Last Round-ITMW

○ Produktlebenszyklus

Zeigt, in welchen Lebenszyklus zwsichen Markteinführung und Marktaustritt sich ein ITMW befindne kann.

Das Produktlebenszyklus beschreibt die Phasen, die ein Produkt auf dem Markt durchläuft und somit kann man die Produkte nach den jeweiligen Kriterien der Produkte in eine Phase des Modells einordnen. Dies ist hilfreich, damit man bspw. besser einschätzen kann, wann man in das Produkt investieren sollte und wann eher nicht. Außerdem kann man sehen, wann der Hochpunkt des Produkt kommt und wann die Lebenszeit auch aufhört.

○ Gartner Hype

Grafische Darstellung für "Aufmerksamkeit", die einer IT-Methode oder Werkzeug widmet. Damit kann man einordnen, wie es sich um den "Hype" von ITMW handelt, sodass man Entscheiden darauf ziehen kann, inwiefern Auswahl aufgrund des Bereichts, bspw. "Plateau of Productivity" eignet ->

Durch das Hartner Hype-Cycle bekommt man einen Überblick über die Technologien und wie diese sich im Laufe der Zeit entwickeln. Dieser bezieht sich quasi auf dem "Hype" des Produktes, bspw. zeigt "Peak of Inflated Expectations" die größte Hypephase, während beim "Trough of Disillusionment" hingegen der Rückgang beschrieben wird.

○ Diffusion of Innovation

Diffusion of Innovation beschreibt einen Prozess wodurch sich neue Produkte oder Technologien innerhalb eines Marktes bewegen.

ATAM ist ein strukturiertes Verfahren zur Bewertung und Analyse von Architekturentscheiden innerhalb der Softwarearchitektur. Dabei identifiziert dieser kritische Architekturszenarien und bewertet verschiedene Qualitätsattributen. Das Ziel dabei ist, dass ATAM Risiken und Schwächen früh erkennen möchte und entsprechende Handlungsempfehlungen gibt, um die Archtektur zu verbessern.

ATAM-Schritte:

Bewertungsmethode vorstellen

Geschäftsziele vorstellen

Architektur vorstellen

Architekturansätze identifizieren

Qualitätsbaum erstellen

Architekturansätze analysieren (1)

Szenario-Brainstorming

Architekturansätze analysieren(2)

Ergebniss präsentieren

SDLC ist ein Framework zur Erstellung von qualitativen und hochwertigen Software, die darauf abzielt Sicherheitsvorkehrungen von Anfang bis Ende in die Entwicklung zu integrieren, um potenzielle Sicherheitslücken zu minimieren.

• Training: Mitarbeiterschulungen für Sicherheitsaspekte

• Requirements: Sicherheitsanforderungen, Bug Bars, Quality Gates

• Design: Designanforderungen anhand Sicherheitsanforderungen

• Implementation: Umsetzung in ohne unsichere Features, Werkzeuge

• Verification: Laufzeitanalyse, Fuzzing Test, System auf fehlerhafte Daten testen

• Release: Veröffentlichung und letzte Kontrolle, Vorfallsreaktionsplan entwickeln

• Response: Vorfallreaktionsplan kontrollieren und umsetzen

Threat Modeling ist ein Verfahren, um potenzielle Bedrohungen wie strukturelle Schwachstellen oder das Fehlen von Gegenmaßnahmen zu ermitteln und Prioritäten für die gegenmaßnahmen festzulegen. Dadurch können Sicherheitsanforderungen entstehen, die dann in das SDLC eingebaut werden können.

- SDLC ist ein Framework zur Erstellung von hochwertigen qualitativen Software, die darauf abzielt Sicherheitsvorkehrungen vom Anfang bis Ende in die Entwicklung zu integrieren, um potenzielle Sicherheitslücken zu vermindern.

○ Training, Requirements, Design, Implementation, Verification, Release, Response

- TM ist ein Verfahren, um potenzielle Bedrohungen wie strukturelle Schwachstellen oder das Fehlen von Sicherheitsvorkehrungen zu ermitteln und Prioritäten für Gegenmaßnahmen festzulegen. Dadurch können Sicherheitsanforderungen ermittelt werden, welche dann in das SDLC eingebaut werden können.

- Pro

○ Training: Schulungen zu Sicherheitsaspekten erhähen das Sicherheitsbewusstsein der MA

○ Requirements: Festlegen von Sicherheitsanforderungen, Bug Bars und Quality Gates

- Contra

- Hohe Anfangsinvestition in das System, Längere Entwicklungsdauer

○ Frühe Erkennung von Gefahren: TM identifiziert potenzielle Bedrohungen frühzeitig

Gegenmaßnahmen: Ermöglicht die Festlegung wirksamer Gegenmaßnahmen

- Pro:

○ Verbesserte Kompotenzen der MA

○ Positiv auf Sicherheit & Datenschutz

- Contra:

○ Kostenaufwand

○ Detaillierte Untersuchung notwendig; Dauer

- Viele technische Systeme mit eingesetzte Daten verbunden

- Unternehmensinterne Daten oder Kundendaten, wo der Schutz sehr wichtig ist

- Kosten sind zwar umständlich, aber enorm wichtig für Sicherheit, damit keine Sicherheitslücke entsteht.

