TÜV-Zertifizierung Interview
Wie unterscheidet sich die Zertifizierung “Trusted Development” der TÜV Trust IT GmbH von anderen Standards – z. B. ISO-Zertifizierungen, bzw. welche Gemeinsamkeiten gibt es?
Die TÜV-Zertifizierung orientiert sich an nationalen und internationalen Standards – ganz konkret an den Vorgehensweisen der …
- BSI-Studie „Durchführungskonzept für Penetrationstests“
- NIST SP 800-115, „Technical Guide to Information Security Testing and Assessment“
- ISO/IEC 27001, „Information security management systems“
- ISO/IEC 27002, „Information technology security techniques“
- ISO/IEC 27033, „Information technology – Security techniques – Network security“
- BSI IT-Grundschutz
- OWASP (Open Worldwide Application Security Project)
Diese Standards sind allerdings einerseits jeweils speziell auf ein bestimmtes Thema ausgerichtet – etwa Sicherheitsmanagement – andererseits aber auch sehr viel breiter gefasst als bloß auf die Entwicklung von Applikationen, was ja unser Kerngeschäft ist.
Die TÜV-Zertifizierung verfolgt also quasi den Best-of-breed Ansatz und verwendet Verfahren etablierter Best Practices. Daraus haben die TÜV-Prüfer eine Zertifizierung entwickelt, die genau die Parameter prüft, auf die es speziell in unserem Business ankommt.
Warum ist es den Shopmachern wichtig, TÜV-zertifiziert zu sein?
Letztlich geht es uns um Trust. Denn Vertrauen ist im Vorfeld eines sich anbahnenden IT-Projektes ein entscheidender Faktor. Es gibt ja sehr viele Dienstleister in unserem Business. Und jeder behauptet natürlich, er würde sein Handwerk verstehen, womöglich sogar besser als die Konkurrenz. In der Regel kommen in diesem Kontext Referenzkunden zu Wort, die das belegen sollen. Das ist wichtig und richtig – und auch wir freuen uns über lobende Worte. Aber es war uns wichtig, diese Auszeichnung auch von einer unabhängigen Prüfstelle wie dem TÜV zu erhalten, der vor allem Methodik und Abläufe untersucht. Die Zertifizierung ist der Beweis: Unsere Arbeitsweise genügt allerhöchsten Ansprüchen. Das ist ein weiterer Baustein zur Vertrauensbildung. Und Vertrauen ist im Vorfeld eines sich anbahnenden IT-Projektes ein entscheidender Faktor.
Wie kann man als Agentur Prozesse standardisieren?
Wie sieht eure Arbeitsweise von der ersten Kundenanfrage bis zur finalen Auslieferung denn konkret aus, wenn ihr ein neues Projekt gewinnt?
Das ist vielfältig. Aber nehmen wir z. B. nochmal den gesamten Prozess der Anforderungserhebung – wenn also ein Kunde mit einem Wunsch auf uns zukommt. Unser Prozess sieht vor, dass wir das nicht einfach umsetzen – auch dann nicht, wenn es schon sehr gut vorbereitet und spezifiziert wurde. Das hat einen einfachen Grund: Wir arbeiten in der Regel monatelang, oft jahrelang mit unseren Kunden zusammen. Bevor wir irgendetwas programmieren, müssen wir den Kontext, das Ziel, das Business hinter der Anforderung genau verstehen. Denn konkrete Anforderungen ändern sich im Laufe der Zusammenarbeit oft, und dann müssen gemeinsame Priorisierungen und Entscheidungen getroffen werden. Dafür brauchen wir den Business-Kontext, um dann auch passend beraten und umsetzen zu können.
Wenn es dann irgendwann in die Umsetzung geht, arbeiten wir agil: Backlog > Epics > User Stories > Akzeptanzkriterien > Test driven Development > Freigabe durch den Kunden > Deployment > Automatisiertes Testing.
