Die Spezifikation der Anforderungen in einem Lastenheft hilft dabei, die richtige IT-Lösung für Ihr Unternehmen zu finden. Tipps zur Struktur und Inhalt eines Lastenhefts.

Zur Erstellung eines Lastenhefts

Im Lastenheft definiert der Auftraggeber seine Erwartungen und die konkreten Anforderungen an die IT-Lösung.

Die Angebotserstellung sollte von den Bietern mit dem Lastenheft erfolgen, damit die Angebote vergleichbar sind.

Inhalte des Lastenhefts: Einleitung, Ausgangssituation, Liefergegenstände, Metriken, Anforderungen, Betriebsunterstützung

Tipps:

  • Erstellen Sie das Lastenheft gemeinsam mit den Mitarbeitern, welche die Abläufe kennen und als ggf. als Key-User für die neue IT-Lösung infrage kommen.
  • Die Erwartungen und Anforderungen sollten so konkret formuliert sein, dass später die Erfüllung objektiv beurteilt werden kann.
  • Wenn das Lastenheft vertrauliche Informationen beinhaltet, dann lassen erst eine Vertraulichkeitsvereinbarung unterschreiben, bevor Sie das Lastenheft weitergeben.
  • Verwenden Sie die Inhalte von Projektauftrag und Ist-Analyse-Ergebnisdokumentation zur Erstellung des Lastenhefts.

Wie detailliert sollte das Lastenheft sein?

Der Teufel steckt im Detail!

Grob spezifizierte Anforderungen erlauben, dass der Lieferant eine möglicherweise unbrauchbare IT-Lösung liefert und der Vertrag aus rechtlicher Sicht trotzdem als erfüllt gilt.

Für eine detaillierte Spezifikation sollten Sie eine Anforderungsanalyse mit den Methoden des Requirements Engineering durchführen und entsprechend Zeit investieren.

Allerdings ist ein umfangreiches und detailliertes Lastenheft auch kein Garant für eine gute IT-Lösung, da es nicht der alleinige Einflussfaktor ist. Viel hängt davon ab, wie engagiert der Lieferant mit Ihnen an der Implementierung einer guten IT-Lösung arbeitet.

Mein Tipp ist, im Lastenheft zumindest folgende Punkte im Detail zu spezifizieren:

  • Geforderte Liefergegenstände und Leistungen
  • Zu unterstützende Geschäftsprozesse
  • Zu verwaltende Daten (Daten-Anforderungen)
  • Wichtige/kritische Funktionen
  • Daten-Schnittstellen

Das Engagement des Lieferanten sollte in der Phase der Feinspezifikation (Erstellung des Pflichtenhefts) erkennbar werden. Wenn Sie bereits hier Zweifel haben, dass der Lieferant eine gute Lösung liefern will, dann sollten Sie das ernsthaft mit dem Lieferanten (Management) klären. Zeigt der Lieferant keinen glaubhaften Willen bzw. ist zu keiner besseren Leistung fähig, dann sollten Sie die Rückabwicklung des Auftrags anstreben. Der Ausstieg verursacht in den meisten Fällen auch Kosten, aber später wird es nur noch teurer.

Muss und Kann-Kriterien

Sie sollten bereits im Lastenheft die Kritikalität der Anforderungen, Liefergegenstände usw. definieren:

  • Ein Muss-Kriterium (Must-have) ist für die vorgesehene Anwendung unbedingt erforderlich. Erfüllt das Angebot ein Muss-Kriterium nicht, ist die Lösung für den geplanten Einsatzzweck nicht brauchbar.
  • Die Erfüllung eines Kann-Kriteriums (Nice-to-have) verbessert ein Angebot, ist aber verzichtbar.

Kapitel 1: Einleitung zum Lastenheft

In der Einleitung beschreiben Sie in Kurzform:

  • Die geforderte Lösung
  • Die Projektziele
  • Den geplanten Ablauf der Implementierung sowie der Betriebsphase

Erstellen Sie ein Glossar für die verwendeten Fachbegriffe, um Missverständnisse zu vermeiden.

