Zusammenfassung
Ein für Ihre Organisation passendes Large-Scale Agile Framework können Sie mit der vorgestellten Methodik anpassen oder von Grund auf – etwa für eine abweichende Problemklasse – selbst entwickeln. Dabei stellen wir Ihnen eine Vorgehensweise vor und erläutern wie dies auf Basis des aktuellen Forschungsstands gelingt. In diesem Kapitel demonstrieren wir Ihnen, wie vorzugehen ist, wenn ein Large-Scale Agile Framework angepasst wird, um perfekt auf die Problemklassen von Software-Herstellern zugeschnitten zu sein. Unzweifelhaft herrschen in anderen Branchen andere Problemklassen vor, wovon jedoch inzwischen fast fast alle Organisationen mehr oder minder stark softwaregetrieben sind oder gleichfalls eigenständig Software entwickeln. Um Ihnen bei der Beantwortung der Frage zu helfen inwieweit Ihre Organisation in der Rolle eines Software Herstellers agiert, widmet sich ein eigener Abschnitt mit der Beantwortung dieser spannenden Frage und zeigt Ihnen exemplarisch Unternehmen auf, deren IT-Strategie in weiten Teilen gut wahrnehmbar von außen eingeschätzt werden kann. Die dringlichste Frage in den meisten Unternehmen lautet: „Wie wechseln wir schnellstmöglich in einen agilen Modus in dem die unterschiedlichsten Teams innerhalb einer Organisation effizient zusammenarbeiten?“ Die Frage „Wie Organisationen perfekt agil agieren“ hingegen beschäftigt jede Organisation – Unterschiede bestehen lediglich im Reifegrad der jeweiligen Organisation diesbezüglich. Mit der zunehmenden Verlagerung von IT-Infrastrukturen in die Cloud und mit einer containerbasierten Virtualisierung von Anwendungen wird die Komplexitätsstufe von IT-Anwendungen um eine neue Dimension erweitert. Diese Komplexitätserweiterung in IT-Szenarien wirkt sich gleichfalls maßgeblich auf die Etablierung eines agilen Frameworks aus. Auch wenn IT-Security immer einen hohen Stellenwert für die Entwicklung und den Betrieb von Software hatte, stellt Cloud Security andere Anforderungen als der Schutz monolithischer Anwendungen in traditionell weitgehend abgeschotteten Unternehmensnetzwerken. Mit dem Cloud-Trend verändern sich auch zahlreiche Abläufe und Geschäftsprozesse innerhalb einer Organisation. Mit dem Wechsel in die Cloud oder der Erweiterung von Cloud-Szenarien werden also zwangsläufig zugleich prozessuale und organisatorische Veränderungen innerhalb einer Organisation nötig. Welche Zusammenhänge hier bestehen und in welchen Dimensionen sich dies konkret auswirkt erläutert ein separater Abschnitt. Hierbei stehen Cloud-Eigenschaften und Cloud-Modelle im Fokus. Cloud Computing nutzt die Virtualisierungstechnologie wegen der damit gebotenen, kosteneffizienten Vorteile wie nutzlastorientierter Hardware und Energienutzung, automatisierter Fehlersuche, folglich der Qualitätsverbesserung von Software sowie gesteigerter Flexibilität und einfacher Verwaltbarkeit. Die Konzepte der Virtualisierung und der Containerisierung werden hierzu in ihrer Bedeutung in Bezug gesetzt. Weil die Orchestrierung von Containern ist inzwischen etablierter Standard bei der Software-Entwicklung und im Deployment von Software Releases ist und die Interoperabilität von Cloud-Technologien eine wichtige Eigenschaft für Software-Architekturen repräsentiert ist, ist es von Vorteil sich regelmäßig mit Informationen aus erster Hand zu versorgen. Interoperabiltät und Standardisierung: Vorgestellt werden die in Bezug Cloud-Standards relevanten Standardisierungsgremien. IT-Security-by-Design: Software-Architektur & IT-Security - Wie gelingt es nun IT-Sicherheit in einer Organisation