Meta-ITMW definieren können
○ Produktlebenszyklus
Zeigt, in welchen Lebenszyklus zwsichen Markteinführung und Marktaustritt sich ein ITMW befindne kann.
Das Produktlebenszyklus beschreibt die Phasen, die ein Produkt auf dem Markt durchläuft und somit kann man die Produkte nach den jeweiligen Kriterien der Produkte in eine Phase des Modells einordnen. Dies ist hilfreich, damit man bspw. besser einschätzen kann, wann man in das Produkt investieren sollte und wann eher nicht. Außerdem kann man sehen, wann der Hochpunkt des Produkt kommt und wann die Lebenszeit auch aufhört.
○ Gartner Hype
Grafische Darstellung für "Aufmerksamkeit", die einer IT-Methode oder Werkzeug widmet. Damit kann man einordnen, wie es sich um den "Hype" von ITMW handelt, sodass man Entscheiden darauf ziehen kann, inwiefern Auswahl aufgrund des Bereichts, bspw. "Plateau of Productivity" eignet ->
Durch das Hartner Hype-Cycle bekommt man einen Überblick über die Technologien und wie diese sich im Laufe der Zeit entwickeln. Dieser bezieht sich quasi auf dem "Hype" des Produktes, bspw. zeigt "Peak of Inflated Expectations" die größte Hypephase, während beim "Trough of Disillusionment" hingegen der Rückgang beschrieben wird.
○ Diffusion of Innovation
Diffusion of Innovation beschreibt einen Prozess wodurch sich neue Produkte oder Technologien innerhalb eines Marktes bewegen.
ATAM
ATAM ist ein strukturiertes Verfahren zur Bewertung und Analyse von Architekturentscheiden innerhalb der Softwarearchitektur. Dabei identifiziert dieser kritische Architekturszenarien und bewertet verschiedene Qualitätsattributen. Das Ziel dabei ist, dass ATAM Risiken und Schwächen früh erkennen möchte und entsprechende Handlungsempfehlungen gibt, um die Archtektur zu verbessern.
ATAM-Schritte:
Bewertungsmethode vorstellen
Geschäftsziele vorstellen
Architektur vorstellen
Architekturansätze identifizieren
Qualitätsbaum erstellen
Architekturansätze analysieren (1)
Szenario-Brainstorming
Architekturansätze analysieren(2)
Ergebniss präsentieren
SDLC
SDLC ist ein Framework zur Erstellung von qualitativen und hochwertigen Software, die darauf abzielt Sicherheitsvorkehrungen von Anfang bis Ende in die Entwicklung zu integrieren, um potenzielle Sicherheitslücken zu minimieren.
Training: Mitarbeiterschulungen für Sicherheitsaspekte
Requirements: Sicherheitsanforderungen, Bug Bars, Quality Gates
Design: Designanforderungen anhand Sicherheitsanforderungen
Implementation: Umsetzung in ohne unsichere Features, Werkzeuge
Verification: Laufzeitanalyse, Fuzzing Test, System auf fehlerhafte Daten testen
Release: Veröffentlichung und letzte Kontrolle, Vorfallsreaktionsplan entwickeln
Response: Vorfallreaktionsplan kontrollieren und umsetzen
Threat Modeling
Threat Modeling ist ein Verfahren, um potenzielle Bedrohungen wie strukturelle Schwachstellen oder das Fehlen von Gegenmaßnahmen zu ermitteln und Prioritäten für die gegenmaßnahmen festzulegen. Dadurch können Sicherheitsanforderungen entstehen, die dann in das SDLC eingebaut werden können.
SDLC; Diskussion "Der Aufwand von Threat Modeling im Entwicklungsprozess ist zu hoch" 2 PRO 2 Contra + begründete Meinung
- SDLC ist ein Framework zur Erstellung von hochwertigen qualitativen Software, die darauf abzielt Sicherheitsvorkehrungen vom Anfang bis Ende in die Entwicklung zu integrieren, um potenzielle Sicherheitslücken zu vermindern.
