Dienstleistungen für die vernetzte IT-Welt

Projektbeispiele

Dienstleistungen und Lösungen nach Maß

Vieles in der IT wurde standardisiert, Probleme und Aufgaben in den Unternehmen sind immer noch individuell. Lernen Sie hier unseren Umgang mit Kunden und unsere Arbeitsweise kennen.

 Sicherheitsanalyse eines Mobilen Bezahlsystems

Der Anbieter eines innovativen mobilen Bezahlsystems möchte die Sicherheit der implementierten Workflows analysieren und verbessern. Naturgemäß unterliegt ein solches mobiles Bezahlsystem höchsten Sicherheitsanforderungen. Die eingesetzte IT-Infrastruktur erfüllt zwar die höchsten Sicherheitsrichtlinien, dennoch wurde das Gesamtsystems, welches auf dem Zusammenspiel aus Mobiltelefonen, Registrierkassen und Backend Rechnern basiert, bisher noch nicht von Sicherheitsexperten auf seine Vertraulichkeit, Verfügbarkeit und Integrität geprüft.

Die Identifikation von Assets und zugeordneter Sicherheitsziele und Risiken sowie die anschließende Identifikation relevanter Bedrohungsszenarien durch QE LaB Business Services erfolgt auf Basis einschlägiger Standards und Richtlinien wie Octave, des BSI IT-Grundschutz Katalogs sowie der OWASP Top Ten. Als Informationsquelle werden das Softwaresystem und seine Dokumentation sowie Interviews im Rahmen von Workshops mit Stakeholders herangezogen.

Um die Analyse zu starten wurde der Ist-Zustand der Prozesse anhand von Firmendokumenten und Mitarbeitergesprächen im Laufe von Workshops erhoben. Daraufhin folgte eine genaue Evaluierung der gesamten Prozesse und der Infrastruktur um anschließend nach Risiken zu priorisieren.

Als Ergebnis werden konkrete Bedrohungsszenarien und mögliche Gegenmaßnahmen aufgezeigt, welche in die Software eingearbeitet wurden und zur Verbesserung ihrer Sicherheit geführt haben. 

Aufgaben von QE LaB Business Services:

  • Identifikation von Assests
  • Identifikation von Sicherheitszielen und Risiken
  • Identifikation von Bedrohungsszenarien
  • Definition von Gegenmaßnahmen
  • Anwendung einschlägiger Standards und Richtlinien wie Octave, BSI IT-Grundschutz Katalogs und OWASP Top Ten

 Integrationstests von Java Enterprise Services in Multi-Stage Testumgebungen

Ein Rechenzentrum mit knapp 500 Mitarbeitern ist IT-Service Provider für Banken, Krankenhäuser und die Öffentliche Verwaltung in Österreich. Das Unternehmen entwickelt für seine Kunden Softwareprodukte und führt diese oder Standardprodukte bei den Kunden ein. Eine steigende Zahl an Projekten bewegen das Unternehmen, seinen vielstufigen Testprozess zu verbessern.

Die Sondierung im Kick-off-Meeting ergibt, dass ein Tool zur Verbesserung der Testprozesse entwickelt werden soll. Aufgrund der speziellen Anforderungen scheiden alle auf dem Markt befindlichen Tools aus.

Das neue Tool soll

  • den vielstufigen Testprozess mit hohen Security-Anforderungen unterstützen,
  • im vorhandenen Multi-Stage Test-Environment funktionieren,
  •  hohe Usability-Anforderungen erfüllen und
  •  schnell einsatzbereit sein.

Entsprechend dieser Anforderungen wird ein Entwicklungsteam zusammengestellt.

Aufgaben von QE LaB Business Services:

  • Analyse der am Markt befindlichen Tools
  • Workshops zur Erstellung von Architektur und Rahmenbedingungen
  • Entwicklung des Testtools
  • Erarbeiten von Richtlinien für den Einsatz von Integrationstests
  • Empfehlung für ein Mocking-Framework

Das neu entwickelte Tool ermöglicht einem Entwickler ohne großen Konfigurationsaufwand einen Test, den er an seinem Arbeitsplatz entwickelt, innerhalb kürzester Zeit in der Integrationsumgebung auszuführen. Die Testergebnisse werden sofort in der Entwicklungsumgebung angezeigt und ermöglichen es allen Beteiligten, Integrationsprobleme schnell zu lösen. Außerdem können mit dem Tool Tests am Live-System durchgeführt werden, die bisher nicht möglich waren.