als Bündel diverser Aktivitäten und technischer Schutzmaßnahmen als integralen Baustein zu integrieren und zu verankern, wenn IT-Systeme regelmäßig hochgradig komplex sind und diese fast überall aus unzähligen Einzelkomponenten, Basistechnologien und Frameworks bestehen? Die Artefakte der Software-Architektur - mit einer integrierten IT-Sicherheitsarchitektur und deren Kommunikation innerhalb der Organisation – spielen hierbei die zentrale Rolle. Je frühzeitiger Anforderungen der IT-Sicherheit Berücksichtigung finden, desto kostengünstiger wird deren Berücksichtigung. Sie profitieren deshalb zugunsten einer hohen Software-Qualität und zur Vermeidung unnötiger Kosten ungemein, wenn Sie Ihre IT-Sicherheitsspezialisten frühzeitig einbinden und agile Prozesse etablieren in denen IT-Security-by-Design praxisorientiert Berücksichtigung findet. Verbunden mit der zunehmenden Nutzung von Cloud-Diensten und den sich daraus ergebenden Herausforderungen in Bezug auf IT-Sicherheit und Schutz der Privatsphäre zählen grundlegende Aspekte wie der Identitätsdiebstahl, Datenschutzverletzungen, Datenintegrität und Datenvertraulichkeit. Damit wird das Vertrauensmanagement für Cloud Computing, Microservice- und API-basierte Architekturen unumgänglich. Gerade weil beim Cloud Computing Dienste aus entfernten und global verteilten Rechenzentren bereitgestellt werden und wir gar keine direkte Kontrolle aus unserer Organisation heraus ausüben können, außer technische Maßnahmen zu ergreifen, besteht das Erfordernis hierzu eine geeignete Strategie zum Schutz jedweder Daten auszuüben; genau hierzu bietet das Zero-Trust-Konzept praxisbewährte Lösungen. Vorgestellt werden Schutzprinzipien und deren technische Umsetzung auf Basis von Zero Trust. In diesem Zusammenhang werden die Konzepte des Secret Management und der erweiterte Schutzbedarf virtueller Container-Umgebungen erläutert. Hierbei spielen das Key-Management und kryptografische Schutzmaßnahme eine zentrale Rolle. Mit dem stattfindenden Cloud-Trend nehmen Anwendungen, die als Microservices konzipiert sind, in Anzahl und Verbreitung von Tag zu Tag zu. Dieser Software-Architekturansatz eines verteilten IT-System wird im Kontext von Cloud und den Large-Scale Agile Frameworks beleuchtet und in den Zusammenhang mit APIs, RESTful Design und dem aktuellen Architektur Muster des Service Mesh gebracht. Mit Cloud-Services und verteilten Diensten nimmt die Bedeutung von IT-Security und Pentesting zu, so dass auch auf diese sicherheitsrelevanten Aspekte und deren Handhabung mittels Threat Modeling eingegangen wird. Im Hinblick auf die Agile Teams werden Rollen, Aufgaben und Prozesse leicht verständlich und im direkten Zusammenhang dieser wichtigen Themen der Softwareentwicklung beleuchtet.
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Literatur
Sein, M. K., et al. (2011). Action design research. MIS Quarterly, 37–56.
Cooper, A., et al. (2014). About face: The essentials of interaction design (4. Aufl.). Wiley.
Maaley, W. (2017). Vorlesungsunterlagen zum Modul Empirical Software Engineering – Software Requirements – Requirement Elicitation Methods – Stand 09/2017 – Universität Hamburg.
Mell, P., Grance, T., & National Institute of Standards and Technology. The NIST definition of cloud computing. https://csrc.nist.gov/publications/detail/sp/800-145/final. Zugegriffen am 10.01.2022.
Smith, J. E., & Nair, R. (2005). The architecture of virtual machines. Computer, 38(5), 32–38.
Bernstein, D. (2014). Containers and cloud: From LXC to docker to kubernetes. IEEE Cloud Computing, 1(3), 81–84.
