Software-qualität

DIN 55350
DIN ISO 8402 /1. Qualitatskriterien

Qualitat ist die „Gesamtheit von Eigenschaften bzw. Merkmalen eines Produktes bezuglich seiner Eignung, festgelegte und vorausgesetzte Erfordernisse zu erfullen“

Qualitatsbeurteilung

Aufstellung und Systemati¬sierung qualitativer Beurteilungskriterien bzw. Merkmale

Entwicklung von direkten und indirekten Me?gro?en zur quantitativen Bewertung der Merkmale

Festlegung von Ma?staben, um die Erfullung der Qualitats¬merkmale anhand der Werte der Ma?gro?en zu beurteilen.

gut (Tage) schlecht

1 2 3 4 5 6 7 8 9

Bsp.

Arbeitstage

Erlernbarkeit

DIN 66272

(ISO 9126)

Kriterien fur die Beurteilung der Software Qualitat:

– Funktionalitat: Sind alle im Pflichtenheft geforderten Funktionen vorhanden und ausfuhrbar?

– Zuverlassigkeit: Zu welchem Grad (z. B. Prozent der Arbeitszeit) erfullt die Software dauerhaft die geforderten Funktionen? Werden alle Funktionen richtig ausgefuhrt (Korrektheit)?

– Benutzbarkeit: Wie schnell la?t sich der Umgang mit der Software vom Benutzer erlernen (Erlernbarkeit)? Wie einfach la?t sich die Software durch den Benutzer handhaben (Bedienbarkeit)?

– Effizienz: Welches zeitliche Verhalten (Antwortzeit im Dialogbetrieb, Laufzeit im Stapelbetrieb) und welchen Ressourcenverbrauch zeigt die Software unter den gegebenen Systemvoraussetzungen (Hardware, Betriebs- system, Kommunikationseinrichtungen)?

– Änderbarkeit: Mit welchem Aufwand bzw. In welcher Zeit lassen sich Änderungen durchfuhren! Wie la?t sich der Aufwand fur Fehlererkennung -behebung minimieren (Wertbarkeit)?

– Übertragbarkeit: Mit welchem Aufwand la?t sich die Software (insbesondere Standard- software an individuelle funktionale betriebliche Gegebenheiten anpassen (Anpa?barkeit)? La?t sich die Software ohne gro?eren Aufwand in anderen Systemumbegungen zum Einsatz bringen (Portabilitat)? Kann die Software beim Austausch des Rechners (z. B. leistungsfahiger Prozessor) unverandert eingesetzt werden (Skalierbarkeit, -> Aufwarts- Kompatibilitat)

Mann kann die Qualitatsmerkmale auch danach gliedern, ob sie

als statistische Qualitatsmerkmale den Aufbau, d. h. die Entwicklung, die Strukturierung, die Dokumentation usw., oder

als dynamische Qualitatsmerkmale das Verhalten, d. h. den Einsatz, die Handhabung usw.,

der Software betreffend.

Zur quantitativen Bewertung der Merkmale konnen beispielsweise herangezogen werden:

a) als direkte Me?gro?e fur die

– Zuverlassigkeit: Ausfallzeiten

– Korrektheit: Anzahl Fehler pro Zeiteinheit

– Bedienbarkeit: Anzahl Aufrufe pro Vorgang

– Effizienz: Antwortzeit (Durchschnitt, Spitze) pro Transaktion

– Wertbarkeit: Zeitaufwand je Fehlerbehebung

b) als indirekte Me?gro?en

– Programmgro?e: Anzahl Programmzeilen (LOC = Line of Code)

– Programmstruktur: Anzahl Hierachieebenen (Schachtelungstiefe),

Anzahl Strukturblocke, Anzahl Module

– Programmkomplexitat: Anzahl unterschiedlicher Steuerkonstrukte

– Kommentarumfang: Anzahl Kommentarzeilen absolut und relativ im Verhaltnis zur

Anzahl Programmzeilen

Mehrere Kriterien bzw. Merkmale uberschneiden sich oder hangen voneinander ab. Die indirekten Me?gro?en haben auf die Merkmale unterschiedliche, zum Teil gegenlaufige Wirkung. Beispielsweise erhoht eine hohe Anzahl von Strukturblocken die Wartbarkeit, aber nicht unbedingt die Effizienz. Die Aussagekraft vieler Merkmale und Me?gro?en ist wegen der mangelnden Vergleichbarkeit sehr umstritten.

Von besonderer Bedeutung fur die Software-Qualitat ist die Software-Ergonomie, deren Ziel in erster Linie darin besteht, bei der Nutzung von Software im Dialogbetrieb:

– die Arbeit nicht monoton oder ermudend werden zu lassen und

– den Benutzer im richtigen Ma? geistig zu fordern.

Die Software-Ergonomie ist weitgehend mit dem Qualitatskriterium Benutzbarkeit identisch.

DIN 66285

ordnet diesem Kriterium die Merkmale Verstandlichkeit, Übersichtlichkeit und Steuerbarkeit zu.

DIN 66234

in dieser werden die Anforderungen an die Dialoggestaltung zu folgenden funf Grundsatzen zusammengefa?t:

– Aufgabenangemessenheit: Anpassung an die Arbeit und die Qualifikation der Benutzer

(Realisierung,: Maskengestaltung, Fenstertechnik, grafische Benutzeroberflache, Funktionstasten, Symboltechnik);

– Selbstbeschreibung: automatische Systemerklarung, Statusmeldungen (Realisierung:

deutsche Texte, Erlauterungen mit Beispielen, HELP-Funktion);

– Steuerbarkeit: individuelle Einrichtung angemessener Bearbeitungs- und

Antwortzeiten, Moglichkeiten zur Arbeisunterbrechung und zur Rucknahme von Eingaben, Loschbestatigung;

– Erwartungskonformitat: Quittierung von Eingaben, Ruckfragen des Systems,

Erlauterungen von Unterbrechungen, Zustandsanzeigen;

– Fehlerrobustheit: keine Systemzusammenbruche bei Eingabefehlern, verstandliche

Fehlermeldungen, Hinweise auf Korrekturma?nahmen, automatische Korrekturen.

DIN 66234

ISO 9241

DIN EN 29241

ISO 9241
DIN 66234 soll durch die internationale Norm ISO 9241 bzw. die entsprechende europaische Norm DIN EN 29241 abgelost werden. Die internationale Norm enthalt u. a. Grundsatze der Dialoggestaltung, Angaben zur Benutzbarkeit sowie Vorgaben zur Benutzerfuhrung und zur Dialogfuhrung mittels Menu. Zu den funf aus DIN 66234 ubernommenen Grundsatzen kommen auch die beiden Merkmale

Lernforderlichkeit und Individualisierbarkeit hinzu. ISO 9241 ist in Verbindung mit der EU-Richtlinie 90/270/EWG zu sehen, der bis spatestens Ende 1996 alle Bildschirmarbeitsplatze genugen mussen.

Speziell fur die Gestaltung der Benutzeroberflache gibt es eine Vielzahl von Empfehlungen:

– Zusammenfassung von verwandten Informationen zu Gruppen und Zuordnung zu festen Bildschirmbereichen (Status-, Arbeits-, Steuerungs-, Meldungsbereich) bzw. entsprechende Fenster,

– sparsame Verwendung von Hervorhebungen (Blinken, Invertierung, Kontrastverstarkung, Farben),

– Abschaltbarkeit von optischen und akustischen Signalen.

Einen Quasi-Standard bilden die von der Firma IBM im Rahmen der System Anwendungs-Architektur (SAA) unter der Bezeichnung CUA (Common User Access) gegebenen Vorschriften uber die Benutzerschnittstelle.

Unter Qualitastsicherungsma?nahmen versteht man:

– im engeren Sinn Testmethoden und Prufverfahren wie Inspetion oder Review am Ende des Software Entwicklungsprozesses und

– im weiteren Sinn alle Ma?nahmen zur Erhohung einer hohen Software-Qualitat wahrend des gesamten Entwicklungsprozesses.

