Im Vortrag zu „Arbeiten mit MVPs – Erfahrungen aus der Praxis“ im Rahmen des Agile Coaching Meetups fasste Moritz Peitzsch prägnant zusammen: „Wenn man nichts mehr weglassen kann, ohne den zentralen Nutzen zu gefährden, ist das Produkt erst Minimum und dennoch Viable“.
Das MVP soll also so klein wie möglich sein, um schnell Annahmen validieren zu können. Dabei müssen Sie Zielkonflikte zwischen Budget, Erwartungen und Realisierbarkeit lösen. Also vieles weglassen – was oft weh tut.
Können Sie beim MVP in dieser Situation auch auf Sicherheitsfunktionen verzichten?
Ein MVP wird im Gegensatz zu einem Prototyp bereits produktiv genutzt und ist in der vernetzten Welt meist auch für Dritte sichtbar. Hierdurch entstehen plötzlich Szenarien für Angriffe und massive Auswirkungen bei unbeabsichtigtem Datenverlust.
So stellt das Bundesamt für Sicherheit in der Informationstechnik im BSI-Lagebericht 2018 fest: „Knapp 70 Prozent der Unternehmen und Institutionen in Deutschland sind in den Jahren 2016 und 2017 Opfer von Cyber-Angriffen geworden.“ (Seite 15, Die Lage der IT-Sicherheit in Deutschland 2018).
Benutzer und Auftraggeber hingegen haben an ein produktiv eingesetztes Produkt jedoch grundlegende Sicherheitsanforderungen, die ihnen häufig nicht bewusst sind. Nach dem Kano-Modell gehört Sicherheit zu den Basis-Merkmalen: Man erwartet, dass sie selbstverständlich vorhanden ist.
Für eine Web-Anwendung beispielsweise resultieren hieraus kostenintensive Maßnahmen:
- Verschlüsselung der Verbindung mit SSL
- Kennwörter nicht als Klartext speichern
- Malware bei Uploads verhindern
Können Sie bei der Sicherheit sparen, um Ihr Budget nicht zu überschreiten?
Sicherheitsschäden ruinieren die Produktentwicklung
Sind grundlegende Sicherheitsparadigmen nicht berücksichtigt und entsprechende Funktionen nicht implementiert, können die Folgen verheerend sein:
- Datenverluste und resultierende Datenschutz-Verletzungen
- Identitätsdiebstahl und finanzieller Betrug
- Längere Nichtverfügbarkeit Ihres neuen Produktes oder Services
Die Folgen für Ihr Unternehmen sind meist finanzielle Verluste, aber auch massive Image-Schäden. Sie führen dazu, dass Kunden das Vertrauen verlieren und Investoren gegebenenfalls die Zusammenarbeit beenden und sogar ihr Geld zurückfordern.
Laut einer bitkom-Studie beträgt der Schaden in Folge von digitaler Wirtschaftsspionage, Sabotage und Datendiebstahl rund 43,4 Mrd. Euro in den letzten zwei Jahren. Dabei gehen 8,8 Mrd. Euro auf Imageschäden bei Kunden oder Lieferanten beziehungsweise negative Medienberichterstattung zurück (vgl. Seite 25, Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der Industrie Studienbericht 2018, www.bitkom.org).
Sicherheit einplanen und priorisieren!
Auch angesichts gravierender Schäden bei Sicherheitsmängeln müssen Sie mit Ihrem vorhandenen Budget auskommen. Dazu priorisieren Sie die fachlichen Funktionen und notwendigen Sicherheitsmerkmale anhand des Business Value.
So ist in einer Web-Anwendung die Verschlüsselung der Übertragung in der Regel deutlich wichtiger als die Upload-Funktion für Dateien inklusive des notwendigen Malware-Scans. Der sichere Umgang mit Kennwörtern hingegen ist unverzichtbar.
Eine unangenehme, aber notwendige Konsequenz kann sein, fachliche Funktionen nicht im MVP zu realisieren, wenn die Sicherheitsaspekte nicht umgesetzt werden können. Entscheiden Sie sich im Zweifel stets für die sichere Variante!
Agile Produktentwicklung mit Sicherheit planen
Wie Sie die gesamte Produktentwicklung agil steuern und dabei unter anderem auch Sicherheitsaspekte im Blick behalten, erfahren Sie bei dem Agile Coaching Meetup zum Thema Agile Etappenplanung am 19. September 2019.
Seien Sie dabei und tauschen Sie sich mit uns aus!
