| 
Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per E-Mail. Vielen Dank.
Softwarepakete kommen heute – rein physisch betrachtet – zunehmend als Leichtgewichte daher, weil Handbücher nur noch "virtuell" beiliegen. Dabei können sich aber schnell schwer wiegende Fehlentscheidungen einschleichen, wenn für Installation und Betrieb keine handhabbare Dokumentation bereitsteht. Schon seit geraumer Zeit ist häufig nur noch ein Zettelchen als "Installationsanleitung" beigepackt, das vorsichtig formuliert Banalitäten breittritt: dass man die CD-ROM ins Laufwerk legen und dann den Anweisungen am Bildschirm folgen müsse... Im Übrigen wird auf die Onlinehilfe oder PDF-Dateien verwiesen – oder: "Für die Bestellung eines gedruckten Handbuchs wenden Sie sich bitte an Ihren Vertriebspartner."
Dass einem häufig erst nach erfolgreicher Installation die Installationshinweise als Textdatei angezeigt werden, mag man noch mit einem Lächeln quittieren. Wenn aber komplexe Software, sicherheitsrelevante Systeme oder gesetzlichen Vorschriften unterworfene EDV-Komponenten ohne greifbare Erläuterungen geliefert und anschließend "intuitiv", nach Trial-and-Error oder mit fallweisem Nachschlagen in einer nur stückchenweise lesbaren Onlinehilfe genutzt werden, dann kann einem das Lachen schnell vergehen: Fehlkonfigurationen und Bedienfehler sind meist folgenschwer oder kosten zumindest zu viel der ohnehin knappen Zeit.
Dass jemand die mehrere hundert bis einige tausend Seiten umfassenden "Handbücher" selbst ausdruckt, dürfte einerseits die große Ausnahme sein, zum anderen ist es eine Zumutung für den Kunden: Rechnet man Papier, Toner-/Tintenverbrauch, Verschleiß/Abschreibung, Personal- und Zeitaufwand zusammen, ergäbe sich ein mehr als stolzer Preis, der ein Vielfaches der Herstellungskosten eines klassisch gedruckten Handbuchs betragen dürfte. Da kommt es einem geradezu lächerlich vor, wenn man für die Bestellung eines solchen (über den Vertriebspartner) schlappe 40 € hinblättern müsste, nicht wahr?!
Man hört denn auch ganz gerne mal das Argument (oder ist es eine Schutzbehauptung?) "das liest ja eh niemand, da lohnt sich der Aufwand nicht und bezahlen möchte es auch keiner". Was bei hart kalkulierter Massenmarkt-Software für ein paar Taler noch stimmen mag, ist bei teurer Profi-Software wohl kaum haltbar. Zudem: Was ist wirklich teuer? Eine vernünftige Dokumentation zu verfassen, deren Druck oder verlorene Kunden?
Nun mag der eine oder andere fragen: Was regt sich der Stritter denn so auf? Was mir an der ganzen Chose gewaltig stinkt, ist einerseits die quasi selbstverständliche Abwälzung von (hierdurch noch erhöhtem) Aufwand an den Kunden und zum anderen, dass es eben nicht nur um eine andere Form der Lieferung geht: Auch gute und wichtige Software wird heute oft mit trivialen, letztlich inhaltslosen Installationsanweisungen ausgeliefert. Und bisweilen liegt der Verdacht nahe, dass sich die Softwarehersteller auch sonst nicht der Mühe einer dokumentarischen und qualitätssichernden (internen) Prüfung unterziehen.
Es zeugt von einer ziemlichen Ignoranz gegenüber den Administratoren und Anwendern, wenn für wichtige Einstellungen und den generellen Umgang mit der gelieferten Ware einschließlich ihrer Begrifflichkeiten keinerlei (praxiserprobte) Aussagen oder Hilfestellungen in Form einer informativen Dokumentation mitgeliefert werden. Allzu oft findet, wer sich mühsam durch ein PDF-Handbuch wühlt, unorthodoxe Abhandlungen, die sich dem Verständnis eines Wie-auch-immer-die-Software-heißt-Einsteigers völlig entziehen.
Zweitens: Ob eine Software nicht macht, was sie soll, weil sie falsch programmiert wurde oder weil Einrichtern und Anwendern nicht verständlich erklärt wird, damit richtig umzugehen, ist im Endeffekt egal. Den (oft nicht als moderat zu bezeichnenden) Kosten für eine Software muss man unterstellen können, dass sie auch ein für den Anwender taugliches Handbuch einschließen – ohne Wenn und Aber.
Wenn Fragen zur eingesetzten Software offen bleiben, kann das – drittens – durchaus auch problematisch im Hinblick auf die viel beschworene (und nicht immer verstandene) Compliance sein. Nehmen wir als Beispiel einmal eine Krypto-Software, die Daten zur Finanzbuchhaltung schützt: Könnten Anwender oder IT-Verantwortliche bei einer GDPdU-Prüfung nachvollziehen, wie die Daten nach welchem Muster ver- und entschlüsselt werden und warum man sich gerade für die in seinem System vorliegenden Einstellungen entschieden hat? Was wäre, wenn durch die Nutzung der Software Daten dem Anschein nach nicht mehr entschlüsselt werden können? Ordnungsmäßigkeit hin, Steuerschätzung her?! In etlichen Bereichen ist Verfahrensdokumentation keine Kür!
Eine Reihe von Software-Herstellern hat offenbar Punkt 6 "Dokumentation und Prüfbarkeit" der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) noch immer nicht gelesen oder verstanden. Zwar wird dort nicht explizit ein gedrucktes Handbuch gefordert, aber eine Rechtfertigung für Dokumentation "nur auf CD" findet man auch nirgends. Berücksichtigt man die Empfindlichkeit von Steuerprüfern in Sachen "Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen" (GDPdU) bei fehlender oder nicht ausreichender Dokumentation in gedruckter Form, dann erscheint es aber zumindest unangemessen, es sich mit CDs "leicht zu machen".
Bei 20 % der Teilnehmer an der <kes>/Microsoft-Sicherheitsstudie 2006 haben "Mängel der Dokumentation" übrigens in den vorangegangenen zwei Jahren tatsächlich mindestens einmal zu mittleren bis größeren Beeinträchtigungen geführt (vgl. www.kes.info/studie2006/). Damit landete dieser Gefahrenbereich auf Rang 6 im Mittelfeld der "Schadenstatistik" noch vor Informationsdiebstahl, Spionage, Hacking, höherer Gewalt, Betrügereien und Sabotage.
Fazit: Verlangen Sie als Kunde gute, verständliche und umfassende Dokumentation in einer sofort nutzbaren Form! Prüfen Sie – zumindest bei revisorisch bedeutsamen Systemen –, ob der Inhalt ordnungsmäßig, transparent, aktuell und nachvollziehbar ist. Widerlegen Sie, dass Nutzer sich nicht für gedruckte Handbücher interessieren. Und überlegen Sie, ob selbst eventuelle Mehrkosten nicht durch weniger Aufwand bei Einrichtung, Schulung oder Fehlersuche kompensiert würden.
Zustimmung, Gegenrede und sonstige Kommentare empfangen wir gerne per E-Mail an den Autor (hjstt@edv-auditconsult.de) oder die Redaktion (redaktion@kes.de).
Hans-Jürgen Stritter ist Inhaber der auf IT-Revision und Computer-Fraud spezialisierten Unternehmensberatung EDV-Audit Consult.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#4, Seite 22
tag:kes.info,2007:art:2007-4-022
|