Kapitel 2: Ausgangssituation

Kurzvorstellung Auftraggeber

Stellen Sie Ihr Unternehmen kurz vor:

  • Unternehmenszweck
  • Größe Ihres Unternehmens
  • Standorte

Organisationsstruktur und Projekt-Umfeld

Beschreiben Sie kurz das relevante Projekt-Umfeld:

  • Bereiche/Abteilungen, welche die neue IT-Lösung nutzen sollen bzw. davon betroffen sind
  • Externe Parteien, welche von der IT-Lösung betroffen sind
  • Relevante Geschäftsprozesse (wird unter funktionale Anforderungen weiter detailliert)

Bestehende IT-Infrastruktur

Beschreiben Sie die relevante IT-Infrastruktur für das Projekt:

  • Bestehende IT-Systeme, welche im Haus betrieben werden
  • Genutzte IT-Lösungen, welche außer Haus betreiben werden (Cloud-Services)
  • Ggf. Name/Kurzbeschreibung der IT-Lösung, welche abgelöst werden soll

Geforderte Liefergegenstände und Leistungen

Hier zählen Sie alle Produkte und Ergebnisse auf, welche vom Anbieter zu liefern bzw. zu erbringen sind:

  • Softwarelizenzen (Produkt, Anzahl)
  • Hardware (Produkt, Anzahl)
  • Schulung (Anwenderschulung, Administrationsschulung, Online-Training, Trainingsmaterial)
  • Handbücher (Anwender-Handbuch, Administrations-Handbuch)
  • Cloud-Services, Hosting-Leistungen
  • Support und Software-Updates für den Betrieb

Weiters nennen Sie Leistungen, welche für die Implementierung zu erbringen sind:

  • Projektmanagement
  • Konkretisierung der Anforderungen, Pflichtenheft-Erstellung (Fein-Spezifikation)
  • Erstellen einer Schnittstellen-Spezifikation
  • Installation und Konfiguration
  • Unterstützung beim Systemtest
  • Datenmigrationsleistungen (Daten von der alten auf die neue IT-Lösung übernehmen)
  • Intensiv-Support vor Ort bei der Einführung des Systems (Go-Live)

Dabei definieren Sie auch den Ort für die Erbringung der Leistungen (z.B. für die Schulung).

Der Aufwand für die Datenmigration wird in der Praxis meist gespart, da das Altsystem weiter in Betrieb bleibt.

Allerdings müssen Datensysteme, welche einer gesetzlichen Archivierungspflicht unterliegen, über Jahre weiterbetrieben werden. Damit sind ev. die Kosten für die Datenmigration geringer als der Betriebsaufwand für das Altsystem.

Software Lizenz-Modelle

Es gibt drei übliche Software-Lizenzmodelle für die Anzahl der User:

  • Fixed/named license
    • Eine Lizenz pro Installation am PC oder pro User
  • Concurrent license
    • Eine Lizenz pro User für die gleichzeitige Nutzung (alle eingeloggten User werden gezählt)
  • Site license
    • Lizenz für die Installation bei einem Unternehmen und Standort
    • Die Anzahl der User und Arbeitsplätze pro Lizenz ist unlimitiert

Weiters bestimmt die Lizenz-Art eine zeitliche Limitierung des Nutzungsrechts:

  • Unlimitiert (perpetual)
    • Lizenzen müssen nur einmal gekauft werden und können zeitlich unbefristet verwendet werden
  • Wiederkehrend (subscription)
    • Monatliche, quartalsweise, jährliche Zahlung der Lizenzkosten

Eigenleistungen

Nennen die Leistungen, welche Sie als Auftraggeber selbst erbringen wollen.

