Pragmatischer Umgang mit dem Testmanagement in der Banken-IT
23.12.2016 von Dieter Koenen
Banken müssen in der IT eine Vielzahl regulatorischer Vorgaben beachten und umsetzen. Nicht selten schießen sie dabei über das Ziel hinaus. Wichtig ist es, auch im Testmanagement einen angemessenen Umsetzungspfad zu finden.
Seit Veröffentlichung des Rundschreibens „10/2012 (BA) – Mindestanforderungen an das Risikomanagement MaRisk“ sowie den Erläuterungen in 12/2012 durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) gibt es in der IT von Banken eine Vielzahl von umzusetzenden Maßnahmen, um insbesondere die Anforderungen aus AT 7.2 und AT 7.3 zu erfüllen. Angekündigte Sonderprüfungen nach § 44 KWG Absatz 1 (Kreditwesengesetz) fordern gleichermaßen Business- und IT-Verantwortliche heraus. Zahlreiche Formalismen und administrative Hürden sind zusätzlich zur hohen Belastung im Tagesgeschäft zu bewältigen. Natürlich sind die regulatorischen Vorgaben zu erfüllen, aber nicht selten schießen die Maßnahmen auch übers Ziel hinaus. Wichtig ist es, einen angemessenen Umsetzungspfad zu finden. Das Testmanagement bildet dabei die zentrale Klammer zwischen Fachbereich, Entwicklung und Betrieb.
Banken haben im IT-Betrieb zahlreiche regulatorische Vorgaben zu beachten, sollten bei deren Umsetzung aber auch nicht über das Ziel hinausschießen. Foto: ramcreations - shutterstock.com
Tipps aus Sicht des Testmanagements
Im Test vorgeschriebene Maßnahmen führen zu erheblichen Seiteneffekten in den oben benannten Bereichen. Nachstehend werden pragmatische und praxiserprobte Ansätze entlang des Software-Entwicklungsprozesses skizziert, mit denen sich die regulatorischen Anforderungen aus Sicht des Testmanagements erfüllen lassen. Anhand einer Checkliste (siehe unten) kann verifiziert werden, welche Komponenten noch zu implementieren sind.
Konzeption
Neue oder modifizierte Software muss getestet werden. Die fachliche Ausprägung der Testfälle unmittelbar vor der Testphase durch die Fachbereiche gestaltet sich oft als zäher Prozess. Viel besser ist es, in der Konzeptionsphase für jedes formulierte Requirement auch eine Beschreibung des Testszenarios einzufordern.
Das Thema Rollen und Berechtigungen wird üblicherweise eher stiefmütterlich behandelt. Auch hier sollte die IT schon in der Konzeptionsphase auf die korrekte und vollständige Definition, auf Funktionstrennung sowie auf die Formulierung entsprechender Testszenarien drängen.
Entwicklung
Aktuelle und möglichst schlank gehaltene Entwicklungsrichtlinien mit Namenskonventionen, Richtlinien für den Umgang mit kritischen Programmiertechniken sowie Hinweisen für optimierten Programm-Code sind inzwischen ein Muss.
Weiterhin empfiehlt sich ein integriertes Auftrags- und Transportverwaltungssystem. Für SAP-Anwender bietet sich hier die Komponente SAP Change Request Management (ChaRM) des Solution Managers mit dedizierten Genehmigungsverfahren, strikten Rollentrennungen sowie dem revisionssicheren Nachweis der Transportkette von Entwicklungs- über Test- und Abnahmesysteme bis hin zur Produktion an.
Die Geschichte von SAP
2016 Auf der Kundenkonferenz Sapphire kündigte SAP im Mai eine Kooperation mit Microsoft an. Beide Hersteller wollen künftig SAPs In-Memory-Plattform HANA auf Microsofts Cloud-Infrastruktur Azure unterstützen. Microsofts CEO Satya Nadella sagte: "Gemeinsam mit SAP schaffen wir ein neues Maß an Integration innerhalb unserer Produkte."