○ Training, Requirements, Design, Implementation, Verification, Release, Response
- TM ist ein Verfahren, um potenzielle Bedrohungen wie strukturelle Schwachstellen oder das Fehlen von Sicherheitsvorkehrungen zu ermitteln und Prioritäten für Gegenmaßnahmen festzulegen. Dadurch können Sicherheitsanforderungen ermittelt werden, welche dann in das SDLC eingebaut werden können.
- Pro
○ Training: Schulungen zu Sicherheitsaspekten erhähen das Sicherheitsbewusstsein der MA
○ Requirements: Festlegen von Sicherheitsanforderungen, Bug Bars und Quality Gates
- Contra
- Hohe Anfangsinvestition in das System, Längere Entwicklungsdauer
○ Frühe Erkennung von Gefahren: TM identifiziert potenzielle Bedrohungen frühzeitig
Gegenmaßnahmen: Ermöglicht die Festlegung wirksamer Gegenmaßnahmen
Kosten für SLC gerechtfertigt? 2Pro 2Contra:
- Pro:
○ Verbesserte Kompotenzen der MA
○ Positiv auf Sicherheit & Datenschutz
- Contra:
○ Kostenaufwand
○ Detaillierte Untersuchung notwendig; Dauer
- Viele technische Systeme mit eingesetzte Daten verbunden
- Unternehmensinterne Daten oder Kundendaten, wo der Schutz sehr wichtig ist
- Kosten sind zwar umständlich, aber enorm wichtig für Sicherheit, damit keine Sicherheitslücke entsteht.
○ Auswirkungen von Sicherheitslücken --> erheblichen Schaden
Entwicklungskosten, Imageschaden und Vertrauensverlust ggü MA, Stakehodler und Kunden.
Und genau deshalb ist Threat Modeling hier sinnvoll, da diese frühzeitig potenzielle Bedrohungen erkennt und Entwickler ermöglicht, gezielt auf kritische Sicherheitsaspekte zu reagieren, auch wenn dies zu zusätzlichen Aufwand oder Komplexität führt.
EAM
Enterprise-Architecture-Management stellt ein aggregiertes Gesamtbild einer Organisation da mit dem Ziel, Gesamtzusammenhänge zu strukturieren und gleichzeitig den Korridor für zuk+nstige Entwicklung und Gestaltung aufzuzeigen.
OpenSAMM vs BSIMM
sind beide Reifegradmodelle, die Unternehmen dabei unterstützen, ihre SE-Prozesse hinsichtlich Sicherheitsaspekten zu bewerten und zu verbessern.
OpenSAMM ist eine Inititiative von OWASP, d.h. eine offeneSammlung, die con Experten verfasst wurde und definiert 4 Business Functions. Bei BSIMM handelt es sich um eine Studie, die verschiedene Unternehmen berät und Sicherheitspraktiken in ihren SE-Prozess en untersucht und definier 4 Domain, die verschiedene Aspekte abdecken.
BPM
ist ein systematischer Ansatz, um sowhol automatisierte als auch nicht automatisierte Prozesse zu erfassen, zu dokumentiere, zu optimieren, auszuführen, zu messen und zu überwachen.
