Stefan Zörner
05.12.2024
Anja Kammer, Senior Consultant bei INNOQ, hält auf dem Architektur-Punsch 2024 einen Vortrag zu Datensicherheit in der Software-Produktentwicklung. Stefan Zörner hat sich dazu mit ihr unterhalten.
(Stefan Zörner) “Hallo Anja! Schön, dass du Zeit hast! Magst du ein bisschen was zu dir erzählen?"
Anja Kammer: Ich bin Senior Consultant bei INNOQ. Während meiner täglichen Projektarbeit arbeite ich trotzdem Hands-on am Code und auch an Infrastrukturarchitektur und Softwarearchitektur, meistens in der Cloud. Aber ich bin auch beratend tätig. Ich unterstütze Unternehmen, die in die Cloud wollen oder bestimmte Fallstricke vorhersehen möchten.
Und ansonsten führe ich Trainings durch, auch zu Cloud-Themen und zu Architektur-Themen. Vor allem welche Architekturen in der Cloud am besten lauffähig sind.
Mehr Infos zu Anja Kammer auf der INNOQ-Seite
(StefanZ) “Wie lange bist du denn schon bei INNOQ? Und was hast du vorher gemacht?"
Anja: Ich bin seit fast sechs Jahren bei INNOQ. In die IT-Welt gestartet bin ich als Selbstständige in der Webentwicklung für verschiedene Unternehmen, und auch später während des Bachelor- und Masterstudiums habe ich als Softwareentwicklerin gearbeitet. Ich sehe gerne, wie meine Investitionen auch langfristig fruchten.
Das ist irgendwie das Schöne an der Softwareentwicklung in einem Produktunternehmen.
Das ist irgendwie das Schöne an der Softwareentwicklung in einem Produktunternehmen. Das mag ich so sehr daran. Deswegen bin ich auch heute noch gerne lange in Projekten.
(StefanZ) “Womit beschäftigst du dich bei INNOQ noch so? Deine Podcasts kenne ich zum Beispiel …"
Anja: Ich beschäftige mich mit noch viel mehr als dem, was ich eben erzählt habe. Ich bin wirklich sehr vielfältig interessiert. Ich interessiere mich für Security, für Datenschutz, für sozio-technische Dynamiken in Organisationen, Kultur und Entwicklungsprozesse. Ich habe so viele Ideen, wie man Dinge verbessern könnte. Ich habe so viel Wissenshunger, dass ich vielleicht sogar genau deswegen den INNOQ Podcast sehr gerne mache. Weil ich dann von meinen Kollegys lernen kann, die auch unterschiedliche Schwerpunkte, Fokusthemen und Lieblingsthemen haben.
INNOQ-Podcast Interessante Themen aus Softwareentwicklung und -architektur
(StefanZ) “Den INNOQ-Podcast verlinken wir direkt mal. Und du bist auch noch Kuratorin beim iSAQB für den Lehrplan zu Cloud-Infrastrukturen (CLOUDINFRA). Gibt es da Inhalte im Curriculum, die du besonders spannend findest, wo du dich in deinen Trainings freust, dass sie drin sind?"
Anja: Also die Frage hat man mir noch nie gestellt … Aber mich interessieren vor allem wirklich die sehr technischen Details. Also warum die Cloud in welchen Fällen vorteilhaft ist und wann sie vor allem nachteilhaft ist. Also in Trainings diskutiere ich die Vor- und Nachteile von Technologien, Infrastruktur und Architekturen wirklich sehr gern. Gefühlt bin ich da sehr ausgewogen, aber ich nenne den Leuten natürlich meine Meinung und wie ich das so empfinde und wie ich das in der Praxis sehe. Ich glaube, das mag ich am liebsten: Vor- und Nachteile beleuchten im Kontext von Technik und Architektur.
(StefanZ): “Du hast ja auch einen Vortrag bei uns im Architektur-Punsch. Titel: Wie Datensicherheit die Software-Produktentwicklung beeinflusst. Kannst du da ein bisschen zu erzählen?"
Anja: Aus meiner Erfahrung, und so arbeite ich selbst auch am liebsten, sollten Entwicklungsteams produktgetrieben arbeiten. Das bedeutet, dass auch Entwickler:innen mit am Produkt arbeiten. Sie sind zumindest diejenigen, die die Menschen, die sich die Features ausdenken, aus IT-Sicht beraten. Sie sagen ihnen etwa, welche technischen Möglichkeiten es noch geben könnte. Denn sie sind in der Entwicklung drin und haben sehr viel Kreativität in dem Sinne, was noch gehen könnte. Sodass man also nochmal über den Tellerrand hinausschaut.
Entwicklungsteams sollten produktgetrieben arbeiten. So arbeite ich selbst auch am liebsten.
