungen schneller ist, als eine übliche Engine zur symbolischen Ausführung. Getestet wurde diese Lösung ebenfalls auf der Amazon Elastic Cloud 2 (EC2).

Themen der Forschung

Das zentrale Ansinnen des Aufsatzes [4] liegt darin, Forschungsbereiche aus dem Themengebiet Softwaretests in der Cloud zu identifizieren, die für die Wirtschaft eine große Rolle spielen. Dazu
interviewten Forscher der Technischen Universität Lappeenranta, Finnland, eine Reihe von Unternehmen aus verschiedenen Teilbranchen der IT-Industrie. Die Interviewpartner waren Angestellte
mit Leitungspositionen, vom Software Manager bis zum CEO. Aus deren Antworten zogen die Wissenschaftler Rückschlüsse auf die Bereiche, denen sich die Forschung im Bereich Softwaretests in der
Cloud widmen sollte. Es wurden drei Bereiche von Forschungsfragen identifiziert: Anwendungen, Management sowie rechtliche und finanzielle Aspekte. Die identifizierten Forschungsfragen werden im
Folgenden, geordnet nach den identifizierten Kategorien, wiedergeben. Auch wenn in dem Aufsatz noch weitere Forschungsfragen diskutiert werden, geben wir nur die aus unserer Sicht relevanten Fragen
wieder.

Anwendungsfragen

Geeignete Anwendungen

Anbieter und Anwender von Softwaretests in der Cloud sind vor allem daran interessiert zu wissen, welche Kategorien von Anwendungen sich cloud-basiert testen lassen. Dabei gilt es zu berücksichtigen,
dass die Akzeptanz für das Testen von kritischen Systemen (beispielsweise aus dem Finanzsektor) mit Hilfe einer Public Cloud gering sein kann. Da es sich bei solchen Systemen sehr häufig
um datenintensive Systeme handelt, würden gerade diese von einem solchen Test profitieren.

Qualität des Testprozesses

Nutzer wollen die Qualität des Testprozesses garantiert wissen, ebenso wie die Qualität der Anwendung, die zu testen ist. Die Herausforderung für die Wissenschaft ist, die cloud-basierten Testprozesse
bezüglich ihrer Qualität vergleichbar zu bewerten. Das ist schwierig, da Qualität ein komplexes Kriterium ist und es sich aus mehreren Qualitätseigenschaften zusammensetzt, die subjektiv unterschiedlich
stark gewichtet werden. Forschungsarbeiten zur Qualitätsbewertung von Prozessen und Werkzeugen müssen aber nicht von neuem beginnen, sondern können auf eine Vielzahl an wissenschaftlichen
Arbeiten zurückgreifen.

Cross-Cloud Testing

Aus Sicht des Kunden ist es sinnvoll, dass sich die Art und Weise des Monitorings und des Managements seiner Testanwendung unter verschiedenen Anbietern nicht unterscheidet. Dieser Wunsch ist nicht spezifisch für das Testen in der Cloud, es ist vielmehr auch ein Wunsch nach einer Harmonisierung von Cloud-Diensten im Allgemeinen. Die Herausforderung besteht darin eine solche Harmonisierung herzustellen.

Cloud-Testing-Lösungen für spezielle Anwendungsklassen

Es darf die Hypothese geäußert werden, dass der Test von verschiedenen Anwendungen derselben Anwendungsklasse auch nach dem gleichen oder zumindest einem ähnlichem Schema abläuft. Der
Wunsch nach standardisierten Testlösungen für bestimmte Anwendungsklassen ist ein alter Traum des Software-Engineerings. Die Nützlichkeit und (Teil-)Realisierbarkeit einer solchen Lösung ist unter dem
Gesichtspunkt der besonderen Leistungsfähigkeit des Cloud Computings neu zu untersuchen.

Managementfragen

Pool von Testern

Einer der greifbaren Vorteile für den Einsatz von Cloud Computing ist die erhöhte Ausfallsicherheit und ständige Verfügbarkeit der Maschinen und damit der Rechenleistung und ihrer Daten. Diese wird
ermöglicht durch mehrfache Redundanz, schnelle Migration von logischen Diensten und weiteren Hilfsmitteln. Für den Softwaretest sind häufig noch manuelle Interaktionen nötig. Eine Migration von
Testdienstleistungen in die Cloud muss auch diesen Umstand berücksichtigen. Das kann beispielsweise durch einen Pool von Testern, der eine 24/7 Verfügbarkeit ermöglicht, sichergestellt werden. Lösungen, die in diese Richtung gehen gibt es bereits, siehe uTest [5]. Hier werden Testdienstleistungen über Crowdsourcing angeboten. Die Tiefe, der Umfang und die Art der Leistung lässt sich recht frei
zusammenstellen. Solche Lösungen sind in das Service-Modell Human-as-a-Service (HaaS) einzuordnen und implizieren weitere Fragestellungen bezüglich der Kommunikation, der Interaktionen
sowie nach Sicherheit und Vertrauen.

Migrationspfade für Kunden

Die Erfahrung zeigt, dass eine Migration zu einem neuen System stets mit einigen Schwierigkeiten verbunden ist. Es ergeben sich Fragen nach der Übernahme von Daten, der Ausbildung der Nutzer,
der Akzeptanz von neuen Systemen und Abläufen und der Integration in die (Geschäfts-)Prozesse. Die Migration von Softwaretests in die Cloud nimmt sich an dieser Stelle nicht aus. Hier sind diese Fragen
ebenfalls zu beantworten, nicht zuletzt weil durch den Einsatz des Cloud Computings ein Paradigmenwechsel stattfindet, von in-house-organisierten und durchgeführten Testprozessen hin zu solchen Testprozessen, welche die Unternehmensgrenzen überbrücken. Die Konfiguration der Cloud-Dienste für den Kunden ist individuell und sollte den Gegebenheiten des Geschäftszwecks und den Anforderungen des Kunden dienen. Die Forschung sollte hier Möglichkeiten und Methoden schaffen das strukturiert zu ermöglichen.

Rechtliche Fragen

Die Verwaltung von Testdaten ist stets eine kritische Aufgabe, da dabei unter anderem Datenschutzbestimmungen und Vertrauensschutzrichtlinien eine wichtige Rolle spielen und deren Gestaltung
die Testspezifikation bestimmen. Dieser Problematik unterliegen auch Softwaretests, die nicht in der Cloud ausgeführt werden. Das Problem wird dadurch verschärft, dass die zu testende Cloud außerhalb
des Unternehmens aufgestellt ist und weil Personen an diesen Tests beteiligt sind, die dem Unternehmen nicht angehören. Dieses Problem wird bereits seit einiger Zeit untersucht, da eine Lösung auch für traditionelle Softwaretestverfahren dienlich wäre. Im Kontext des Softwaretests in der Cloud sollte dieser Forschungsfrage eine weitaus größere Bedeutung als bisher beigemessen werden.

Fazit

In diesem Beitrag hat der IT-Radar eine Übersicht gegeben, welche Möglichkeiten und neue Fragestellungen sich für das Testen von Software ergeben, die in der Cloud ausgeführt wird und für den Softwaretest, der die umfangreichen Möglichkeiten des Cloud Computings instrumentalisiert. Der Trend zur Migration von Diensten und Anwendungen in die Cloud greift zunehmend auf den Softwaretest über. Wie in Abschnitt 3.1 gezeigt wurde, gibt es bereits erste cloud-basierte Dienste für den Softwaretest. Das Fazit des IT-Radars ist, dass Softwaretests in der Cloud neue Möglichkeiten bieten, um sowohl
den wachsenden Qualitätsanforderungen an Software gerecht zu werden, als auch dem zunehmenden Umfang von Softwaresystemen und dem damit verbundenen steigenden Aufwand für qualitätssichernde Maßnahmen mit neuen effizienten Mitteln zu begegnen. Für eine breite Adaption sind jedoch noch einige Forschungsfragen offen, siehe Abschnitt 3.2.Themen der Forschung.

Literaturverzeichnis

[1] L. M. Riungu, O. Taipale, and K. Smolander, “Research
Issues for Software Testing in the Cloud,”
Cloud Computing Technology and Science (CloudCom),
2010 IEEE Second International Conference
on Computing Technology and Science, pp. 557–
564, 2010.

[2] Z. Ganon and I. E. Zilbershtein, “Cloud-based
Performance Testing of Network Management Systems,”
Computer Aided Modeling and Design of
Communication Links and Networks, 2009. CAMAD
‚09. IEEE 14th International Workshop on, pp. 1–6,
2009.

[3] M. Oriol and F. Ullah, “YETI on the Cloud,” in
Software Testing, Verification, and Validation Workshops
(ICSTW), 2010 Third International Conference
on, 2010, pp. 434–437.

[4] L. Ciortea, C. Zamfir, S. Bucur, V. Chipounov, and
G. Candea, “Cloud9: a software testing service,”
ACM SIGOPS Operating Systems Review, vol. 43, no.
4, pp. 5–10, Jan. 2010.

[5] http://www.utest.com

Softwaretesten_in_der_Cloud.pdf

Dieser Beitrag wurde verfasst von Andreas Heinecke

Software-Ökosysteme - Teil 4

Was für eine Rolle werden Software-Ökosysteme in zehn Jahren in der Unternehmenspraxis spielen? Etabliert sich das Ökosystem als Geschäftsmodell im Bereich von Softwareprodukten oder entpuppt es sich als überstrapazierter Begriff, der nur einen befristeten Trend beschreibt?

Im abschließenden Teil unseres IT-Radar Interviews mit dem niederländischen Forscher Slinger Jansen werfen wir einen Blick in die Zukunft der Software-Ökosysteme und erläutern, was die zukünftige Entwicklung von Software-Ökosystemen für IT-Entscheider bedeutet.

Druckversion als PDF herunterladen...

Interview mit Slinger Jansen - Teil IV (MP3, ca. 11 MIN)

Das Interview zum Nachlesen:

Jan Bosch and others argue that it is sensible to move from an integration-centric approach to a composition approach. They say it is supposed to result in a better integration of small teams, shorter release cycles, and therefore a better position for quick tests of the products in the market. Maybe you can give us a quick overview over both approaches?

What I do find interesting here is the agile approach that comes around the corner. I think my students also are constantly developing apps for mobile phones, and I see a sort of a demo. So it’s a bit of a testing playground. I have seen many apps of them maybe of the ten or fifteen apps that I have seen being developed, some were very big failures but some of them were actually relatively successful, and they weren‘t so to say the horses that I would have bet on. So in that sense I think it is truly a great way to test out, test the water with an innovation.

So in that sense I do agree on taking a small agile approach to this. I think that is a great idea, but I don‘t specifically see an ecosystem view on this. What I do see is that if you have a successful platform that is doing very well in a market or a successful product and you want to make the move to ecosystems, then I would definitely start off with just small plug-ins or start developing with maybe three or four partners and ask them „Hey, what kind of plug-in would you like to develop and in which domain will you want to be active? And what kind of extension points are you working for in our platform?“ But I cannot really make a statement on whether the integration-centric approach is better than the compositional.

I think composition also assumes that you just have a bunch of artefacts that you can put together fairly easily, and the idea I get in most ecosystems is that there is one big platform; there is already one large entity that people add slowly but surely more functionality and specificity to. I am not sure if I interpreted the question right but I get the feeling that there is not such a strong relationship to the way in which the ecosystem is run compared to one of these two approaches. I get the feeling they are not even appropriate for ecosystems.

Then as a final question: Regarding the current stage of research and the penetration of enterprises, what do you expect will be said in let us say about ten years about software ecosystems?

