Verantwortlich für Initiierung: Beschaffungsstelle
Verantwortlich für Umsetzung: Beschaffungsstelle, Leiter IT,-Bereich, Fachabteilung
Die Vorauswahl eines Standardsoftwareproduktes orientiert sich an dem durch die Fachabteilung und den IT-Bereich aufgestellten Anforderungskatalog. Zunächst sollte die für die Vorauswahl zuständige Stelle eine Marktanalyse durchführen, bei der anhand des Anforderungskatalogs eine tabellarische Marktübersicht erarbeitet werden sollte. In dieser Tabelle sollten für die in Frage kommenden Produkte Aussagen zu den im Anforderungskatalog festgehaltenen Punkten gemacht werden.
Die Marktübersicht sollte vom IT-Bereich erarbeitet werden, sie kann anhand von Produktbeschreibungen, Herstelleraussagen, Fachzeitschriften oder Händlerauskünften erstellt werden. Alternativ ist eine Ausschreibung möglich und teilweise vorgegeben. Der Anforderungskatalog ist Grundlage einer Ausschreibung, so daß anhand der eingehenden Angebote eine vergleichbare Marktübersicht erstellt werden kann.
Anschließend müssen die in der Marktübersicht erfaßten Produkte bzgl. der Vorgaben des Anforderungskatalogs bewertet werden. Hierzu kann die in M 2.80 Erstellung eines Anforderungskataloges für Standardsoftware erarbeitete Bewertungsskala eingesetzt werden. Anhand der vorliegenden Informationen wird festgestellt, welche der geforderten Eigenschaften des Produktes voranden sind. Fehlen dem Produkt notwendige Eigenschaften, wird es verworfen. Über die Bewertung der Bedeutung der einzelnen Eigenschaften jedes Produktes kann eine Summe ermittelt werden. Anhand dieser Summen kann nun eine Hitliste für die Produkte aus der Vorauswahl erstellt werden.
Beispiel
Die im Anforderungskatalog geforderten und bewerteten Eigenschaften für ein Komprimierungsprogramm werden nun wie folgt gewichtet:
Als Ergebnis ergibt sich, daß Produkt 3 herausfällt, da eine notwendige Eigenschaft nicht gegeben ist. Ansonsten wird die Hitliste angeführt von Produkt 2, gefolgt von Produkt 1 und 4.
Die erstellte Hitliste zusammen mit der Marktübersicht sollte dann der Beschaffungsstelle vorgelegt werden, damit dieser überprüfen kann, inwieweit die dort aufgeführten Produkte den internen Regelungen und gesetzlichen Vorgaben entsprechen. Dabei muß die Beschaffungsstelle auch darauf achten, daß die anderen Stellen, deren Vorgaben eingehalten werden müssen, wie der Datenschutzbeauftragte, der IT-Sicherheitsbeauftragte oder der Personal- bzw. Betriebsrat, rechtzeitig beteiligt werden.
Es muß entschieden werden, wieviele und welche Kandidaten der Hitliste getestet werden sollen. Sinnvollerweise sollten die ersten zwei oder drei Spitzenkandidaten ausgewählt werden und daraufhin getestet werden, ob sie die wichtigsten Kriterien des Anforderungskatalogs auch tatsächlich erfüllen. Dies ist insbesondere für die notwendigen Anforderungen wichtig. Hierfür sollten Testlizenzen beschafft werden und, wie in M 2.82 Entwicklung eines Testplans für Standardsoftware und M 2.83 Testen von Standardsoftware beschrieben, Tests durchgeführt werden.
Neben den Kriterien des Anforderungskatalogs können für die Entscheidung noch die folgenden Punkte berücksichtigt werden:
Kann der Hersteller oder Vertreiber für sein Produkt Referenzinstallationen angeben, so können die dort gemachten Erfahrungen hinterfragt und in die Produktbeurteilung einbezogen werden.
Liegen externe Testergebnisse oder Qualitätsaussagen für das zu testende Softwareprodukt vor (z. B. Testergebnisse in Fachzeitschriften, Konformitätstests nach proprietären Standards, Prüfungen und Zertifikate nach einschlägigen Standards und Normen wie ISO 12119), so sollten auch diese Ergebnisse bei der Vorauswahl berücksichtigt werden.
Bei einem hohen Verbreitungsgrad hat der einzelne Anwender wenig oder keinen Einfluß auf den Hersteller des Produkts, wenn es um die Behebung von Fehlern oder die Implementation bestimmter Funktionalitäten geht. Er kann aber davon ausgehen, daß das Produkt weiterentwickelt wird. Oft gibt es externe Tests, die durch den Hersteller beauftragt oder von Fachzeitschriften durchgeführt wurden. Bei Produkten mit hohem Verbreitungsgrad ist im allgemeinen mehr über Schwachstellen bekannt, so daß der Anwender davon ausgehen kann, daß die wesentlichen Schwachstellen bereits bekannt sind, bzw. daß das Wissen über Schwachstellen schnell verbreitet wird und er nach dem Bekanntwerden Abhilfe schaffen kann.
Bei einem niedrigen Verbreitungsgrad kann ein Anwender mehr Einfluß auf den Hersteller nehmen. Externe Tests liegen im allgemeinen nicht vor, da sie für Produkte kleiner Hersteller zu aufwendig und zu teuer sind. Produkte mit niedrigem Verbreitungsgrad enthalten meist nicht mehr oder weniger Schwachstellen als solche mit hohem Verbreitungsgrad. Nachteil ist hier, daß diese evtl. nicht so schnell bekannt werden und damit behoben werden können. Wenn es sich aber um Sicherheitslücken handelt, sind diese aber wahrscheinlich auch potentiellen Angreifer nicht bekannt bzw. keine lohnenden Angriffsziele.
Vor der Entscheidung für ein Produkt sollte immer die Frage stehen, ob die Kosten für das Produkt in einem angemessenen Verhältnis zu dem damit erzielbaren Nutzen stehen. In die unmittelbaren Anschaffungskosten sind darüber hinaus alle Folgekosten für Betrieb, Wartung und Schulung einzubeziehen. Dazu muß z. B. geklärt werden, ob die vorhandene Hardware-Plattform aufgerüstet werden muß oder ob für Installation und Betrieb Schulungen erforderlich sind.
Ist dann die Kaufentscheidung für ein Produkt gefallen, sollte der Kauf natürlich beim günstigsten Anbieter getätigt werden. Dieser hat sich evtl. schon bei der Marktsichtung herauskristallisiert.
Ergänzende Kontrollfragen:
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .