Sinn und Unsinn von Siegeln für IT-Produkte

siegelDer TÜV entstand aus den ersten Dampfkessel-Überwachungs- und Revisions-Vereinen (DÜV), die im 19. Jahrhundert Dampfkessel gewartet und mit einem Prüfsiegel versehen haben. Damit wurde sichergestellt, dass diese nicht „zerknallen“. Aufgrund der Expertise, die sich im DÜV gesammelt hatte, wurden Sie bald mit Führerscheinprüfungen beauftragt.

Anschließend wurde der TÜV für die Hauptuntersuchung an Autos zuständig. Durch seine lange Monopolstellung auf diesem Markt ist es heute noch im Sprachgebrauch üblich, sein Auto „über den TÜV“ zu bringen, was mit dem Prüfsiegel auf dem Kennzeichen dokumentiert wird.

Dieses TÜV Kennzeichen ist damals wie heute ein Siegel auf dem man sich „verlassen“ kann, zu mindestens bei Autos. Diese, die eine TÜV Plakette bekommen haben, erfüllen die Sicherheitsstandards, um am Straßenverkehr teilnehmen zu dürfen.

Siegel haben sich aber nicht nur bei Autos durchgesetzt, sondern auch beispielsweise zur Kennzeichnung von Lebensmitteln. So kann sich der Kunde auf einen Blick über die Qualität bzw. Sicherheit informieren.

Um den Bogen zur IT – und nicht zuletzt der Medizintechnik – zu schlagen, ist zu erwähnen, dass Brustimplantate und Hüftprothesen ebenfalls vom TÜV zertifiziert werden. Ersteres hat in der Vergangenheit bereits für öffentliche Aufmerksamkeit gesorgt, als ein französischer Hersteller Brustimplantate mit Industrie-Silikon, welches nicht für den medizinischen Gebrauch geeignet war, vom TÜV zertifizieren ließ. In den vergangenen Jahren ist auch das Zertifizieren von Software und Webseiten populär geworden. Aber gerade bei Software, einem dynamischen und sich ständig änderndem Produkt, ist ein klassischer Zertifizierungsprozess wie bei physikalischen Produkten schwieriger.

Es gibt prinzipiell zwei Arten ein Produkt zu überprüfen. Die Offensichtlichste ist die unmittelbare, direkte Überprüfung des Produktes selber, wo am genauesten und ehrlichsten über die (End-)Qualität geurteilt werden kann.

Ebenfalls ist es möglich, indirekt zu prüfen, indem man beispielsweise nach SDL die Prozesse betrachtet, welche die Entwicklung des IT-Produktes betreffen; oder nach ISO 27001, welches ein IT-Sicherheitsmanagement beschreibt. Die Annahme hierbei ist, dass diese zertifizierten Prozesse dann zu einem Produkt führen, was den gewünschten Anforderungen entspricht.

Zur Prüftiefe gibt es ebenfalls unterschiedliche Ansätze. Die Herstellerangaben bzw. Dokumentationen können nach offensichtlichen Schwächen durchsucht werden. Deutlich mehr Aufwand benötigt man zum Überprüfen der konkreten Implementierung.

In welchen Abständen wird „nachgeprüft“? Überprüft man das Endprodukt oder das Unternehmen stichprobenartig? Unangekündigt oder angekündigt? Es besteht ebenfalls die Möglichkeit, erst nach Änderungen an der Software erneut prüfen, da vorher keine Notwendigkeit gegeben ist.

Eine einfache Qualitätsprüfung durch Sicht auf das Siegel ist für Kunden bei IT-Produkten folglich nicht trivial. Sie sind im Vergleich zu physikalischen Produkten schwieriger und dadurch aufwendiger zu überprüfen. Die häufigen Änderungen an einem bereits „fertigen“ Produkt durch Updates und Hotfixe, würden theoretisch ein erneutes Überprüfen notwendig machen.

Insgesamt zeigt sich bei genauerer Betrachtung, dass ein traditioneller Siegelmechanismus in der heutigen Zeit viele Fragen aufwirft, insbesondere bei IT-Produkten. Diese wollen wir in unserem nächsten Blog am Beispiel der RED Medical beispielhaft untersuchen.

Tags: , .
  • Trackbacks
  • Comments
  • Comments are disabled.
  • Trackbacks are disabled.