15.07.2011, 06:00 Uhr

Stresstest für Applikationen

Bei der Einführung oder beim Release-Wechsel von Business-Applikationen ist ein professionelles Testing zentral. Das gilt ganz besonders für Branchen, die auf die Integrität ihrer Daten angewiesen sind – Banken zum Beispiel.
Bild: © Doug Berry / istockphoto.de
Der Autor ist Leiter Managed Testing Services und Mitglied der Geschäftsleitung bei Inventx, einem Schweizer IT-Partner für Banken. Wie kann ein CIO sichergehen, dass die neue Business-Applikation genau wie gewünscht arbeitet? Weder Herstellergarantie noch Benutzerhandbuch helfen da weiter. Auch dass die Applikation bei anderen reibungslos läuft, nützt nicht viel. Denn das sagt nichts darüber aus, wie das Zusammenspiel der Business-Applikation mit den Anwendungen im eigenen Unternehmen funktioniert. Der CIO muss die neue Applikation in jedem Fall in seiner spezifischen Umgebung und mit repräsentativen Abläufen testen. In der Realität werden solche Tests aber nur fallweise durchgeführt. Meist erst am Ende des Entwicklungsprozesses, wenn die Einführung der Anwendung kurz bevorsteht. Ein System­ausfall ist – im wahrsten Sinne des Wortes – vorprogrammiert.

Sensible Bereiche absichern

Testing-Spezialisten schaffen Abhilfe, bevor es zu spät ist: Sie bringen jene Erfahrung mit, die der betriebsinternen IT-Abteilung oft fehlt, und können das System jenen Belastungen aussetzen, die es auch im Live-Betrieb erfährt. Zwar betrifft die zunehmende Komplexität der Prozesse alle Branchen, aber gerade die Finanz­industrie hat es mit ihrer komplexen IT-Infrastruktur schwer: immer höhere Anforderungen an die Software-Funktionalität, immer mehr Sicherheitsbedürfnisse und eine stetig wachsende Zahl von Umsystemen, die integriert werden müssen. Das alles sind Ursachen für den steigenden Bedarf an professionellen Testumgebungen. Wie soll die IT da noch effizient testen, ob die Business-Prozesse in der Kernbankenlösung, inklusive aller Umsysteme, Schnittstellen und entsprechenden Rollen, bis zum Output Management richtig und Compliance-gerecht funktionieren? Die modernen integrierten Systeme sind so umfangreich, dass ein ganzheitlicher Test viele IT-Abteilungen schlicht überfordert. Diese hat in der Regel weder die Kapazität noch die Erfahrung, um einen solchen Test durchzuführen. Die IT kann zwar einzelne Fälle durchgehen – zum Beispiel einen Zahlungsauftrag, einen Aktienkauf an der Börse, eine Bankomaten-Transaktion –, aber solche Tests sind realitätsfern. Im Live-Betrieb muss ein Bankensystem Tausende Zahlungsaufträge, Tausende Aktienkäufe und Tausende Bankomaten-Transaktionen innert Minuten und in unterschiedlichen Variationen verarbeiten können. Fehler sind dabei nicht erlaubt. Solche umfassenden Tests lassen sich daher besser mit spezialisierten Anbietern durchführen. Ein solcher «Managed Testing Service» reduziert den Aufwand bei neuen Releases drastisch.