Docker Inc. Docker Swarm – Container-Orchestrierung mit Docker. https://docs.docker.com/engine/swarm/. Zugegriffen am 17.02.2022.
Cloud Native Computing Foundation (CNCF). CNCF annual survey 2021 report. https://www.cncf.io/reports/cncf-annual-survey-2021/. Zugegriffen am 17.02.2022.
Open Container Initiative. Standardisierungsgremium für Container-Technologien. https://opencontainers.org/. Zugegriffen am 22.03.2022.
Open Container Initiative. Technical Oversight Board (TOB). https://github.com/opencontainers/tob. Zugegriffen am 22.03.2022.
Cloud Native Computing Foundation – Projektwebsite. https://www.cncf.io/. Zugegriffen am 22.03.2022.
Internet Engineering Task Force (IETF). Offizielle Seite des Standardisierungsgremiums. https://www.ietf.org/. Zugegriffen am 22.03.2022.
Granata, D., Rak, M. (2021). Design and development of a technique for the automation of the risk analysis process in IT security. In: CLOSER 2021, 87–98.
Schoeneberg, K.-P. (Hrsg.). (2014). Komplexitätsmanagement in Unternehmen: Herausforderungen im Umgang mit Dynamik, Unsicherheit und Komplexität meistern (1. Aufl.). Springer/Gabler.
Mehraj, S., & Banday, M. T. (2020). Establishing a zero trust strategy in cloud computing environment. In 2020 international conference on computer communication and informatics (ICCCI) (S. 1–6). IEEE.
Barker, E., & Barker, W. C. NIST, National Institute of Standards and Technology: Recommendation for key management part 2 – Best practices for key management organisations. NIST Special Public Publication 800-57 Part 2, Revision 1. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt2r1.pdf. Zugegriffen am 15.02.2022.
Barker, E. NIST, National Institute of Standards and Technology: „Recommendation for key management part 1 – General“ – NIST Special Public Publication 800-57 Part 1, Revision 5. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r5.pdf. Zugegriffen am 14.02.2022.
Bundesamt für Sicherheit in der Informationstechnologie (BSI). (2021). „BSI – Technische Richtlinie – Kryptographische Verfahren: Empfehlungen und Schlüssellängen“, BSI TR-02102-1 vom 24. März 2021. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.pdf. Zugegriffen am 15.02.2022.
NIST, National Institute of Standards and Technology: „Definitions of public key infrastructure.“ https://csrc.nist.gov/glossary/term/public_key_infrastructure. Zugegriffen am 16.02.2022.
Tuecke, S., Welch, V., Engert, D., Pearlman, L., & Thompson, M. Internet X.509 public key infrastructure (PKI) proxy certificate profile. Rfc 3820 – veröffentlicht im Juni 2004. https://www.hjp.at/doc/rfc/rfc3820.html. Zugegriffen am 13.01.2022.
Hassan, S., Ali, N., & Bahsoon, R. (2017). Microservice ambients: An architectural meta-modelling approach for microservice granularity. In 2017 IEEE International Conference on Software Architecture (ICSA) (S. 1–10). IEEE.
Taibi, D., & Lenarduzzi, V. (2018). On the definition of microservice bad smells. IEEE Software, 35(3), 56–62.
Fielding, R. T. (2000). Architectural styles and the design of network-based software architectures. Dissertation, Information and Computer Science, University of California, Irvine. https://www.ics.uci.edu/~fielding/pubs/dissertation/top.htm. Zugegriffen am 17.02.2022.
DIN EN ISO 9241-11. Ergonomie der Mensch-System-Interaktion – Teil 11: Gebrauchstauglichkeit: Begriffe und Konzepte (ISO 9241-11:2018); Deutsche Fassung EN ISO 9241-11:2018. https://www.din.de/de/mitwirken/normenausschuesse/naerg/veroeffentlichungen/wdc-beuth:din21:279590417. Zugegriffen am 17.03.2022.
World Wide Web Consortium (W3C). Resource Description Framework (RDF). https://www.w3.org/RDF/. Zugegriffen am 17.03.2022.