Eigenleistungen könnten sein:

  • Bereitstellung von IT-Infrastruktur (Netzwerk, Server, Storage, Verkabelung) nach den Vorgaben des Anbieters
  • Bauliche Anpassungen
  • Bereitstellung Klimatisierung, Elektrizität
  • Projektmanagement
  • Schulung der End-User durch die Key-User (Train-the-Trainer Prinzip)
  • Stammdaten-Erfassung
  • Konfigurationsarbeiten
  • Testplanung, Testmanagement, Testdurchführung

Kapitel 3: Anforderungen an die gewünschte Lösung

Metriken der geforderten IT-Lösung

Typische Metriken sind:

  • Geforderte Verfügbarkeit der IT-Lösung
    • z.B. rund-um-die-Uhr (7×24) oder während der Geschäftszeiten (Mo.–Fr. 8-18 Uhr)
    • Wenn die Lösung in mehreren Ländern verwendet wird, bedenken Sie unterschiedliche Feiertage und die Zeitverschiebung
  • Für kritische IT Lösungen: Max. Ausfallzeit
    • Wie lange darf die IT-Lösung maximal ausfallen, bevor es kritisch für den Betriebsablauf wird?
  • User Anzahl
    • Named User (Anzahl User Accounts)
    • Concurrent User (gleichzeitige Nutzer)
  • Datenmenge
    • Initial: Welche Datenmenge wird mit der Lösung von Beginn an verwaltet?
    • Datenwachstum: Mit welchem Wachstum ist über den Betriebszeitraum zu rechnen?
  • Anzahl Endgeräte (PCs, mobile Geräte.) für die Verwendung der IT-Lösung

Eine hohe Verfügbarkeit (7×24) mit geringer Ausfallzeit hat massive Auswirkungen auf die Kosten der IT-Lösung. Daher sollten Sie sorgfältig überlegen, was wirklich benötigt wird.

So können Sie ausrechnen, ob die Mehrkosten einer hochverfügbaren IT-Lösung gegenüber einer „normalen“ gerechtfertigt sind:

Mehrkosten <=  (geschätzte Schadenskosten pro Ausfall) * (geschätzte Anzahl von Ausfällen pro Jahr) * (Betriebszeitraum in Jahren) 

Sollten Sie für Datenmenge und Datenwachstum keine Erfahrungswerte haben, dann nennen Sie eine grobe Abschätzung auf Basis der Datenobjekte. Damit sollte der Anbieter die Datenmengen errechnen können.

Beispiel für die Datenmengen-Abschätzung:

Datenobjekt Initiale Menge Veränderung pro Jahr
Kunden 1000+100
Artikel 50 +/- 5
Angebote0 +200
Rechnungen0 +100

Daten-Anforderungen

Datenstruktur

Hierzu beschreiben Sie die geforderte Datenstruktur mit einer Liste von Datenobjekten und Attributen.

Zum Beispiel:

DatenobjekteAttribute
Kunden/InteressentenNummer
Name
Adresse
Telefonnummer
E-Mail
Status (Kunde, Interessent, gesperrt)
AngeboteNummer
Kunden-Nummer
Text
Schlussrabatt
Gültigkeit (Datum)
Liste von Angebotsartikeln:
– Artikelnummer
– Menge
– Netto-Stückpreis
– MwSt-Satz
– Rabatt

Die Datenstruktur erkennen Sie am besten aus den derzeit verwendeten Formularen und IT-Lösungen.

Danach können Sie die Liste erweitern, falls zusätzliche Daten benötigt werden. Kennzeichnen Sie noch unklare Datenobjekte entsprechend, um auf die Unvollständigkeit hinzuweisen.

Alternativ zu einer detaillierten Datenspezifikation können Sie auch auf eine passende Standard-Software verweisen. Dafür sollten Sie vorab (z.B. mit einer Demo-Installation) prüfen, ob Ihre Anforderungen auch wirklich abgedeckt sind.

Zugriffsrechte und Rollen

Definieren Sie die User-Rollen und Zugriffsrechte.