A really good question, I hadn‘t really thought of it because I am so in the „now“ when it comes to ecosystems. But I think there is one credo I got into this area because I have a passion like I said before for software companies–especially independent software vendors, although I do not know why they are called independent because in an ecosystem you are not independent, you are just a software vendor.

I find software vendors really interesting companies, and I think the saying that they used to have which is: “Get big, get niche, or get out” will always hold, and it will be more valuable in the future. If you are smart enough and strong enough to develop your own platform that creates a critical mass in a market and thereby also creates interest from third parties to extend your products, you will be getting big. But if you are very specialised and you are active in a domain like here in the Netherlands we have a company called Stabiplan and they make technical drawings for all kinds of heating systems in a building, then that is a very clear niche.

Stabiplan builds on top of the AutoCAD products so they are part of the Autodesk ecosystem, and I think that is a beautiful way of thinking. This company is very successful, very profitable, and they are a very good niche company. And I don‘t think there is really a good way of being in between those two. There is no bit of a platform or a bit of a niche product. In the end you will probably develop your own platform again, maybe within a niche that could happen, but then there needs to be enough value in the ecosystem to have third parties connecting to you. Well, I think I am straying a little bit, but I expect that increasingly so that companies will slide under the wings of larger organisations and use their platforms as a transport for new innovations.

In that sense I expect the concept of software ecosystems to become stronger and that companies will make their own SECO in the software ecosystem more frequently explicit as it already is by saying something like „Hey we are part of the SAP stack“ or „We operate in the Google ecosystem.“ That is one development I see, and I also see that there are new innovative business models available that are specifically geared towards ecosystems. I think, for instance, of two companies right away, one is appstores.com, and you can all imagine what they do: They basically provide you with a platform that you can employ as an app store. So, let us say I have a software company called „Slinger“ I would call it slinger.appstore.com, and through them I could have partners who sell their stuff through my app store. I find that really interesting.

I also think there is a lot of value now in data. So a company here in the Netherlands that was founded actually here in Utrecht by some students of ours. It is called Distimo, and I think they are doing very well now, I think they are up to the level of making money by now. And what they do is they collect data from the several app stores, and they compare that to the data of other app stores. I think as a customer they have Facbook, and Facebook wants to know how much their application is downloaded at the moment, and how is it doing on each of the platforms. I think another customer of them is Rovio Games, and they want to know how many apps they are selling per day and what would happen if they changed the price of them a little bit, what kind of effect it would have on their supplied demand. I find that these ecosystems geared companies are very successful, and I am also looking to invest and do research with such companies. So if any of such companies is listening: please, do contact me!

Also, as a second aspect, and I think you already felt it in my previous answers, in the long run I expect companies to become more and more open, so the community around them sustains them more than the company itself. Therefore, I expect more and more organisations like the Apache Foundation, the Eclipse Foundation, more of these organisations to rise and be really successful even though there is no clear ownership or governance, or more precisely, there is a clear governance structure, but no real ownership, it is more of a foundation ownership than private or cooperate ownership.

Another aspect that I do find really interesting is that–as a final note–I wonder whether the term Software ecosystem is really all that relevant. I am actually chopping at my own tree here, because in the long run I think we are seeing software vendors converging increasingly into other domains. One of my favourite examples is Google Bank, I think we are all waiting for the first introduction of the Google Bank to come. In the future I expect that we will be talking a lot more about power distribution in the ecosystem. Previously I talked a little bit about centralised and decentralised ecosystems, and depending on the specific ecosystem–whether it is the electric vehicle ecosystem or the Software ecosystem or the XBRL ecosystem–I think that we will look at them with certain glasses, depending on our interests at that point.

As a final example I would like to talk about the iPhone OS ecosystem, which is much more than just a phone with a bunch of software on it, because it has ties increasingly in every domain. If you look, for instance, on the banking domain or the automotive domain or the business intelligence domain or even grocery shopping and logistics, I think that the ecosystem is already constantly testing the virtual boundaries that are imposed by the term software in this context. I think slowly but surely even though this term is driving me hopefully very far in research in the end we will have to revert it back into business ecosystems, because at the end of the day that is what those systems are, they are business ecosystems with a strong specific software component.

Professor Jansen, thank you for the interesting and comprehensive interview!

Thank you very much.

Das IT-Radar-Interview führte Vincent Wolff-Marting.

Rückblick auf die ECSA 2011 in Essen

Die 5th European Conference on Software Architecture (ECSA 2011) fand dieses Jahr im September in der Ruhrmetropole Essen statt. Nachdem einige Wochen vergangen sind und sich die gesammelten Eindrücke setzen konnten, laden wir Sie ein, in diesem kurzen Beitrag mit uns auf die Konferenz zurück zu schauen.

An den vier Konferenztagen wurden den Teilnehmern der 5. ECSA sowohl wissenschaftliche als auch wirtschaftliche Vorträge und Workshops geboten. Mit diesen Beiträgen wurden die aktuellen Trends im Themenbereich Softwarearchitektur intensiv diskutiert.

Besonders positiv bewerteten die Teilnehmer der Konferenz, dass in den Konferenzbeiträgen Experten sowohl aus der Wissenschaft als auch aus der Wirtschaft zu Wort kamen und aus ihren unter-schiedlichen Perspektiven über den gegenwärtigen Stand der Dinge berichteten. Auf diese Weise entstand ein produktiver Austausch zwischen Wissenschaftlern und Praktikern im Hinblick darauf, worin die tatsächlichen Herausforderungen der Unternehmen bestehen und welche möglichen Lösungsansätze die Forschung bieten kann.

Die wissenschaftlichen Vorträge hielten Albrecht Schmidt vom Institut für Visualisierung und Interaktive Systeme (VIS) an der Universität Stuttgart, Harald Gall, Direktor des „Software Evolution and Architecture Lab“ (s.e.a.l.) der Universität Zürich, und Raffaela Mirandola vom Politecnico di Milano. Sie berichteten über aktuelle Entwicklungen in der akademischen Gemeinschaft. Dabei stellten sie die Zusammenhänge zwischen Architektur und Benutzerinteraktion dar und präsentierten Visualisierungs-, Analyse- und Interaktions-methoden für Software Architekturen. Auch Software-Performance-Steigerungen in und für dynamische Umgebungen wurden diskutiert.

Abbildung 1: Visualisierung der Architektur des Java Development Kit (JDK) v1.5 (Quelle: http://www.inf.usi.ch/phd/wettel/codecity-wof.html)

Harald Gall stellte ein Framework vor, welches in Form von „Analysis as a Service“ helfen kann, Software Architekturen zielgerichtet zu ana-lysieren. Abbildung 1 zeigt die dargestellte Visualisierung und verdeutlicht z. B. die Größe und die Komplexität der Komponenten des Java-Development-Kits (JDK) 1.5. Um derartige Architekturen zu analysieren und ihre Evolution zu kontrollieren, wird eine Vielzahl von unterschiedlichen Analyseprogrammen benötigt. Das Framework stellt unterschiedliche Analysekomponenten bereit, die zu einer spezifischen Analyse orchestriert werden können, sodass die verschiedenen Aspekte von Architekturen einbezogen werden können.

In den drei wirtschaftlichen Vorträgen wurden aktuelle Probleme und Herausforderungen für Unternehmen behandelt, die in Bezug auf Soft-warearchitekturen auftreten. Eberhard Wolff (Architecture Technology Manager der adesso AG) berichtete über Erfahrungen und Problemlösungen in der Entwicklung und Umsetzung von Software-architekturen in der Wirtschaft. Jörg Koletzki (Mitglied der Geschäfts-führung der E.ON IT GmbH) beschrieb Erfahrungen und Methoden, um Enterprise-Architecture-Management in einem Unternehmen zu etablie-ren. Magnus Larsson, Software-Manager bei ABB Corporate Research, gab einen Einblick in wirtschaftlich gesteuerte Langzeitforschung und Anwendungsentwicklung.

In weiteren Vorträgen, in der Kategorie „Emerging research“ wurden 24 Artikel vorgestellt, deren Schwerpunkte auf der Qualitätssicherung bei Softwarearchitekturen sowie auf Servicekomposition, Überwach-ung und Konfiguration von Software- und Enterprise-Architekturen in Echtzeit lagen. Ansätze zur semantischen Integration von Qualitätsanforderungen in Softwarearchitekturen sowie architek-tonische Qualitätsgesichtspunkte wurden erörtert. Außerdem wurde die Servicekomposition aus unterschiedlichen Architektursichten be-trachtet sowie deren End-User-Orchestration diskutiert. Des Weiteren wurden modellbasierte Ansätze zur Rekonfiguration von verteilten Echtzeitsystemen, ein Monitoring-Framework für komponentenbasierte Softwaresysteme sowie Echtzeitüberwachung und Echtzeit-Controlling von Enterprise-Architekturen behandelt.

Die Vorträge in den Kategorien „Full research“ und „Experience“ befassten sich primär mit Produktlinien-Architekturen und deren Änderungsanalysen sowie Design und Evaluation von Architektur-Pattern im Kontext von Open-Source-Software. Daneben wurde ein Referenzmodell für das Testen von serviceorientierten Anwendungen und eine auf Architekturen basierende Fehlerdiagnose für Software-systeme vorgestellt.

Außer den Vorträgen fanden zwei ganztägige Workshops zu den Themen „Traceability, Dependencies and Software Architecture“ sowie „Software Architecture Variability“ statt und eine Postersession, die der Darstellung aktueller Forschungsherausforderungen gewidmet war. Hierbei reichte das Themenspektrum von Human-as-a-Service-Managementfunktionen bis zum semantischen Monitoring von Daten und Ressourcen auf Basis von Ontologien.

Nicht zuletzt luden die „social events“ rund um die Konferenz zum Ideenaustausch und Knüpfen interdisziplinärer Kontakte ein.

Webanwendungen erfolgreich testen

In unserem Paper des Monats August stellen wir diesmal einen Beitrag aus dem Jahr 2001 vor, der dieses Jahr mit dem ICSE Award „Most influential Paper“ ausgezeichnet wurde. Hervorgehoben wurde eine Pionierarbeit zum automatisierten Testen von Webanwendungen und Webseiten. Während Entwickler in den Bereichen traditioneller Software bereits auf Modelle und Testverfahren der Qualitätssicherung zurückgreifen konnten, hatte diese Möglichkeit im Bereich der Web- Anwendungen bis dahin gefehlt. Die Autoren Filippo Ricca und Paolo Tonella beschreiben in ihrer Arbeit Analysis and Testing of Web Applications Herausforderungen für das Testen und Analysieren von Internetanwendungen und stellen die Entwicklung der Serviceprogramme ReWeb und TestWeb, die automatisierte Testverfahren erzeugen können, vor.

Web Anwendungen gestalten sich vielfältig

Während Test- und Analyseverfahren bereits fester Bestandteil der traditionellen Softwareentwicklung waren und durch allgemein anerkannte Regeln und Abläufe definiert wurden, fehlten derartige Methoden für Webanwendungen. Durch die rapide Entwicklung von Funktionen und Anwendungen des Internets und der damit einhergehenden Professionalisierung dieses Bereiches nahm der Bedarf an Methoden der Qualitätssicherung zu. Eine Herausforderung sahen die Forscher in den unterschiedlichen Ausprägungen von Internetseiten, die sowohl als statische als auch dynamische Seiten auftreten oder Links, Frames und Formulare beinhalten können. Die Forscher übertrugen Analyse- und Testmethoden der traditionellen Softwarequalitätssicherung auf Webanwendungen und betonten gleichzeitig die unterschiedlichen Anforderungen der Systeme.

