Die Rolle des CIO bei der Qualitätssicherung

von Sascha Greber

Fast jedes Unternehmen hat heutzutage Software im Einsatz, welche Einfluss auf Endkunden hat oder dazu dient, mit Endkunden geschäftliche Transaktionen abzuwickeln. Die Stabilität, Fehlerfreiheit und Performance dieser Software ist für den Geschäftserfolg von entscheidender Bedeutung.

Software-Qualitätssicherung ist kein notwendiges Übel, sondern eine zunehmend wichtige, strategische Disziplin im Rahmen der Anwendungs- und IT-Sicherheit und des Risikomanagements. Dies gilt nicht nur für Unternehmen, die selbst Software entwickeln, sondern auch für Unternehmen, die geschäftskritische Drittsoftware nutzen und auf einen störungsfreien und sicheren Betrieb angewiesen sind.

Ein Beispiel, was passieren kann, wenn die Qualitätssicherung versagt

Anpassungen (Updates) an der eingesetzten Software finden in immer kürzeren Zeitabständen, in der Regel mehrmals jährlich, statt. Dabei kann es sich um Sicherheitsanpassungen, Optimierungen oder um neue Funktionen handeln. In vielen Organisationen werden diese Anpassungen von den Softwareanbietenden direkt in die operativen Systeme des Unternehmens eingespielt.

Ein Beispiel, welche Auswirkungen das unkontrollierte Einspielen von Softwareupdates in operative Systeme haben kann, ist der Vorfall vom 19. Juli 2024 rund um die Firma CrowdStrike, einem Sicherheitsanbieter, bei dem Millionen von Windows-Systemen betroffen waren. Dabei hat CrowdStrike weltweit ein Update ausgerollt, bei dem ein Logikfehler in der Falcon Sensorenversion 7.11 aufgrund mangelhaften Testings unentdeckt blieb – mit verheerenden Auswirkungen. Aufgrund dieser Schwachstelle im Software-Update fielen Millionen von Windows-Systeme aus und zeigten den berüchtigten Blue Screen of Death (BSOD).

Ein Einzelfall? Wohl kaum. Im den letzten zwei Lageberichten zur IT-Sicherheit in Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) kommuniziert, dass sich die Anzahl von Schwachstellen in Software auf besorgniserregendem Niveau befindet. In nur einem Jahr wurden 25‘000 Schwachstellen in Software entdeckt, über 3‘500 davon wurden durch das BSI als kritisch eingestuft. Der jährliche Zuwachs betrug satte 24 Prozent.

Software-Qualität als Teil des Risikomanagement durch den CIO

Als CIO müssen wir im Rahmen des Risikomanagement die Qualität geschäftskritischer Applikationen überwachen und sicherstellen. Aktive Auseinandersetzung mit Software-Qualitätssicherung und -Testing ist unerlässlich, um Ausfallrisiken zu minimieren und die Resilienz zu stärken.

Zyklus des Risikomanagements betreffend Qualitätssicherung für CIOs

Folgende Fragestellungen helfen uns dabei zu verstehen, wie im Unternehmen aktuell mit dem Risiko umgegangen wird:

Übersicht geschäftskritische Applikationen

  • Besteht im Unternehmen eine Übersicht, welche Software oder Applikationen als geschäftskritisch einzustufen sind?
  • Steht diesbezüglich auch eine Risikoabschätzung zur Verfügung?

Änderungen und Updates

  • Wie werden an Software/Applikationen Änderungen und Updates vorgenommen?

Prozess interne Mitarbeitende

  • Werden die Änderungen und Updates durch interne Mitarbeitende durchgeführt?
  • Wie sieht der Prozess dazu aus?

Prozess und Vereinbarung externe Dienstleister

  • Welche Applikationen werden durch externe Anbieter oder Dienstleister betreut?
  • Wie sehen die Prozesse dazu aus?
  • Ist die Qualität vertraglich umfassend und griffig geregelt?

Kontrolle und Testing von Anpassungen

  • Wie stellt das Unternehmen sicher, dass Anpassungen kontrolliert erfolgen und in angemessener und effizienter Art und Weise auf Fehlerfreiheit getestet werden?

Datenschutz

  • Wie wird sichergestellt, dass bei Anpassungen die Datenschutzbestimmungen eingehalten werden?

Risikomanagement

  • Wie wird das Risikomanagement geführt und umgesetzt?

Fazit

Die durch fehlerhafte Software(-anpassungen und -Updates) auftretenden Schäden können bei betroffenen Unternehmen zu grossen Kosten und Reputationsschäden führen.

Für den CIO gilt es, dieses Risiko sowohl bei der Softwarebeschaffung wie auch bei der im Betrieb genutzten Software laufend zu minimieren und die Integrität der geschäftskritischen Applikationen sicherzustellen.

Folglich liegt es in der Verantwortung des CIO, die Qualität der zu beschaffenden und der im Unternehmen eingesetzten Software/Applikationen aktiv zu gestalten und zu beaufsichtigen.

Für eine besonders einfache, einheitliche und kosteneffiziente Testautomatisierung empfehlen wir die Nutzung eines unserer Low-Code-Testframeworks mit integrierter KI/AI.

Zurück

Sascha Greber

CCO und Projektleiter

Haben wir Ihr Interesse geweckt?

Gerne stehen wir Ihnen per Video Meeting zur Verfügung!

Meeting buchen