Bundesamt für Sicherheit in der Informationstechnik

M 2.81 Vorauswahl eines geeigneten Standardsoftwareproduktes

Verantwortlich für Initiierung: Beschaffungsstelle

Verantwortlich für Umsetzung: Beschaffungsstelle, Fachabteilung, Leiter IT

Die Vorauswahl eines Standardsoftwareproduktes orientiert sich an dem durch die Fachabteilung und den IT-Bereich aufgestellten Anforderungskatalog. Zunächst sollte die für die Vorauswahl zuständige Stelle eine Marktanalyse durchführen, bei der anhand des Anforderungskatalogs eine tabellarische Marktübersicht erarbeitet werden sollte. In dieser Tabelle sollten für die in Frage kommenden Produkte Aussagen zu den im Anforderungskatalog festgehaltenen Punkten gemacht werden.

Die Marktübersicht sollte vom IT-Bereich erarbeitet werden, sie kann anhand von Produktbeschreibungen, Herstelleraussagen, Fachzeitschriften oder Händlerauskünften erstellt werden. Alternativ ist eine Ausschreibung möglich und teilweise vorgegeben. Der Anforderungskatalog ist Grundlage einer Ausschreibung, so dass anhand der eingehenden Angebote eine vergleichbare Marktübersicht erstellt werden kann.

Anschließend müssen die in der Marktübersicht erfassten Produkte bzgl. der Vorgaben des Anforderungskatalogs bewertet werden. Hierzu kann die in M 2.80 Erstellung eines Anforderungskatalogs für Standardsoftware erarbeitete Bewertungsskala eingesetzt werden. Anhand der vorliegenden Informationen wird festgestellt, welche der geforderten Eigenschaften des Produktes vorhanden sind. Fehlen dem Produkt notwendige Eigenschaften, wird es verworfen. Über die Bewertung der Bedeutung der einzelnen Eigenschaften jedes Produktes kann eine Summe ermittelt werden. Anhand dieser Summen kann nun eine Hitliste für die Produkte aus der Vorauswahl erstellt werden.

Beispiel:

Die im Anforderungskatalog geforderten und bewerteten Eigenschaften für ein Komprimierungsprogramm werden nun wie folgt gewichtet:

Eigenschaft Notwendig/
Wünschenswert
Bedeutung Produkt 1 Produkt 2 Produkt 3 Produkt 4
korrekte Kompression und Dekompression N 10 j j j j
Erkennen von Bitfehlern in einer komprimierten Datei N 10 j j
K.O. j
Löschung von Dateien nur nach erfolgreicher Kompression N 10 j j j j
DOS -PC, 80486, 8 MB N 10 j j j j
Windows-tauglich W 2 n j j j
Durchsatz bei 50 MHz über 1 MB/s W 4 j j j n
Kompressionsrate über 40% bei Textdateien des Programms XYZ W 4 j j n n
Online-Hilfefunktion W 3 n n n j
Maximale Kosten 50.- Euro pro Lizenz N 10 j j j j
Passwortschutz für komprimierte Dateien (Mechanismenstärke hoch) W 2 j j n j
Bewertung   65 (=Max.) 60 62 K.O. 57

Als Ergebnis ergibt sich, dass Produkt 3 herausfällt, da eine notwendige Eigenschaft nicht gegeben ist. Ansonsten wird die Hitliste angeführt von Produkt 2, gefolgt von Produkt 1 und 4.

Die erstellte Hitliste zusammen mit der Marktübersicht sollte dann der Beschaffungsstelle vorgelegt werden, damit dieser überprüfen kann, inwieweit die dort aufgeführten Produkte den internen Regelungen und gesetzlichen Vorgaben entsprechen. Dabei muss die Beschaffungsstelle auch darauf achten, dass die anderen Stellen, deren Vorgaben eingehalten werden müssen, wie der Datenschutzbeauftragte, der IT-Sicherheitsbeauftragte oder der Personal- bzw. Betriebsrat, rechtzeitig beteiligt werden.