Analysemodelle für Webanwendungen

Um Webanwendungen umfassend zu analysieren und zu testen ist die Erstellung eines UML-Modells für Ricca und Tonella eine Grundvoraussetzung. Dafür haben die Autoren das UML-Metamodell einer gewöhnlichen Webapplikationsstruktur erstellt, bei dem Interaktions- und Navigationsmodelle hervorgehoben wurden und Architekturperspektiven zweitrangig waren.

Abbildung 1: Metamodell für Web-Applikationen. Das Modell ist eine Umschreibung einer vorgegebenen Seite. (aus Ricca und Tonella, 2001)

Das zentrale Objekt in diesem Modell ist die Webseite, die Informationen enthält, die für den Nutzer angezeigt werden und andere Seiten durch Navigationsverbindungen erreichen kann. Das Modell bildet auch dynamische Elemente ab. Zum Zeitpunkt der Veröffentlichung wurde die Dynamik vornehmlich durch Frames und Formulare geboten, daher haben die Autoren gezeigt, wie UML Modelle einer Frameseite und einer Formularseite aussehen können:

Abbildung 2: Beispiel eines UML-Modells einer Webseite, die Formulare beinhaltet. (aus Ricca und Tonella, 2001)

Testen von Web-Applikationen

Das Testen von Webanwendungen dient der Qualitätssicherung von Software und soll sicherstellen, dass Faktoren der Funktionalität, Zuverlässigkeit, Benutzbarkeit, Effizienz sowie der Änderbarkeit und Übertragbarkeit von Softwaresystemen gewährleistet sind. Dabei werden verschiedene Arten von Tests angewendet, die in Abhängigkeit der Beschaffenheit einer Anwendung gestaltet werden. Grundsätzlich wird eine Unterscheidung zwischen statischen und dynamischen Verifikationen getroffen, wobei der Unterschied darin besteht, dass dynamische Tests das System in der Ausführung testen und statische Tests sich zum Beispiel mit der korrekten Beschreibung im Benutzerhandbuch oder der Rechtschreibprüfung im Quelltext befassen. Die Autoren haben verschiedene statische und dynamische Testverfahren beschrieben, die für Webapplikationen erforderlich sind.

Statische Verfahren:

Statische Verfahren untersuchen Webanwendungen auf Fehler und Anomalien, wie zum Beispiel der Aufdeckung ungültiger Navigationswege, unerreichbarer oder nicht existierender Seiten. Außerdem können damit Probleme des Ladens und der Zuordnung von Frames aufgedeckt werden. Mit der statischen Analyse werden Datenabhängigkeiten getestet und Abläufe analysiert, wodurch der Informationsfluss der Anwendung dargestellt werden kann und falsch definierte Variablen, die zum Beispiel unerwünschte Zustände erzeugen, erkannt werden können. Für Webanwendungen ist es außerdem wichtig zu testen, ob sogenannte „Dominators“ funktionieren. Das sind Seiten die Warnmeldungen oder AGBs enthalten und deswegen bestimmten Inhalten vorangestellt werden müssen. Auch die Benutzerfreundlichkeit einer Seite kann anhand der „shortest path“-Analyse überprüft werden, da untersucht wird, wie viele Seiten ein Benutzer aufrufen muss, um das gewünschte Ziel zu erreichen.

White-Box-Verfahren:

Die dynamische Analyse beschränkt sich auf Methoden des White-Box-Testens, bei denen die interne Struktur von Webanwendungen überprüft wird. Hierfür werden zum Beispiel der Quellcode eines Systems und interne Programmstrukturen auf Fehler untersucht, indem jede Anweisung einmal oder mehrmals durchlaufen wird. Das Testen von Webapplikationen verläuft zum Beispiel als Testlauf einer Sequenz von Seiten, an deren Ende das Ausfüllen eines Formulars steht. Dieser Verlauf wird in Form einer URL- Sequenz dargestellt, welche die angefragten Seiten hervorhebt und diese wenn nötig mit Eingabevariablen versieht. Die ausgegebenen Seiten werden gespeichert, woraufhin der Output mit dem Soll-Zustand verglichen wird. Der Vorteil gegenüber traditioneller Software ist, dass die Auswahl des zu testenden Zweigs meist direkt über die Eingabe des Hyperlinks eingepflegt werden kann und nicht vordefiniert werden muss. Weitere Testkriterien für Webapplikationen sind:

„Page testing“: Jede Seite wird mindestens einmal aufgerufen.

„Hyperlinking testing“: Alle Hyperlinks jeder Seite werden mindestens einmal durchlaufen.

„Definition-use testing“: Alle Navigationspfade, welche die zu testende Variable beeinflusst, werden durchlaufen und zwar jeweils einmal für jede mögliche Ausprägungen der Variable.

„All-uses testing“: Mit jeder möglichen Ausprägung der zu testenden Variable wird mindestens ein abhängiger Navigationspfad durchlaufen.

„All-path-testing“: Jeder Pfad einer Seite wird in verschiedenen Testfällen mindestens einmal durchlaufen.

Ricca und Tonella haben sich bei der dynamischen Analyse auf die „problematischen“ Seiten konzentriert und statische Seiten zu zweitrangigen Einheiten erklärt, da diese unveränderliche Informationen beinhalten.

Das Erzeugen von Testfällen

Die Forscher entwickelten die Programme ReWeb und TestWeb, um das Testen von Webanwendungen zu unterstützen. Das ReWeb besteht aus den Modulen Spider, Analyser und Viewer. Spider lädt alle anvisierten Seiten herunter, unterscheidet dabei aber nicht zwischen statischen und dynamischen Seiten, es sei denn, die Seite ist nur über ein Formular erreichbar. Der Anwender kann dynamische Seiten manuell kenntlich machen und mit Eingabewerten versehen. Danach erstellt das Programm aus den heruntergeladenen Seiten ein UML-Modell. Das Modul Analyser benutzt das UML-Modell, um die oben genannten statischen Analysen durchzuführen. Das Modul Viewer visualisiert das UML-Modell und die Ergebnisse der Analysen als Graphical User Interface (GUI), welches zum Beispiel ermöglicht, einzelne Elemente zu vergrößern oder mithilfe der Suchfunktion zu finden. Außerdem werden verschiedene Übersichten generiert: Die history view, welche die Entwicklung der Seite unter zeitlichen Aspekten festhält, die system view, welche die Seiten in einer Verzeichnisstruktur darstellt und die data flow view, die lesende und schreibende Zugriffe der Seiten auf Variablen ausgibt.

Abbildung 3: Die Darstellung von ReWeb und TestWeb während des Analyse- und Testprozesses (aus Ricca und Tonella, 2001)

Die Aufgabe des TestWeb Programms umfasst die Festlegung einer Auswahl von Pfaden aus dem UML-Modell, um daraus Testfälle für das ReWeb zu generieren. Erzeugte Testfälle sind UML-Sequenzen, welche nach einmaliger Durchführung die Erfassung ausgewählter Kriterien erlauben. Die Werte müssen an dieser Stelle manuell eingegeben werden und können dann dem Webserver URL-Anfragesequenzen jedes Testfalls mit den geeigneten Eingabewerten übermitteln. Die vom Server zurückgelieferten Seiten werden gespeichert, und der Anwender überprüft dann, ob die ausgegebenen Werte zu dem eingegebenen Wert passen.

Fazit:

Das Paper Analysis and Testing of Web Applications gab wichtige Impulse für das Testen verteilter Anwendungen. Die Beiträge zur Generierung von Testdaten und von Testmodellen haben die Forschung in diesem Bereich vorangebracht und speziell auch spätere Forschungen zum Testen von sogenannten Web-2.0-Anwendungen (genauer gesagt asynchrone Web-Technologien wie z.B. AJAX) stark beeinflusst. Sie dienten als Grundlage für eine ganze Reihe weiterer Veröffentlichungen. Die Bandbreite reicht von Beiträgen zu Softwaretests über Reverse-Engineering bis hin zur automatischen Erkennung von sogenannten Clickjacking-Angriffen. Der besondere Einfluss des Papers beruht auch auf der stetig wachsenden Bedeutung verteilter, webbasierter Anwendungen.

Wir wünschen eine angenehme Lektüre!

Ihr IT-Radar-Team

Dieser Beitrag wurde verfasst von Michaela Trebing

Das Paper des Monats

Analysis and Testing of Web Applications Filippo Ricca und Paolo Tonella: Analysis and Testing of Web Applications, In Proceedings of the 23rd International Conference on Software Engineering (ICSE’01), IEEE Computer Society, Washington, DC, USA, 25-34. 2001. ISBN 0-7695-1050-7.

Es ist zu beziehen unter:

http://dl.acm.org/citation.cfm?id=381476

Analysis and Testing of Web Apllications

Sicheres Cloud Computing - Teil 4

Mitarbeiter eines Cloud-Dienstleisters haben eine hohe Verantwortung oder anders ausgedrückt: zahlreiche Möglichkeiten zu einem weitreichenden Vertrauensbruch. Welche Möglichkeiten das sind, stellt Vincent Wolff-Marting im vierten und letzten Teil unserer Reihe des Video-Glossars "sicheres Cloud Computing" vor.

Neben den in dieser Reihe vorgestellten Angriffsmögichkeiten gibt es für den produktiven Einsatz allerdings auch eine ganze Reihe von generellen Schutzmaßnahmen. Bei der Entscheidung pro oder contra Cloud Computing gerade im Zusammenhang mit der Sicherheit von sensiblen Daten stellen diese Schutzmaßnahmen einen wichtigen Ansatz zur sicheren Nutzung von Cloud Computing Diensten dar. Im vierten und letzten Teil unseres Video-Glossars "sicheres Cloud-Computing" stellen wir deswegen auch einige generelle Schutzmaßnahmen vor.

8. Video-Glossar: sicheres Cloud Computing - letzter Teil von IT-Radar auf Vimeo.

Die vorangegangenen Folgen im Überblick:

Einführung und Systematisierung des Schutzbedarfs für Unternehmen

Externe Angreifer

Der Kunde als Angreifer

Der digitale Radiergummi

Begleitet von großem Medienecho präsentierte das Verbraucherschutzministerium das durch ein Team von Prof. Dr. Michael Backes entwickelte Programm „X-Pire!“ – den so genannten digitalen Radiergummi (siehe Infobox). Darauf folgten kurzfristig kritische Kommentare [1] und skeptische Analysen [2] des Programmes. In dieser Meinungsecke werden wir die grundlegenden Probleme und Lösungsansätze diskutieren, die sich hinter dem digitalen Radiergummi verbergen. Weiterhin werden wir die Bedeutung eines solchen Werkzeugs für Unternehmen erläutern.

Das Dilemma der verlustfreien Vervielfältigung

X-pire ist eine Instanz des „digitalen Rechtemanagements“ (DRM). Die „Probleme“, die mit DRM adressiert werden sollen, sind in aller Regel die folgenden:

Elektronisch repräsentierte Daten lassen sich beliebig oft verlustfrei vervielfältigen.

Daten altern nicht (Datenträger allerdings schon).

Wir haben hochleistungsfähige Suchverfahren, mit denen sich Daten schnell auffinden lassen. Die werden in den kommenden Jahren voraussichtlich noch besser (z. B. in Bezug auf Bilder- und Tonsuche).

Informationen zu "X-Pire!"...

