Dass es wirklich höchste Zeit wird, auch die Effektivität von Software-Testern systematisch zu kontrollieren, zeigt eine ganz unglaubliche Sicherheitslücke, die im Februar 2015 in gleich mehreren Tausend per Internet zugänglicher Anwendungen entdeckt wurde:
Wie die Computerwoche schrieb, handelte es sich um Konfigurationsfehler die zur Folge hatten, dass — im Prinzip wenigstens — jeder Internet-Nutzer mehrere Millionen Kundendaten nach Name, Adresse, E-Mail und Kreditkartennummer im Internet nicht nur abrufen, sondern auch manipulieren konnte.
Von den zahlreichen Entwicklern dieser vielen Anwendungen war ganz offensichtlich keinerlei ernsthafter Sicherheitstest durchgeführt worden.
Will da noch jemand behaupten, sie hätten professionell genug gearbeitet?
Und ganz offensichtlich hat auch niemand unter den Verantwortlichen ernsthaft geprüft, wie vollständig der Test, für den sie bezahlt hatten, denn nun eigentlich war.
|
Man lese auch: Was es bedeuten kann, wenn Software-Tester versagen
ggreiter 
Comments
Wie systematisch Cyber-Kriminelle durch Software-Tester nicht entdeckte Sicherheitslücken ausnutzen, zeigt ein Anfang 2015 entdeckter Bankraub, der knapp 1 Mrd. USD Schaden verursacht hat verteilt auf zahlreiche elektronische Einbrüche über 2 Jahre hinweg bei etwa 100 Finanzinstituten.
Quelle: Kasperskys Bericht
Interessant noch: Wie berichtet wird, war es jenen Bankräubern egal, welche Software in den Finanzinstituten lief. Etwa jeder zweite Versuch, so ein System anzugreifen, war erfolgreich (was selbst Sicherheitsexperten überrascht hat).
Software-Tester können von derartigen Erfolgsraten nur träumen. Schlimmer noch: Keiner ihrer Auftraggeber erwartet solch hohe Erfolgsraten von ihnen.
Dass sie dennoch möglich sind — über unterschiedlichste Systeme in etwa 30 Ländern auf der ganzen Welt hinweg — kann gar nicht anders interpretiert werden als zu sagen: End-to-End Tester sind noch weit davon entfernt, so professionell zu testen, wie es ganz offensichtlich möglich ist.
Dass Software-Tester häufig versagen, hat – meiner Beobachtung nach – vor allem zwei Gründe:
Erstens versucht kaum jemand die Effektivität der von ihm beauftragten Software-Tester systematisch zu monitoren.
Und zweitens können Software-Fehler extrem gut versteckt sein (so dass es extrem kreativer Tester bedarf, sie zu finden). Hier ein Beispiel dazu:
Programmierfehler kostete 28 Amerikaner das Leben:
Einer der tödlichsten Angriffe auf amerikanische Soldaten während des ersten Golfkriegs 1991 entstand durch einen Programmierfehler. 28 Soldaten starben, als eine irakische Scud-Rakete Armee-Baracken in der Nähe von Dharan in Saudi-Arabien traf. Die in der Nähe stationierte Patriot-Raketen-Abschussrampe konnte die Scud nicht abfangen, weil sie einen Softwarebug aufwies: Ein Teil ihrer internen Berechnungen nutzte eine dezimale Ausgabe der Uhrzeit und ein anderer Teil eine binäre. Weil dieser Fehler in der internen Uhr der Patriot-Rakete auftrat, wurde das Missverhältnis immer größer, je länger das Raketensystem ohne Neustart blieb. Während des Kriegs waren die Raketensysteme nun aber in dauernder Bereitschaft und wurden niemals neu gestartet. Die Rakete, die Dharan traf, war die letzte, die der Irak während des Kriegs abfeuerte.
Quelle: CW, wahre Begebenheit Nr. 4
Eine interessante Liste dramatisch schief gelaufender IT-Projekte hat der Management Berater Henrico Dolfing zusammengetragen:
Project Failure Case Studies
Dolfings Newsletter zu abbonieren, kann jedem IT-Projekt-Manager helfen.