{"id":33052,"date":"2018-02-23T08:33:10","date_gmt":"2018-02-23T07:33:10","guid":{"rendered":"https:\/\/e3magpmp.greatsolution.dev\/?p=33052"},"modified":"2022-05-01T08:19:14","modified_gmt":"2022-05-01T06:19:14","slug":"banken-it-tipps-fuers-testmanagement","status":"publish","type":"post","link":"https:\/\/e3magpmp.greatsolution.dev\/de\/banken-it-tipps-fuers-testmanagement\/","title":{"rendered":"Banken-IT: Tipps f\u00fcrs Testmanagement"},"content":{"rendered":"

Seit Ver\u00f6ffentlichung des Rundschreibens \u201e10\/2012 (BA) \u2013 Mindestanforderungen an das Risikomanagement MaRisk\u201c sowie den Erl\u00e4uterungen 12\/2012 durch die Bundesanstalt f\u00fcr Finanzdienstleistungsaufsicht (BaFin) gibt es in der IT von Banken eine Vielzahl von umzusetzenden Ma\u00dfnahmen, um insbesondere die Anforderungen aus AT 7.2 und AT 7.3 zu erf\u00fcllen. Angek\u00fcndigte Sonderpr\u00fcfungen nach \u00a7 44 KWG Absatz 1 (Kreditwesengesetz) fordern gleicherma\u00dfen Business- und IT-Verantwortliche heraus.<\/p>\n

Zahlreiche Formalismen und adminis\u00adtrative H\u00fcrden sind zus\u00e4tzlich zur hohen Belastung im Tagesgesch\u00e4ft zu bew\u00e4ltigen. Nat\u00fcrlich sind die regulatorischen Vorgaben zu erf\u00fcllen, aber nicht selten schie\u00dfen die Ma\u00dfnahmen auch \u00fcbers Ziel hinaus. Wichtig ist es, einen angemessenen Umsetzungspfad zu finden.<\/p>

\"\"<\/a><\/div>
\"\"<\/a><\/div>
\"\"<\/a><\/div>\n

Fachbereich, Entwicklung und Betrieb verbinden<\/h3>\n

Das Testmanagement bildet dabei die zentrale Klammer zwischen Fachbereich, Entwicklung und Betrieb. Im Test vorgeschriebene Ma\u00dfnahmen f\u00fchren zu erheblichen Seiteneffekten in den oben genannten Bereichen.<\/p>\n

Nachstehend werden pragmatische und praxiserprobte Ans\u00e4tze entlang des Software-Entwicklungsprozesses skizziert, mit denen sich die regulatorischen Anforderungen aus Sicht des Testmanagements erf\u00fcllen lassen. Anhand einer Checkliste (siehe folgende Seite) kann verifiziert werden, welche Komponenten noch zu implementieren sind.<\/p>\n

Neue oder modifizierte Software muss getestet werden. Die fachliche Auspr\u00e4gung der Testf\u00e4lle unmittelbar vor der Testphase durch die Fachbereiche gestaltet sich oft als z\u00e4her Prozess. Viel besser ist es, in der Konzeptionsphase f\u00fcr jedes formulierte Requirement auch eine Beschreibung des Testszenarios einzufordern.<\/p>\n

Konzeption: Rollen und Berechtigungen<\/h3>\n

Das Thema Rollen und Berechtigungen wird \u00fcblicherweise eher stiefm\u00fctterlich behandelt. Auch hier sollte die IT schon in der Konzeptionsphase auf die korrekte und vollst\u00e4ndige Definition, auf Funktionstrennung sowie auf die Formulierung entsprechender Testszenarien dr\u00e4ngen.<\/p>\n

\"Dieter<\/a><\/p>\n

Entwicklung: SAP ChaRM<\/h3>\n

Aktuelle und m\u00f6glichst schlank gehaltene Entwicklungsrichtlinien mit Namenskonventionen, Richtlinien f\u00fcr den Umgang mit kritischen Programmiertechniken sowie Hinweisen f\u00fcr optimierten Programm-Code sind inzwischen ein Muss.<\/p>\n

