Cloud Lösungen konzipieren und realisieren

g1: Bedürfnisse hinsichtlich Applikationen und Schnittstellen analysieren und dokumentieren

Die Informatikerinnen und Informatiker analysieren die im Kundengespräch (a1) ermittelten Bedürfnisse und dokumentieren sie (Anforderungsmanagement): In einem ersten Schritt halten sie die Bedürfnisse des Kunden in Form von technischen und berufsspezifischen Anforderungen fest. Um die Perspektive der Benutzer besser zu erfassen, beschreiben sie mit ihrem Team und den betroffenen Stakeholdern die Zielgruppen und deren Bedürfnisse (z. B. mittels Personas). Diese Phase kann im Rahmen eines Workshops erfolgen. Auf dieser Grundlage überprüfen sie die technischen Anforderungen, die eine Applikation und die Schnittstellen (z. B. Benutzerschnittstelle [UI], REST, Sensorik, Peripherie) erfüllen müssen, hinsichtlich ihrer Kohärenz, Vollständigkeit und Messbarkeit (Akzeptanzkriterien). Sie halten die Informationen zu Rahmenbedingungen, Kontext und Abgrenzung sowie die Begriffsdefinitionen fest. Bei Bedarf ergänzen sie die Anforderungen.

g3: Sicherheit der Applikationen und Schnittstellen bewerten und dokumentieren

Die Informatikerinnen und Informatiker bewerten die Sicherheit der Applikationen und Schnittstellen und dokumentieren ihre Ergebnisse: Sie klären zunächst die Sicherheitsfragen zur Systemumgebung, z. B. welche Schnittstellen vorhanden sind, wer die Anwender der Applikation sind, welche anderen Systeme auf die Applikation zugreifen, welcher Schutzbedarf für die Daten bzw. die Applikation besteht (Verfügbarkeit, Vertraulichkeit, Zuverlässigkeit, Integrität), welche internen Richtlinien oder gesetzlichen Vorschriften beachtet werden müssen. Auf der Grundlage ihrer Prüfung leiten sie die Risiken ab, denen die Applikation und ihre Schnittstellen ausgesetzt sein können. Dabei gehen sie vorausschauend vor und zeigen die Bedrohungsmethoden und möglichen Manipulationen von aussen auf. Sie diskutieren im Team über die Ergebnisse ihrer Analyse und leiten daraus die geeigneten Massnahmen ab.

g4: Umsetzungsvarianten einer Applikation erarbeiten und Lösung konzeptionell entwickeln

Die Informatikerinnen und Informatiker erarbeiten Umsetzungsvarianten für eine Applikation und entwickeln ein Realisierungskonzept für die gewählte Variante. Dabei arbeiten sie eng mit ihrem Team und den Stakeholdern zusammen: Mit Entwürfen und Beschreibungen präsentieren sie zunächst die grundlegenden Varianten in Bezug auf deren Implementierung (z. B. Technologien, Komponenten, Frameworks, Bibliotheken, Systeme). Zusammen mit den jeweiligen Stakeholdern erstellen sie eine nachvollziehbare Nutzwertanalyse der verschiedenen Varianten mit relevanten und bewertbaren Entscheidungskriterien. Auf der Grundlage der Nutzwertanalyse beraten sie die Stakeholder bei deren Entscheidungsfindung, um sie zur optimalen Lösung zu führen. Dabei achten sie darauf, dass die Lösung ethisch und rechtlich vertretbar ist. Schliesslich überprüfen sie die gewählte Variante, eventuell in Form einer Machbarkeitsanalyse (→ a3).

h1: Geeignete Plattform für die Auslieferung der Applikationen festlegen

Die Informatikerinnen und Informatiker analysieren die verschiedenen Anforderungen an den Betrieb der Applikationen und legen die geeignete Plattform fest: Sie analysieren zuerst die vorgegebenen Anforderungen und identifizieren die Abhängigkeiten zwischen den Komponenten (Microservices, bestehende Software, Applikationen/Schnittstellen). Auf dieser Grundlage bestimmen sie die für den Betrieb der Applikation geeignete Plattform (Cloud, On-Premise, Client, Hybrid, Multicloud). Anschliessend definieren sie das Schichtenmodell (SaaS, PaaS, IaaS) anhand der Rahmenbedingungen des Stakeholders (z. B. Kosten, Verantwortlichkeiten, Umsetzung). Sie identifizieren die Sicherheitsanforderungen (einschliesslich Datenschutz), die die Plattform erfüllen muss, und wählen die geeigneten Dienste aus. Sie schätzen die erforderlichen Ressourcen ab und wählen sie gemäss den Empfehlungen des Plattformbetreibers aus (Performance, Speicherbedarf, Verfügbarkeit-