2016 SAP und Apple wollen gemeinsam native Business-iOS-Apps für iPhone und iPad entwickeln. Experten sehen SAPs Festlegung auf eine mobile Plattform kritisch und monieren fehlende Offenheit. Anwendervertreter reagierten überrascht und verlangten Aufklärung was die neue Mobile-Strategie bedeutet.
2015 Im Sommer verunglückt SAP-CEO Bill McDermott bei der Geburtstagsfeier seines Vaters. Er stürzt mit einem Glas auf der Treppe und verliert nach einer Operation ein Auge. Im Herbst meldet sich der US-amerikanische Manager als wieder voll einsatzfähig zurück.
2015 Im Februar stellt SAP mit S/4HANA eine neue Generation seiner Business-Software und damit den Nachfolger für die Business Suite vor. SAP definiere damit das Konzept des Enterprise Resource Planning für das 21. jahrhundert neu, pries SAP-Chef Bill McDermott die Neuentwicklung. Für den Großteil der Unternehmen dürfte das Produkt noch Zukunft bleiben, konterte die Anwendervereinigung DSAG. Die Prioritäten vieler Kunden lägen eher auf klassischen Projekten rund um das ERP-System.
2014 SAP-Technikchef Vishal Sikka gibt im Mai seinen Posten auf und wird CEO von Infosys. SAP sucht lange einen Nachfolger für Sikka, holt im November schließlich den langjährigen Microsoft-Manager Quentin Clark für diesen Posten.
2012 Die Walldorfer setzen mit dem Kauf des amerikanischen Cloud-Computing-Anbieters SuccessFactors ihren Weg ins Cloud-Geschäft fort – nachdem kurz zuvor Wettbewerber Oracle RightNow übernommen hat. Der Kaufpreis lag mit 2,4 Milliarden Euro über die Hälfte höher als der aktuelle Marktwert. Cloud-Services werden mit der SuccessFactors-Lösung vor allem im Human-Ressources-Umfeld angeboten. Außerdem schnappt sich SAP den weltweit zweitgrößten Cloud-Anbieter für Handelsnetzwerke Ariba für 3,3 Milliarden Euro.
2011 In 2011 ist das Formtief vergessen, die Walldorfer fahren die besten Ergebnisse ihrer Geschichte ein. Die Innovationsstrategie geht auf, auch wenn zwischendurch gezweifelt wurde, ob SAP seinen Kunden nicht davon-sprintet: 2011 implementieren die ersten Kunden die In-Memory-Plattform HANA, immer mehr Kunden nutzen die mobilen Lösungen, die aus dem Sybase-Deal entstanden sind.
2010 Der Paukenschlag: Hasso Plattner reißt mit dem Aufsichtsrat das Ruder herum. Der glücklose Léo Apotheker, der zuvor mit der Erhöhung der Wartungsgebühren viele Kunden vor den Kopf gestoßen hatte, muss gehen. Die neue Doppelspitze aus Bill McDermott und Jim Hagemann Snabe verspricht den Anwendern wieder mehr Kundennähe. CTO Vishal Sikka wird Vorstandsmitglied und SAP übernimmt Sybase, einen Anbieter für Informationsmanagement und die mobile Datennutzung, zum Preis von etwa 5,8 Milliarden Dollar.
2008 Mit der Erhöhung der Wartungsgebühren von 17 auf 22 Prozent und den Modalitäten des „Enterprise Support“, die viel Aufwand für die Anwender bringen, verärgert SAP seine Kunden massiv. Trotz intensiver Auseinandersetzung auf dem DSAG-Kongress bleibt SAP bei seiner Linie. Mittlerweile ist Léo Apotheker zweiter Vorstandssprecher neben Kagermann. Ende des Jahres beugt sich SAP dem Kundenwiderstand.