Berners-Lee, et al. RFC2396 – Uniform Resource Identifiers (URI): Generic syntax. Internet Engineering Task Force – 08/1998. https://www.ietf.org/rfc/rfc2396.txt. Zugegriffen am 17.03.2022.
OWASP, Open Web Application Security Project. Top 10 Web Application Security Risks 2021. https://owasp.org/www-project-top-ten/. Zugegriffen am 13.01.2022.
OWASP, Open Web Application Security Project. OWASP Mobile Security Testing Guide. https://owasp.org/www-project-mobile-security-testing-guide/. Zugegriffen am 13.01.2022.
BITKOM. Position paper regulation on digital resilience for the financial sector (DORA). https://www.bitkom.org/sites/default/files/2020-10/bitkom_position-paper_on_dora_20201016.pdf. Zugegriffen am 18.02.2022.
Heise online. Die Bedrohungslage verschärft sich – Log4j-Angriffe nehmen zu. https://www.heise.de/news/Dienstag-Die-Bedrohungslage-verschaerft-sich-Log4j-Angriffe-nehmen-zu-6301155.html. Zugegriffen am 17.03.2022.
Bundesamt für Sicherheit in der Informationstechnik (BSI). Kritische Schwachstelle in Java-Bibliothek Log4j. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Webanwendungen/log4j/log4j_node.html. Zugegriffen am 17.03.2022.
Bryant, B. D., & Saiedian, H. (2017). A novel kill-chain framework for remote security log analysis with SIEM software. Computers & Security, 67, 198–210.
Microsoft Corp. (2009). The STRIDE Threat Model. Artikel vom 11.12.2009. https://docs.microsoft.com/en-us/previous-versions/commerce-server/ee823878(v=cs.20). Zugegriffen am 17.03.2022.
Bundesamt für Sicherheit in der Informationstechnik (BSI). Sicherheitsprofil für eine SaaS Collaboration Plattform – Teil 2: Bedrohungs- und Risikoanalyse. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CloudComputing/SaaS/SPC_Teil_2.pdf. Zugegriffen am 17.03.2022.
Olsson, H. H., Alahyari, H., & Bosch, J. (2012). Climbing the „stairway to heaven“ – A mulitiple-case study exploring barriers in the transition from agile development towards continuous deployment of software. In 2012 38th euromicro conference on software engineering and advanced applications (S. 392–399). IEEE.
Humble, J., & Farley, D. (2010). Continuous delivery: Reliable software releases through build, test, and deployment automation. Pearson Education.
truffleHog. Analyse-Software für Secrets in Git-Repositories. https://github.com/trufflesecurity/truffleHog. Zugegriffen am 17.03.2022.
Preston, D. (2005). Pair programming as a model of collaborative learning: A review of the research. Journal of Computing Sciences in colleges, 20(4), 39–45.
Williams, L. A. (2010). Pair programming. Encyclopedia of software engineering, 2.
Bundesverband Digitale Wirtschaft (BVDW) e. V. EU-US Privacy Shield. https://www.bvdw.org/themen/recht/eu-us-privacy-shield/ - Zugegriffen am 27.05.2022.
BSI – Bundesamt für Sicherheit in der Informationstechnik – IT Grundschutz, Lerneinheit 4.1: Grundlegende Definitionen. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzSchulung/OnlinekursITGrundschutz2018/Lektion_4_Schutzbedarfsfeststellung/Lektion_4_01/Lektion_4_01_node.html.
Kerzazi, N., & Adams, B. (2016). Who needs release and devops engineers, and why? Proceedings of the international workshop on continuous software evolution and delivery, S. 77–83.
Gerstbach, I. (2016). Design Thinking im Unternehmen: Ein Workbook für die Einführung von Design Thinking (1. Aufl.). GABAL Verlag GmbH.
Ernst, H., Schmidt, J., & Beneken, G. (2016). Grundkurs Informatik: Grundlagen und Konzepte für die erfolgreiche IT-Praxis. – Eine umfassende praxisorientierte Einführung (6. Aufl.). Springer/Vieweg.
