In seinen fast 20 Berufsjahren hat Ziviltechniker Wolfgang Prentner tiefe Einblicke in die österreichische IT-Seele gewonnen. Die COMPUTERWELT sprach mit ihm über die Trends in der Software-Entwicklung und IT-Security. [...]
Wolfgang Prentner ist Geschäftsführer der österreichischen Ziviltechnikergesellschaft ZT-Prentner-IT. Die zwölf Mitarbeiter des IKT-Spezialisten betreuen derzeit mehr als 100 Online-Portale im zentraleuropäischen Raum. Klienten wie OMV, Raiffeisen, REWE und Wiener Linien vertrauen der unabhängigen Prüf- und Überwachungsstelle für IT. 2012 erwirtschaftete der staatlich zertifizierte IT-Experte im Bereich Cybersecurity einen Umsatz von rund einer Million Euro.
Sie haben die These aufgestellt, dass die Software-Entwicklung weiblich wird. Was meinen Sie damit?
Wolfgang Prentner: Der Hintergrund ist der, dass sich die Software-Entwicklung von der starren, konzeptionellen Entwicklung zu einer agilen verändert. Agile Konzepte bedeuten Kommunikation, was nicht primär eine männliche Domäne ist. Männer tendieren dazu, im Stillen zu entwickeln, sie lassen sich auch nicht gerne in die Karten schauen. Außerdem sind Frauen lösungsorientierter, was ebenfalls ein Aspekt der agilen Entwicklung ist.
Was ist der Grund des Paradigmenwechsels?
Man weiß, dass sich die Benutzeranforderungen pro Monat um 1,5 bis zwei Prozent ändern. Wenn man Software wie früher nach durchschnittlich drei Jahren herausgibt, dann haben sich während dieser Zeit bis zu 75 Prozent geändert, was unbefriedigend ist. Das ist einer der Gründe, warum nur ein Drittel der Projekte in der Zeit und mit dem geplanten Budget umgesetzt werden.
Was sind die weiteren Gründe?
Es besteht ein großer finanzieller Druck. Die Kosten erhöhen sich in der Regel um den Faktor 5 oder 10. Das heißt, es gibt keine Kostenwahrheit.
Entstehen Probleme nicht auch dadurch, dass die Anbieter falsche Versprechungen machen?
Typisch ist die „Salami-Taktik“: Auf ein günstiges Erstangebot folgen höhere Nachforderungen und der Kostenrahmen wird überschritten. Diese Vorgangsweise ist vor ein paar Jahren noch gut gegangen. Heute merkt man, dass das Kostenbewusstsein im öffentlichen Bereich und in der Privatwirtschaft massiv gestiegen ist. Man lässt sich nicht mehr gefallen, dass die Projektkosten plötzlich stark steigen.
Sehen Sie im agilen Ansatz ein Allheilmittel?
Was uns die agile Software-Entwicklung bei der Flexibilität und Kundenorientiertheit gibt, nimmt sie uns bei der gesamtheitlichen Planbarkeit wieder weg. Wenn Agilität falsch gelebt wird, kann der Druck auf die Entwicklung sehr hoch sein, was zu Frustration führt, besonders dann, wenn es in Richtung Akkordarbeit geht.
Man bekommt den Eindruck, dass Software unausgereifter als früher auf den Markt kommt.
Es ist in der Tat so, dass Software in immer kürzeren Zyklen generiert wird beziehungsweise werden muss. Dazu kommt, dass Software verstärkt automatisiert generiert wird. Früher war es so, dass 30 Prozent in die Planung, 30 Prozent in die Programmierung und 30 Prozent ins Testen investiert wurden. Heute ist es so, dass 20 Prozent in die Planung gehen, 30 Prozent in die Programmierung und 50 Prozent ins Testen. Das ist ein Indikator dafür, dass die Software immer anfälliger wird. Software wird zudem immer komplexer, es gibt neue Ebenen wie Virtualisierung und Cloud, auch die Security-Anforderungen werden ständig erweitert.
Welche Auswirkungen hat das auf die Sicherheit?
Ein Problem entsteht, wenn unter anderem alte Software-Komponenten nicht neu entwickelt werden. Was früher kein Problem war, kann heute zu einem großen werden. Trotzdem habe wir ein hohes Sicherheitsmaß erreicht, früher lag die Grenze bei 50 Prozent, heute bei 80 bis 90 Prozent. Das heißt, es gibt rund zehn Prozent an Schwachstellen, die man in Kauf nimmt oder nicht kennt. Vor fünf bis zehn Jahren hieß es: Die Software muss ins Netz, dann sehen wir, ob sie sicher ist. Jetzt prüft man die Sicherheit der Software, bevor sie ins Netz geht.
Man darf nicht vergessen, dass immer mehr Werkzeuge, auch frei erhältliche, hinzukommen, die die System penetrieren können. Tools, die Systeme zum Absturz bringen oder auch beschenken: Es gibt Systeme, die sich sehr gut vor Angriffen wehren können, aber sehr zahm sind, wenn sie beschenkt werden. Man sollte bei Geschenken generell vorsichtig sein.
Welche Fälle sind aus Ihrer Sicht die bemerkenswertesten?
Wirtschaftsspionage ist ein großes Thema. Wir als staatlich befugte Ziviltechniker oder als Gerichtssachverständige sind in Fälle involviert, bei denen es oft haarsträubend ist, wie gutgläubig sich Unternehmer von Dienstleister servicieren lassen. In einem Fall hat sich der Verdacht erhärtet, dass ein Dienstleister mit Wartungssoftware den Vorstand überwacht hat. Er hat Snapshots vom Bildschirm des Vorstands gemacht und die Informationen per E-Mail an ein zahlungswilliges Klientel weiterleitet. Mein Wissensstand ist, dass der Dienstleister das fünf bis zehn Jahre praktiziert hat. Er wurde durch den Glauben, nicht entdeckt werden zu können, fahrlässig. Es hat sich schließlich herausgestellt, dass der Dienstleister über Informationen verfügte, die er auf legalem Weg nicht hätte erfahren können.
Wie agieren Sie bei Verdacht auf Wirtschaftsspionage?
Wir arbeiten entweder nicht verdeckt mit dem Auftraggeber zusammen oder verdeckt in Abstimmung mit der Staatsanwaltschaft. Diese sagt zum Beispiel, ob es zulässig ist, einen elektronischen Köder auszulegen, etwa Dokumente, die markiert sind.
Der IT-Security-Bereich wird immer komplexer, Stichwort Cloud. Welche Vorgangsweise raten Sie?
Auch wenn die Daten in die Cloud ausgelagert werden, trägt man als Auftraggeber immer die Verantwortung. Das macht die Absicherung von Cloud-Lösungen umso wichtiger. Eine gute Basis ist es, einen heimischen oder europäischen Anbieter zu nehmen, weil wir beim Datenschutz eine höhere Kultur bieten. Verschlüsselung ist ein gutes Feature. Aber solange die Schlüssel beim Dienstleister bleiben und nicht beim Auftraggeber, ist es ein großes Problem.
Das Gespräch führte Wolfgang Franz.
Be the first to comment