Elemente von Methoden
Aktivität: Planbare Verrichtungseinheit in Ablauffolge, um Ergebnisse zu erzeugen
Ergebnisse: Input und Output von Ergebnisse, die verändert oder genutzt werden
Rolle: Zusammenfassng von Entwurfsaktivitäten aus Sicht des Auftraggebers
Meta-Modelle: Struktur von Entwurfsdaten über alle Entwurfsergebnisse als Datenmodell
Techniken: Anleitungen, wie Entwurfsergebnisse erzeugt werden
ME approach
Motivation Dokumentieren
Bestehende Methoden recherchieren
Bestehende Methoden übernehmen
Bestehende Methoden anpassen
Neue Methode entwickeln
Anwendungstechniken der Methode entwickeln
Potenzielle Designelemente testen
Methodendesign iterativ verfeinern
ITMW Lebenszyklus
Problem: Gibt ein Problem, was zu lösen ist
Ausprobieren: Man versucht durch Ausprobieren das Problem zu lösen
Community: "Gruppe" als Option zur Lösung
Forschung: "Wissenschaft" als Option zur Lösung
Beratung: "Outsourcing" als Option zur Lösung
Werkzeuge: Aus der Problemstellung entstehen Werkzeuge, die hilfreich sein können
Akzeptanz: Werkzeuge werden von Unternehmen akzeptiert & eingesetzt
Normierung: Durch Weiterentwicklung & Etablierung wird zur ISO-Norm
Auswahl von Software
Freie Suche
Kombination verschiedener Verfahren
Fortbildungen/Seminare
Softwareauswahlplattform
Auftrag an eine Beratungsfirma
3 Defizite des ITM
Der unklare Wertbeitrag von IT
Konzentration nur auf Informatikmethoden
Der gedankliche und führungstechnische Trennung von IT und Business
Diskussion je Defizit des IT-M. eine Lösung
Defizit1: Der unklare Wertbeitrag der IT
- Lösung: Kostenmanagement
○ Aufschlüsselung einzelner Leistungen, auf deren Beitrag und Kosten
Defizit2: Fokus nur auf Informatikmethoden
- Lösung: BPM Business Process Management
○ ein systematischer Ansatz, um sowohl automatisierte als auch nicht automatisierte Prozesse zu erfassen, zu sokumentieren, zu optimieren, auszuführen, zu messen und zu überprüfen.
BPM steht für einen ganzheutlichen Ansatz, denn sie erfasst nicht nur die technischen Abläfe, sondern auch damit verbundene geschäftliche Prozesse und Aktivitäten.
Defizit3: Die gedankliche und führungstechnische Trennung zwischen Business und IT.
- Lösung: BIM Business IT-Management
○ behandelt alle institutionaliserten Prozesse, Aktivitäten und Rollen, welche die Planung, Entscheidung, Durchführung und Kontrolle des Einsatzes von IT betreffen. Dabei wird untrennbare fachliche und technische Gegebenheiten berücksichtigt.
OWASP Top10
ist eine regelmäßig aktualisierte Liste von Bedrohungen im Web. Dies kann genutzt
werden, um die Sicherheit von Systemen im Web zu gewährleisten.
Es können Gefahren früh erkannt werden, sodass Hacker und Angreifer dieses nicht ausnutzen können. Ebenfalls kann sich die Angriffsfläche des Angreifers verringern.
Werkzeuge sind hier wie beispielsweise Penetrationstest, wodurch man Angriffe simulieren und dementsprechend entgegenwirken kann. Dann gib es noch Code-Review, welches den Quellcode analyisiert.
IT-Methoden des IT-Management + Werkzeugtypen
ITIL
- ist ein Rahmenwerk für das IT-Service-Management, das Best Practices und Prozesse für Bereitstellung und Verwaltung für IT-Services definiert
- Werkzeugtypen: Prozessmanagement-Tool, Helpdesk- und Incident-Tool und Change- und Configuration-Management-Tool.
DevOps
- Ist eine Kultur und Ansatz für die Zusammenarbeit von Entwicklungs- und IT-Betriebsteams, um schnellere und effizientere Softwareentwicklung und -bereitstellung zu ermöglichen.
Werkzeugtypen: Continous Deployment, Infrastrcture as Code sowie Monitroing und Logging Tools
DevOps beschreiben und 3 Unterschiede zu ITIL
- Devops
Ist eine Kultur und Ansatz für die Zusammenarbeit von Entwicklungs- und IT-Betriebsteam, um schnellere und effezientere Softwareentwicklungen und -bereitstellungen zu ermöglichen.
- Unterschiede
○ Kultur: Schwerpunkt auf Zusammenarbeit und ITIL eher auf Praktiken zur Bereitstellung von IT-Services
○ Automatisierung: DevOps nutzt Automatisierung, ITIL eher Prozesse oder Rollen, um qualitative Bereitstelung zu gewährleisten
○ Feedback-Schleifen: DevOps legt Wert auf schnelle Feedbackschleifen, ITIL zwar auch auf Feedbackstrategien, jedoch formeller und dauern länger.
