4. Nov 2024

TÜV-Zertifizierung Interview

Wie unterscheidet sich die Zertifizierung “Trusted Development” der TÜV Trust IT GmbH von anderen Standards – z. B. ISO-Zertifizierungen, bzw. welche Gemeinsamkeiten gibt es?

Die TÜV-Zertifizierung orientiert sich an nationalen und internationalen Standards – ganz konkret an den Vorgehensweisen der …

  • BSI-Studie „Durchführungskonzept für Penetrationstests“
  • NIST SP 800-115, „Technical Guide to Information Security Testing and Assessment“
  • ISO/IEC 27001, „Information security management systems“
  • ISO/IEC 27002, „Information technology security techniques“
  • ISO/IEC 27033, „Information technology – Security techniques – Network security“
  • BSI IT-Grundschutz
  • OWASP (Open Worldwide Application Security Project)

Diese Standards sind allerdings einerseits jeweils speziell auf ein bestimmtes Thema ausgerichtet – etwa Sicherheitsmanagement – andererseits aber auch sehr viel breiter gefasst als bloß auf die Entwicklung von Applikationen, was ja unser Kerngeschäft ist.

Die TÜV-Zertifizierung verfolgt also quasi den Best-of-breed Ansatz und verwendet Verfahren etablierter Best Practices. Daraus haben die TÜV-Prüfer eine Zertifizierung entwickelt, die genau die Parameter prüft, auf die es speziell in unserem Business ankommt.

Warum ist es den Shopmachern wichtig, TÜV-zertifiziert zu sein?

Letztlich  geht es uns um Trust. Denn Vertrauen ist im Vorfeld eines sich anbahnenden IT-Projektes ein entscheidender Faktor. Es gibt ja sehr viele Dienstleister in unserem Business. Und jeder behauptet natürlich, er würde sein Handwerk verstehen, womöglich sogar besser als die Konkurrenz. In der Regel kommen in diesem Kontext Referenzkunden zu Wort, die das belegen sollen. Das ist wichtig und richtig – und auch wir freuen uns über lobende Worte. Aber es war uns wichtig, diese Auszeichnung auch von einer unabhängigen Prüfstelle wie dem TÜV zu erhalten, der vor allem Methodik und Abläufe untersucht. Die Zertifizierung ist der Beweis: Unsere Arbeitsweise genügt allerhöchsten Ansprüchen. Das ist ein weiterer Baustein zur Vertrauensbildung. Und Vertrauen ist im Vorfeld eines sich anbahnenden IT-Projektes ein entscheidender Faktor.

TÜV Zertifikat Bilderrahmen

Wie kann man als Agentur Prozesse standardisieren?

Wir haben über Jahre in unterschiedlichsten Kundenprojekten Standards etabliert, wie zum Beispiel die Art, wie wir Anforderungen erheben und in Softwareentwicklung überführen. Diese Prozesse hat der TÜV untersucht und attestiert: Die Shopmacher-Entwicklungsstandards entsprechen übergreifenden Konventionen, wie z. B. den agilen Frameworks Scrum oder Kanban. Und wir haben auch beschrieben, unter welchen Voraussetzungen welches agile Framework vorzuziehen ist. Dass das für uns funktioniert, war uns ja vorher schon klar, deswegen arbeiten wir ja genau so und nicht anders. Dass Nuancen zwischen den bekannten Frameworks, die wir für uns entwickelt haben, sogar als Benchmark für die Branche gelten, das hat uns teilweise überrascht und macht uns auch ein bisschen stolz.

Wie sieht eure Arbeitsweise von der ersten Kundenanfrage bis zur finalen Auslieferung denn konkret aus, wenn ihr ein neues Projekt gewinnt?

Das ist vielfältig. Aber nehmen wir z. B. nochmal den gesamten Prozess der Anforderungserhebung – wenn also ein Kunde mit einem Wunsch auf uns zukommt. Unser Prozess sieht vor, dass wir das nicht einfach umsetzen – auch dann nicht, wenn es schon sehr gut vorbereitet und spezifiziert wurde. Das hat einen einfachen Grund: Wir arbeiten in der Regel monatelang, oft jahrelang mit unseren Kunden zusammen. Bevor wir irgendetwas programmieren, müssen wir den Kontext, das Ziel, das Business hinter der Anforderung genau verstehen. Denn konkrete Anforderungen ändern sich im Laufe der Zusammenarbeit oft, und dann müssen gemeinsame Priorisierungen und Entscheidungen getroffen werden. Dafür brauchen wir den Business-Kontext, um dann auch passend beraten und umsetzen zu können.

