Facebook
Twitter
Google+
Kommentare
1

Risikobasiertes Qualitätsmanagement.

Vor ein paar Tagen hatte ich einen Artikel über die Kosten einer Webseite geschrieben. In diesem habe ich angedeutet, dass mir für eine kleine Webseite, wie die für ein Restaurant Sicherheit nicht so wichtig ist. Das ganze endete in einer etwas längeren Diskussion mit den Lesern. Bei meiner Argumentationskette fiel immer wieder der Begriff „Risikobasiertes Qualitätsmanagement“. Aber was ist das eigentlich?

Prinzipiell ist es ganz einfach. Unternehme nichts gegen Dinge, die kein hohes Risiko haben. Aber fangen wir doch einfach mal mit der Definition von Risiko an.

Risiko = Eintrittswahrscheinlichkeit x Kosten

Um ein hohes Risiko zu besitzen, muss ein Missstand also entweder sehr teuer sein (z.B. Diebstahl von Bankdaten) oder die Wahrscheinlich hoch sein, dass es eintritt (z.B. externe API antwortet nicht). um jetzt sauber mit Risiken zu hantieren, sollte man vor jedem Projekte oder Produkt eine Risikoanalyse durchführen.

In unserem Fall setzen wir und mit dem Kunden zusammen und diskutieren, was das schlimmste ist, was eintreten könnte. Auf diese Weise tasten wir uns heran, um die Kosten eines Ausfalls zu bewerten. Die Eintrittwahrscheinlichkeit versuchen wir dann erfahrungsbasiert zu ermitteln. „Was ist in der Vergangenheit oft kaputt gegangen?“ ist hierbei die Frage, die wir uns stellen. Wann man dies für ein Projekt und Produkt durchgeführt hat, weiß man, was man testen muss. Je höher das Risiko, umso wichtiger ist es, dass man einen Test dagegen schreibt. Je weniger Risiko, desto unwichtiger wird es. Ein typisches QM-Tattoo wäre

no risk, no test

weil es den Ansatz ganz gut beschreibt. Wenn man sich also vor dem Projekt dazu entscheidet, dass bei einem Systemangriff keine Userdaten geklaut werden  können, dann hat man hier keine hohen Kosten, damit auch kein Risiko und somit keinen Test dazu.

Also ja, es kann sein, dass bei einer Webseite Sicherheitsüberprüfungen wegfallen. Dies darf aber nur geschehen, wenn man sich im klaren darüber ist, was passiert wenn jemand sich ins System hackt. Es einfach nicht zu machen ist falsch. Wenn man es begründen kann aber möglich.

PS: Heute morgen kam auch gleich ein Interview in ZDF mo:ma, mit einem Sicherheitsexperten. Ich fand’s ganz gut, dass er über das Risiko drangegangen ist. Das Interbview hat aber trotzdem das Potential einen Shitstorm auszulösen.

Das Interview im ZDF.

 

Über den Autor

Nils Langner

Nils Langner ist der Gründer von "the web hates me" und auch der Hauptautor. Im wahren Leben leitet er das Qualitätsmanagementteam im Gruner+Jahr-Digitalbereich und ist somit für Seiten wie stern.de, eltern.de und gala.de aus Qualitätssicht verantwortlich. Nils schreibt seit den Anfängen von phphatesme, welches er ebenfalls gegründet hat, nicht nur für diverse Blogs, sondern auch für Fachmagazine, wie das PHP Magazin, die t3n, die c't oder die iX. Nebenbei ist er noch ein gern gesehener Sprecher auf Konferenzen. Herr Langner schreibt die Texte über sich gerne in der dritten Form.
Kommentare

Link erfolgreich vorgeschlagen.

Vielen Dank, dass du einen Link vorgeschlagen hast. Wir werden ihn sobald wie möglich prüfen. Schließen