Qualitatssicherungsma?nahmen im weiteren Sinn bestehen u.a. in:

– der Befolgung eines einheitlichen Vorgehensmodells fur alle Anwendungsentwicklungen,

– einer konsequenten Anwendung der Prinzipien des strukturierten Systementwurfs und des strukturierten Programmentwurfs unter Aspekten der Wiederverwendbarkeit,

– einer fur alle Programmierer des Unternehmens verbindlichen Festlegung auf eine Methode bzw. ein Verfahren der Programmentwicklung,

– die Einhaltung vorgeschriebener Strategien zur Organisation eines systematischen Testbetriebs durch alle Programmierer,

– der Einfuhrung einer von allen Systemanalytikern und Programmierern einheitlich zu nutzenden Software-Produktionsumgebung (einschlie?lich Konfigurationsmanagement) aus einer minimalen Anzahl geeigneter Werkzeuge.

Hierzu kommt die Handhabung eines professionellen Projektmanagements.

Generell setzt sich die Erkenntnis durch, da? eine wirksame Qualitatssicherung nur durch die Ausweitung zu einem umfassenden („totalen“) Qualitatsmanagement zu erreichen ist, das durch ein Qualitatsmanagementsystem unterstutzt wird.

DIN ISO 8402

DIN ISO 9000

Wahrend die Begriffe zur Qualitatssicherung im Entwurf von DIN ISO 8402 festgelegt sind, wird in einer Reihe weiterer Normen (DIN EN ISO 9000 bis 9004) ein Leitfaden zur Anwendung gegeben. Speziell DIN ISO 9000, Teil 3 befa?t sich mit der Anwendung auf die Entwicklung, Lieferung und Wartung von Software.

2. Zertifizierung

Verbraucher bevorzugen Produkte, die hinsichtlich ihrer Qualitat mit einem Gutesiegel versehen, d. h. zertifiziert sind. Anwendungssoftware ist davon nicht ausgenommen. Die Zertifizierung von Software kann sich beziehen:

– auf das Produkt, d. h. die Software,

– auf den Erstellungspro?es, d. h. den Proze? der Software-Entwicklung, oder

– speziell auf sicherheitstechnische Anforderungen an Anwendungssysteme.

Da besonders an Standartsoftware hohe Qualitatsanforderungen gestellt werden, ist schon fruh der Wunsch nach Prufzertifikaten fur das Produkt Software entstanden. 1985 haben sich Prufinstitutionen, Hardware-Hersteller, Software-Firmen und Anwender zur „Gutegemeinschaft Software e.V.“ (GGS) zusammengeschlossen. Bei der GGS kann fur Programme das Gutezeichen Software beantragt werden. Die GGS ist Mitglied des 1925 gegrundeten RAL (Deutsches Institut fur Gutesicherung und Kennzeichnung e. V.), einem von der Wirtschaft, den Behorden und den Verbraucherverbanden anerkannten Verein fur die Erarbeitung von Gute- und Prufbestimmungen. Das Gutezeichen Software wird als RAL GZ 901 gefuhrt. Da die Prufung anhand der Norm DIN 66285 erfolgt, tritt neben das RAL-Zeichen noch das DIN-Siegel.

Mit der Prufung selbst werden von der GGS Prufstellen beauftragt, die teilweise eigene Gutesiegel vergeben, darunter Technische Überwachungsvereine wie TÜV Bayern/Sachsen, TÜV Rheinland oder Rheinisch-Westfalischer TÜV. Entsprechend der Norm DIN 66285 betreffen die Prufungen die Produktbeschreibung, die Benutzerdokumentation, das eigentliche Programm und die Installierung.

Die Produktzertifizierung hat stark an Bedeutung verloren, seitdem sich die Erkenntnis durchgesetzt hat, da? es sinnvoller ist, nicht kurzlebige bzw. haufigen Anpassungen oder Veranderungen unterworfene Produkte wie die Software selbst, sondern den Herstellungs- bzw. Entwicklungspro?es der Produkte hinsichtlich der Gewahrleistung von Qualitatseigenschaften zu zertifizieren. Basis fur die Proze?zertifizierung bilden die schon erwahnten Qualitatsmanagement- und Qualitatssicherungsnormen der internationalen DIN EN ISO 9000 bis 9004 mit folgenden Einzelnormen:

DIN EN ISO 9000: Leitfaden zur Auswahl und Anwendung;

DIN EN ISO 9001: Qualitatssicherung in Design/Entwicklung, Produktion Montage und Kundendienst;

DIN EN ISO 9002: Qualitatssicherung in Produktion und Montage;

DIN EN ISO 9003: Qualitatssicherung in der Endprufung;

DIN EN ISO 9004: Leitfaden zum Aufbau eines Qualitatssicherungssystems.

