Der destruktive Weg zu Anforderungen

von | 07.11.2019 | Prozesse & Methoden | 4 Kommentare

Sie können Stakeholder analysieren und Ziele, Motive und Einstellungen erfragen. Sie können den Systemkontext definieren und so den Rahmen einer Entwicklung festlegen. Sie können ein Apprenticing durchführen. Oder Kreativitätstechniken wie Brainstorming oder Brainwriting nutzen. Und Interviews organisieren. Und alte Lastenhefte oder Changelogs auswerten. Es gibt sehr viele „klassische“ Wege, um Anforderungen zu ermitteln. Und es gibt einen alternativen, destruktiven Weg: die Arbeit mit sogenannten Misuse Cases.

Wie, wo, was Misuse Case?

Was ist ein Misuse Case? Vermutlich kennen Sie Use Cases, oder? Ein Use Case ist ein Anwendungsfall, bei dem ein Anwender mit einem System interagiert. Gern zitiertes Beispiel ist der Bankkunde, der an einem Geldautomaten Geld von seinem Konto abhebt. Ein Misuse Case ist ein „missbräuchlicher Anwendungsfall“, der eine Interaktion skizziert, die ein System oder ein Produkt nicht zulassen oder verhindern sollte. Er ergänzt die Idee der Anwendungsfälle um einen zusätzlichen, „destruktiven“ Blickwinkel. Um im Beispiel zu bleiben: der Bankautomat verhindert, dass ich als unautorisierte Person Geld von Ihrem Konto abhebe.

Erstmals beschrieben wurden missbräuchliche Anwendungsfälle 2001 von den beiden norwegischen Professoren Guttorm Sindre und Andreas Lothe Opdahl. Sie veröffentlichten „Capturing Security Requirements through Misuse Cases“ und erläuterten, wie eine Interaktionsfolge zu einem Verlust für den Akteur oder die Organisation, die das Produkt oder System zur Verfügung stellt, führt. Als Antwort darauf identifizierten sie „Security Requirements“, sprich Sicherheits-Anforderungen.

Heute begegnen uns tagtäglich hunderte von Hinweisen, die vor einer missbräuchlicher Verwendung von Produkten oder Systemen warnen: Mit Ihrer Armbanduhr können Sie nur 30 Meter tief tauchen, bei Medikamenten liegen Beipackzettel mit Dosierungsanleitungen und Warnungen bei, und in jedem Aufzug wird die maximal zugelassene Anzahl von Personen genannt, die gleichzeitig den Aufzug benutzen dürfen.

Gründe und Beispiele für Misuse Cases

Es gibt eine Reihe von Gründen, die zu missbräuchlichen Anwendungsfällen führen können:

  • Unwissenheit. Der Anwender weiß nicht genau, was er tut oder wie er es tun sollte.
  • Absicht. Der Anwender möchte ein Produkt nutzen, aber nicht in der Art und Weise, wie es sich der Anbieter wünscht.
  • Zufall. Der Anwender nutzt ein Produkt in einer für den Anbieter unerwarteten Weise, an einem unerwarteten Ort oder zu einem unerwarteten Zeitpunkt.
  • Vandalismus. Der Vandale verfolgt das Ziel, ein Produkt zu zerstören.
  • Kriminelle Motive. Ein Ganove verfolgt das Ziel, ein Produkt zu stehlen oder ein System in seinem Sinne zu manipulieren.

Für jeden dieser Gründe gibt es zahlreiche Beispiele. Je mehr Sie darauf im Alltag, in Ihrem Unternehmen oder bei Nachrichtensendungen achten, desto häufiger werden Ihnen Misuse Cases begegnen. Hier eine kleine Auswahl:

Stellen Sie sich vor, Sie bieten auf Ihrer Website Downloads an. Der Interessent „zahlt“ mit seiner E-Mail-Adresse, an die Sie den Download oder den Download-Link schicken.1 Da der Anwender in der Vergangenheit schlechte Erfahrungen mit Downloads und der im Anschluss einsetzenden Flut an Werbemails gemacht hat, verwendet er statt seines tatsächlichen einen fiktiven Namen. Wir bei t2informatik durften bspw. in den letzten Wochen Robert Redford, Bart Simpson, Max Muster oder Mike Ross – einer Figur der US-amerikanischen Serie „Suits“ – Download-Links senden. Manche Anwender verwenden sogenannte Wegwerf-Mail-Adressen, die lediglich 5 oder 10 Minuten erreichbar sind. Kurzum: Der Interessent möchte also eine Information erhalten, aber nicht zu den gegebenen Bedingungen. Er verfolgt eine andere Absicht. „Lustig“ wird es manchmal, wenn erst eine fiktive Mail-Adresse (ohne Chance auf erfolgreiche Zustellung des Downloads) und anschließend eine reale Mail-Adresse verwendet wird. 😉

Ist Ihnen Ihr Handy schon einmal ins Wasser gefallen? Oder gar in die Toilette? Oder haben Sie aus Versehen einen Kaffee darüber geschüttet? Das Leben ist voller Zufälle und idealerweise „halten Produkte solche Zufälle aus“. Natürlich möchte niemand unter Wasser telefonieren – wobei, wer weiß was die Zukunft bringt?! – dennoch könnte der Einsatz unter Wasser Sinn ergeben, bspw. für Taucher oder Schnorchler, die Fotos oder Videos aufnehmen wollen. Aus einem Misuse Case wird für einen Gruppe von Anwendern ein nützliches Feature.

Es gibt ein bekanntes Video, bei dem ein „Kunde“ ein Smartphone auf Robustheit testet. Er schmeißt es auf den Boden mit der Absicht, das Display zu zerstören. Beim ersten Mal klappt es noch nicht, aber beim zweiten Versuch. Das Display splittert. Erbost über diesen „Mangel“ trampelt er auf dem Gerät herum, kickt es durch die Gegend und zerlegt es sukzessive in seine Einzelteile. Der „Beweis“ ist erbracht: Das Gerät taugt nichts. Es ist nicht robust genug. Natürlich lässt sich einerseits gegen Vandalismus wenig tun, auf der anderen Seite wäre ein Handy toll, das einen Sturz aus einer „normalen“ Gebrauchshöhe unbeschadet übersteht, oder?

Nutzen Sie schon „kontaktloses Bezahlen“ mit Ihrer EC- oder Kreditkarte? Kontaktloses Bezahlen bezeichnet eine Funktion, bei der Zahlungen mittels Near Field Communication abgewickelt werden. Klingt gut, ist einfach, geht schnell und ist eine willkommene Möglichkeit für Ganoven, die Daten Ihrer Karte auszulesen. Ähnlich verhält es sich bei der schlüssellosen Zentralverriegelung im Auto: Diebe „stehlen“ das Signal, um sich  anschließend das Auto für eine Spritztour „auszuleihen“. Beide Misuse Cases sind gar nicht nett!

Sicherlich fallen Ihnen auch weitere missbräuchliche Anwendungsfälle ein. Wahlcomputer werden manipuliert, Daten werden meistbietend verkauft, Adressen unerlaubt veröffentlicht, QR-Codes leiten auf Webseiten mit fragwürdigen Inhalten etc. Die Liste lässt sich leicht ergänzen. 

Vom Misuse Case zur Anforderung

Bei der Arbeit mit Anwendungsfällen werden verschiedene Szenarien skizziert, also Interaktionsfolgen, bei dem der Anwender mit dem Produkt oder dem System agiert. Aus den Szenarien ergeben sich später Anforderungen, die eine gewünschte Interaktion ermöglichen. Beispiel Geldautomat:

Der Geldautomat begrüßt den Anwender mit einer Meldung auf dem Display und fordert ihn auf, seine EC- oder Kreditkarte in das Gerät zu schieben. Halt. Die meisten Geldautomaten begrüßen ihre Kunden nicht mehr, sondern blenden Werbung ein. Und sie zeigen die Liste der Karten, mit denen an dem Automaten Geld abgehoben werden kann. Es erfolgt also zu Beginn eine Meldung, die für den Betrieb wesentlich ist. Durch das Einschieben einer akzeptierten Karte wird die Interaktionsfolge gestartet und je nach Geldautomat und Bank variiert der weitere Ablauf: Kontostand prüfen, Geld abheben usw.