h2: Auslieferungsprozess der Applikationen definieren

Die Informatikerinnen und Informatiker definieren den Auslieferungsprozess der Applikationen sowie die zu verwendenden Techniken und Werkzeuge: Für die Definition des Auslieferungsprozesses stützen sie sich auf das definierte Vorgehensmodell (z. B. Scrum). Sie analysieren zunächst die Abhängigkeiten zwischen den verschiedenen Komponenten in Bezug auf den Auslieferungsprozess. Sie integrieren auch die planbaren Migrationen (Code First, Datenbankschema, Daten) unter Berücksichtigung der Architektur. Sie bestimmen die geeigneten Integrationspraktiken (z. B. Git Flow, Trunk, Continuous Integration) je nach Applikationstyp und gewähltem Vorgehensmodell und halten sie fest.

h3: Auslieferungsprozess der Applikationen implementieren

Die Informatikerinnen und Informatiker implementieren den Auslieferungsprozess der Applikationen gemäss dem definierten Verfahren: Falls dies noch nicht geschehen ist, erstellen sie einen Proof of Concept (PoC) für die gewählte Lösung (→ a3.5). Anschliessend implementieren sie den definierten Auslieferungsprozess. Sie installieren die Dienste, schreiben die Automatisierungsskripte und definieren die Umgebungsvariablen mit den geeigneten Methoden und Werkzeugen (z. B. CI/CD-Pipeline, CLI, YAML). Sie stellen die Komponenten (Ausführungsumgebung/Dienste) bereit und packen die Applikation (z. B. Docker, Container). Sie verwalten und versionieren die Artefakte. Dabei gehen sie strukturiert vor, kontrollieren ihre Arbeit regelmässig auf Fehler und beheben diese gegebenenfalls.

h4: Applikationen und Schnittstellen überwachen und Probleme im laufenden Betrieb lösen

Die Informatikerinnen und Informatiker überwachen die Applikationen und Schnittstellen, ergreifen Massnahmen zur Aufrechterhaltung der Stabilität und lösen bei Bedarf die im laufenden Betrieb auftretenden Probleme: Für die Überwachung oder das Monitoring einer Applikation definieren sie zunächst alles, was erfasst werden muss (Metriken), und konfigurieren die Systeme entsprechend (Log Depth, Messpunkte). Sie integrieren in die Applikation Massnahmen, um Missbräuche und Bedrohungen schnell zu erkennen. Sie führen das Monitoring in regelmässigen Abständen durch und überprüfen den Zustand der Applikation auf der Grundlage der erfassten Informationen. Bei Bedarf führen sie eine Analyse durch, z. B. bei einer vom Kunden oder System übermittelten Fehlermeldung. Um das Problem einzugrenzen, reproduzieren sie den Fehler. Dabei gehen sie analytisch vor und bewahren Geduld und Sorgfalt. Sobald das Problem eingegrenzt ist, definieren sie die Korrekturmassnahmen, implementieren diese und überprüfen, dass die Applikation in einen stabilen Zustand zurückkehrt.

e1: Netzwerke planen und dokumentieren

Die Informatikerinnen und Informatiker planen neue IP-Netzwerke für die unterschiedlichsten Auftraggeber (vom Kleinstunternehmen bis zur Grossfirma), erstellen die nötige Dokumentation und stellen deren Nachverfolgung sicher. Damit liefern sie nachvollziehbare Grundlagen für den Aufbau und Betrieb der Netzwerke: Sie erfassen zunächst die Bedürfnisse (z. B. Verfügbarkeit, Sicherheit) (a1) bei den betroffenen Stakeholdern (z. B. Auftraggeber, interne Abteilung, Hersteller). Aus den erhobenen Bedürfnissen erarbeiten sie einen ersten Vorschlag oder Lösungsvarianten. Je nach Situation berücksichtigen sie die Besonderheiten des Unternehmens, technische Standards/Normen und/oder gesetzliche Vorschriften. Sie halten ihren Vorschlag fest. Anschliessend gehen sie zum Detaildesign über: Sie konzipieren die geeignete Netzwerkinfrastruktur (LAN) unter Berücksichtigung der räumlichen Bedingungen und weiterer Vorgaben (z. B. Bandbrei-