Zum Problem werden diese für sich positiven Eigenschaften nur, falls die Verbreitung eines Datums nicht gewünscht oder an Voraussetzungen (z. B. Lizenzgebühren) geknüpft ist. Dabei sind zumindest die ersten beiden genannten Eigenschaften nicht neu und auch nicht auf elektronisch repräsentierte Daten beschränkt, sondern zeichnen sich seit der Erfindung der Schriftsprache bereits für Texte ab, jedoch in deutlich abgeschwächter Form. Sie wurden seitdem bis zum heutigen Stand konsequent verstärkt, durch die Erfindung des Buchdrucks mit beweglichen Lettern, später durch die Erfindung von Kopiergeräten. Und genau wie den mittelalterlichen Zensurbestrebungen keine Erfindung zur Hilfe kam, mit der alle Exemplare eines einmal verbreiteten Druckwerkes auf einfache Weise zurückgeholt werden konnten, wird auch dem gegenwärtigen Verbraucher oder Unternehmer keine Erfindung helfen können, einmal verbreitete Daten vollständig zu tilgen.

Wer ein Datum aus der Welt schaffen möchte, muss alle noch erhaltenen Duplikate finden und vernichten. Und selbst dann gibt es keine Sicherheit, ob nicht noch ein weiteres Duplikat übersehen wurde. Die unter Punkt 3 genannten hochleistungsfähigen Suchverfahren mögen dabei helfen, die Daten zu finden, das ist jedoch nur bei Datenspeichern möglich, die einer Durchsuchung zur Verfügung stehen.

Die Anfertigung von Duplikaten lässt sich auch nicht wirkungsvoll verhindern: Nach der Erfindung von Schriftsprache, Fotografie, Fonografie, Cinemotion, Fotokopie etc. kann daran kein Zweifel mehr bestehen. Jeder Kopierschutz und jedes digitale Rechtemanagement ist am Ende nichts anderes als eine mehr oder weniger nachdrücklich vorgebrachte Bitte an den Hörer oder Betrachter, von einer Vervielfältigung abzusehen.

Digitales Rechtemanagment (DRM)...

Herausforderungen aus Unternehmenssicht

Geringfügig anders kann es in der IT-Landschaft von Unternehmen aussehen. Dort kann die Wirksamkeit von DRM durch eine strenge Beschränkung der eingesetzten Hard- und Software gefördert werden. Es gibt eine Reihe von Situationen, in denen Unternehmen sich einen digitalen Radiergummi wünschen könnten. In jedem Fall ist zu unterscheiden, ob ein Gegner aktiv versucht, das Löschen zu verhindern, oder ob es nur Zufälle und Versehen sind, gegen die der Radiergummi helfen soll. Folgenden Herausforderungen sehen sich Unternehmen gegenüber:

Im Unternehmen liegen Daten vor, die zuverlässig gelöscht werden sollen, zum Beispiel nach Ablauf einer Lagerfrist, nach dem Ende eines Kundenverhältnisses oder aufgrund der Bestimmungen des Bundesdatenschutzgesetzes (insb. § 35).

Dieser Fall ist recht einfach zu lösen: Es gibt zahlreiche Programme, welche die Daten physisch überschreiben, sodass das Wiederherstellen der Daten unmöglich wird. (Bei aktuellen Magnet-Festplatten genügt technisch gesehen ein einfaches Überschreiben, siehe [3]. Das zuverlässige Löschen von Solid-State-Laufwerken (SSD) ist Gegenstand aktueller Forschung, siehe [4]. Allerdings müssen auch eventuell angefertigte Sicherheitskopien berücksichtigt werden und das kann schwierig sein, wenn sie nicht ausschließlich systematisch angelegt und gelagert wurden.

Ein Unternehmen möchte sicherstellen, dass bestimmte Daten nicht unberechtigt oder unbemerkt kopiert werden können, oder es möchte alle Daten zentral verwalten und löschen können sowie feingranular festlegen können, wer Daten abrufen und wer sie drucken darf, etc.

Solche Fälle können bis zu einem gewissen Grad tatsächlich durch digitales Rechtemanagement (und die noch weitergehenden Überwachungsfunktionen des so genannten „Trusted Computing“) gelöst werden. Wenn das Rechtemanagement wirkungsvoll sein soll, erfordert es sehr weitreichende organisatorische und technische Maßnahmen. Das wird allerdings die Produktivität der Mitarbeiter verschlechtern, da zwangsläufig auch legitime Tätigkeiten blockiert oder behindert werden. Einem gezielt und mit krimineller Energie vorgehenden Mitarbeiter kann es dennoch gelingen, geschützte Dokumente beispielsweise zu fotografieren.

Ein Unternehmen möchte Daten, die es selber irrtümlich im Internet veröffentlicht hat, wieder zurücknehmen.

Die Daten müssen nicht nur von der eigenen Website gelöscht werden, sondern es müssen auch Suchmaschinen- und Archivbetreiber aufgefordert werden, die betroffenen Daten aus ihren Zwischenspeichern zu entfernen. Das ist auf Anfrage möglich, kann jedoch einige Zeit in Anspruch nehmen. Auf den ersten Blick können DRM-Techniken wie X-Pire in solchen Situationen helfen, da sie verhindern, das Suchmaschinen und Archive die fraglichen Daten überhaupt erst erfassen. Tatsächlich existiert eine wesentlich einfachere Möglichkeit, mit der Suchmaschinen- und Archivbetreiber von der eigenen Seite oder auch von bestimmten Dokumenten, die sich darauf befinden, fern gehalten werden können. Alle seriösen Anbieter können mit einer einfachen Textdatei in der Domain, der „robots.txt“, dazu gebracht werden, eine Website nur teilweise oder überhaupt nicht zu erfassen.

Ein Unternehmen möchte Daten, die jemand anderes im Internet veröffentlicht hat, entfernt wissen.

In diesem Fall ist eine technische Lösung nicht Erfolg versprechend – selbst wenn das fragliche Dokument durch DRM geschützt war, ist nach der Veröffentlichung davon auszugehen, dass der Schutz bereits umgangen wurde. Ein juristisches Vorgehen gegen die Veröffentlichung ist möglich, allerdings kann es passieren, dass damit zusätzliche Aufmerksamkeit auf die fraglichen Daten gelenkt wird. Dieser Umstand wird im Internet als Streisand-Effekt bezeichnet. Er wird dadurch verstärkt, dass verschiedene Gruppen reflexhaft auf alles reagieren, was als Zensur des Internets interpretiert werden könnte. Um diesen Effekt zu vermeiden, kann eine gütliche Einigung mit der Person, die die Daten veröffentlicht hat, eine bessere Strategie sein – insbesondere wenn die Person offenkundig nicht aus Böswilligkeit, sondern aus Unwissenheit gehandelt hat.

Radiergummi oder Verfallsdatum?...

Die gereizte Reaktion der Netzwelt

Obwohl eine abschließende Lösung der Probleme einer ungewünschten Vervielfältigung oder Verbreitung mit technischen Mitteln nicht möglich ist, reagiert ein großer Teil der Netzgemeinschaft ablehnend oder sogar feindlich auf entsprechende Ansätze. Die zentrale Sorge ist, es könne eine wirksame Zensurinfrastruktur entstehen, die später zur Durchsetzung fragwürdiger wirtschaftlicher und gesellschaftlicher Interessen missbraucht werden könnte, denn auch wenn DRM-Techniken nie perfekt werden können, sind sie keineswegs wirkungslos. Sie zu umgehen erfordert Werkzeuge oder Kenntnisse, die nicht jedem zur Verfügung stehen. Außerdem besteht die Möglichkeit, dass technische Unzulänglichkeiten durch Gesetzte kompensiert werden. Genauso, wie die Umgehung von sogenannten wirksamen technischen Kopierschutzvorrichtungen (§95a Urheberrechtsgesetz) in Deutschland bereits unter Strafe steht, könnte auch die Wirksamkeit eines elektronischen Radierers durch Verbote und Vorschriften flankiert werden.

Die gesellschaftliche Komponente

Auch der Bundesdatenschutzbeauftragte Peter Schaar ist der Frage, wie das Löschen von Daten im Internet sichergestellt werden kann, in einem Beitrag [5] nachgegangen:

“Unabhängig davon überzeugen mich die technologischen Gegenargumente nicht. Selbst wenn die Löschung nicht garantiert werden kann, bedeutet dies nicht, dass man auf das Machbare verzichten muss. Auch in anderen Bereichen menschlichen Zusammenlebens lassen sich manche Ziele – auch solche, die allgemein akzeptiert sind – nicht hundertprozentig erreichen, was uns aber nicht daran hindert, entsprechende Regeln zu formulieren” – Peter Schaar.

Diese Aussage möchten wir hinterfragen: Der aktuelle Stand der Technik erlaubt es jeder und jedem, egal, ob es ein Konzern, ein Syndikat, eine Regierung oder eine Privatperson im Internetcafé ist, Daten zu vervielfältigen und zu speichern. Wenn digitale Radiergummis erst einmal allgegenwärtig sind, wird das anders.

Mit hinreichend Aufwand wird sich weiterhin alles, was einmal sichtbar oder hörbar war, persistieren lassen – beispielsweise durch abfotografieren. Diese Möglichkeit wird auch als analoge Lücke bezeichnet. Jedoch wird nicht mehr jeder in der Lage sein, diesen Aufwand zu erbringen. Möglich ist, dass eines Tages der durchschnittliche Privatnutzer, die NGO, oder der Whistleblower wirksam am Kopieren gehindert wird – bisweilen auch an der Weiterverarbeitung der eigenen Daten oder sogar einer Beweissicherung. Ein Beispiel wäre der Mittelständer, der gegen die unlauteren Online-Werbungen seines Wettbewerbers nicht vorgehen kann, da sein Wettbewerber die strittige Werbung einfach „digital ausradiert“ bevor ein Gericht sie zur Kenntnis nehmen kann. Noch drastischer wäre eine verbrecherische Organisation, die inkriminierendes Material trotz digitaler Löschung unbegrenzt vorhalten kann, während die Opfer nicht einmal ohne Weiteres in der Lage sind, die gegen Vervielfältigung geschützten Erpresserschreiben an die Polizei weiterzuleiten. Kurz gesagt könnte ein flächendeckender Einsatz von digitalem Rechtemanagement (und der weiterreichenden Variante des so genannten “Trusted Computing”) eine Asymmetrie schaffen, wo heute Gleichberechtigung herrscht.

Quellen

[1] http://www.heise.de/security/artikel/Bitte-vergessen-1167720.html

[2] http://www.danisch.de/blog/2011/01/05/idiotischekrytographie-made-in-germany/

[3] Craig Wright, Dave Kleiman und Shyaam Sundhar R.S.: Overwriting Hard Drive Data: The Great Wiping Controversy. In Lecture Notes in Computer Science, 2008, Volume 5352/2008, 243-257, DOI: 10.1007/978-3-540-89862-7_21

[4] Michael Wei, Laura Grupp, Frederick E. Spada und Steven Swanson: Reliably Erasing Data from Flash-Based Solid State Drives. 9th USENIX Conference on File and Storage Technologies, 15-17. Feb 2011, San Jose. http://www.usenix.org/events/fast11/tech/full_papers/Wei.pdf

[5] https://www.bfdi.bund.de/bfdi_forum/showthread.php?1697-Der-digitale-Radiergummi-und-das-Rechtvergessen-zu-werden

Dieser Beitrag wurde verfasst von Vincent Wolff-Marting

Meinungsecke Digitaler Radiergummi (PDF)

Der IT-Radar auf der ECSA 2011

Vom 13.-16. September 2011 findet in Essen die 5th European Conference on Software Architecture (ECSA 2011) statt. Genau wie bei ähnlichen Gelegenheiten in der Vergangenheit nimmt das Team des IT-Radars daran teil. Wir werden Interviews mit den Besuchern und Vortragenden führen und wollen die allgemeine Stimmung einfangen.