Es muss entschieden werden, wie viele und welche Kandidaten der Hitliste getestet werden sollen. Sinnvollerweise sollten die ersten zwei oder drei Spitzenkandidaten ausgewählt werden und daraufhin getestet werden, ob sie die wichtigsten Kriterien des Anforderungskatalogs auch tatsächlich erfüllen. Dies ist insbesondere für die notwendigen Anforderungen wichtig. Hierfür sollten Testlizenzen beschafft werden und, wie in M 2.82 Entwicklung eines Testplans für Standardsoftware und M 2.83 Testen von Standardsoftware beschrieben, Tests durchgeführt werden.

Neben den Kriterien des Anforderungskatalogs können für die Entscheidung noch die folgenden Punkte berücksichtigt werden:

  • Referenzen
    Kann der Hersteller oder Vertreiber für sein Produkt Referenzinstallationen angeben, so können die dort gemachten Erfahrungen hinterfragt und in die Produktbeurteilung einbezogen werden.
    Liegen externe Testergebnisse oder Qualitätsaussagen für das zu testende Softwareprodukt vor (z. B. Testergebnisse in Fachzeitschriften, Konformitätstests nach proprietären Standards, Prüfungen und Zertifikate nach einschlägigen Standards und Normen wie ISO 12119), so sollten auch diese Ergebnisse bei der Vorauswahl berücksichtigt werden.
  • Verbreitungsgrad des Produktes
    Bei einem hohen Verbreitungsgrad hat der einzelne Anwender wenig oder keinen Einfluss auf den Hersteller des Produkts, wenn es um die Behebung von Fehlern oder die Implementation bestimmter Funktionalitäten geht. Er kann aber davon ausgehen, dass das Produkt weiterentwickelt wird. Oft gibt es externe Tests, die durch den Hersteller beauftragt oder von Fachzeitschriften durchgeführt wurden. Bei Produkten mit hohem Verbreitungsgrad ist im allgemeinen mehr über Schwachstellen bekannt, so dass der Anwender davon ausgehen kann, dass die wesentlichen Schwachstellen bereits bekannt sind, bzw. dass das Wissen über Schwachstellen schnell verbreitet wird und er nach dem Bekanntwerden Abhilfe schaffen kann.
    Bei einem niedrigen Verbreitungsgrad kann ein Anwender mehr Einfluss auf den Hersteller nehmen. Externe Tests liegen im allgemeinen nicht vor, da sie für Produkte kleiner Hersteller zu aufwendig und zu teuer sind. Produkte mit niedrigem Verbreitungsgrad enthalten meist nicht mehr oder weniger Schwachstellen als solche mit hohem Verbreitungsgrad. Nachteil ist hier, dass diese evtl. nicht so schnell bekannt werden und damit behoben werden können. Wenn es sich aber um Sicherheitslücken handelt, sind diese aber wahrscheinlich auch potentiellen Angreifer nicht bekannt bzw. keine lohnenden Angriffsziele.
  • Wirtschaftlichkeit / Kosten für Kauf, Betrieb, Wartung, Schulung
    Vor der Entscheidung für ein Produkt sollte immer die Frage stehen, ob die Kosten für das Produkt in einem angemessenen Verhältnis zu dem damit erzielbaren Nutzen stehen. In die unmittelbaren Anschaffungskosten sind darüber hinaus alle Folgekosten für Betrieb, Wartung und Schulung einzubeziehen. Dazu muss z. B. geklärt werden, ob die vorhandene Hardware-Plattform aufgerüstet werden muss oder ob für Installation und Betrieb Schulungen erforderlich sind.

Ist dann die Kaufentscheidung für ein Produkt gefallen, sollte der Kauf natürlich beim günstigsten Anbieter getätigt werden. Dieser hat sich evtl. schon bei der Marktsichtung herauskristallisiert.

Prüffragen:

  • Wird zur Vorauswahl von Standardsoftware auf Basis des Anforderungskataloges eine Marktübersicht erstellt?

  • Wird der Aufwand zur Schulung der Benutzer im Umgang mit neuen Standardsoftwareprodukten in die Auswahl einbezogen?

Stand: 13. EL Stand 2013