home  |  suche  |  kontakt/johner  |  institut 
studierende  |  tech-docs  |  mindmailer 

Definitionen

Definition "Risiko"

Es finden sich mehrere Definitionen, von denen zwei genannt werden sollen:

     

  1. Risiko ist die Prognose eines Schadens oder eines Verlustes
  2. Risiko ist die Kombination der Wahrscheinlichkeit des Auftretens eines Schadens und des Schweregrad des Schadens (gemäß ISO/IEC)

Beiden Definitionen ist der Aspekt der Zukunft/Unsicherheit und des Schadens gemein. Risiken sind also NICHT Ereignisse

     

  • mit Wahrscheinlichkeit nahe/gleich null oder eins
  • die geplant sind
  • die bereits eingetreten sind
  • die nichts oder niemanden bedrohen oder schaden

Weitere Begriffe sind

     

  • Schweregrad: Maß der möglichen Folgen einer Gefährdung
  • Gefährdung: Potentielle Schadenquelle

Damit wird klar, dass Risiko und Gefährdung Verschiedenes bezeichnen: Die Gefährdung kann zu einem Schaden führen. Das Risiko kombiniert die Schwere dieses Schadens mit der Auftretenswahrscheinlichkeit.

Softwareprojekte

Die typischen Risiken, die bei der Softwareentwicklung genannt werden, sind

     

  • Entwicklung dauert zu lange
  • Entwicklung ist zu teuer
  • Entwicklungsergebnis verfügt nicht über die gewünschte Qualität (s. ISO9126)

 

Die potentiellen Schadensquellen, die diese Risiken begründen, sind

     

  • Unvollständige oder unstabile Anforderungen, oder das Scheitern der Einigung über die Anforderungen (Anmerkung: Tom DeMarco schätzt, dass sich Anforderungen um 1% pro Monat ändern)
  • Mitarbeiter: Kompetenz, Produktivität, Fluktuation, Verfügbarkeit
  • Technologien: mangelnde Kenntnisse, inadäquate Anwendung
  • Unbekannte Rechtslage
  • Fehlerhafte oder inadäquate Drittprodukte oder Dienstleistungen
  • Management: Keine oder falsche (z.B. zu aggressive) Planung, Abschätzung und Kontrolle

Vorgehensmodell

Die DIN14971 beschreibt das Vorgehen bei einer Risikoanalyse für medizinische Produkte, welches sich aber sehr gut auf Softwareprojekte übertragen lässt:

Zuerst gilt es den Risikomanagementprozess zu definieren, welcher aus

     

  • Risikoanalyse,
  • Risikobewertung und
  • Risikokontrolle

bestehen muss. Dieser Prozess gilt unabhängig vom einzelnen Projekt. Für jedes einzelne Projekt wird dann ein Risikomanagementplan erstellt, der projektabhängig Verantwortlichkeiten, Vertretbarkeit von Risiken, Verifizierungspläne beschreibt.

Risikoanalyse

Die Risikoanalyse identifiziert die Gefährdungen und schätzt deren Risiko ab, also die Schwere und die Wahrscheinlichkeit des Auftretens.

Risikobewertung

Während der Risikobewertung wird über die Vertretbarkeit abgewogen. Risikobewertung und Risikoanalyse zusammen bilden die Risikobeurteilung.

Risikokontrolle

In dieser Phase werden die geeigneten Optionen gewählt, um das Risiko einzudämmen. Diese Optionen sind

     

  • Direkte Sicherheit durch Design (Bsp: Eine Software, die keine Schnittstelle zu einem Fremdsystem hat, kann dieses Fremdsystem nicht gefährden). Dies stellt den stärksten Schutz dar.
  • Sicherheit durch Schutzvorrichtung (Bsp.: Durch die Überprüfung von Übergabeparametern soll sichergestellt werden, dass das Fremdsystem nicht in unerwünschter Weise beeinträchtigt werden kann)
  • Informationen zur Sicherheit (Bsp: Durch Hinweise in der Gebrauchsanweisung wird darauf aufmerksam gemacht, dass bestimmte Daten/Werte nicht eingeben werden dürfen). Dies stellt den schwächsten Schutz dar

Weiter wird die Umsetzung der Optionen und das verbleibende Restrisiko nach dieser Umsetzung bewertet.