Diese Schlagworte findest du als Bullshit-Bingo im Marketing fast jeden IT-Dienstleisters. “Agil” ist in aller Munde – vom Hundeplatz bis zum Tanzwettbewerb. Aber in der IT hängen sehr konkrete Arbeitsschritte dahinter, die aus gutem Grund einzuhalten sind. Wenn nicht, fliegen dir Lippenbekenntnisse spätestens beim TÜV um die Ohren.
Was haben die Kunden von dieser Prozessstandardisierung?
Wenn Standards funktionieren (was die Zertifizierung ja bestätigt), arbeitest du effizienter. In der Regel kalkulieren Dienstleister wie wir Aufwand x Tagessatz. Als Kunde hast du also eine gewisse Sicherheit, dass der Faktor Aufwand einigermaßen realistisch eingeschätzt wurde und dass es wenig Reibungsverluste gibt, wenn das Vorgehen standardisiert ist.
Und zur Standardisierung gehört ja auch die Dokumentation. Ein Thema, das auf niedrigerem Niveau gerne mal vernachlässigt wird. Wenn dann ein Projekt irgendwann mal übergeben, migriert oder sonstwie von einer außenstehenden Instanz verstanden werden soll, gibt es ohne Dokumentation Probleme. Nicht, wenn du Standards einhältst.
Welche Sicherheit haben potenzielle Neukunden der Shopmacher durch das TÜV-Siegel?
4,5 Stunden Audit und 150 Fragen hört sich ganz schön anspruchsvoll an. Wie bereitet man sich darauf vor? Welche Fragen waren besonders herausfordernd?
Ja, das war es auch! Wir haben wirklich nichts geschenkt bekommen.
Praktisch war es so wie bei einer Steuerprüfung. Die Prüfer haben im Vorfeld Unterlagen gemäß einer Checkliste angefordert, sich vorbereitet und uns dann hier zu den Themen befragt, die sie auf Basis der gelieferten Unterlagen nicht direkt nachvollziehen konnten. Dann kam irgendwann das Ergebnis.
Die größte Herausforderung war sicher, im Vorfeld möglichst alle gewünschten Unterlagen zu liefern. Wir haben zwar viele unserer Abläufe dokumentiert – allein schon für das Onboarding neuer Mitarbeiter – aber wir sind eben auch keine Behörde. Manche Dinge liefen auch hier eher auf Zuruf. In diesen Punkten sind wir durch die Prüfung tatsächlich noch besser geworden, weil wir jetzt noch besser dokumentieren.
Was sind eure weiteren Pläne in Sachen Prozess-Optimierung und wie hilft da das TÜV-Audit weiter?
Interessanterweise wurden wir durch die Prüfer auch darin bestätigt, dass wir nicht alles, was wir tun, in Prozesse gießen müssen. Es klingt paradox – ist es aber nicht: Ein guter Prozess sieht auch vor, dass nicht alles in einen Prozess gequetscht werden muss!
In der praktischen Arbeit bleibt uns also unsere bewährte Maxime erhalten: Wenn wir eine neue Aufgabe bewältigt haben, fragen wir uns, ob der Weg zur Lösung eine einmalige Angelegenheit war, oder ob uns das in dieser Form wieder begegnen wird. Und nur wenn wir diese Frage mit “Ja” beantworten, machen wir einen Prozess daraus.
AUCH INTERESSANT
SHOPMACHER erhalten TÜV-Zertifizierung
Ausgezeichnet: SHOPMACHER erhalten TÜV-Zertifizierung für Trusted Development.
Überblick statt Blindflug – warum Umsatz allein kein Erfolgsindikator für Webshops ist
Die Zukunft des digitalen Handels wird von Playern entschieden, die ihre Strategie knallhart datengetrieben planen. Gerade in Peak-Phasen wie Black Friday oder Weihnachten sollten Händler ihre Daten im Blick behalten. Und zwar die richtigen.
gamescom 2024: Shopmacher revolutioniert Event-Erlebnis mit neuen digitalen Features
Shopmacher revolutionierte die gamescom 2024 mit einem digitalen Warteschlangenmanagement. Besucher konnten Zeitslots online buchen und ohne Wartezeit zu den Ständen gelangen. Das System wurde vor Ort weiter optimiert, um den Messebesuch noch effizienter zu gestalten.