DSGVO nimmt professionelle Anwender in Haftungspflicht

Qualitätssicherung und Gütesiegel für Software

Seite: 2/2

Anbieter zum Thema

Qualitätssicherung für Software

Der Deutsche Städte- und Gemeindebund behauptet: „Bei der Beschaffung und dem Einsatz von Software sind Städte und Gemeinden bestrebt, nur zertifizierte Produkte mit höchsten Standards einzusetzen. Dies trifft insbesondere auf Software, die zur Verarbeitung von Daten eingesetzt wird zu.“

Potenzieller Kaufanreiz ist eine Qualitätssicherung, auch „Software Quality Assurance“ genannt. In einem mehrwöchigen Kurs an der École de technologie supérieure (ÉTS) in Kanada können Sie erlernen, was es damit auf sich hat: 13 dreistündige Vorlesungen über „Qualitätsvoraussetzungen“, „Software Überprüfungen“ und das „Risikomanagement“ werden durch praktische Übungen zur Qualitätssicherung im Labor ergänzt.

Wichtig sind für die Hochschule Normen – etwa die ISO/IEC/IEEE 15289, ein Standard zur Beschreibung von Software oder die ISO/IEC 25000. Entwickler können ihre Qualitätsprüfung jedoch auch extern vergeben – beispielsweise an das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Gütesiegel für Software

Qualitätskriterien für Software in der Übersicht.
Qualitätskriterien für Software in der Übersicht.
(Bild: Sabine Radomski, Hochschule für Telekommunikation Leipzig)

Was aber macht ein Unternehmer, dessen Software übers Internet oder über Ladengeschäfte verkauft wird, um seine Interessenten von der Qualität seiner Software zu überzeugen? An einem Gütesiegel für geprüfte Sicherheit arbeitet Sabine Radomski, Professorin für Verteilte Systeme und Software-Engineering an der Hochschule für Telekommunikation Leipzig (HfTL) zusammen mit Aleksandra Sowa von der Gesellschaft für Informatik (GI).

In dem Wort Gütesiegel steckt Zweierlei: „Güte“ und „Siegel“: Die Qualität der Anwendung soll zunächst darauf geprüft werden, ob sie ausreichend „gut“ ist, also den Kriterien des Gütesiegels entspricht. Die Kriterien, nach denen geprüft wird, saugt sich Radomski dabei nicht aus den Fingern, sie stützt sich vielmehr auf die ISO 25000. Zu diesen Kriterien gehören:

  • 1. die Functional Suitability – sie bescheinigt, dass die Software tatsächlich das – korrekt und angemessen – tut, was die Entwickler in der Dokumentation behaupten.
  • 2. die Performance Efficiency – sie bestätigt, dass die tatsächliche Leistung und Geschwindigkeit sowie die Systembelastung der Anwendung mit den Behauptungen der Dokumentation übereinstimmt.
  • 3. die Compatibility prüft den Grad an Interaktionsfähigkeit der Anwendung mit anderen Produkten, Systemen oder Komponenten der Hardware auf der die Anwendung installiert ist.
  • 4. die Usability beschäftigt sich mit der Frage ob bestimmte Anwender in der Lage sind, bestimmte Ziele effektiv, effizient und zufriedenstellend in einem spezifizierten Anwendungszusammenhang zu erreichen.
  • 5. die Reliability spiegelt den Grad, mit dem spezifizierte Funktionen unter bestimmten Bedingungen in einem bestimmten Zeitraum zuverlässig ausgeführt werden. Neben der Zuverlässigkeit spielen hier auch die Systemverfügbarkeit, die Fehlertoleranz und die Wiederherstellbarkeit (nach einem etwaigen Systemabsturz) eine Rolle.
  • 6. die Security – sie garantiert den rollenspezifischen Zugang der Berechtigten zu Informationen und Daten – und schließt den Zugang Unberechtigter aus. Weitere Forderungen nach Vertraulichkeit, Integrität, Nachweisbarkeit, Rechenschaftspflicht und Authentizität präzisieren dieses Kriterium.
  • 7. die Maintainability – sie stellt sicher, dass die Anwendung effektiv und effizient „gewartet“ werden kann: Fehler müssen behoben, Funktionen verändert und neue Funktionen hinzugefügt werden können ohne Fehler zu verursachen. Dazu ist ein modularer Aufbau wiederverwendbarer Komponenten notwendig. Die Konsequenzen der Veränderungen für das Gesamtverhalten sollen einschätzbar sein. Testkriterien sollen zur Verfügung gestellt werden, um damit zu prüfen, ob diese Kriterien erfüllt werden.
  • 8. die Portability – sie zeigt, wie effektiv und effizient Systeme, Produkte oder Komponenten von einer Umgebung in eine andere transferiert werden können. Dabei spielen die Anpassungsfähigkeit, die Installierbarkeit und die Ersetzbarkeit eine Rolle.

Nach der Prüfung der „Güte“ kommt das Siegel obendrauf: Dafür wird für die zu prüfende Software eine Prüfsumme – ein sogenannter Hashwert errechnet und in die geprüfte Software integriert – Radomski erläutert: „Eine Veränderung der Software nach der Versiegelung ist nur mit hohem Aufwand möglich.“

Im Handel soll das Siegel „auch auf der Verpackung sichtbar sein und es kann bzw. soll auch eine Liste der zertifizierten Software im Netz geben, um den Kunden die Auswahl zu vereinfachen“, schreibt die Professorin. Eine Verletzung des Siegels werde beim Installieren sichtbar – dort werde der Hashwert geprüft und eine Fehlermeldung ausgespuckt, wenn er nicht stimmt.

Anspruch und Wirklichkeit

Kurzfristig ist das jedoch keine Lösung: Die Abstimmung mit Partnern wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI), dem Bitkom und der Telekom, die Entwicklung entsprechend widerstandsfähiger Algorithmen und die Einführung im Markt soll noch Jahre dauern.

Da die mutmaßlichen Großkoalitionäre nicht nur vereinbart haben „die kreativen Potenziale in Deutschland mobilisieren und die Chancen der Digitalisierung nutzen“ sondern auch „ein europaweit gültiges IT-Sicherheits-Gütesiegel etablieren“ wollen, besteht die Hoffnung, dass Radomski den erforderlichen Rückenwind für ihre Arbeit erhält.

Damit sind die guten Absichten der Parteien aber noch nicht erschöpft; die Großkoalitionäre wollen „das Produkthaftungsrecht anpassen, Mindeststandards vorschreiben und die Einführung einer gewährleistungsähnlichen Herstellerhaftung prüfen“. Die nach DSGVO Verantwortlichen werden ihnen dankbar dafür sein.

Was aber können Sie als professionell Verantwortlicher jetzt tun, wenn sie von den Entwicklern proprietärer Software nicht die Unterstützung erhalten, die sie benötigen, um ihrer Rechenschaftspflicht zu genügen? Sie können jegliche Verarbeitung personenbezogener Daten in die Cloud verschieben; dann haftet der Auftragsverarbeiter wenigstens mit.

Eine andere Möglichkeit ist mit dem Begriff der erwähnten „proprietären Software“ verknüpft, die oben genannt wurde. Der Gegensatz dazu heißt „Freie Software“ – also Software, die Ihnen per Lizenz die Freiheit lässt, die Software nach Gutdünken zu nutzen. Anhand des Quellcodes ließe sich dann zumindest prinzipiell zumindest eine DSGVO-feste Dokumentation erstellen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:45178459)