Obermaier, R. (2016). Industrie 4.0 als unternehmerische Gestaltungsaufgabe: Betriebswirtschaftliche, technische und rechtliche Herausforderungen (1. Aufl.). Springer Gabler.
Gaubinger, K., Rabl, M., Swan, S., & Werani, T. (Hrsg.). (2015). Innovation and product management – A holistic and practical approach to uncertainty reduction (1. Aufl.). Springer.
Fischer, P., & Hofer, P. (2011). Lexikon der Informatik (15. Aufl.). Springer.
Maaley, W. (2017). Vorlesungsunterlagen Modul Empirical Software Engineering – Software Requirements – Requirement Elicitation Methods und Foliensatz zum Themenkomplex Prototyping – Stand 09/2017 – Universität Hamburg.
Richter, M., & Flückiger, M. (2013). Usability Engineering kompakt: benutzbare Produkte gezielt entwickeln (3. Aufl.). Springer/Vieweg.
Zimmermann, K. (August 2013). Referenzprozessmodell für das Business-IT-Management – Vorgehen, Erstellung und Einsatz auf Basis qualitativer Forschungsmethoden. Dissertation zur Erlangung des Doktorgrades (Dr. rer. nat.) am Fachbereich Informatik, Fakultät für Mathematik, Informatik und Naturwissenschaften der Universität Hamburg.
Pomberger, G., & Pree, W. (2004). Software Engineering: Architektur-Design und Prozessorientierung (3. Aufl.). Carl Hanser.
Alpar, P., Alt, R., Bensberg, F., Grob, H. L., Weimann, P., & Winter, R. (2016). Anwendungsorientierte Wirtschaftsinformatik – Strategische Planung, Entwicklung und Nutzung von Informationssystemen (8. Aufl.). Springer/Vieweg.
Cooper, A., et al. (2014). About face: The essentials of interaction design. Wiley.
Buber, R., & Holzmüller, H. H. (2007). Qualitative Marktforschung. Gabler.
Richter, M., & Flückiger, M. D. (2013). Usability Engineering kompakt: benutzbare Produkte gezielt entwickeln. Springer.
Dumke, R. (2013). Software Engineering: Eine Einführung für Informatiker und Ingenieure: Systeme, Erfahrungen, Methoden, Tools. Springer.
Weinreich, U., et al. (2016). Lean digitization. Springer.
Saadatmand, M. (2017). Assessment of minimum viable product techniques: A literature. Assessment.
Olsen, D. (2015). The lean product playbook: How to innovate with minimum viable products and rapid customer feedback. Wiley.
Hoffmann, C., et al. (Hrsg.). (2016). Business Innovation: Das St. Galler Modell. Springer Gabler.
DIN EN ISO 9241-392. Ergonomie der Mensch-System-Interaktion – Teil 392: Ergonomische Anforderungen zur Reduktion visueller Ermüdung durch stereoskopische Bilder (ISO 9241-392:2015); Deutsche Fassung EN ISO 9241-392:2017. https://www.din.de/de/mitwirken/normenausschuesse/naerg/veroeffentlichungen/wdc-beuth:din21:270021604. Zugegriffen am 21.03.2022.
Böhringer, J., et al. (2014). Kompendium der Mediengestaltung: IV. Medienproduktion Digital. Springer.
Author information
Authors and Affiliations
Rights and permissions
Copyright information
© 2023 Springer-Verlag GmbH Deutschland, ein Teil von Springer Nature
About this chapter
Cite this chapter
Block, S. (2023). Wie Sie ein Large-Scale Agile Framework anpassen und in Ihrer Organisation einführen. In: Large-Scale Agile Frameworks. Springer Vieweg, Berlin, Heidelberg. https://doi.org/10.1007/978-3-662-62048-9_4
Download citation
DOI: https://doi.org/10.1007/978-3-662-62048-9_4
Published:
Publisher Name: Springer Vieweg, Berlin, Heidelberg
Print ISBN: 978-3-662-62047-2
Online ISBN: 978-3-662-62048-9
eBook Packages: Computer Science and Engineering (German Language)