Für mich ist Softwareproduktentwicklung Aufgabe des gesamten Teams. Das bedeutet, alle im Team müssen sich dementsprechend bewusst sein, dass wenn ich ein Produkt entwickle, ich mir auch mehr über regulatorische Hindernisse Gedanken machen muss. Datenschutz ist da ein besonderes Thema, weil das gerade sehr viele Unternehmen betrifft. Alle Beteiligten, wenn sie sich wirklich als Produktentwicklungsteam verstehen oder so arbeiten wollen, müssen sich damit beschäftigen, was möglich ist. Und wo die Alarmglocken schrillen sollten, wenn irgendein Feature Request reinkommt, der aber beispielsweise aus regulatorischen Gründen so nicht umgesetzt werden sollte.
(StefanZ): “Wie kann ich mir den Vortrag vorstellen? Gibst du auch dein Erfahrungswissen weiter?"
Ich werde Negativbeispiele mitbringen und die kommen alle aus der Praxis. Sie sind realistisch zusammengefasst von dem, was ich bisher erlebt habe. Da kommen so Dinge wie, ein leitender Manager nimmt dich zur Seite und sagt: „Schau mal, wir brauchen da noch einen besonderen Report. Wir wollen die und die Daten dort sehen. Bitte macht das doch für uns!“
Als Mitarbeiter, der sehr gerne diesen Wunsch erfüllen möchte, macht man dann alles dafür, dass das auch funktioniert. Man muss dann aber Daten sammeln, die vielleicht personenbezogen sind. Was dazu führen könnte, dass das Team datensicherheitstechnisch Fehler macht. Da sollten zumindest Alarmglocken schrillen. Man muss dem Manager dann sagen können: „Achtung, ich weiß, das sind personenbezogene Daten. Wir müssten das und das und das machen“. Oder dass man wenigstens sagt: „Ich glaube, es wäre gut, wenn wir den Datenschutzbeauftragten mit involvieren, bevor wir etwas tun, was vielleicht nicht erlaubt ist“.
Oder man möchte ein Feature entwickeln, was explizit nicht dafür geeignet ist, um personenbezogene Daten zu speichern. Aber die Nutzer:innen werden nicht davon abgehalten, trotzdem personenbezogene Daten dort reinzuschreiben. Und dann speichern wir, ohne dass wir es wollen, sensible Daten auf eine nicht geeignete Art und Weise. Sowas habe ich auch schon gesehen.
Deswegen möchte ich auch über Kultur reden in dem Vortrag. Ich finde es schön, wenn es eine Kultur gäbe, in der man sich gegenseitig diese Hinweise geben kann. Und auch gegenseitig voneinander lernen kann, was funktionieren und ab wann es Probleme geben könnte.
Es ist wichtig, dass sich Datensicherheit kulturell verfestigt.
Das funktioniert besser als Prozesse, die aufgestülpt werden: „Bei jedem Feature muss noch die Compliance-Abteilung drüber gucken“, und so weiter. Ich glaube, Prozesse funktionieren da nicht gut, weil die Leute sich gegen Prozesse wehren. Deswegen ist es gut, wenn es quasi in der DNA der Leute drin ist. Dieses Bewusstsein kulturell verankert ist. Dass es aus dem Team heraus erwächst, dass man eine gewisse Sensibilität hat.
(StefanZ): “Mal angenommen, die Leute können nicht in deinen Vortrag kommen. Gäbe es Dinge, die Du mit denen teilen kannst?"
Anja: Ich wünschte mir, es gäbe was! Deswegen mache ich tatsächlich den Vortrag. Das Thema ist vor allem sehr unbeliebt. Security ist schon sehr unbeliebt und Datenschutz ist noch unbeliebter. Also es ist sehr schwer diese Themen unter die Leute zu bekommen. Aber ich will jetzt endlich anfangen mit diesem Vortrag.
Zeichnet Ihr die Vorträge im Punsch eigentlich auf?
(StefanZ): “Wir sprechen mit den Leuten, die Vorträge halten, darüber. Und wenn die das gut finden, dann nehmen wir die Inhalte auf und teilen sie nachher. Also wenn du magst, nehmen wir deinen Vortrag auf!
(StefanZ): Hattest du dir das Punsch-Programm mal angesehen? Gibt es etwas, was dich da besonders interessiert? Wo du selber hingehen wollen würdest virtuell?"
LASR mit den Erfahrungsberichten dazu fand ich interessant. Davon hattest du mir ja auch erzählt. Und natürlich „Plattform Engineering produktiver machen“ von Alex. Ist genau mein Thema, da werde ich reingehen auf jeden Fall. „Vom fachlichen zum effizienten Teamschnitt“ fand ich auch sehr interessant. Ich habe überhaupt gesehen, dass viel im Programm meine Themen sind. Plattform Engineering und sozio-technische Themen.
(StefanZ): “Ich freue mich schon auf jeden Fall schon sehr auf deinen Beitrag auf dem Punsch! Vielen Dank für das Gespräch, Anja."
Ein geselliger Vorweihnachtsnachmittag mit tollen Menschen, spannenden Vorträgen und vielen interaktiven Formaten.
Der Vortrag von Anja Kammer zu Datensicherheit in der Software-Produktentwicklung ist Teil unseres Architektur-Punsches 2024 am 16. Dezember. Natürlich gibt es da noch weitere spannende Programmpunkte zu entdecken. Einfach anmelden! Details hier …