Die ECSA hat sich in den letzten Jahren zu einem festen Treffpunkt für Software-Architekten aus europäischen Universitäten und Unternehmen etabliert. Wir erwarten spannende Diskussionen um die aktuellsten Forschungsergebnisse und Erfahrungen im Bereich der Software-Architektur. Das Themenspektrum umfasst u.a. service- und komponentenbasierte Architekturen, Qualitätsattribute von Architekturen, Software-Produktlinien, das Management von Architekturentscheidungen, sowie Enterprise-Architekturen. Workshops zu den Themen Traceability und Abhängigkeiten sowie Variabilität von Software-Architekturen eröffnen weitere Möglichkeiten für tiefgehendere Diskussionen.

Keynote Speakers aus dem universitären und industriellen Umfeld präsentieren aktuelle Trends und Herausforderungen der Software-Architektur:

Interactive Ubiquitous Computing Systems (Albrecht Schmidt, Universität Stuttgart)

What Does it Really Mean to be an Architect? (Eberhard Wolff, adesso AG)

Software Analysis as a Service (Harald Gall, Universität Zürich)

Enterprise Architecture (Jörg Koletzki, E.ON IT GmbH)

Software Performance Engineering in Dynamic Environments (Raffela Mirandola, Politecnico di Milano)

Balancing Long-Term Research with Industrial Applicability (Magnus Larsson, ABB Corporate Research)

Das komplette Programm und Informationen zur Registrierung finden Sie unter http://www.ecsa2011.org. Noch ein Tipp: Bis zum 14. August gibt es einen Frühbucherrabatt.

Sicheres Cloud Computing - Teil 3

Ein besonderes Szenario des externen Angriffs auf Cloud Anwendungen stellt Vincent Wolff-Marting im dritten Teil unserer Reihe des Video-Glossars "sicheres Cloud Computing" vor. In diesem Szenario wird der Angreifer offiziell Kunde beim entsprechenden Cloud Dienstleister. Da der Kunde als Angreifer nun im lokalen Netz des Cloud Anbieters operieren kann, sind die vorhandenen Schutzmaßnahmen gegen Angriffe aus dem Internet gegen diese Art des Angriffs wirkungslos. Drei Arten des Angriffs stehen hierbei im Vordergrund:

Die Übernahme von Sessions

Das Ausnutzen von Abhörmöglichkeiten im lokalen Netz des Cloud Anbieters

Der Ausbruch aus der virtuellen Maschine

7. Video-Glossar: sicheres Cloud Computing - Szenario 2 von IT-Radar auf Vimeo.

In den folgenden Teilen der Reihe "sicheres Cloud Computing" gehen wir auf Angriffe durch einen Insider ein und stellen abschließend generelle Schutzmaßnahmen vor. Eine Einführung in das Thema Cloud Computing finden sie im ersten Teil unserer Reihe: Sicheres Cloud Computing - Teil 1

Sicheres Cloud Computing - Teil 2

Cloud Anwendungen benötigen im Unterschied zu lokal betriebenen Anwendungen immer eine Verbindung zum Unternehmensnetzwerk oder sogar zum Internet. Diese Verbindungen können von externen Angreifern für einen Angriff missbraucht werden. Hierbei gibt es drei verschiedene Arten des Angriffs:

Angriffe auf die Cloud Anwendung

Angriffe auf den Datentranport

Angriffe auf die lokale Infrastruktur

Im zweiten Teil unserer Reihe des Video-Glossars "sicheres Cloud Computing" erläutert Vincent Wolff-Marting diese drei Arten des Angriffs und stellt entsprechende Lösungsansätze vor.

6. Video-Glossar: sicheres Cloud Computing - Szenario 1 von IT-Radar auf Vimeo.

In den folgenden Teilen der Reihe "sicheres Cloud Computing" werden wir auf Angriffe durch einen Insider sowie auf Angriffe durch benachbarte Cloud Anwendungen eingehen. Eine Einführung in das Thema Cloud Computing finden sie im ersten Teil unserer Reihe: Sicheres Cloud Computing - Teil 1

Serviceorientierte Vorgehensmodelle

Der Hype um Serviceorientierte Architekturen ist der Wahrnehmung nach abgeklungen. Es stellt sich die Frage, ob die Serviceorientierten Architekturen (SOA) tatsächlich in der produktiven Entwicklung angekommen sind. In einem Interview, das der IT-Radar 2008 mit Prof. Dr. Gregor Engels führte, wurden verschiedene Herausforderungen genannt, deren Erfüllung den produktiven Einsatz von SOA bedingen. In diesem Paper des Monats betrachten wir den Beitrag von Oliver Thomas, Katrina Leyking und Michael Scheid zum Thema „Serviceorientierte Vorgehensmodelle: Überblick, Klassifikation und Vergleich“. Außerdem resümieren wir, ob die Serviceorientierten Architekturen nun bereit sind für den produktiven Einsatz und ob diese dort 2011 schon angekommen sind.

Einleitung

Der Begriff der Serviceorientierten Architekturen (SOA) hat sich in den letzten Jahren zu einem festen Bestandteil der IT-Begriffswelt entwickelt. Der Hype, der noch zu Beginn der Jahrtausendwende dieses Thema beflügelte, scheint abgeklungen zu sein. Doch sind die Serviceorientierten Architekturen bereits in der produktiven Entwicklung angekommen? Im Mai 2008 hat der IT-Radar ein Interview zum Thema Serviceorientierte Architekturen (SOA) mit Prof. Dr. Gregor Engels von der Universität Paderborn geführt. Neben einigen grundlegenden Informationen über die Ziele und den Aufbau von SOA wurden drei Herausforderungen für den produktiven Einsatz identifiziert.

Konvergenz von Business und IT: Um serviceorientiert entwickeln zu können, muss die IT verstehen, welche Services wirklich benötigt werden und welchen Anforderungen diese genügen müssen. Dazu ist es notwendig, eine gemeinsame Sprache zu finden, mit der sich Vertreter sowohl der fachlichen als auch der technischen Ebene verständigen können.

Schnitt von Services: Ausgehend von den Geschäftszielen werden schrittweise Services geschnitten. Dabei muss auf die richtige Granularität und Aufteilung der Services geachtet werden.

Vorgehensweisen zur SOA-Entwicklung: Wichtiger als eine bestimmte Technologie, mit der sich SOA umsetzen lässt, ist das Vorgehen, um serviceorientiert zu entwickeln. Mit der Methodik werden die beiden vorherigen Herausforderungen verknüpft: Sie benötigt Konvergenz von Business und IT und ermöglicht den passenden Schnitt von Services.

Im Rahmen des Interviews hat Professor Engels das Fehlen von Vorgehensmodellen zur SOA-Entwicklung als einen der Hauptgründe dafür identifiziert, dass SOA in Unternehmen weniger weit verbreitet ist, als zu vermuten wäre. Aus diesem Grund beschäftigt sich das aktuelle Paper des Monats mit der Arbeit „Serviceorientierte Vorgehensmodelle: Überblick, Klassifikation und Vergleich“ von Oliver Thomas, Katrina Leyking und Michael Scheid. Die Autoren stellen darin Anforderungen an Vorgehensmodelle zur SOA-Entwicklung vor und vergleichen existierende Prozesse auf dieser Grundlage miteinander. Anhand der Kriterien können Unternehmen auch Vorgehensmodelle, die in der Arbeit nicht explizit untersucht wurden, miteinander vergleichen und damit die beste Methodik für eine bestimmte Projektkonstellation ermitteln.

SOA-Anforderungen an Vorgehensmodelle

Eine SOA besteht aus bereits bekannten Konzepten, die neuartig miteinander verknüpft werden – die Autoren sprechen von einer evolutionären Weiterentwicklung. Das primäre Ziel serviceorientierter Architekturen ist die Bereitstellung von Möglichkeiten, mit denen flexibel auf sich ändernde Geschäftsanforderungen reagiert werden kann. Auf Grundlage der untersuchten Literatur leiten die Autoren des Papers weitere Ziele einer SOA ab und verknüpfen diese mit Herausforderungen, welche von Vorgehensmodellen bewältigt werden müssen.

Durch SOA soll es ermöglicht werden, existierende Systeme zu dekomponieren und die Abhängigkeiten der einzelnen Bestandteile untereinander zu verringern. Dies führt zu der Anforderung, dass Services modular aufgebaut sein müssen.

Zur einfacheren Verwendung sollen Schnittstellen angeboten und Implementierungsdetails verborgen werden. Um dies zu ermöglichen, müssen Services ein optimales Abstraktionsniveau besitzen.

Services sollen sowohl wiederverwendbar als auch effizient nutzbar sein. Dazu ist ein passender Kompromiss zwischen grob- und feingranularen Services notwendig.

Services einer SOA sollen zu vollständigen Geschäftsprozessen zusammengesetzt werden können. Die Services müssen daher prozessorientiert entwickelt werden.

Nach Darstellung der Autoren sind neue Entwicklungsmethoden notwendig, da sich die Herausforderungen mit den traditionellen Vorgehensmodellen nicht meistern lassen. Aufbauend auf dieser These analysieren sie Vorgehensmodelle, die auf die Entwicklung von SOA angepasst sind. Die untersuchten Vorgehensmodelle unterliegen dabei der Restriktion, dass sie vollständig sind, d.h., alle Phasen der SOA-Entwicklung abdecken müssen. Die Autoren schränken die Auswahl des Weiteren daraufhin ein, dass die Vorgehensmodelle den vier Herausforderungen Modularisierung, Abstraktion, ausgewogene Granularität und Prozessorientierung genügen müssen.

Kriterien zur Bewertung von Vorgehensmodellen

In der Arbeit wird ein Katalog von insgesamt 24 Merkmalen zur Bewertung von SOA-Vorgehensmodellen vorgestellt. Diese sind in drei Klassen unterteilt und ermöglichen damit einen methodischen Vergleich der untersuchten Modelle. Der Katalog ist flexibel gehalten, so dass er im Rahmen eines eigenen Vergleichs um weitere projektspezifische Merkmale erweitert werden kann.

Die erste Klasse des Katalogs beinhaltet Merkmale mit Bezug zu den Entwicklungszielen einer SOA. Unter anderem wird im Rahmen der Perspektive geprüft, welche Zielgruppen die Methode hat. Dies können entweder Anbieter, Anwender oder aber Broker von Services sein. Eine Methode kann weiterhin mit dem Ziel des Business- oder des Software-Engineerings erstellt worden sein. Beim Business Engineering ist die Anpassung von Geschäftsprozessen an sich wechselnde Rahmenbedingungen zentral; das Software-Engineering hingegen beschäftigt sich mit der Interaktion von Geschäftsprozessen. Insgesamt untersuchen die Autoren sechs Merkmale, die sich auf die Entwicklungsziele einer SOA beziehen. Diese können 13 Ausprägungen annehmen.

In der der zweiten Klasse - den SOA-unspezifischen Vorgehensmerkmalen - sind allgemeine Eigenschaften von Vorgehensmodellen enthalten. Diese lassen sich auch bei der Kategorisierung von Modellen zur Entwicklung anderer Anwendungstypen als SOA erfassen. Unter anderem wird geprüft, wie der Entwicklungsprozess gesteuert wird. Dies kann entweder aktivitätsorientiert durch eine Beschreibung der Aktivitäten, ergebnisorientiert durch eine Angabe der zu erreichenden Ergebnisse je Entwicklungsphase oder aber entscheidungsorientiert durch Angabe von Bedingungen, anhand derer sich die einzelnen Aktivitäten ausrichten, erfolgen. Um zu prüfen, ob sich Vorgehensmodelle in einem Unternehmen einsetzen lassen, eignen sich die Merkmale Sprach- und Methodenempfehlung. Diese geben einerseits an, welche Notationsformen für Geschäftsprozesse das Modell empfiehlt (z.B. UML Aktivitätsdiagramme, EPKs), andererseits wird festgelegt, auf welcher Gesamtmethode der Prozess beruht (z.B. ARIS). Im Rahmen der Arbeit werden acht Merkmale untersucht, die SOA-unspezifisch sind und die insgesamt in 20 verschiedenen Ausprägungen vorliegen.