Spulen wir etwas vor zum Misuse Case: Was passiert, wenn Sie dreimal eine falsche PIN eingegeben, Sie also das System in gewisser Weise missbräuchlich verwenden? Ihre Karte wird eingezogen und Sie werden gebeten, mit einem Mitarbeiter der Bank Kontakt aufzunehmen. Der Einzug der Karte nach dreimaliger Falsch-Bedienung ist ein Sicherungsmechanismus. Es ist ein Feature, dass auf einen Misuse Case folgt. Ob dieser nun auf fehlerhafte Bedienung oder einem kriminellen Motiv zurückzuführen ist, muss der Geldautomat nicht beantworten, das fällt in den Aufgabenbereichs des Mitarbeiters.

Das Beispiel führt zur Frage, wie lassen sich Misuse Cases identifizieren? Und die Antwort lautet: mit klassischem Anforderungsmanagement und einigen bewusst gestellten Fragen. Hier im Blog finden Sie eine Beschreibung, wie der beste Prozess im Anforderungsmanagement aussehen kann. Die Fragen adressieren die Gründe und Verhaltensweisen, die zu Misuse Cases führen können:

Was könnte ein „Ganove“ tun, um das Produkt zu stehlen oder gegen seine Intention zu verwenden?

Ein Erpresser könnte Ransomware auf einem Computer installieren und ein Lösegeld erpressen.2
Ein Hacker könnte sich Zugang zu einem Account verschaffen und unter falschem Namen agieren.
Ein Konkurrent könnte wiederholt auf die Werbeanzeige des Wettbewerbs in Google klicken und so das Tagesbudget aufbrauchen.3

Was könnte passieren, damit ein Produkt oder System nicht mehr funktioniert?

Ein Autofahrer könnte einen „falschen“ Treibstoff tanken.4
Ein Fahrrad könnte einen Platten haben.5
Die Lebensmittel könnten nach einer Weile ungenießbar werden.6

Wie könnte ein Anwender ein Produkt verwenden, obwohl es dafür nicht vorgesehen ist?

Ein Wander könnte seinen Schuh zum Öffnen einer Flasche mit Kronkorken verwenden.7
Ein Verbraucher könnte ein Senfglas zukünftig als Trinkglas nutzen.8
Ein Anwender könnte ein Computerprogramm kopieren und die Kopie einem Freund zur Verfügung stellen.9

Was könnte der Anwender tun, wenn er nicht weiß, wie etwas funktioniert?

Ein Computernutzer könnte wiederholt die selbe Aktion durchführen, in der Hoffnung, dass es doch der richtige Weg ist.
Ein S-Bahn-Kunde könnte die Münze, die vom Fahrkartenautomaten nicht akzeptiert wird, durch Reibung am Automaten elektrisch aufladen.
Ein Smartphone-Anwender könnte die App wechseln, in der Hoffnung, dass „es“ mit der „anderen“ besser funktioniert.

Fazit

Vielleicht erscheint die Suche nach Misuse Cases auf den ersten Blick destruktiv, im Grunde ist sie aber konstruktiv. Sie wählt lediglich einen anderen Weg, um Anforderungen zu ermitteln. Natürlich lassen sich in der Praxis nicht alle Anforderungen realisieren, die von missbräuchlichen Verwendungen abgeleitet werden. Manchmal sprechen wirtschaftliche Gründe gegen die Realisierung entsprechender Anforderungen, manchmal technische Gründe. Mit Panzerglas wäre eine Autoscheibe einbruchsicher, doch die zusätzlichen Kosten und das zusätzliche Gewicht dürfte die meisten Autofahrer nicht begeistern.

Apropos Begeisterung: In gewisser Weise sind Misuse Cases bzw. die Realisierung möglicher Anforderungen, die aus missbräuchlichen Anwendungsfällen hervorgehen, ein hervorragendes Mittel, um sich von der Konkurrenz abzuheben. Das Kano-Modell erläutert den Zusammenhang zwischen Produkteigenschaften und einer daraus resultierenden Kundenzufriedenheit. Laut Kano findet der Wettbewerb im Wesentlichen bei sogenannten Leistungsfaktoren und Begeisterungsfaktoren statt. Ein Leistungsfaktor ist bspw. der Verbrauch eines Autos; das Auto, das im Vergleich mit einem anderen Auto weniger Treibstoff verbraucht – bspw. weil es leichter ist und auf Panzerglas verzichtet -, gewinnt diesen Vergleich und trägt somit zu einer höheren Kundenzufriedenheit bei.