TÜV Zertfikat Übergabe
Wenn du dir das Marketing von IT-Dienstleistern anschaust, dann behaupten die meisten, dass sie den Kunden verstehen wollen. Was sonst? Aber wir behaupten das nicht bloß, wir weisen ein Vorgehen bei der Auftragsanbahnung nach, das belegt, wie und warum wir das machen. So etwas wird bei der TÜV-Prüfung positiv bewertet, bzw. gibt es Abzüge, wenn du eine Behauptung nicht belegen kannst.

Wenn es dann irgendwann in die Umsetzung geht, arbeiten wir agil: Backlog > Epics > User Stories > Akzeptanzkriterien > Test driven Development > Freigabe durch den Kunden > Deployment > Automatisiertes Testing.

Diese Schlagworte findest du als Bullshit-Bingo im Marketing fast jeden IT-Dienstleisters. “Agil” ist in aller Munde – vom Hundeplatz bis zum Tanzwettbewerb. Aber in der IT hängen sehr konkrete Arbeitsschritte dahinter, die aus gutem Grund einzuhalten sind. Wenn nicht, fliegen dir Lippenbekenntnisse spätestens beim TÜV um die Ohren.

Was haben die Kunden von dieser Prozessstandardisierung?

Wenn Standards funktionieren (was die Zertifizierung ja bestätigt), arbeitest du effizienter. In der Regel kalkulieren Dienstleister wie wir Aufwand x Tagessatz. Als Kunde hast du also eine gewisse Sicherheit, dass der Faktor Aufwand einigermaßen realistisch eingeschätzt wurde und dass es wenig Reibungsverluste gibt, wenn das Vorgehen standardisiert ist.

Und zur Standardisierung gehört ja auch die Dokumentation. Ein Thema, das auf niedrigerem Niveau gerne mal vernachlässigt wird. Wenn dann ein Projekt irgendwann mal übergeben, migriert oder sonstwie von einer außenstehenden Instanz verstanden werden soll, gibt es ohne Dokumentation Probleme. Nicht, wenn du Standards einhältst.

TÜV Zertifikat Übergabe in Konfi 2

Welche Sicherheit haben potenzielle Neukunden der Shopmacher durch das TÜV-Siegel?

“Sicherheit” ist vielleicht der falsche Begriff. Aber zumindest eine höhere Wahrscheinlichkeit, dass hier Profis am Werk sind und die Rahmenbedingungen für exzellente Umsetzung gegeben sind. Als IT-Verantwortlicher brauchst du belastbare Kriterien für eine Budgetvergabe. Dass es nicht allein der Preis sein kann, ist sicher eine Binsenweisheit. Es geht immer auch um Qualität. Aber woran soll man sich orientieren? Eine Zertifizierung ist eine unabhängige Auszeichnung.

4,5 Stunden Audit und 150 Fragen hört sich ganz schön anspruchsvoll an. Wie bereitet man sich darauf vor? Welche Fragen waren besonders herausfordernd?

Ja, das war es auch! Wir haben wirklich nichts geschenkt bekommen.

Praktisch war es so wie bei einer Steuerprüfung. Die Prüfer haben im Vorfeld Unterlagen gemäß einer Checkliste angefordert, sich vorbereitet und uns dann hier zu den Themen befragt, die sie auf Basis der gelieferten Unterlagen nicht direkt nachvollziehen konnten. Dann kam irgendwann das Ergebnis.

Die größte Herausforderung war sicher, im Vorfeld möglichst alle gewünschten Unterlagen zu liefern. Wir haben zwar viele unserer Abläufe dokumentiert – allein schon für das Onboarding neuer Mitarbeiter – aber wir sind eben auch keine Behörde. Manche Dinge liefen auch hier eher auf Zuruf. In diesen Punkten sind wir durch die Prüfung tatsächlich noch besser geworden, weil wir jetzt noch besser dokumentieren.

TÜV Zertifikat Übergabe André Roitzsch

Was sind eure weiteren Pläne in Sachen Prozess-Optimierung und wie hilft da das TÜV-Audit weiter?

Interessanterweise wurden wir durch die Prüfer auch darin bestätigt, dass wir nicht alles, was wir tun, in Prozesse gießen müssen. Es klingt paradox – ist es aber nicht: Ein guter Prozess sieht auch vor, dass nicht alles in einen Prozess gequetscht werden muss!

In der praktischen Arbeit bleibt uns also unsere bewährte Maxime erhalten: Wenn wir eine neue Aufgabe bewältigt haben, fragen wir uns, ob der Weg zur Lösung eine einmalige Angelegenheit war, oder ob uns das in dieser Form wieder begegnen wird. Und nur wenn wir diese Frage mit “Ja” beantworten, machen wir einen Prozess daraus.

AUCH INTERESSANT

Cookie Consent Banner von Real Cookie Banner