2008 Die größte Übernahme in der Unternehmensgeschichte: 2008 kauft SAP den Business-Intelligence-Spezialisten Business Objects für 4,8 Milliarden Euro und wird damit der bisherigen Strategie untreu, aus eigener Kraft zu wachsen. Die Integration mit der eigenen SAP-BI-Palette gestaltet sich aufwendig und wird sich über mehrere Jahre hinziehen. Die 44.000 BO-Kunden sollen dabei helfen, die Kundenzahl bis 2010 auf 100.000 zu steigern.
2007 Über viele Jahre hinweg entwickelt SAP an der SaaS-ERP-Lösung Business byDesign für kleinere Unternehmen. Rund drei Milliarden Euro wurden laut „Wirtschaftswoche“ im Entstehungsprozess versenkt. Trotz der Arbeit von 3000 Entwicklern kommt die Software Jahre zu spät. Obwohl innovativ, hat es die Lösung schwer im deutschen Markt. 2013 wird byDesign ins Cloud-Portfolio überführt.
2006 Mit „Duet“ bringen SAP und Microsoft eine gemeinsame Software auf den Markt, mit der sich MS Office einfach in SAP-Geschäftsprozesse einbinden lassen soll. 2006 wird auch die Verfügbarkeit der neuen Software SAP ERP angekündigt, die auf dem SOA-Prinzip (Service oriented Architecture) basiert.
2003 Abschied des letzten SAP-Urgesteins: Hasso Plattner zieht sich aus dem Vorstand zurück und geht in den Aufsichtsrat, Henning Kagermann wird alleiniger Vorstandsprecher. SAP stellt die Integrationsplattform NetWeaver vor, die Basis für künftige Produkte sein soll. Die Mitarbeiterzahl liegt jetzt bei 30.000.
2002 Der ERP-Hersteller will das bisher vernachlässigte Feld der KMUs nicht mehr dem Wettbewerb überlassen. Auf der CeBIT 2002 stellt SAP mit Business One eine ERP-Lösung für kleine bis mittelständische Unternehmen mit rund fünf bis 150 Mitarbeitern vor. Doch einfach haben es die Walldorfer in diesem Marktsegment nicht. Zu stark haftet der Ruf an den Walldorfern, hauptsächlich komplexe und teure Lösungen für Konzerne zu bauen.
1999 Die New Economy boomt und der E-Commerce hält Einzug bei SAP: Plattner kündigt die neue Strategie von mySAP.com an. Die Software soll Online-Handels-Lösungen mit den ERP-Anwendungen auf Basis von Webtechnologie verknüpfen. Im Vorjahr hatten die Walldorfer ihr Team um die Hälfte verstärkt, jetzt arbeiten 20.000 Mitarbeiter bei SAP. Weil die Kunden beim Umstieg mehr zahlen sollen, gibt es längere Zeit Gegenwind, schließlich werden die Internet-Schnittstellen auch im Rahmen der R/3-Wartung geboten. Derweil ist die Zentrale gewachsen.
1997 Die SAP-Anwender organisieren sich in der Deutschsprachige SAP-Anwendergruppe e.V. (DSAG), um ihre Interessen gemeinsam besser vertreten zu können. Laut Satzung ist das Ziel des Vereins die „partnerschaftliche Interessenabstimmung und Zusammenarbeit zwischen SAP-Softwarebenutzern und SAP zum Zweck des Ausbaus und der Verbesserung der SAP-Softwareprodukte“.
1997 Der ERP-Hersteller feiert sein 25. Jubiläum, zum Gratulieren kommt Bundeskanzler Helmut Kohl, der im Jahr darauf von Gerhard Schröder abgelöst wird. Der Umsatz liegt bei über sechs Milliarden Mark, das Geschäftsergebnis erstmals über der Milliarden-Grenze. Mehr als zwei Drittel werden im Ausland erwirtschaftet. SAP beschäftigt knapp 13.000 Mitarbeiter und geht an die die Börse in New York (NYSE).