Beispiel:

  • Rolle Mitarbeiter
    • kann alle Daten außer Finanzdaten einsehen
    • keine Änderungen erlaubt außer bei der Zeiterfassung
  • Rolle Auftragssachbearbeiter
    • kann Auftragsdaten einsehen und ändern
    • keine Stammdatenänderungen außer Kundendaten
    • keine User-Verwaltung
  • Rolle Buchhalter
    • kann Buchhaltungs- und Finanzdaten einsehen und ändern
    • keine Stammdatenänderungen
    • keine User-Verwaltung
  • Rolle Stammdaten-Administrator
    • kann Stammdaten ändern
    • keine User-Verwaltung
  • Rolle Administrator
    • User-Verwaltung erlaubt
    • darf Stammdaten nicht ändern

Spezifizieren Sie das gewünschte Konzept zur Zuordnung der Berechtigungen:

  • Ein User hat mehrere Rollen: Damit bekommt der User die Zugriffsrechte von allen zugeordneten Rollen.
  • Ein User hat eine Rolle: Alle verwendeten Kombinationen an Berechtigungen müssen mit einer Rolle abgedeckt werden.
  • Das Konzept „ein User, mehrere Rollen“ ist leichter zu administrieren als „ein User, eine Rolle“.

Alternativ können Sie vom Anbieter eine Beschreibung fordern, wie mehrere Rollen pro User abgebildet werden (Frageliste).

Mandantentrennung

Schließlich benötigen Sie die Funktion Mandantentrennung, wenn Sie die Daten mehrerer eigenständiger Organisationen mit einem IT-System verwalten wollen.

Beispiele für Berechtigungen mit Mandantentrennung:

  • UserA (der Firma X) hat die Rolle Sachbearbeiter und nur Zugriff auf Daten im Mandant 1 (Firma X)
  • UserB (der Firma Y) hat die Rolle Sachbearbeiter und nur Zugriff auf Daten im Mandant 2 (Firma Y)
  • UserC (Firma X) hat die Rolle Stammdaten-Administrator und Zugriff auf die Stammdaten im Mandant 1 (Firma X)
  • UserD (Firma X und Y) hat die Rolle Buchhalter und Zugriff auf die Daten im Mandant 1 (Firma X) und 2 (Firma Y)
  • UserE (externer Dienstleister) hat die Rolle Administrator und Zugriff auf die User-Verwaltung für alle Mandanten

Dafür benötigen Sie ggf. auch den Export, Import bzw. die Löschung der Daten von nur einer Organisation (Teil der gesamten Datenmenge).

Genauso sollten Sie die Möglichkeit zur selbständigen Administration der IT-Lösung fordern, damit Sie User, Rollen und Mandanten selbst verwalten wollen.

Weitere Anforderungen im Zusammenhang mit Daten

Datenschutz und IT-Security Anforderungen werden in einem eigenen Kapitel spezifiziert.

Folgende Anforderungen sind ggf. weiters relevant:

  • Gewünschte Datenbank-Software (Microsoft SQL, Oracle, PostgreSQL etc.)
  • Möglichkeit des Datenzugriffs von anderen Applikationen (BI/Reporting-Lösung, Middleware)
  • Möglichkeit der Daten-Archivierung (Auslagern von Daten aus der Produktiv-Datenbank)

Funktionale Anforderungen

Funktionale Anforderungen

Zu unterstützende betriebliche Abläufe (Prozesse)

Die IT-Lösung muss die relevanten betrieblichen Abläufe unterstützen. Beschreiben Sie deshalb die von der IT-Lösung betroffenen betrieblichen Abläufe, um den Anbietern ein Bild vom Gesamtsystem zu geben. Nennen Sie auch seltene Ereignisse, wie z.B. den Jahresabschluss.

Der Anbieter soll in seinem Angebot beschreiben, wie die angebotene IT-Lösung die betrieblichen Abläufe unterstützt (Frageliste).

Wenn Sie diese Prozesse bereits dokumentiert haben, dann legen Sie Prozessdokumentation dem Lastenheft bei.