○ ITIL Fokus auf ITSM, DevOps auf Verbesserung der SE
○ ITIL zielt , IT-Dienstleistung effizient und effektiv bereitzustellen, DevOps eher schnelleren und zuverlässigeren Ansatz für SE
Wann sollte 100% Testautomatisierung eingeführt werden? Auf welchen Teststufen.
- Testautomatisierung frühzeitig, um sicherzustellen, dass Tests sicher und effizient ausführen
- Unit-Tests zuerst automatisieren, sobald stabil dann Integrations- und UI-Test
- 100% bezieht sich auf Codezeilen, die von Tests abgedeckt. Unwahrscheinlich, dass überall 100% ist, daherwichtig dass Tests kritische Fubktionalitäten absichern.
10.) Testpyramide
- User Acceptance-Test
- Systemintegrationstest
- Komponenten- und Integrationstest
- Unit Test
- Unit Test zahlreich, Unit Acceptance eher weniger weil komplex
- Ziel: 100% Automatisierung auf jede Ebene unter Bedingung, dass alle Tests die erforderlichen Funktionalitäten prüft
Unit Tests einfachste, simpelste Form; Je höher desto komplexer und umfassender
Method Engineering
- ist ein Ansatz zur systematischen Entwicklung und Gestaltung von Methoden und Prozessen in Organisationen. Es befasst sich mit dem gesamten Lebenszyklus von Methoden, Analyse, Konstruktion, Implementierung und Evaluierung von Methoden.
Ziel: Prozesse effizienter und effektiver zu gestalten, um einen besseres Nutzen für die Nutzer und die Organisation zu erzielen.
Virtualisierung Vor- & Nachteile
20. Virtualisierung Vor- & Nachteile
beinhaltet die Verwendung spezieller Software, um Hardware und Systemsoftware virtuell nachzubilden. Dadurch können Ressourcen effizienter genutzt, Flexibilität erhöht und Kosten gesenkt werden, da mehrere virtuelle Maschinen auf einer physischen Hardware laufen können.
- Nutzt spezielle systemnahe Software.
- Bildet Hardware als virtuelle Maschine nach.
- Bietet auch die Nachbildung der Systemsoftware (Gastbetriebssystem).
Technische IT-Infrastruktur:
- Wird durch Virtualisierung vollständig immateriell.
- Ebenen der Infrastruktur lassen sich nur schwer trennen.
Vorteile:
- Höhere Auslastung (Mehrere virtuelle Maschinen auf einer Hardware --> bessere Ressourcennutzung)
- Geringere Kosten (Strom, Kühlung, Stellplatz)
Nachteile:
- Geringere Leistung
- Overhead
Nicht geeignet für spezielle Hardware-Anforderungen
Architektur-Erosion und ihre Kosten
Architektur-Erosion
- Prozess bei dem die Struktur und Qualität der Architektur immer mehr abbaut oder verschlechtert
- Durch Zunahme von Kopplung und Komplexität innerhalb des Systems
- --> Verlust von Überblick/Durchblick
- Entwicklungsteam --> Schwierigkeiten beim Verständnis des Systems
- Wartbarkeit und Erweiterbarkeit beeinträchtigt
Kosten:
- Architektur schwerer zu verstehen --> schlecht für Entwicklung von Erweiterungen
- Erweiterungen können Nebeneffekte haben
- --> erhöhter Zeitaufwand, steigende Kosten
- Sinkt Erfüllung der Qualitätsmerkmale
- --> Zunahme Fehler & weitere Kosten
Kostenmanagement
- Enthält Finanzplanung, Kostencontrolling, Analysen und Benchmarking
Als Ziel wird häufig "Bill of IT" genannt, d.h. Aufschlüsselung der Leistung, deren Betrag und Kosten.
- Probleme:
§ Schwierige Kostenverteilung,
§ Hohe IT-Kostenanteile,
§ Verhältnis von Betriebsausgaben zu Investitionsaugaben optimieren
Durch effektive Finanzsteuerung & Ressourcenoptimierung --> Reduzierung der Defizite
Zuletzt geändertvor einem Jahr