1995 1995 versucht der ERP-Anbieter erstmals, in Zusammenarbeit mit Systemhäusern den Mittelstandsmarkt zu beackern. Es sollte noch einige Jahre dauern, bis sich mehr mittelständische Unternehmen auf die komplexe Software einlassen wollten. Mit knapp 7.000 Mitarbeitern erwirtschaftet SAP einen Umsatz von 2,7 Milliarden Mark, mehr als doppelt so viel wie noch zwei Jahre zuvor. Rudolf Scharping, damals noch SPD-Parteivorsitzender, kommt zu Besuch.
1993 Shake-Hands zwischen Plattner und Gates. SAP schließt ein Kooperationsabkommen mit Microsoft ab, um das System R/3 auf Windows NT zu portieren. SAP kauft zudem Anteile am Dokumentenmanagement-Anbieter IXOS. Zum ersten Mal überschreiten die Walldorfer die Milliardengrenze beim Umsatz.
1992 Seit 1992 wird R/3 ausgeliefert. Die Walldorfer hatten die Software für die AS/400 von IBM konzipiert, nach Performance-Problemen wich man auf Unix-Workstations mit Oracle-Datenbank im Client-Server-Prinzip aus. Das internationale Geschäft wächst: 1992 verdient die SAP im Ausland schon knapp die Hälfte von dem, was sie in Deutschland einnimmt. Der Gesamtumsatz beläuft sich auf 831 Millionen Mark. 3157 Mitarbeiter sind jetzt für SAP tätig.
1991 In diesem Jahr steigt Henning Kagermann (rechts im Bild), der seit 1982 die Entwicklungsbereiche Kostenrechnung und Projektcontrolling verantwortet, in den Vorstand auf.
1990 SAP übernimmt das Softwareunternehmen Steeb zu 50 Prozent und das Softwarehaus CAS komplett, um das Mittelstandsgeschäft zu verstärken. Die Mauer ist gefallen und die Walldorfer gründen gemeinsam mit Siemens Nixdorf und Robotron die SRS in Dresden. Die Berliner Geschäftsstelle wird eröffnet und SAP hält seine erste Bilanzpressekonferenz ab.
1988 SAP geht an die Börse: Hasso Plattner am ersten Handelstag der SAP-Aktie.
1987 Der erste Spatenstich: Dietmar Hopp startet 1987 den Bau der SAP-Zentrale in Walldorf.
1983 1983 zählt das Unternehmen 125 Mitarbeiter und erwirtschaftet 41 Millionen Mark im Jahr. Nach der Fibu adressiert SAP auch das Thema Produktionsplanung und -steuerung. Beim Kunden Heraeus in Hanau wird zum ersten Mal RM-PPS installiert. Im Jahr zuvor hatten die Gründer von SAP (v.l.: Dietmar Hopp, Hans-Werner Hector, Hasso Plattner, Klaus Tschira) zehnjähriges Jubiläum gefeiert.
1979 SAP setzte sich mit dem Datenbank- und Dialogsteuerungssystem der IBM auseinander: Das war der Auslöser eine die Neukonzeption der Software und Grundstein für SAP R/2. Aus den Realtime-Systemen entstand in den 70iger Jahren das Online Transaction Processing (OLTP). So sahen Anfang der 80iger Jahre die Arbeitsplätze bei SAP aus.
1976 Die Software sollte Lohnabrechnung und Buchhaltung per Großrechner ermöglichen. Anstatt auf Lochkarten wurden die Daten per Bildschirm eingegeben – das nannte sich Realtime und das „R“ blieb über Jahrzehnte Namensbestandteil der Lösungen. Weil die Software erstmals nicht nur für ein Unternehmen entwickelt wurde, sondern universeller einsetzbar war, gilt SAP als Miterfinder des Standardsoftware-Ansatzes. Aber auch der Fußball kam nicht zu kurz: Das Computerteam mit Hasso Plattner und Dietmar Hopp auf dem Feld.