Use Cases (Anwendungsfälle)

Sollten Sie keine Prozessbeschreibungen haben, dann beschreiben Sie die typischen Anwendungsfälle (Use Cases) für die geforderte IT-Lösung.

Dafür eignet sich am besten die Darstellung als Fluss-Diagramm oder in Anlehnung an BPMN eine Darstellung als Swimlane-Diagramm. Die Beschreibung kann aber auch einfach in Textform erfolgen.

Beispiel eines Use Case für eine Auftragsabwicklung:

Dateneingabe und Bearbeitung

Typische Anforderungen dazu sind:

  • Methoden der Dateneingabe z.B. via Touchscreen, Scan von Barcodes/QR-Codes
  • Datenimport von Datei, Datenbank etc.
  • Datenübernahme von Geräten z.B. Scanner, Sensoren
  • Unterstützung der Ersterfassung von Daten z.B. das bestimmte Muss-Datenfelder anfangs leer gelassen werden dürfen, da noch nicht bekannt
  • Änderung und Löschung von bestehenden Daten z.B. Einschränkung auf bestimmte User-Rollen
  • Korrektur von Falscheingaben nach dem Speichern, z.B. wie lange ist eine Änderung möglich

Datenverarbeitung und Auswertungen

Typische Anforderungen sind:

  • Berechnungen z.B. automatische Planung
  • Generierte Dokumente z.B. Rechnung
  • Daten-Visualisierungen und Statistiken z.B. Dashboard
  • Berichte z.B. Monatsbericht
  • Format-Vorgaben für Dokumente (Corporate Design)
  • Ausgabemöglichkeiten für Dokumente und Berichte z.B. Drucker, PDF, E-Mail Versand, Fax
  • Workflow-Support z.B. Freigabeprozess
  • Protollierung, Nachvollziehbarkeit von Änderungen (Audit-Trail)

Daten-Schnittstellen

Typische Datenschnittstellen

Spezifizieren Sie die Datenschnittstellen, welche zum Datenaustausch benötigt werden:

  • Details zu den involvierten IT-Systemen
  • Ausgetauschte Daten-Objekte (wie unter Daten Anforderungen spezifiziert)
  • Bestimmung des Senders und Empfängers für die ausgetauschten Daten-Objekte
  • Authentifizierung und Autorisierung zwischen den IT-Systemen
  • Datentransfer: Protokolle, Verschlüsselung
  • Vorgangsweise bei Ausfall eines der IT-Systeme (Zwischenspeicherung, Wiederholung der Übertragung)
  • Schnittstellen-Protokollierung (Logging)

Fordern Sie vom Lieferanten die Leistung, im Rahmen der Feinspezifikation eine detaillierte Schnittstellen-Spezifikation zu erstellen.

Zur Anpassung/Implementierung einer Schnittstelle müssen Sie meist mehrere Lieferanten involvieren. Holen Sie deshalb frühzeitig Angebote von den dafür benötigten Lieferanten ein, um das in der Projektplanung berücksichtigen zu können.

Anforderungen zu IT-Security und Datenschutz

Datenschutz- und IT-Security Anforderungen haben meist einen gesetzlichen oder vertraglichen Hintergrund (siehe Gesetze im IT-Umfeld). Weiters sollten die Maßnahmen für Elementarschäden (Feuer, Wasser) und Katastrophen vorsorgen.

Im Folgenden finden Sie ein paar generelle Anforderungen, weitere spezifische IT-Security Anforderungen finden Sie hier:

Die Sicherheit einer IT-Lösung ist besonders kritisch, wenn der Zugriff aus dem Internet möglich ist (Hacking-Gefahr). In diesem Fall sollten Sie einen IT-Security Experten für das Design und die Auswahl der IT-Lösung hinzuziehen bzw. IT-Security-Expertise vom Anbieter einfordern.

Schutz der Daten vor Hardware-Defekten oder Elementarschäden (Feuer, Wasser, etc.)