Schließlich werden Merkmale, die nur im Kontext von SOA-Projekten auftreten, in der Klasse SOA-spezifische Vorgehensmerkmale zusammengefasst. Hier ist insbesondere interessant, auf welcher Grundlage SOA-Projekte initialisiert werden. Dies kann anhand einer Analyse von Geschäftsprozessen, einer Analyse vorhandener Anwendungssysteme oder aber anhand der Analyse der Unternehmensstrategie erfolgen. Außerdem wird geprüft, wie SOA in Unternehmen eingeführt wird. Hierbei lässt sich zwischen den beiden Ausprägungen evolutionär und revolutionär unterscheiden. In der Gruppe der SOA-spezifischen Merkmale finden sich zehn Eigenschaften, die in 28 unterschiedlichen Ausprägungen vorliegen können.

Vergleich der Vorgehensmodelle

Anhand der vorgestellten Merkmale haben die Autoren neun Vorgehensmodelle zur SOA-Entwicklung miteinander verglichen. Dabei handelt es sich im Detail um Creating Service-Oriented Architectures von Barray & Associates, Inc, dem Service-Oriented Modeling Framework der Methodologies Corporation, der Enterprise-SOA-Roadmap-Methodik der SAP AG, der SOA-Umsetzung nach Mathas, der Service-Oriented Transition of Legacy Systems von Nadhan, dem Service-Oriented Design and Development von Papazoglou und van den Heuvel, dem SOA-Entwicklungsprozess der brick@work GmbH, dem Vorgehensmodell zur Entwicklung von Geschäftsservices der IDS Scheer AG sowie dem SOA Foundation Lifecycle von IBM.

Die vorgestellten Vorgehensmodelle stammen – bis auf die Methodik von Papazoglou und van den Heuvel, die verschiedene existierende Vorgehensmodelle miteinander verglichen und zu einem neuen aggregiert haben – aus der Praxis. Sie sind aus Erfahrungen der jewiligen Urheber bei der Umsetzung von SOA entstanden. Durch diesen Erfahrungsschatz ist sichergestellt, dass sie einige Besonderheiten der Praxis beachten, die bei einer rein wissenschaftlichen Untersuchung verloren gingen.

Die Analyse der Vorgehensmodelle hat einige interessante Gegebenheiten aufgedeckt, welche wir im Folgenden kurz vorstellen wollen. So beleuchtet die Mehrheit der Methoden nur die Sichtweise der Serviceanwender, nur ein geringer Teil beschäftigt sich mit der Anbietersicht und kein einziges Vorgehensmodell ist auf Servicebroker angepasst. Die Autoren argumentieren, dass dies besonders vor dem Hintergrund erstaunlich ist, da die Entwicklung von SOA-Anwendungen oftmals ausgelagert wird und somit die Anbietersicht eigentlich die interessantere sein sollte. Weiterhin beschreiben alle Modelle die Software-Engineering- aber nur vier die Business-Engineering-Sicht. Dies resultiert aus dem eher technisch geprägten Umfeld, in dem die Vorgehensmodelle entstanden sind. Als vorteilhaft sehen die Autoren an, dass sich nur zwei der untersuchten Methoden auf die Nutzung spezifischer Werkzeuge festlegen. Entwickler sind dadurch nicht auf bestimmte Anwendungen angewiesen und können die Vorgehensmodelle im unternehmensspezifischen Kontext anwenden.

Zur Einführung einer SOA ist es anfangs notwendig, einen Anforderungskatalog zu definieren. Dabei gibt es noch keine einheitliche Sichtweise darüber, was der Gegenstand der Initialisierung sein soll. Ein Teil der Modelle empfiehlt die Initialisierung anhand bestehender Anwendungssysteme, ein anderer Teil anhand der Unternehmensstrategie. Allerdings geht kein einziges Modell von einer Initialisierung anhand der Analyse von Geschäftsprozessen aus. Alle Vorgehensmodelle stellen die Automatisierung von Geschäftsprozessen in den Vordergrund. Nur ein einziges Vorgehensmodell gibt Vorschläge zur manuellen Steuerung der Prozesse und ermöglicht damit menschliches Eingreifen in den Ablauf. Dies ist ein weiterer wichtiger Kritikpunkt der Autoren, da nur die wenigsten Prozesse vollautomatisch durchgeführt werden können.

Im Kontext von SOA-Anwendungen kommt es vor, dass Geschäftsprozesse organisationsübergreifend ausgeführt werden müssen. Diese Gegebenheit wird von vier der Vorgehensmodelle berücksichtigt, die restlichen betrachten nur organisationsinterne Prozesse. Die Autoren heben hervor, dass kollaborative SOA-Anwendung in der heutigen Marktsituation besonders wichtig ist. Ein weiterer Kritikpunkt ist, dass kein einziges der untersuchten Vorgehensmodelle Hilfen zur Auswahl von Services anhand betriebswirtschaftlicher Kriterien gibt. Wenn überhaupt, werden Quality of Service Aspekte berücksichtigt; die Mehrheit der Modelle lässt allerdings die Auswahl von Services völlig außen vor. Auch sehen alle Modelle vor, Services zur Entwicklungszeit auszuwählen. Dadurch können diese bei geänderten wirtschaftlichen Rahmenbedingungen nicht schnell ausgetauscht werden. Dieser Umstand steht den eigentlichen SOA-Zielen entgegen.

Fazit

Mit ihrer Arbeit haben Thomas, Leyking und Scheid eine umfassende Übersicht über vorhandene Vorgehensmodelle zur SOA-Entwicklung vorgelegt. Die Diskussion der untersuchten neun Vorgehensmodelle ermöglicht es Entscheidern, das Modell auszuwählen, welches sich am besten in ihre organisatorischen Gegebenheiten einfügen lässt. Die Arbeit zeigt weiterhin Gemeinsamkeiten und Unterschiede zwischen den einzelnen Modellen auf und unterstützt Praktiker und Theoretiker bei der Entwicklung neuer Vorgehensmodelle.

Der von den Autoren aufgestellte Merkmalskatalog ermöglicht es, Vorgehensmodelle, die nicht in dem Paper betrachtet wurden, zu analysieren. Durch die zusätzliche Möglichkeit, den Katalog um weitere Eigenschaften zu erweitern, kann die Vergleichsmethodik stets an die aktuellen Erfordernisse angepasst werden. Dadurch lassen sich auch unternehmensspezifische Anforderungen in den Vergleich der Vorgehensmodelle mit einbeziehen.

Der IT-Radar meint: Dieses Paper gibt einen umfassenden Überblick über relevante SOA-Vorgehensmodelle und stellt dem Leser gleichzeitig eine Vergleichsmethode zur Verfügung, die der einzigen Konstante in der IT Rechnung trägt, der Veränderung. Wer den Einsatz von Serviceorientierten Architekturen optimal an den Anforderungen und den unternehmensspezifischen Eigenschaften ausrichten möchte, sollte sich dieses Paper unbedingt ansehen.

Dieser Beitrag wurde verfasst von Andreas Heinecke und Michael Becker

Das Paper des Monats

Serviceorientierte Vorgehensmodelle: Überblick, Klassifikation und Vergleich, Thomas, Oliver; Leyking, Katrina; Scheid, Michael; in: Informatik Spektrum. Volume 33, Nummer 4, 2010. S. 363-379. Digital Object Identifier: 10.1007/s00287-009-0399-5.
Es ist zu beziehen unter: http://www.springerlink.com/content/j1006564n61128x3/

Paper des Monats #3 (PDF)

Sicheres Cloud Computing - Teil 1

Cloud Computing bleibt ein viel diskutiertes Thema. Die Bewertungen reichen vom "Ende des Desktop-Computers" bis hin zu kritischen Meinungen, die wiederum dem Cloud Computing ein baldiges Ende voraussagen. Immer wieder treten dabei die Fragen nach der Sicherheit von sensiblen Daten in den Vordergrund. Was für den Privatnutzer häufig weniger relevant ist, wird spätestens im geschäftlichen Umfeld eine ausschlaggebende Kategorie bei der Entscheidung pro oder contra Cloud Computing.

Im ersten Teil unserer neuen Reihe des Video-Glossars erläutert Vincent Wolff-Marting zunächst kurz und knapp die Grundkonzepte des Cloud Computings und beginnt mit einer Systematisierung des Schutzbedarfs für Unternehmen.

5. Video-Glossar: sicheres Cloud Computing - Teil 1 von IT-Radar auf Vimeo.

In den folgenden Teilen der Reihe "sicheres Cloud Computing" werden wir exemplarisch einige zentrale Bedrohungsszenarien vorstellen und strukturelle sowie technische Lösungsansätze präsentieren:

Angriffe auf die unternehmensinterne Infrastruktur

Angriffe auf den Datentransport

Angriffe auf die Cloud Anwendung

Der Kunde als Angreifer

Angriffe auf eine benachbarte Cloud Anwendung

Angriffe durch einen Insider seitens des Dienstleisters

Eine detaillierte und unterhaltsame Einführung von Simon Wardley in das Thema Cloud Computing finden Sie hier.

Dieses Video-Glossar entstand mit freundlicher Unterstützung des E-Learning-Service der Universität Leipzig.

Dr. Alexander Richter zu Enterprise 2.0 - Teil II

Wie kann der Nutzen von Enterprise 2.0 gemessen werden? Und gibt es überhaupt unternehmens-übergreifende Parameter, welche sich messen lassen? Auch im zweiten Teil unseres IT-Radar-Interviews mit Dr. Alexander Richter von der Forschungsgruppe Kooperationssysteme an der Universität der Bundeswehr München geht Vincent Wolff-Marting verschiedenen Fragen zum Einsatz von Social Software in Unternehmen nach. Insbesondere der Nutzen des Einsatzes und der Stand der Durchdringung in Unternehmen stehen hier im Vordergrund, wobei schließlich in einer vorsichtigen Prognose der zentrale Stellenwert der Unternehmenskultur thematisiert wird.

Interview mit Dr. Alexander Richter - Teil II (MP3, 30 MIN)

Interview mit Dr. Alexander Richter - Teil I+II (MP3, 59 MIN)

Transkript des Interviews mit Dr. Alexander Richter - Teil II (PDF)

Transkript des Interviews mit Dr. Alexander Richter - Teil I+II (PDF)

Informationen zu Dr. Alexander Richter

Das Interview zum Nachlesen:

Herzlich Willkommen zum zweiten Teil unseres IT-Radar-Interviews mit Dr. Richter. Im ersten Teil sprachen wir mit ihm unter anderem über die Einsatzmöglichkeiten von Social Software. Nun gehen wir vor allem auf den Nutzen von Social Software ein und thematisieren den aktuellen wie auch zukünftigen Stand des Einsatzes im Unternehmen.

Wenn ein Unternehmen mit dem Gedanken spielt, sich im Enterprise 2.0 Bereich zu engagieren oder seine Aktivitäten hier auszuweiten: Wer sollte das machen, kann so etwas gut initiieren und durchführen und worauf muss dabei geachtet werden?