1972 1972 gründen die fünf ehemalige IBM-Mitarbeiter Claus Wellenreuther, Hans-Werner Hector, Klaus Tschira, Dietmar Hopp und Hasso Plattner das Unternehmen „SAP Systemanalyse und Programmentwicklung“. Sie wollen eine Standardanwendungssoftware für die Echtzeitverarbeitung schaffen, die sich für unterschiedliche Unternehmen nutzen lässt und die Lochkarten ablöst.
Nicht viele Entwicklungsbereiche nehmen sich die Zeit für Code-Reviews nach dem Vier-Augen-Prinzip. Auch hier gibt es inzwischen gute Werkzeuge auf dem Markt, welche Programm-Code unter anderem auf sicherheitsrelevante Schwachstellen überprüfen und bei Regelverletzungen den Transport in Qualitätssicherungs- oder Produktivsysteme verhindern. Im SAP-Umfeld gelten der Code Profiler von Virtual Forge sowie der SAP Code Vulnerability Scanner als führend.
Eingangsvoraussetzung für den Fachtest sind dokumentierte Modultests durch die Entwicklung sowie die Benennung von Testeinschränkungen wie noch nicht fertiggestellte Funktionen oder bereits bekannte Fehler. Auch hier bieten sich unterstützende Werkzeuge an. Die ChaRM-Komponente des SAP Solution Managers ermöglicht beispielsweise die Dokumentation und den Nachweis von Modultests.
Testmanagement
Als allererstes empfiehlt es sich, die Testmanagement-Prozesse und die Rollen in den Test- und Abnahmeprozessen eindeutig zu definieren sowie Templates zum Beispiel für Testkonzepte oder Testfallbeschreibungen zur Verfügung zu stellen. Auch hier gilt der Grundsatz: „Weniger ist mehr“. Lange Prosa-Passagen werden nicht gelesen. Besser sind Checklisten, Tabellen und Grafiken. Übrigens ist die strikte Rollentrennung zwischen Fachbereich, Entwicklung und Test wichtig, um die regulatorischen Vorgaben zu erfüllen.
Excel-basierte Testmanagement-Verfahren haben sich überholt. Tests und Abweichungen sind nachvollziehbar und revisionssicher zu dokumentieren und aufzubewahren. Der Einsatz von integrierten Testmanagement-Tools wie das HP Application Lifecycle Management (HP ALM) Quality Center, IBM Rational Quality Manager oder die SAP Solution Manager Test Workbench ist obligatorisch.
Aus Sicherheitsgründen dürfen in nicht zentral gemanagten Testumgebungen keine sensiblen (insbesondere keine personenbezogenen) Daten verwendet werden. So sind beispielsweise Geschäftspartnerdaten zu anonymisieren. Für den Zugriff auf Testdaten durch Tester (und gegebenenfalls durch Entwickler für Fehleranalysen) ist ein Prozess zu definieren. Die Vergabe von User-IDs und Berechtigungen ist zu protokollieren.
Stark an Bedeutung gewinnt das Risikomanagement. So muss die Bank auch nachweisen, dass Testrisiken wie die zu späte Bereitstellung der zu testenden Software oder eine fehlende Testinfrastruktur aufgenommen und bewertet sowie entsprechende Mitigationsmaßnahmen durchgeführt und verfolgt werden.
Bewährt hat sich der risikobasierte Testansatz. Prozesse werden in diesem Verfahren nach Kritikalität wie Aufrufhäufigkeit oder Sicherheitsanforderungen sowie hinsichtlich Änderungen und Anpassungen im laufenden Testvorhaben bewertet (siehe Schaubild „Die Methodik Risk-based Testing beim Testmanagement“).