Eine betriebskritische IT-Lösung benötigt eine redundante Datenhaltung. Damit ist die Speicherung der Daten auf mehreren Festplatten bzw. mehreren Storage-Systemen zum Schutz vor Datenverlust bei Hardware-Defekten gemeint.

Redundante Datenhaltung ist dabei nicht gleich Datensicherung (Backup). Da Backups typischerweise nicht permanent laufen, kommt es bei einem Hardware-Defekt ggf. zum Verlust der Änderungen seit dem letzten Backup.

Fordern Sie eine Beschreibung im Angebot (Frageliste), wie das System mit dem Ausfall einer oder mehrerer Disks umgeht:

  • Viele Storage-Systeme haben die Funktionalität zur redundanten Datenspeicherung bereits eingebaut (RAID)
  • Auch eine Alarm-Funktion bei einem Disk-Defekt ist wichtig, um reagieren zu können bevor es zu weiteren Defekten und damit zu einem Komplettausfall kommt.

Handelt es sich um ein besonders kritisches System, so ist die Datenhaltung in verschiedenen Rechenzentren sinnvoll:

  • Die konkrete technische Umsetzung hängt von der verwendeten Anwendung und der Entfernung zwischen den Rechenzentren ab
  • Manche Applikationen/Datenbanken bieten Standard-Funktionen zur parallelen Speicherung auf mehreren Storage-Systeme
  • Auch Virtualisierungslösungen können mit Datensynchronisierung realisiert werden.

Backups

Weiters spezifizieren Sie Details zum Backup, wenn die Datensicherung vom Bieter eingerichtet werden soll:

  • Mit welcher Methode und wie oft die Daten gesichert werden müssen
    • vollständige oder inkrementelle Datensicherung
    • mehrmals am Tag, täglich, wöchentlich
    • Offline oder online: Für intensiv genutzte und betriebskritische Systeme sollte die Datensicherung mehrmals am Tag erfolgen, jedoch ohne damit Verfügbarkeit der Lösung einzuschränken (Online-Backup).
  • Wie lange Backups aufbewahrt werden müssen
    • Die Rücksicherung von Daten sollte zumindest über den Zeitraum von einem Monat nach der Sicherung möglich sein.
    • Denken Sie dabei an den Fall einer versehentlichen Datenlöschung, welche erst nach einiger Zeit entdeckt wird.

Security-Anforderungen für Software

  • Schutz vor unberechtigtem Applikations- und Datenzugriff (Login mit Username/Password, Zwei-Faktor-Authentifizierung)
  • Berechtigungskonzept für die Beschränkung des Datenzugriffs für eingeloggte User (siehe Datenzugriff)
  • Verschlüsselte Speicherung aller oder nur kritischer Daten (z.B. Login-Namen, Passwörter, personenbezogene Daten)
  • Verschlüsselter Datenaustausch mit anderen IT-Systemen
  • Security-Updates zeitnah nach Veröffentlichung mit nach Möglichkeit automatischer Installation

Security-Anforderungen für Server/Arbeitsplatzrechner, Betriebssysteme

  • Systemzugriff ist nur nach erfolgreicher Anmeldung möglich
  • Automatische Sperre nach längerer Inaktivität
  • Anti-Viren/Anti-Malware Software
  • automatische Installation von sicherheitsrelevanten Updates
  • System-Redundanz (wird hier weiter detailliert)

Security-Anforderungen für IT-Infrastruktur

  • Zentrale Komponenten (Netzwerk-Geräte, Server) befinden sich in einem versperrten Raum und nur Befugte haben Zutritt
  • Die Komponenten sind vor Gefahren wie Feuer, Wasser geschützt und eine Überhitzung der Komponenten wird vermieden (Klimaanlage)
  • Eine Notstromversorgung (USV) überbrückt kürzere Stromausfälle und bei einem längeren Stromausfall erfolgt ein ordentlicher Shutdown
  • Ordentliche und gut beschriftete Verkabelung

Security-Anforderungen für Cloud-Services

Der Anbieter ist zertifiziert bzw. erfüllt:

Das BSI bietet einen eigenen Anforderungsforderungskatalog für Cloud-Services.