○ Auswirkungen von Sicherheitslücken --> erheblichen Schaden

Entwicklungskosten, Imageschaden und Vertrauensverlust ggü MA, Stakehodler und Kunden.

Und genau deshalb ist Threat Modeling hier sinnvoll, da diese frühzeitig potenzielle Bedrohungen erkennt und Entwickler ermöglicht, gezielt auf kritische Sicherheitsaspekte zu reagieren, auch wenn dies zu zusätzlichen Aufwand oder Komplexität führt.

Enterprise-Architecture-Management stellt ein aggregiertes Gesamtbild einer Organisation da mit dem Ziel, Gesamtzusammenhänge zu strukturieren und gleichzeitig den Korridor für zuk+nstige Entwicklung und Gestaltung aufzuzeigen.

sind beide Reifegradmodelle, die Unternehmen dabei unterstützen, ihre SE-Prozesse hinsichtlich Sicherheitsaspekten zu bewerten und zu verbessern.

OpenSAMM ist eine Inititiative von OWASP, d.h. eine offeneSammlung, die con Experten verfasst wurde und definiert 4 Business Functions. Bei BSIMM handelt es sich um eine Studie, die verschiedene Unternehmen berät und Sicherheitspraktiken in ihren SE-Prozess en untersucht und definier 4 Domain, die verschiedene Aspekte abdecken.

ist ein systematischer Ansatz, um sowhol automatisierte als auch nicht automatisierte Prozesse zu erfassen, zu dokumentiere, zu optimieren, auszuführen, zu messen und zu überwachen.

Aktivität: Planbare Verrichtungseinheit in Ablauffolge, um Ergebnisse zu erzeugen

Ergebnisse: Input und Output von Ergebnisse, die verändert oder genutzt werden

Rolle: Zusammenfassng von Entwurfsaktivitäten aus Sicht des Auftraggebers

Meta-Modelle: Struktur von Entwurfsdaten über alle Entwurfsergebnisse als Datenmodell

Techniken: Anleitungen, wie Entwurfsergebnisse erzeugt werden

Motivation Dokumentieren

Bestehende Methoden recherchieren

Bestehende Methoden übernehmen

Bestehende Methoden anpassen

Neue Methode entwickeln

Anwendungstechniken der Methode entwickeln

Potenzielle Designelemente testen

Methodendesign iterativ verfeinern

Problem: Gibt ein Problem, was zu lösen ist

Ausprobieren: Man versucht durch Ausprobieren das Problem zu lösen

Community: "Gruppe" als Option zur Lösung

Forschung: "Wissenschaft" als Option zur Lösung

Beratung: "Outsourcing" als Option zur Lösung

Werkzeuge: Aus der Problemstellung entstehen Werkzeuge, die hilfreich sein können

Akzeptanz: Werkzeuge werden von Unternehmen akzeptiert & eingesetzt

Normierung: Durch Weiterentwicklung & Etablierung wird zur ISO-Norm

Freie Suche

Kombination verschiedener Verfahren

Fortbildungen/Seminare

Softwareauswahlplattform

Auftrag an eine Beratungsfirma

Der unklare Wertbeitrag von IT

Konzentration nur auf Informatikmethoden

Der gedankliche und führungstechnische Trennung von IT und Business

Defizit1: Der unklare Wertbeitrag der IT

- Lösung: Kostenmanagement

○ Aufschlüsselung einzelner Leistungen, auf deren Beitrag und Kosten

Defizit2: Fokus nur auf Informatikmethoden

- Lösung: BPM Business Process Management

○ ein systematischer Ansatz, um sowohl automatisierte als auch nicht automatisierte Prozesse zu erfassen, zu sokumentieren, zu optimieren, auszuführen, zu messen und zu überprüfen.

BPM steht für einen ganzheutlichen Ansatz, denn sie erfasst nicht nur die technischen Abläfe, sondern auch damit verbundene geschäftliche Prozesse und Aktivitäten.

Defizit3: Die gedankliche und führungstechnische Trennung zwischen Business und IT.

- Lösung: BIM Business IT-Management

○ behandelt alle institutionaliserten Prozesse, Aktivitäten und Rollen, welche die Planung, Entscheidung, Durchführung und Kontrolle des Einsatzes von IT betreffen. Dabei wird untrennbare fachliche und technische Gegebenheiten berücksichtigt.

ist eine regelmäßig aktualisierte Liste von Bedrohungen im Web. Dies kann genutzt

werden, um die Sicherheit von Systemen im Web zu gewährleisten.

Es können Gefahren früh erkannt werden, sodass Hacker und Angreifer dieses nicht ausnutzen können. Ebenfalls kann sich die Angriffsfläche des Angreifers verringern.

Werkzeuge sind hier wie beispielsweise Penetrationstest, wodurch man Angriffe simulieren und dementsprechend entgegenwirken kann. Dann gib es noch Code-Review, welches den Quellcode analyisiert.