Risk-based Testing im Überblick: Herausforderungen, Methodik, Ergebnisse Foto: innobis AG
Daraus leiten sich der Umfang und die Priorität der involvierten Testobjekte beziehungsweise Testfälle ab. Der Fokus verschiebt sich damit risikogetrieben auf die wirklich wichtigen Tests.
In der Verantwortung des Testmanagements liegt der Nachweis, dass Pflichtergebnistypen wie ein Testkonzept oder eine Testplanung erstellt, obligatorische Tests wie Security- oder Disaster-Recovery-Tests durchgeführt (beziehungsweise die Nichtausführung begründet) oder der Abnahmeprozess ordnungsgemäß durchlaufen wurden. Hier bietet sich ein Checklisten-gestütztes Internes Kontrollsystem (IKS) an.
Implementierung und Betrieb
Bei der Implementierung zählen definierte Übergabeverfahren bei strikter Rollentrennung zwischen Entwicklung und Betrieb. Für den Betrieb ist ein möglichst toolgestütztes Information-Security-Managementsystem zu etablieren und zu betreiben. Aus Sicht der Testumgebung kann dann beispielsweise auf regelmäßige Standverfahren für ein Disaster Recovery verwiesen werden.
Fazit
Die oben aufgeführten Maßnahmen zur Erfüllung der regulatorischen Anforderungen sind zwingend umzusetzen. Empfohlen werden eine ganzheitliche Betrachtung sowie die Implementierung von pragmatischen und praxisbewährten Ansätzen. Anhand der Checkliste (siehe unten) kann verifiziert werden, welche Bausteine noch einzuführen sind. Weiterhin sollte auf Standards wie die BSI-Standards 100-1 bis 100-4, ISO 29119 (Test) oder ITIL gesetzt werden.
Checkliste
Die nachstehende Checkliste (kein Anspruch auf Vollständigkeit), kann verwendet werden, um einen ersten Überblick zu gewinnen, ob und welche Komponenten implementiert sind.
Nr.
Komponente
Nicht erfüllt
Teilweise erfüllt
Vollständig erfüllt
1.
Ist die Definition von Testszenarien für Requirements obligatorisch?
2.
Werden Änderungen an Rollen und Berechtigungen beschrieben?
2.
3.
Gibt es (aktuelle) Entwicklungsrichtlinien?
4.
Ist ein integriertes Auftrags- und Transportsystem implementiert?
5.
Sind die Rollen beim Roll-out von Software strikt zwischen Entwicklung und Betrieb getrennt
6.
Werden Code-Reviews durchgeführt?
7.
Gibt es unterstützende Qualitätssicherungs-werkzeuge in der Entwicklung?
8.
Werden Modultests durchgeführt und dokumentiert?
9.
Sind die Testprozesse und die Rollen im Testmanagement beschrieben?
10.
Gibt es im Test eine strikte Rollentrennung zwischen Fachbereich, Entwicklung und Test?
11.
Steht ein integriertes Testmanagement-Werkzeug zur Verfügung?
12.
Werden sensible Daten in Testsystemen geschützt beziehungsweise anonymisiert?
13.
Gibt es ein Verfahren zur Vergabe von User- und Berechtigungen für Testsysteme?
14.
Werden die Testrisiken dokumentiert, bewertet und verfolgt?
15.
Wird die Durchführung von Testfällen priorisiert (Risk-based Testing)?
16.
Wird die Erstellung von Pflicht-Ergebnistypen sowie von obligatorischen Tests systematisch kontrolliert (IKS-Checkliste)?
17.
Gibt es einen definierten Prozess für den Zugriff auf sensible Testdaten?
18.
Ist der Übergabeprozess in die Produktion definiert?
19.
Ist ein Information-Security-Management-System (inklusive Notfall-Konzepte et cetera) etabliert?
20.
Werden Standards wie ITIL, BSI oder DIN ISO Normen eingesetzt?