Weiterhin empfiehlt sich ein integriertes Auftrags- und Transportverwaltungssystem. F\u00fcr SAP-Anwender bietet sich hier die Komponente SAP Change Request Management (ChaRM) des Solution Managers mit dedizierten Genehmigungsverfahren, strikten Rollentrennungen sowie dem revisionssicheren Nachweis der Transportkette von Entwicklungs- \u00fcber Test- und Abnahmesysteme bis hin zur Produktion an.<\/p>\n

Nicht viele Entwicklungsbereiche nehmen sich die Zeit f\u00fcr Code-Reviews im Vieraugenprinzip. Auch hier gibt es inzwischen gute Werkzeuge auf dem Markt, welche Programm-Code u. a. auf sicherheitsrelevante Schwachstellen \u00fcberpr\u00fcfen und bei Regelverletzungen den Transport in Qualit\u00e4tssicherungs- oder Produktivsysteme verhindern.<\/p>\n

Im SAP-Umfeld gelten der Code Profiler von Virtual Forge sowie der SAP Code Vulnerability Scanner als f\u00fchrend. Eingangsvoraussetzung f\u00fcr den Fachtest sind dokumentierte Modultests durch die Entwicklung sowie die Benennung von Test\u00adeinschr\u00e4nkungen wie noch nicht fertiggestellte Funktionen oder bereits bekannte Fehler.<\/p>\n

Auch hier bieten sich unterst\u00fctzende Werkzeuge an. Die ChaRM-Komponente des SAP Solution Managers erm\u00f6glicht beispielsweise die Dokumentation und den Nachweis von Modultests.<\/p>\n

Als Allererstes empfiehlt es sich, die Testmanagement-Prozesse und die Rollen in den Test- und Abnahmeprozessen eindeutig zu definieren sowie Templates zum Beispiel f\u00fcr Testkonzepte oder Testfallbeschreibungen zur Verf\u00fcgung zu stellen. Auch hier gilt der Grundsatz: \u201eWeniger ist mehr.\u201c<\/p>\n

Rollentrennung<\/h3>\n

Lange Prosa-Passagen werden nicht gelesen. Besser sind Checklisten, Tabellen und Grafiken. \u00dcbrigens ist, um die regulatorischen Vorgaben zu erf\u00fcllen, die strikte Rollentrennung zwischen Fachbereich, Entwicklung und Test wichtig.<\/p>\n

Excel-basierte Testmanagement-Verfahren haben sich \u00fcberholt. Tests und Abweichungen sind nachvollziehbar und revisionssicher zu dokumentieren und aufzubewahren. Der Einsatz von inte\u00adgrierten Testmanagement-Tools wie das HP Application Lifecycle Management (HP ALM) Quality Center, IBM Rational Quality Manager oder die SAP Solution Manager Test Workbench ist obligatorisch.<\/p>\n

Aus Sicherheitsgr\u00fcnden d\u00fcrfen in nicht zentral gemanagten Testumgebungen keine sensiblen (insbesondere auch personenbezogene) Daten verwendet werden. So sind beispielsweise Gesch\u00e4ftspartnerdaten zu anonymisieren. F\u00fcr den Zugriff auf Testdaten durch Tester (und gegebenenfalls durch Entwickler f\u00fcr Fehleranalysen) ist ein Prozess zu definieren. Die Vergabe von User-IDs und Berechtigungen ist zu protokollieren.<\/p>\n

Testmanagement: Kalkuliertes Risiko<\/h3>\n

Stark an Bedeutung gewinnt das Risiko-Management. So muss die Bank auch nachweisen, dass Testrisiken wie die zu sp\u00e4te Bereitstellung der zu testenden Software oder eine fehlende Testinfrastruktur aufgenommen und bewertet sowie entsprechende Migrationsma\u00dfnahmen durchgef\u00fchrt und verfolgt werden.<\/p>\n

Bew\u00e4hrt hat sich der risikobasierte Testansatz. Prozesse werden in diesem Verfahren nach Kritikalit\u00e4t wie Aufrufh\u00e4ufigkeit oder Sicherheitsanforderungen sowie hinsichtlich \u00c4nderungen und Anpassungen im laufenden Testvor\u00adhaben bewertet.<\/p>\n