Spannend wird es bei den Begeisterungsfaktoren, denn die wenigsten Produkte verfügen über wirkliche Begeisterungsfaktoren. Das Wischen auf dem Smartphone vor gut 10 Jahren war ein Feature, das weltweit für Begeisterung sorgte. Und jetzt stellen Sie sich vor: ein unkaputtbares Smartphone. Ein Gerät, dass einen Sturz aus 2 Meter Höhe auf jeglichen Untergrund unbeschadet übersteht. 100% Robustheit. Mich würde das Produkt begeistern. Möglich wird das Feature, durch die konstruktive Ermittlung von Anforderungen, also durch die Verwendung von Misuse Cases.

 

Hinweise:

Allein aus Gründen der besseren Lesbarkeit habe ich auf die gleichzeitige Verwendung männlicher und weiblicher Sprachformen verzichtet. Sämtliche Personenbezeichnungen gelten für alle Geschlechter.

[1] Die DSGVO definiert ein sogenanntes Kopplungsverbot, nach dem bspw. das Interesse an einem Download nicht automatisch zu einem Eintrag in einem Newsletter-Verteiler führen darf. Auch wenn das OLG Frankfurt in einem Urteil vom 26. Juli 2019 dieses Kopplungsverbot widerrufen hat (siehe https://www.e-recht24.de/artikel/datenschutz/11551-kopplungsverbot-dsgvo-newsletter-gewinnspiele.html), halten wir uns weiterhin daran.
[2] Hier finden Sie Informationen zu Ransomware.
[3] Google Adwords hat einen Mechanismus integriert, der verhindert, dass eine Person (oder ein Computer) durch wiederholtes Klicken auf einen Werbelink das Budget eines Werbetreibenden aufbraucht. Ohne diesen Mechanismus wäre die Verwendung von Google Adwords für Werbetreibende vermutlich wenig sinnvoll.
[4] Auf Tankdeckeln wird der zu verwendende Treibstoff genannt. Insbesondere bei Mietwagen ist dies eine sehr nützliche Information.
[5] Für Fahrräder gibt es „unkaputtbare“ Fahrradschläuche.
[6) Auf verpackten Lebensmitteln werden das Mindesthaltbarkeitsdatum und auch die Inhaltsstoffe des Produkts genannt.
[7] Es gibt Wanderschuhe (und auch Flip Flops), bei denen ein Flaschenöffner in der Schuhsohle integriert ist.
[8] Es gibt Hersteller von Senfprodukten, die bereits in den 1980er Jahren erkannten, dass sie Senf in Gläsern verkaufen können, die anschließend als Trinkgläser verwendet werden. Damit boten die Hersteller ihren Käufern ein zusätzliches Produktmerkmal.
[9] Natürlich gibt es schon sehr lange Schutzmechanismen, die das Kopieren von Programmen unterbinden. Einem sehr großen und bekannten Hersteller wird nachgesagt, er habe seine Schutzmechanismen so „einfach“ konzipiert, dass sich die Programme leicht kopieren ließen. Das wäre eine interessante Strategie, um Programme auf möglichst viele Rechner zu verteilen, oder? 

Michael Schenkel

Michael Schenkel

t2informatik GmbH

Michael Schenkel leitet das Marketing bei t2informatik. Gerne bloggt er über Projektmanagement und Requirements Engineering. Und er freut sich ganz sicher, wenn Sie sich mit ihm auf eine Tasse Kaffee und ein Stück Kuchen treffen.

Gefällt Ihnen dieser Beitrag?

Melden Sie sich für unsere News-Updates an und erhalten Sie einmal pro Woche Tipps und Meinungen von Fachleuten direkt in Ihren Posteingang.

Gefällt Ihnen dieser Beitrag?

Share This