Mit der Proze?zertifizierung befassen sich mehrere autorisierte Zertifizierungsstellen. Die Zertifizierung verlauft in vier Phasen, die sich uber einen Zeitraum von mehreren Monaten bis zu zwei Jahren erstrecken konnen. Den Kern bilden sogenannte Audits (Anhorungen). Die ersten drei Phasen schlie?en jeweils mit einem Bereich der beauftragten Zertifizierungsstelle an den Auftraggeber. Das Zertifikat gilt drei Jahre, sofern jahrlich ein Überwachungsaudit stattfindet, und verlangert sich um weitere drei Jahre, sofern ein Wiederholungsaudit durchgefuhrt wird. Wegen dieses hohen Aufwands und der damit verbundenen Kosten scheuen vor allem kleine und mittlere Unternehmen eine Zertifizierung. Im IV-Bereich sind bisher hauptsachlich Software-Firmen und Schulungsveranstalter zertifiziert.

Speziell mit der Prufung und Bewertung der besonders fur den Datenschutz wichtigen Sicherheitseigenschaften von Software befa?t sich das „Bundesamt fur Sicherheit in der Informationstechnik“ (BSI). Nach dem BSI-Errichtungsgesetz (BSIG) hat das BSI u. a. die Aufgabe:

– die Sicherheit von IT-Systemen bzw. IT-Komponenten auf Antrag des Herstellers oder Vertreibers zu prufen, zu bewerten und Sicherheitszertifikate zu vergeben,

– IT-Systeme bzw. IT-Komponenten, die fur amtlich geheimgehaltene Informationen (Verschlu?sachen) eingesetzt werden sollen, auf ihre Eignung zu prufen ggf. zuzulassen, soweit die geltenden Vorschriften eine Zulassung fordern, und

– IT-Herstellern, -Vertreibern und -Anwendern in Fragen der IT-Sicherheit zu beraten.

Das Schwergewicht liegt auf technischen Sicherheitsma?nahmen, die hochstmoglichen Schutz gegenuber Bedienungsfehlern, technischem Versagen, katastrophenbedingungen Ausfallen und Manipulationsversuchen bieten. Generell werden unter dem Begriff IT-Sicherheit:

– Vertraulichkeit, d. h. Schutz vor unbefugter Preisgabe von Informationen

– Integritat, d. h. Schutz vor unbefugter Veranderung von Informationen, und

– Verfugbarkeit, d. h. Schutz vor unbefugter Vorenthaltung von Informationen oder Betriebsmitteln,

verstanden. Typische Themen zur IT-Sicherheit sind z. B. Authentifizierungsverfahren und die elektronische Unterschrift.

Die vom BSI vertretenen Forderungen stammen ursprunglich aus dem militarischen bzw. nachrichtendienstlichen Bereich. Sie beruhen auf einem erstmals 1983 vom National Institute OF Standards and Technologie (NIST) der USA im Auftrag des amerikanischen Verteidigungsministeriums erarbeiteten Kriterienkatalog („Orange Book“), der 1987 von der NATO ubernommen worden ist. Zunehmende Gefahren durch Computerkriminalitat, Hacker, Viren u. a. haben dazu gefuhrt, die Forderungen auch im privaten Bereich zu stellen.

Das BSI legt der Zertifizierung sogenannte IT-Sicherungskriterien zugrunde, die seit 1980 im IT-Evaluationshandbuch und seit 1992 unter der Bezeichnung „Information Technology Security Evaluation Criteria“ (ITSEC) auf europaische Ebene harmonisiert sind. Die zu beurteilenden Sicherheitsma?nahmen werden in 10 Funktionsklassen eingeteilt und ja nach Wirksamkeit sieben Qualitatsstufen E0 bis E6 zugeordnet. Die der Zertifizierung vorangehende Prufung nehmen das BSI selbst oder vom BSI beauftragte akkreditierte Prufstellen, darunter wieder mehrere Technische Überwachungsvereine, vor. Zertifiziert sind bisher hauptsachlich Betriebssysteme, insbesondere Chipkarten-Betriebsysteme. Die Kriterien werden von der ISO unter der Abkurzung CC (Common Criteria) international genormt.