Das ist mit dem Einsatz von Social Software in Unternehmen ist ein bisschen spezieller als bei anderen Lösungen, denn oftmals stellt sich diese Frage gar nicht mehr in den Unternehmen. Wir haben uns dazu Fallstudien aus mehreren Unternehmen angeschaut und analysiert.

In diesem Zusammenhang haben wir gerade eine Veröffentlichung geschrieben, die im Februar auf der „Internationalen Konferenz Wirtschaftsinformatik 2011“ in Zürich vorgestellt wird. Ein Ausblick auf die Studie wurde bereits auf dem Enterprise 2.0-Summit in Frankfurt vorgestellt. Um einmal kurz die Ergebnisse zusammenzufassen: Wir haben festgestellt, dass sich diese Frage nach Bottom Up und Top Down oft gar nicht mehr stellt, denn es gibt Unternehmen, in denen die Mitarbeiter einfach so frei waren, dass sie gar nicht mehr auf die IT-Abteilung gewartet haben, da diese Abteilung nach deren Ansicht nur Probleme macht. Die waren aber so vernünftig, nicht alles über Facebook zu machen, sondern ein eigenes Wiki, Webblog oder ähnliches aufzusetzen, was ja nicht so kompliziert ist. Dafür braucht man nicht so viel IT-Expertise; das habe ich als ursprünglicher Betriebswirt auch schon hin bekommen und das haben einzelne Fachabteilungen in Unternehmen auch geschafft.

Die Fachabteilungen testeten, ob es funktioniert und wenn es klappte, konnte man immer einen Schritt weitergehen und versuchen, das genehmigen zu lassen. Das ist in verschiedenen Unternehmen passiert und zwar oftmals noch gar nicht so zielgerichtet, dass man schon gewusst hätte, wofür man es genau einsetzt. Da ist der Wunsch ein solches System zu haben vorhanden, da Beispiele wie Wikipedia auch funktionieren und das eigene Unternehmen davon vielleicht auch profitieren könnte.

Wir haben dieses Vorgehen Exploration genannt. Es gibt aber in Unternehmen auch IT-Verantwortliche, die frühzeitig erkannt haben, dass es da ein gewisses Potenzial gibt. Die sind natürlich ein bisschen zielgerichteter vorgegangen und haben sich an Lösungen orientiert, welche offensichtlich funktionieren und in deren Unternehmen effizient eingesetzt werden können, und zwar für ganz bestimmte Anwendungsszenarien oder auch Use Cases. Dieses Vorgehen haben wir Promotion genannt, was bedeutet, dass die Dienste sowie die Art und Weise der Nutzung im Vorfeld angekündigt werden.

Wir haben festgestellt, dass sich beides nicht unbedingt ausschließt. Es gab in Firmen oftmals zunächst kleinere Initiativen, verschiedene Abteilungen mit eigenen Webblog oder Wiki, die es teilweise schon seit 2005 oder 2006 gab. Darauf folgend gab es eine Phase, in der man langsam wusste, wie man das Ganze einsetzen möchte und die Zustimmung der oberen Führungsschicht bekommen und daraufhin angefangen hat, das Ganze zu professionalisieren. Das heißt, man hat angekündigt, dass die Einführung nun offiziell sei, von allen Mitarbeitern genutzt werden soll und sich bereits einige Dinge als besonders vorteilhaft herausgestellt haben und in einer bestimmten Art und Weise genutzt werden sollen.

Zusammengefasst kann man schlecht sagen, ob Bottom Up oder Top Down richtig oder falsch ist. Denn bei dem Einsatz von Social Software passiert es manchmal schnell, dass man diesen Bottom Up-Ansatz, also die Explorationsphase wählt, ohne dass man über die richtige Strategie hätte nachdenken können. Manche Unternehmen haben dann folgerichtig beschlossen, darauf aufzubauen und die Promotionsphase anzuschließen.

Da kann man auch nicht sagen, dass aus dem Bottom Up auf einmal ein Top Down wurde, sondern dass diese beiden Phasen Hand in Hand gehen und man jetzt versucht, mit der Zustimmung der Unternehmensführung oder der IT-Abteilung die Einführung zielgerichteter zu strukturieren. Bei dreiviertel der Unternehmen, die wir angeschaut haben, hat sich dieses Verhalten verselbständigt, also zuerst zur Exploration und dann zur Promotion. Und nur bei ganz wenigen Unternehmen war es so, dass von Anfang an festgelegt worden ist, wie das System genutzt werden soll.

Ich würde trotzdem sagen, dass auch das nicht falsch sein muss. Aus meiner Sicht gibt es kein Richtig oder Falsch, es muss viel mehr zu dem Unternehmen passen. Wenn Mitarbeiter eines Unternehmens eher mit der IT vertraut sind, warum soll man sie dann nicht mal selbst los laufen lassen und ihnen die Möglichkeit geben, ihre eigenen Anwendungsszenarien zu finden?

Und wenn in einem anderen Unternehmen jeder Angst vor dieser Lösung hat, muss man diese Mitarbeiter vielleicht ein bisschen mehr an die Hand nehmen und zum Beispiel einen Workshop machen und ihnen erklären, wie sie das System zu benutzen haben. Dieses Problem ist auch von der Erfahrung, teilweise auch vom Alter, und von anderen Faktoren abhängig.

Wie fortgeschritten ist denn die Durchdringung der Unternehmen mit diesen neuen Technologien? Wir haben eine Studie des BITKOM von 2008 gefunden, in der Entscheider befragt wurden. Dabei wurden 400 Unternehmen, vornehmlich aus dem Informationsgewerbe, und Dienstleister befragt. Davon haben 87 Prozent geäußert, dass in ihrem Bereich das Web 2.0 zukünftig eine große Rolle spielen wird. Wenn Sie jetzt in Ihr Fallstudienraster schauen, wie weit würden Sie sagen, sind diese Unternehmen mittlerweile gekommen? Die Studie ist zwei Jahre alt. Nutzen 87 Prozent der Unternehmen die modernen Technologien?

Zuerst äußere ich mich einmal zu der Studie: Ich kenne diese Studie natürlich auch und es gibt noch mehr Studien, auf die ich später noch eingehen werde. Was ich an dieser Studie interessant finde, ist, dass der BITKOM, ohne zu sehr gegen den BITKOM schießen zu wollen, genau wusste, dass das ein Trend ist der von unten kommt und nicht nur von den Entscheidern. Wenn es jetzt aber darum geht, den Ist-Stand zu erheben, werden trotzdem nur 400 Entscheider in Unternehmen befragt. Hier stellt sich die Frage, ob ich so tatsächlich eine repräsentative Antwort bekomme oder ob ich erstens eine Antwort von den Leuten bekomme, welche weiter oben sitzen und entsprechend so antworten, dass es ihr Unternehmen in einem eher positiven Licht erscheinen lässt und zweitens, ob diese Personen tatsächlich alles wissen, was in ihrem Unternehmen passiert.

Der erste Punkt würde ja dafür sprechen, dass die Entscheider sich tendenziell für einen Einsatz dieser Technologien aussprechen. Das würde darauf hindeuten, dass die Zahl eher zu hoch gegriffen scheint. Der zweite Punkt ist, dass die IT-Entscheider oftmals gar nicht genau wissen, was an den Grass Roots, also unten bei den Mitarbeitern, die diese Tools dann tatsächlich auch nutzen, eingesetzt wird oder was da passiert. Das würde wiederum eher dafür sprechen, dass unterschätzt worden ist, in welchem Umfang das Ganze zum Einsatz kommt und der gemessene Wert, dass die meisten Unternehmen in Deutschland an irgendeiner Stelle diese Technologien einsetzen, schon zutrifft - vor allem am Ende des Jahres 2010.

Die Frage ist aber: Was bedeutet es für ein Unternehmen, die Technologie einzusetzen und ob es ausreicht, wenn an irgendeiner Stelle ein kleines Wiki steht. Der Einsatz kann aber auch bedeuten, dass im ganzen Unternehmen jeder Mitarbeiter Zugriff auf eine Social Networking-Plattform hat, wo auch ganz viele Mitarbeiter vertreten sind und es die Möglichkeit gibt, jeden anzusprechen oder über diese Kanäle zu kommunizieren. In den letzten Monaten hat sich da einiges verändert.

Wir sind jetzt ein bisschen weiter weg von der Experimentierphase, in welcher Unternehmen auch mal einfach Technologien ausprobieren wollten. Heute stellt man sich eher die Frage, wofür das genau eingesetzt werden soll, ob alle Potentiale bereits ausgereizt wurden und ob die Systeme untereinander sinnvoll integriert werden können. Ich denke, wir haben inzwischen eine hohe Durchdringung in den Unternehmen. Das Potenzial ist aber bei weitem nicht ausgereizt, da viele Plattformen trotzdem nicht effizient genutzt werden. Einige Plattformen sind sehr schlecht integriert, was heißt, dass einerseits viele Informationen produziert werden, die dann aber andererseits doch nicht ankommen, weil irgendwann nicht mehr auf den Blog geschaut wird, weil es zu viele Blogs gibt oder ein Wiki langsam verkümmert.

Das heißt, dass die Plattformen jetzt wirklich in diese Arbeitsprozesse hinein wachsen müssen. Wir sprechen in so einem Fall von Aneignung. Ich glaube, dass sich da gerade viel verändert. Was sich auch verändert, ist die Wahrnehmung in den Unternehmen. In den Jahren 2007 und 2008 hat man sich noch als innovativer Unternehmer gefühlt, wenn man diese Werkzeuge eingesetzt hat. Im Jahre 2010 bewerte ich ein Unternehmen, welches bisher nicht ansatzweise probiert hat seine Mitarbeiter bei der Zusammenarbeit zu unterstützen, indem solche Medien zum Einsatz kommen, als eher rückständig und glaube, diese Unternehmen könnten auch schon Probleme haben, weil die Mitarbeiter nicht nachvollziehen können, dass da noch nichts gemacht wurde.

Insofern glaube ich, dass heute mindestens 90 Prozent der Unternehmen behaupten würden, dass man solche Plattformen in ihren Unternehmen nutzen kann. Wie weit das Potenzial tatsächlich schon genutzt wird ist sehr kontextabhängig. An unseren Fallstudien sehen wir, dass in vielen Unternehmen der Einsatz reift. Das heißt, dass es teilweise vielleicht noch dieselben Technologien sind.

Ich kann da auch aus eigener Erfahrung sprechen: Wir bloggen immer noch auf derselben Wordpress-Plattform, haben aber inzwischen viel mehr Erfahrung zur effizienten Nutzung gesammelt. Dabei geht es gar nicht darum, wie man es nicht nutzen soll, sondern um das Verständnis der Möglichkeiten der Nutzung. Wenn Menschen wie wir, die sich praktisch tagtäglich damit auseinandersetzen, immer noch drüber diskutieren, können die Menschen in den Unternehmen da auch noch jahrelang weiter lernen um irgendwann die Potenziale weitestgehend ausnutzen zu können.

‚Nutzen’ ist auch direkt das Stichwort: Wenn wir davon ausgehen können, dass die Durchdringung da ist, dann ist es sicherlich spätestens jetzt an der Zeit zu fragen: Was bringt es denn wirklich? In der gleichen Studie wurde auch gefragt: Was wird von einem Enterprise 2.0 System erwartet und warum wird es eingeführt? Hier haben die Teilnehmer überwiegend geantwortet, sie erhofften sich eine effizientere Nutzung von explizitem und implizitem Wissen, das im Unternehmen vorhanden ist. Uns würde interessieren: Wie sehen Ihre Erfahrungen aus? Was haben Sie mit Ihrem Fallstudienraster ergründen können? Worin besteht denn der Nutzen?