Daraus leiten sich der Umfang und die Priorit\u00e4t der involvierten Testobjekte beziehungsweise Testf\u00e4lle ab. Der Fokus verschiebt sich damit risikogetrieben auf die wirklich wichtigen Tests.<\/p>\n

In der Verantwortung des Testmanagements liegt der Nachweis, dass Pflichtergebnistypen wie ein Testkonzept oder eine Testplanung erstellt, obligatorische Tests wie Security- oder Disaster-Recovery-Tests durchgef\u00fchrt (bzw.die Nichtausf\u00fchrung begr\u00fcndet) oder der Abnahmeprozess ordnungs\u00adgem\u00e4\u00df durchlaufen wurden. Hier bietet sich ein checklistengest\u00fctztes Internes Kontrollsystem (IKS) an.<\/p>\n

Implementierung und Betrieb<\/h3>\n

Bei der Implementierung z\u00e4hlen definierte \u00dcbergabeverfahren bei strikter Rollentrennung zwischen Entwicklung und Betrieb. F\u00fcr den Betrieb ist ein m\u00f6glichst toolgest\u00fctztes Information-Security-Management-System zu etablieren und zu betreiben. Aus Sicht des Test\u00admanagements kann dann beispielsweise auf regelm\u00e4\u00dfige Standverfahren f\u00fcr ein Disaster Recovery verwiesen werden.<\/p>\n

Fazit<\/h3>\n

Die oben aufgef\u00fchrten Ma\u00dfnahmen zur Erf\u00fcllung der regulatorischen Anforderungen sind zwingend umzusetzen. Empfohlen werden eine ganzheitliche Betrachtung sowie die Implementierung von pragmatischen und praxisbew\u00e4hrten Ans\u00e4tzen.<\/p>\n

Anhand der Checkliste kann verifiziert werden, welche Bausteine noch einzuf\u00fchren sind. Weiterhin sollte auf Standards wie die BSI-Standards 100-1 bis 100-4, ISO 29119 (Test) oder ITIL gesetzt werden.<\/p>\n

 <\/p>\n

\"https:\/\/e3magpmp.greatsolution.dev\/partners\/innobis-ag\/\"<\/a><\/p>\n

 <\/p>\n

\n

 <\/p>\n

Checkliste <\/span><\/h3>\n

Anhand dieser Punkte erh\u00e4lt man einen ersten \u00dcberblick, ob und welche Komponenten implementiert sind (nicht\/teilweise\/vollst\u00e4ndig erf\u00fcllt):<\/p>\n

    \n
  1. Ist die Definition von Testszenarien f\u00fcr Requirements Pflicht?<\/li>\n
  2. Werden \u00c4nderungen an Rollen und Berechtigungen beschrieben?<\/li>\n
  3. Gibt es Entwicklungsrichtlinien?<\/li>\n
  4. Ist ein integriertes Auftrags- und Transportsystem implementiert?<\/li>\n
  5. Sind die Rollen beim Rollout von Software strikt zwischen Entwicklung und Betrieb getrennt?<\/li>\n
  6. Werden Code-Reviews durchgef\u00fchrt?<\/li>\n
  7. Gibt es unterst\u00fctzende Qualit\u00e4tssicherungswerkzeuge in der Entwicklung?<\/li>\n
  8. Werden Modultests durchgef\u00fchrt und dokumentiert?<\/li>\n
  9. Sind Testprozesse und Rollen im Testmanagement beschrieben?<\/li>\n
  10. Gibt es im Test eine strikte Rollentrennung zwischen Fachbereich, Entwicklung und Test?<\/li>\n
  11. Steht ein integriertes Testmanagement-Werkzeug zur Verf\u00fcgung?<\/li>\n
  12. Werden sensible Daten in Testsystemen gesch\u00fctzt\/anonymisiert?<\/li>\n
  13. Gibt es ein Verfahren zur Vergabe von User- und Berechtigungen f\u00fcr Testsysteme?<\/li>\n
  14. Werden die Testrisiken dokumentiert, bewertet und verfolgt?<\/li>\n
  15. Wird die Durchf\u00fchrung von Testf\u00e4llen priorisiert?<\/li>\n
  16. Wird die Erstellung von Pflicht-Ergebnistypen sowie von obligatorischen Tests systematisch kontrolliert (IKS-Checkliste)?<\/li>\n
  17. Gibt es einen definierten Prozess f\u00fcr den Zugriff auf sensible Test\u00addaten?<\/li>\n
  18. Ist der \u00dcbergabeprozess in die Produktion definiert?<\/li>\n
  19. Ist ein Information-Security-Management-System etabliert?<\/li>\n
  20. Werden Standards wie ITIL, BSI oder DIN-ISO-Normen eingesetzt?<\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"