Realitätsnah testen

Ob das komplette Release des Kernbankensystems oder nur einzelne Prozesse extern auf Fehler getestet werden sollen, entscheidet die Bank selbst je nach Budget. Die erfahrenen und speziell dafür ausgebildeten Tester sind beides gewohnt und kennen verschiedenste Heran-gehensweisen, angefangen beim klassischen manuellen Test. Der Tester führt dabei einzelne Operationen aus und prüft, ob das System korrekt reagiert. Nun interessiert sich das Unternehmen aber sicher auch dafür, ob die neue Software realistischen Belastungen standhält. Dafür wird das Banking-System über eine gewisse Zeit mit so vielen Requests gefüttert, wie sie auch im Live-Betrieb auftreten. Tausende Transaktionen werden in Stapelverarbeitung aneinandergehängt und zeitgesteuert aufs System losgelassen. Nach dem Test ist klar, ob das System alle korrekt und in der vorgegebenen Zeit ausgeführt hat. Was aber, wenn aus irgendeinem Grund unglaublich viele Kunden zur selben Zeit Geld einzahlen oder abheben? Kommt das neue System auch damit klar? Welche Schnittstelle ist am schnellsten überfordert? Dies überprüfen sogenannte Stresstests. Die Testing-Spe­zialisten überhäufen dabei das System mit Anfragen und prüfen, ob es damit fertig wird. Ähnlich funktionieren Dataload-Tests. Dabei prüfen die Tester, wie schnell beispielsweise eine Tagesend-verarbeitung abgewickelt wird (das dauert im Normalfall Stunden) oder wie lange eine Jahresendverarbeitung braucht (meist mehrere Tage). Aber nicht nur an die Performance und die Stressresistenz ihres IT-Systems stellen Banken besondere Ansprüche, sondern verständlicherweise auch an die Sicherheit. Deshalb führen die meisten Managed Testing Services Sicherheitstests im Angebot. Auch bei dieser Art des Testings wird die IT-Umgebung realistischen Bedingungen und allen möglichen Methoden der Cyberkriminalität ausgesetzt – es werden beispielsweise Hackerangriffe simuliert. Die Bank-IT kann nach einem solchen Testing ziemlich genau sagen, wie stark eine DOS-Attacke sein müsste, um ihr E-Banking-System entscheidend zu beeinträchtigen, und welche Gegenmassnahmen getroffen werden müssen.  

Entlastung für die Bank

Im Rahmen einer Auslagerung des Testing-Betriebs machen sich viele CIOs Gedanken zur Datenhaltung. Um ein System möglichst nahe an den realen Bedingungen zu testen, ist es sinnvoll, dafür möglichst reale Datensätze zu verwenden. Branchenbedingt sind aber besonders Finanzinstitute bei der Herausgabe von Daten höchst skeptisch. Um diese Bedenken auszuräumen, bieten professionelle Testing Services an, die Daten zu 100 Prozent in der Schweiz zu halten oder gar nur Personal anzustellen, das in der Schweiz wohnhaft ist. Zudem arbeiten die meisten Banken mit einem kopierten Datensatz, den sie verfremden – Stichwort: Datenmaskierung. Mehr und mehr Unternehmen gehen dabei noch einen Schritt weiter und erstellen voll synthetische Daten, um keine Rückschlüsse auf die tatsächlichen Personen zu ermöglichen. Die Herausforderung bei solchen «Dummy-Datensätzen» liegt darin, dass auch deren Historien komplett erfunden und erstellt werden müssen. Jedes Unternehmen hat eine IT-Infrastruktur, die speziell auf ihre Bedürfnisse zugeschnitten ist. Wieso also sollte die Bank ihr System von einem externen Unternehmen testen lassen? Von Fachleuten, die wenig mit dem System vertraut sind? Es lohnt sich: Denn anders als das interne IT-Personal sind die Profi-Tester auf das Geschäftsfeld Testing spezialisiert. Sie finden innert kürzester Zeit mehr Fehler im System. Sie geben den Kunden eine Garantie ab, dass allfällig existierende Fehler im Kernbankensystem aufgespürt werden. Das Bankpersonal kann sich voll und ganz auf seine Kernkompetenzen konzentrieren: den Betrieb des Finanzinstituts und die Betreuung der Kunden. Zudem führt hochwertiges Testing auch zu einer höheren Betriebssicherheit: weniger Software-Pannen, weniger Betriebsausfälle und eine höhere Servicequalität.
Checkliste: externes Testing
! KASTEN !
! KASTEN !
! KASTEN !
! KASTEN !
! KASTEN !
- Definieren Sie, in welchen Bereichen Ihr Testing-Partner kompetent sein muss (Branche, Fach, Werkzeuge).
- Machen Sie sich Gedanken darüber, welche Test-Werkzeuge Sie einsetzen möchten.
- Stellen Sie Ansprüche an Ihren Testing-Partner: Wie gross darf/soll der Provider sein? Wo sollen die Testing-Daten gehalten werden? Von wo soll der Zugriff erlaubt sein?
- Lernen Sie Ihren Partner kennen: Be­suchen Sie laufende Projekte vor Ort und lassen Sie sich Live-Demos zeigen.


Das könnte Sie auch interessieren