Wie geht das?
Anforderungen
Anforderungen aufschreiben klingt ja erstmal recht simpel: Einfach nur aufschreiben, was die Fachseite braucht. Aber genau da liegt die Krux drin, denn die Fachseite weiß oft gar nicht, was sie braucht oder wie sie es formuliert. Deshalb gilt es, die Anforderungen genau herauszuarbeiten und sie so zu formulieren, dass sie test- und somit auch implementierbar sind. Und dann gibt es noch die über den Fachbereich hinausgehenden Anforderungen wie z.B. Compliance, rechtliche Fragen, Security, Datensicherheit.
Kleine Ankekdote
In einer Firma wurden sehr viele Geschäftsprozesse mit Excel abgebildet. Einer davon war die Mitarbeitereinsatzplanung insbesondere bei Kundeneinsätzen. Das war eine sehr große Datei, die nicht nur für die Mitarbeitereinsatzplanung wichtig war, sondern auch für die Umsatzplanung in den nächsten Monaten. Aber (das damalige) Excel stieß an seine Grenzen, und so kam es zur Entscheidung, ein ERP-System anzuschaffen. Da gilt es natürlich, Anforderungen zu sammeln, und die Anforderung bzgl. der Mitarbeitereinsatzplanung war: "Es muss so funktionieren wie in Excel".Zugriffsrechte
Ein wichtiges Thema sind natürlich die Zugriffsrechte, die sinnvollerweise über Rechtegruppen vergeben werden. Aber es gilt, sich Gedanken zu machen, wie die Rechte nun verteilt werden. So sollten diejenigen, die Debitoren und Kreditoren anlegen, keine Ausgangsrechnungen schreiben und keine Eingangsrechnungen bezahlen. Das setzt voraus, dass die Geschäftsprozesse hier sauber getrennt sind.
Anekdote
Ein großes Unternehmen hatte eine Abteilung, deren Disponenten die Verteilung von anzuliefernden Werbeprospekten planten. Dabei hatten die Mitarbeiter jeweils eigene Gebiete zu betreuen. Bei Urlaub gab es eine Vertreterregelung. Aber die Software konnte das nicht abbilden. Also übergaben sich die Mitarbeiter untereinander die jeweiligen Passwörter, um sich dann beim jeweiligen PC entsprechend einzuloggen und die Stellvertretung durchzuführen.Zwei-Faktor-Authentifizierung
Für Banken etc. ist es verbindlich zu nutzen, für viele Webseiten und Tools ist es sinnvoll und eben sicherer: die 2FA (Zwei-Faktor-Authentifizierung). Das bedeutet, dass man zwei von diesen drei Dingen hat: Wissen (z.B. Passwort, Pin), haben (z.B. Hardware-Token, Smartphone mit Authenticator) oder sein (z.B. Finderabdruck).Anekdote
Ein Vorfall bei der Südwestfalen-IT legte monatelang die von diversen Kommunen genutzte IT lahm bzw. führte zu großen Einschränkungen. Bevor die Server wieder produktiv werden konnten, mussten alle Backups geprüft und umfangreiche organisatorische und technische Sicherheitsanforderungen erfüllt werden. Dank externer IT- und Cyber-Security-Experten konnte der Einbruch analysiert und das IT-Netzwerk nun gesichert neu in Betrieb genommen werden.
Software-Testing
Wenn wir über einen Bug in einer Anwendung stolpern, wie oft sagen wir, da wurde nicht vernünftig getestet? Dabei hat ein Software-Test noch nie einen Fehler behoben, sondern lediglich für Transparenz gesorgt. Und ob ein gefundener und dokumentierter Fehler behoben wird, steht auch nicht fest. Das hängt u.a. von seiner Kritikalität, Priorisierung und auch dem Aufwand ab.
Anekdote
Es gibt Projekte, die müssen aufgrund oberster Stelle schnell live gehen. Das wird dann trotz vieler bekannter Fehler zuweilen auch durchgeführt. Wenn die Kunden Geschäftskunden sind, dann ist dieses Vorgehen zuweilen auch riskant. So gingen Nachrichten mit (eigentlich) sicheren Versand aus Anwendersicht verloren. Ursache: Das System kam mit Groß- und Kleinschreibung im Empfängernamen nicht zurecht. Das Management war nicht erfreut und hakte nach, wieso denn dieser Bug auftreten könne. Denn das war schon peinlich, denn "sicherer Versand" und aus Anwendersicht "verschwundene Nachricht" passt halt nicht zusammen. Der Haken: Es gab einen auf critical gesetzten Bug genau über dieses Fehlverhalten. Critical deswegen, weil für den Anwender die Nachricht verschwunden war.