    Wie k\u00f6nnen Finanzdienstleister pragmatisch mit den versch\u00e4rften regulatorischen Anforderungen an die Banken-IT umgehen?<\/p>\n","protected":false},"author":1378,"featured_media":36750,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"rank_math_lock_modified_date":false,"footnotes":""},"categories":[4,20361],"tags":[375,15155],"coauthors":[21844],"class_list":["post-33052","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-management","category-mag-1802","tag-charm","tag-risikomanagement"],"featured_image_urls_v2":{"full":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",1000,507,false],"thumbnail":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-150x150.jpg",150,150,true],"medium":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",400,203,false],"medium_large":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-768x389.jpg",768,389,true],"large":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",1000,507,false],"image-100":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-100x51.jpg",100,51,true],"image-480":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-480x243.jpg",480,243,true],"image-640":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-640x324.jpg",640,324,true],"image-720":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-720x365.jpg",720,365,true],"image-960":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-960x487.jpg",960,487,true],"image-1168":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",1000,507,false],"image-1440":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",1000,507,false],"image-1920":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",1000,507,false],"1536x1536":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",1000,507,false],"2048x2048":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",1000,507,false],"trp-custom-language-flag":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",18,9,false],"bricks_large_16x9":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",1000,507,false],"bricks_large":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",1000,507,false],"bricks_large_square":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",1000,507,false],"bricks_medium":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",600,304,false],"bricks_medium_square":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455.jpg",600,304,false],"profile_24":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2018\/04\/shutterstock_267762455-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

    Wie k\u00f6nnen Finanzdienstleister pragmatisch mit den versch\u00e4rften regulatorischen Anforderungen an die Banken-IT umgehen?<\/p>\n","category_list_v2":"Business Management<\/a>, MAG 18-02<\/a>","author_info_v2":{"name":"Dieter Koenen, Innobis","url":"https:\/\/e3magpmp.greatsolution.dev\/de\/author\/dieter-koenen\/"},"comments_num_v2":"0 comments","acf":[],"_links":{"self":[{"href":"https:\/\/e3magpmp.greatsolution.dev\/de\/wp-json\/wp\/v2\/posts\/33052","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3magpmp.greatsolution.dev\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3magpmp.greatsolution.dev\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3magpmp.greatsolution.dev\/de\/wp-json\/wp\/v2\/users\/1378"}],"replies":[{"embeddable":true,"href":"https:\/\/e3magpmp.greatsolution.dev\/de\/wp-json\/wp\/v2\/comments?post=33052"}],"version-history":[{"count":0,"href":"https:\/\/e3magpmp.greatsolution.dev\/de\/wp-json\/wp\/v2\/posts\/33052\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3magpmp.greatsolution.dev\/de\/wp-json\/wp\/v2\/media\/36750"}],"wp:attachment":[{"href":"https:\/\/e3magpmp.greatsolution.dev\/de\/wp-json\/wp\/v2\/media?parent=33052"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3magpmp.greatsolution.dev\/de\/wp-json\/wp\/v2\/categories?post=33052"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3magpmp.greatsolution.dev\/de\/wp-json\/wp\/v2\/tags?post=33052"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3magpmp.greatsolution.dev\/de\/wp-json\/wp\/v2\/coauthors?post=33052"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}