ITIL

- ist ein Rahmenwerk für das IT-Service-Management, das Best Practices und Prozesse für Bereitstellung und Verwaltung für IT-Services definiert

- Werkzeugtypen: Prozessmanagement-Tool, Helpdesk- und Incident-Tool und Change- und Configuration-Management-Tool.

DevOps

- Ist eine Kultur und Ansatz für die Zusammenarbeit von Entwicklungs- und IT-Betriebsteams, um schnellere und effizientere Softwareentwicklung und -bereitstellung zu ermöglichen.

Werkzeugtypen: Continous Deployment, Infrastrcture as Code sowie Monitroing und Logging Tools

- Devops

Ist eine Kultur und Ansatz für die Zusammenarbeit von Entwicklungs- und IT-Betriebsteam, um schnellere und effezientere Softwareentwicklungen und -bereitstellungen zu ermöglichen.

- Unterschiede

○ Kultur: Schwerpunkt auf Zusammenarbeit und ITIL eher auf Praktiken zur Bereitstellung von IT-Services

○ Automatisierung: DevOps nutzt Automatisierung, ITIL eher Prozesse oder Rollen, um qualitative Bereitstelung zu gewährleisten

○ Feedback-Schleifen: DevOps legt Wert auf schnelle Feedbackschleifen, ITIL zwar auch auf Feedbackstrategien, jedoch formeller und dauern länger.

○ ITIL Fokus auf ITSM, DevOps auf Verbesserung der SE

○ ITIL zielt , IT-Dienstleistung effizient und effektiv bereitzustellen, DevOps eher schnelleren und zuverlässigeren Ansatz für SE

- Testautomatisierung frühzeitig, um sicherzustellen, dass Tests sicher und effizient ausführen

- Unit-Tests zuerst automatisieren, sobald stabil dann Integrations- und UI-Test

- 100% bezieht sich auf Codezeilen, die von Tests abgedeckt. Unwahrscheinlich, dass überall 100% ist, daherwichtig dass Tests kritische Fubktionalitäten absichern.

10.) Testpyramide

- User Acceptance-Test

- Systemintegrationstest

- Komponenten- und Integrationstest

- Unit Test

- Unit Test zahlreich, Unit Acceptance eher weniger weil komplex

- Ziel: 100% Automatisierung auf jede Ebene unter Bedingung, dass alle Tests die erforderlichen Funktionalitäten prüft

Unit Tests einfachste, simpelste Form; Je höher desto komplexer und umfassender

Method Engineering

- ist ein Ansatz zur systematischen Entwicklung und Gestaltung von Methoden und Prozessen in Organisationen. Es befasst sich mit dem gesamten Lebenszyklus von Methoden, Analyse, Konstruktion, Implementierung und Evaluierung von Methoden.

Ziel: Prozesse effizienter und effektiver zu gestalten, um einen besseres Nutzen für die Nutzer und die Organisation zu erzielen.

20. Virtualisierung Vor- & Nachteile

beinhaltet die Verwendung spezieller Software, um Hardware und Systemsoftware virtuell nachzubilden. Dadurch können Ressourcen effizienter genutzt, Flexibilität erhöht und Kosten gesenkt werden, da mehrere virtuelle Maschinen auf einer physischen Hardware laufen können.

- Nutzt spezielle systemnahe Software.

- Bildet Hardware als virtuelle Maschine nach.

- Bietet auch die Nachbildung der Systemsoftware (Gastbetriebssystem).

Technische IT-Infrastruktur:

- Wird durch Virtualisierung vollständig immateriell.

- Ebenen der Infrastruktur lassen sich nur schwer trennen.

Vorteile:

- Höhere Auslastung (Mehrere virtuelle Maschinen auf einer Hardware --> bessere Ressourcennutzung)

- Geringere Kosten (Strom, Kühlung, Stellplatz)

Nachteile:

- Geringere Leistung

- Overhead

Nicht geeignet für spezielle Hardware-Anforderungen

Architektur-Erosion

- Prozess bei dem die Struktur und Qualität der Architektur immer mehr abbaut oder verschlechtert

- Durch Zunahme von Kopplung und Komplexität innerhalb des Systems

- --> Verlust von Überblick/Durchblick

- Entwicklungsteam --> Schwierigkeiten beim Verständnis des Systems

- Wartbarkeit und Erweiterbarkeit beeinträchtigt

Kosten:

- Architektur schwerer zu verstehen --> schlecht für Entwicklung von Erweiterungen

- Erweiterungen können Nebeneffekte haben

- --> erhöhter Zeitaufwand, steigende Kosten

- Sinkt Erfüllung der Qualitätsmerkmale

- --> Zunahme Fehler & weitere Kosten

- Enthält Finanzplanung, Kostencontrolling, Analysen und Benchmarking

Als Ziel wird häufig "Bill of IT" genannt, d.h. Aufschlüsselung der Leistung, deren Betrag und Kosten.

- Probleme:

§ Schwierige Kostenverteilung,

§ Hohe IT-Kostenanteile,

§ Verhältnis von Betriebsausgaben zu Investitionsaugaben optimieren

Durch effektive Finanzsteuerung & Ressourcenoptimierung --> Reduzierung der Defizite