f1: Serversysteme und ihre Dienste planen und dokumentieren

Die Informatikerinnen und Informatiker planen und dokumentieren die Serversysteme und deren Dienste für die unterschiedlichsten Auftraggeber (vom Kleinstunternehmen bis zur Grossfirma), erstellen die nötige Dokumentation und stellen deren Nachverfolgung sicher. Damit liefern sie nachvollziehbare Grundlagen für den Aufbau und Betrieb der Dienste: Sie erfassen zunächst bei den betroffenen Stakeholdern (z. B. Auftraggeber, interne Abteilung, Hersteller) die Bedürfnisse hinsichtlich der erforderlichen Funktionen und klären das vorgesehene Budget (→a1). Aus den erhobenen Bedürfnissen erarbeiten sie einen ersten Vorschlag oder Lösungsvarianten für die möglichen Serversysteme und/oder Dienste (z. B. Webdienste, Datenbanken, Datenspeicherdienste, Datenanalytik). Je nach Situation berücksichtigen sie die Besonderheiten des Unternehmens, die technischen Normen/Standards und/oder die gesetzlichen Vorschriften sowie den IT-Grundschutz. Sie beraten die Stakeholder, klären deren Fragen und un-

f3: Serverdienste in Betrieb nehmen

Die Informatikerinnen und Informatiker nehmen die geplanten Serverdienste in Betrieb (dabei kann es sich z. B. um einen DNS, einen Webserver, eine Datenbank, eine JRE, eine Kollaborationsplattform, ein IoT-Gateway, einen Messagebus, Big-Data-Analytik handeln): Sobald die Entscheidung zur Umsetzung der Serverdienste endgültig getroffen ist, beschaffen sie die erforderlichen Ressourcen (z. B. Personal, Lizenzen, Cloud-Dienste). In einem weiteren Schritt nehmen sie die Serverdienste in Betrieb, indem sie sie bedarfsgerecht installieren und konfigurieren. Dabei gehen sie gemäss der erstellten Planung vor und berücksichtigen die internen Anforderungen, Richtlinien und Best Practices. Sie überprüfen den Dienst mit den geplanten Tests (→f1) und überführen ihn in die Produktivumgebung. Schliesslich aktualisieren sie das Benutzerhandbuch und übergeben es dem Auftraggeber.

f4: Serversysteme und ihre Dienste warten und administrieren

Die Informatikerinnen und Informatiker warten und administrieren die Serversysteme und deren Dienste. Damit gewährleisten sie deren kontinuierlichen produktiven Betrieb: Je nach Bedürfnissen des Systems oder Dienstes definieren sie zunächst die Wartungsaufgaben und deren Zyklus (täglich, wöchentlich, monatlich, bei besonderen Ereignissen, gemäss Service-Level-Agreements). Sie führen die Wartungsaufgaben in den definierten Intervallen zuverlässig aus und dokumentieren sie. Wenn Aktualisierungen erforderlich sind (z. B. Upgrades, Patches, Firmware), testen und installieren sie diese in der Produktivumgebung. Sie testen ausserdem die Funktion, Performance und Sicherheit der Systeme und Dienste in regelmässigen Abständen. Wenn Änderungen an den Systemen vorgenommen werden, dokumentieren sie diese klar. Sie gehen rigoros vor und sorgen dafür, dass jeder Eingriff in die Systeme oder Dienste jederzeit nachvollziehbar und verständlich ist.