Die Frage nach dem Nutzen von Social Software ist eine sehr spannende Frage, denn an den Nutzen schließt sich die Frage nach der Erfolgsmessung an. Wie kann ich den Nutzen messen und was ist der Erfolg des Ganzen?

Das ist eine Frage, die mir jemand stellt, wenn ich in ein Unternehmen komme und empfehle, Enterprise 2.0 Werkzeuge einzusetzen. Dann fragt der Unternehmer natürlich nach dem Nutzen und der Messbarkeit von selbigem. Jetzt kommen wir als langweilige Forscher und sagen, dass das Messen des Nutzens nicht so einfach ist. Die Messung hängt von vielen Faktoren ab, von Anwendungsszenarien und dem Kontext, so dass ich nicht eine Zahl wie 5,78 oder eine Größe im monetären Bereich vorlegen kann, auch wenn es an der einen oder anderen Stelle gemacht wurde.

Aber das halte ich nicht für sinnvoll. Die Frage ist tatsächlich eher: Wo ist für mein Unternehmen in meinem speziellen Einsatzkontext das Potenzial? Da ist mir die Antwort, dass der Austausch von explizitem und implizitem Wissen unterstützt werden soll, ein bisschen zu weit oben, denn viel mehr Möglichkeiten gibt es ja gar nicht mehr. Wenn wir sagen, explizites Wissen ist, Informationen und Dokumente auszutauschen und implizites Wissen wird fast nur über Kommunikation und Zusammenarbeit gesammelt, dann wäre ich auf jeden Fall dabei. Aber die Frage, die sich jedes Unternehmen stellen muss ist viel konkreter, da zunächst herausgefunden werden muss, in welchem Kontext es genutzt werden soll.

Wenn ich das Ganze auf Teamebene zum Projektmanagement einsetzen will, um Termine oder Meetings zu koordinieren und nachzubereiten, kann ich einen Microblog ganz toll einsetzen. Gerade zum Thema Microblogging haben wir in der letzten Zeit viel gesammelt und festgestellt, dass es ganz extrem darauf ankommt, für welche Tätigkeiten sich die Mitarbeiter die Funktion des Tools aneignen, wobei da auch dieselbe Plattform für verschiedene Zwecke zum Einsatz kommen kann.

Zuletzt habe ich dazu mit der Universität in Sydney an einer Studie gearbeitet, wo genau das herausgekommen ist: Dieselbe Plattform kann für komplett unterschiedliche Zwecke eingesetzt werden, was einfach daran liegt, dass die Plattformen sich sehr schön anpassen oder aneignen lassen. Dabei wird in Unternehmen eher darauf geachtet, die Plattform so zu nutzen, wie diese es für richtig halten, wobei auf eine Anpassung der Technik eher weniger geachtet wird.

Um jetzt noch einmal auf die Frage nach dem Nutzen zurückzukommen: So gemein es klingt, aber jedes Unternehmen muss selbst herausfinden, wo das größte Potential liegt. Wenn die Teams schon ganz toll zusammenarbeiten und da keine Kommunikationsprobleme sehen, muss man nicht unbedingt auf der Teamebene ansetzen. Aber in Unternehmen mit 300 oder 400 Mitarbeitern, wo sich nicht mehr alle Kollegen zur täglichen Kaffeepause sehen, ist es wichtig, ein Bewusstsein dafür zu schaffen, womit sich andere Experten im Unternehmen auseinandersetzen. Dann sollte eine unternehmensweite Lösung angestrebt werden, wobei der Fokus auf Kommunikation liegt. Ein Schlagwort aus der Wissenschaft ist Awareness-Unterstützung, also zu wissen, was andere Kollegen gerade machen und wie sie es machen.

Das sind völlig unterschiedliche Arten der Nutzung und es verlangt ein unterschiedliches Vorgehen, wenn man Teamarbeit unterstützen oder den Austausch auf einer Unternehmensebene unterstützen möchte. Eine pauschale Antwort gibt es nicht und ich denke, das Spannende für jedes Unternehmen ist es, das selbst herauszufinden.

Hier ist zu unserer großen Freude auch die Forschung gefragt, da die Potenziale noch nicht vollständig erschöpft sind. Wir glauben nach den ersten Studien, dass besonders die Anwendungsszenarien oder Use Cases im Bereich der Awareness-Unterstützung sinnvoll erscheinen, wobei es mit Sicherheit noch weitere Potentiale gibt. Es ist auch spannend, wie sich weitere Nutzungsweisen in den Unternehmen etablieren werden, weil ein pfiffiger Mitarbeiter vielleicht auch einmal eine Idee hat, um das Ganze ein wenig anders zu gestalten.

Das ist das Schöne an Social Software: Das Phänomen dahinter lässt sich auch mit dem Stichwort ‚Nutzungsoffenheit’ beschreiben. Auf einer Blogging- Plattform gibt es zunächst nur ein Eingabefeld und was dort hineingeschrieben wird, bleibt dem Nutzer überlassen, da es so viele Möglichkeiten gibt. Hier ist auch die Kreativität von Seiten der Mitarbeiter gefragt.

Es scheint kein Limit nach oben zu geben. Wie ist es denn mit einem Limit nach unten? Vieles von dem, worüber wir jetzt gesprochen haben, könnte man vielleicht mit den Mitteln, die man vor 10 oder 20 Jahren zur Verfügung hatte, auch umsetzen. Damals hieß das dann Groupware oder Computer Supported Collaborative Work (CSCW).

Wie würde man das voneinander abgrenzen? Sind diese Programme etwas anderes, einfach nur älter oder eine Vorstufe zu den neuen Anwendungen?

Ab und zu lohnt es sich natürlich auch zu hinterfragen, was man selbst schon behauptet hat. Ich habe ja bereits erzählt, dass wir nochmal tiefer in die Analyse hineingegangen sind und festgestellt haben, dass die Kategorisierung Bottom Up und Top Down schon vereinfacht ist und sehen das jetzt differenzierter.

Ich würde auch nicht behaupten, dass Social Software immer Bottom Up und Groupware immer Top Down zu sehen ist. Zusätzlich glaube ich, dass mittlerweile gesagt werden kann, dass es nicht mehr die Groupware und die Social Software gibt. Die Groupware-Suites, welche es damals gab, wie Lotus Notes, sind überwiegend zu Social Software Suites geworden. Diese heißen nun Connections und QuickR und bringen wesentlich mehr Web 2.0-Ansätze mit sich, als die Ansätze, welche traditionell Groupware genannt wurden. Diese Denkweise, Groupware nur von oben, Social Software nur von unten zu sehen, trifft es nicht ganz.

Außerdem ist die Unterscheidung zunehmend schwieriger geworden. Man kann noch von traditioneller Groupware sprechen; das aber wirklich komplett abzugrenzen, finde ich sehr schwierig.

Können Sie, ausgehend von den Vor- und Nachteilen, die wir besprochen haben und weiteren, die Ihnen aus Ihren Forschungsarbeiten bekannt sind, eine Prognose über zukünftige Entwicklungen im Bereich Social Software und Unternehmen 2.0 wagen?

Kurz- und mittelfristig werden wir eine neue Reifephase für den Einsatz von Social Software haben. In vielen Unternehmen kommt es vielleicht zum Einsatz, aber es geht jetzt eher darum, die Potenziale noch weiter auszureizen und nicht nur zu sagen, man habe ein Wiki und einen Webblog, den auch ein paar Mitarbeiter nutzen. Das Ganze muss ernster genommen werden und es wird länger dauern als man glaubte. Die Diskussion hin zu dem Erkenntnisprozess, dass die Zusammenarbeit und Kommunikation, sowie der Wissensaustausch der Mitarbeiter sehr wichtig ist, ist eine Diskussion, welche wir nicht erst seit fünf Jahren führen. Wissensmanagement und alles was dahinter steckt ist ja schon ein bisschen älter. Diese Reifephase ist der erste Punkt.

Ich gehe fest davon aus und erkenne auch erste Anzeichen, dass diese Phase jetzt eingesetzt hat und sich in den Unternehmen etwas verändern wird. Der zweite Punkt ist die Frage, was sich mittel- bis langfristig verändern wird. Sehr wichtig ist, wie sich die Unternehmen verändern und ob sie den Weg für einen breiteren Einsatz der Anwendungen frei machen, um offener und über Unternehmensgrenzen hinweg zu kommunizieren. Das werden wirklich spannende Fragen sein.

Dabei geht es um Datenschutz, um technische Fragen der Organisationssysteme und um die Frage, wie die IT-Plattformen insgesamt zusammen wachsen werden. Das Spannende daran ist, dass das alles sehr interdisziplinär ist. Hier finden sich pädagogische Fragestellungen des Lernens, der menschlichen Wahrnehmung von Plattformen und psychologischen Effekten auf breiterer Basis und es geht um die Soziologie des Einsatzes dieser Medien.

Vielleicht finden die Betriebswirte bessere Möglichkeiten die Relevanz und den Nutzen der Plattformen greifbarer und berechenbarer zu machen. Je größer der Wunsch ist, dass die Systeme im ganzen Unternehmen ernst genommen werden, desto wichtiger ist es, eine Systematik zu haben, mit der auch die Controlling-Abteilungen etwas anfangen können. Das ist auch ein Punkt mit dem wir uns befassen und wo wir in den nächsten Jahren Veränderungen in der Wahrnehmung von Social Software erfahren werden.

Und dann sind wir wieder am Anfang von dem, was ich gesagt habe: Das beeinflusst sicherlich auch die Reife im Unternehmen. Das heißt, wenn die Wahrnehmung sich ein Stück weit verändert, wird das Ganze vielleicht doch noch offensiver eingesetzt und genutzt, wobei auch die Nutzung noch reifen kann.

Herr Dr. Richter, wir danken Ihnen für dieses interessante Interview!

Vielen Dank!

Das IT-Radar-Interview führte Vincent Wolff-Marting.

Nähere Informationen zu Dr. Alexander Richter

Beruf

Wissenschaftlicher Mitarbeiter in der Forschungsgruppe Kooperationssysteme der Universität der Bundeswehr München

zuvor auch Tätigkeiten in unterschiedlichen Funktionen, wie zum Beispiel bei DymlerChrysler France, KPMG und Osyskom sowie als selbstständiger IT-Berater

Studium

BWL-Studium an der Universität Augsburg

Doppeldiplom-Studiengang Deutsch-französisches Management an der Universität Rennes I

Promotion an der Universität der Bundeswehr München

aktuelle Publikationen

Der Einsatz von Social Networking Services in Unternehmen – Eine explorative Analyse möglicher soziotechnischer Gestaltungsparameter und ihrer Implikationen.
Gabler Verlag, München 2010

gemeinsam mit Prof. Dr. Michael Koch:
Enterprise 2.0 – Planung, Einführung und erfolgreicher Einsatz von Social Software in Unternehmen.
Zweite erweiterte Auflage, Oldenbourg Verlag, München 2009

gemeinsam mit Dr. Kai Riemer und Prof. Dr. Michael Koch:
Tweet Inside: Microblogging in a Corporate Context.
(Winner of The Bled Outstanding Paper Award) in: Proceedings of the 23rd Bled eConference, Bled 2010

gemeinsam mit Dr. Kai Riemer und Prof. Dr. Michael Koch:
Social Software und die Unternehmenskultur.
in: Wirschaftsinformatik und Management, Nr. 6/2010

Dr. Alexander Richter an der Universität der Bundeswehr München