 Textuelles Dokumentations- und Modellierungs-Werkzeug

Ein Rechenzentrumsbetreiber stellt IT-Services für Banken in Österreich zur Verfügung. Seine IT-Landschaft wird von einem auf verschiedene Standorte verteilten Team von IT-Architekten betreut. Da die IT-Landschaft bislang mit Diagrammen, Tabellen und Textdateien dokumentiert wird, soll ein Werkzeug entwickelt werden, das die Architektur konsistent dokumentiert und durch textuelle Modellierung den Datenpflegeaufwand reduziert. Seine Hauptaufgabe soll es sein, Informationen und webbasierte Visualisierungen über die Zusammenarbeit der einzelnen Architekturkomponenten untereinander als auch der Architekturkomponenten mit dem Business zu liefern. Wissen, das bislang in einzelnen Unternehmensteilen isoliert vorhanden ist, wird somit allgemein zugänglich, die IT-Landschaft transparent. So kann mit Hilfe dieses Werkzeugs die wachsende Komplexität der geschäftskritischen Systeme besser beherrscht werden.

In einem ersten Schritt finden ausführliche Interviews mit allen Stakeholder-Gruppen statt, um die Anforderungen an die grafischen Views der Architekturen zu erfassen. Im Zuge dieser Gespräche kristallisiert sich heraus, dass sich für dieses Team textuelle Dokumentation und Modellierung am besten eignet.

In enger Zusammenarbeit mit dem Team entstehen in mehreren Iterationen folgende Sprachen und Views:

  • eine textuelle Modellierungssprache für IT-Architekturen
  • eine textuelle Modellierungssprache zur Dokumentation von Architekturentscheidungen
  • konfigurierbare und webbasierte Architektur-Visualisierungen in Form von Baumdiagrammen, Graphen und Matrizen, welche die unterschiedlichen Fragestellungen verschiedener Stakeholder beantworten
  • Visualisierungen die Architekturentscheidungen historisch nachvollziehbar machen

Mit dem Tool ist es nun möglich, innerhalb der großen Organisation ein gemeinsames Verständnis von der IT-Architektur zu entwickeln. Die neue Dokumentation unterstützt ein tieferes Verständnis der IT-Landschaft, ihrer Struktur und vieler Details zu. Die Anwender schätzen die einfache und intuitive Bedienung des Modellierungstools. Zudem erleichtert die textuelle Modellierung die Pflege der Modelle und ermöglicht sogar die Automatisierung der Dokumentation über einfache Skripts.

Das Werkzeug wird ständig weiter entwickelt und steht als Open Source Werkzeug txture unter www.txture.org zur Verfügung.

 Risikobasiertes Testen auf Basis von Software Metriken

Ein weltweit tätiger Hersteller von Telekommunikationslösungen will zukünftig Entscheidungen über die Freigabe von Releases präziser treffen können. Daher führt das Unternehmen Testprozesse ein, die mit Hilfe teilautomatisiert bewerteter Risiken gesteuert werden.

Bisher wurde die Risikobewertung manuell durchgeführt. Damit war sie subjektiv, zeitaufwändig, fehleranfällig und nicht reproduzierbar. Ein Tool, das Software-Metriken erhebt und automatisch die Risikobewertung verbessert, sollte hier Abhilfe schaffen. Aus Risiken werden gezielt Testfälle abgeleitet und für die Ausführung priorisiert.

Risikobewertung und risikobasiertes Testen sind nun in den bestehenden Entwicklungsprozess integriert und setzen auf bereits existierende Artefakte (Requirements, Features, Komponenten, Testfälle) auf. Damit stehen die Projektinformationen vollständig zur Verfügung.

Aufgaben

  • Entwicklung eines auf den Kunden zugeschnittenen Risikomodells zur Ermittlung von Risiken und deren Auswirkungen
  • Erweiterung des Projektmanagement-Werkzeugs in-Step um ein Plug-in für risikobasiertes Testen, um die Risiken für einzelne Features zu ermitteln
  • Entwicklung eines Plug-in für das Metriken-Werkzeug Sonar zur automatischen Ermittlung von Quellcode-Metriken für die Programmiersprache Protel
  • Automatisierung der Risikobewertung
  • Integration von Risikobewertung und Testen in den Entwicklungsprozess

Technologie und Tools
Protel, in-Step, Sonar