f5: Serversysteme und ihre Dienste überwachen

Die Informatikerinnen und Informatiker überwachen die Serversysteme und deren Dienste. Sie erkennen damit Probleme rechtzeitig und können Ausfallrisiken reduzieren: Sie definieren zunächst mit den betroffenen Stakeholdern, welche Serversysteme und Dienste überwacht werden sollen. Anschliessend bestimmen sie die geeigneten Überwachungsmethoden (Skript, Software, Meldungen usw.). Sie legen die Grenzwerte und die zu ergreifenden Massnahmen bei Unteroder Überschreitung dieser Werte fest. Dabei bewerten sie die jeweiligen Risiken auf der Grundlage ihrer Erfahrungen und gemäss den Anforderungen des Auftraggebers oder den Service-Level-Agreements (SLA). Sobald die Überwachung in Betrieb ist, überprüfen sie mit periodischen Tests, ob das Überwachungssystem zuverlässig funktioniert. Sie dokumentieren die Ergebnisse klar und nachvollziehbar. Bei Fehlermeldungen oder Alarmen greifen sie schnell ein und leiten die geeigneten Massnahmen ein.

f6: Sicherheit der Serversysteme und ihrer Dienste implementieren, dokumentieren und überprüfen

Die Informatikerinnen und Informatiker implementieren, dokumentieren und überprüfen die Sicherheit der Serversysteme und deren Dienste: In einem ersten Schritt erarbeiten sie ein Sicherheitskonzept, das den Bedürfnissen der Stakeholder entspricht. Dieses Konzept beschreibt die möglichen Risiken und die geeigneten Sicherheitssysteme/-methoden zur Gewährleistung eines IT-Grundschutzes (z. B. Firewall, Antivirensoftware, Berechtigungen, Single Sign-On [SSO]). Dazu arbeiten sie im Team und ziehen bei Bedarf Partner hinzu. Sie wenden Best Practices auf die verwendeten Lösungen an. Sie konfigurieren die festgelegten Sicherheitselemente und testen deren Wirksamkeit. In regelmässigen Abständen führen sie Sicherheitstests im laufenden Betrieb durch und dokumentieren die Ergebnisse nachvollziehbar. Sie informieren sich regelmässig über die technologischen Entwicklungen der Sicherheitssysteme (z. B. MELANI, CVE) und passen ihre Konzepte an.

f7: Verfügbarkeit der Serversysteme und ihrer Dienste planen und umsetzen

Die Informatikerinnen und Informatiker planen die Verfügbarkeit der Serversysteme und deren Dienste und setzen sie um. Sie wenden geeignete Massnahmen an, um den Datenverlust zu verhindern und die Ausfallzeiten gemäss den Vorgaben einzuhalten: In Gesprächen mit den Stakeholdern bestimmen sie zunächst den maximal zulässigen Datenverlust (Recovery Point Objective), die maximal tolerierbare Ausfallzeit der Serversysteme und ihrer Dienste (Recovery Time Objective) sowie die Aufbewahrungsdauer der Daten (Retention der Backups). Sie halten die Ergebnisse in einer Dokumentation fest. Sie überprüfen anschliessend die aktuellen Systeme und Dienste hinsichtlich ihrer Beschaffenheit oder der Service-Level-Agreements (SLA) und stellen die Punkte fest, an denen die Verfügbarkeit noch nicht gewährleistet ist.

f8: Konzepte für Datensicherung und Datenarchivierung erarbeiten und umsetzen

Die Informatikerinnen und Informatiker erarbeiten und setzen Konzepte für die Datensicherung und Datenarchivierung um. Damit gewährleisten sie die langfristige Verfügbarkeit der Daten: In Absprache mit den Stakeholdern definieren sie die zu sichernden und zu archivierenden Daten (z. B. Benutzer-, Konfigurations-, System-, Protokolldaten). Anschliessend erarbeiten sie ein Backup-Konzept (einschliesslich Recoveryund Disaster-Recovery-Konzepte) und/oder ein Archivierungskonzept. Dabei gehen sie ganzheitlich vor: Sie berücksichtigen den Backup-Zyklus, die Aufbewahrungsdauer der Daten und die Compliance-Anforderungen. Sie definieren weitere ausschlaggebende Aspekte wie Periodizität, Grösse, Medientyp, Berechtigungen und Zugriffe. Sie beachten ausserdem die für den Datenschutz geltenden gesetzlichen Vorschriften (z. B. DSGVO).