IT-Security muss laufend angepasst werden

Da laufend neue Bedrohungsszenarien auftauchen, muss die IT-Security auch laufend überwacht und ggf. angepasst werden.

Wenn Sie diese Aufgabe nicht selbst durchführen können, so holen Sie sich dafür einen kompetenten Dienstleister. Um sicherzustellen, dass der Dienstleister diese Aufgabe auch ernst nimmt, sollten Sie eine entsprechende Schadenshaftung vereinbaren.

Nicht-Funktionale Anforderungen

Nicht-Funktionale Anforderungen: System, Regelwerke

Testsystem

Für z.B. eine Test-Installation eines Updates oder das Nachvollziehen von Problemen sollte ein Testsystem implementiert werden, um dafür das Produktivsystems nicht zu beeinträchtigen.

Testsysteme werden gerne als virtuelles System betrieben (Virtualisierungslösung). Da Testsysteme eher selten in Gebrauch sind, kann damit der Hardware-Bedarf reduziert werden.

Für ein Testsystem benötigten Sie auch Software-Lizenzen. Manche Anbieter bieten diese kostenlos bzw. günstiger im Bundle mit den Lizenzen für Produktivsysteme an.

Hardware-Anforderungen

Wenn Sie die Auswahl der Hardware nicht komplett dem Anbieter überlassen wollen, spezifizieren Sie Ihre Anforderungen:

  • Hardware-Ausstattung (CPU, Memory, Storage, Anschlüsse etc.)
  • Schutzklasse (Staub/Wasser/Erschütterung/Einbruch)
  • Abmessungen bzw. Einbauart (Rack)
  • Limitierung Energieverbrauch
  • Limitierung Kühlungsbedarf
  • Zu unterstützende Betriebssysteme
  • Funktionen zur Hardware-Konfiguration (z.B. Remote Hardware-Management)
  • Software-Ausstattung
    • Betriebssystem
    • Standard-Software wie Virenscanner, Java etc.

System-Redundanz, Virtualisierung

Diese Anforderung resultiert aus den geforderten Metriken „Verfügbarkeit“ und „Max. Ausfallzeit“.

Ein redundant ausgelegtes System wird heutzutage gerne mit einer Virtualisierungslösung realisiert, was Vorteile und Nachteile hat:

  • Der Betrieb von virtuellen Servern ermöglicht die Wartung, den Austausch oder die Erweiterungen der physischen Hardware ohne/mit geringen Ausfallzeiten für die IT-Lösung
  • Auf der Virtualisierungslösung können mehrere virtuelle Server gleichzeitig betrieben werden, womit die physische Hardware besser ausgelastet wird
  • Bei Bedarf können die Hardware-Ressourcen (CPU, Memory) zwischen den virtuellen Servern einfach und schnell verschoben werden
  • Die Virtualisierungstechnologie erhöht die Komplexität und damit den Administrationsaufwand und die Fehlermöglichkeiten
  • Die Virtualisierungstechnologie kostet etwas Hardware-Leistung
  • Die virtuellen Server könnten sich gegenseitig negativ beeinflussen (Performance, Verfügbarkeit, Security-Incidents)
  • Die Virtualisierungslösung verursacht auch Kosten (Lizenzen, Support)
  • In der Praxis überwiegen die Vorteile der Virtualisierungstechnologie

Fordern Sie vom Anbieter eine Auflistung, welche Virtualisierungslösungen unterstützt werden (Frageliste).

Performance

Wenn die Reaktions- und Verarbeitungsgeschwindigkeit der IT-Lösung kritisch ist, sollten Sie dafür konkrete Anforderungen spezifizieren.

Dafür spezifizieren Sie konkrete Tests, um die Erfüllung später objektiv bewerten zu können, z.B.:

  • Zeit bis zur Bereitschaft für die Eingabe/Auswahl nach dem Start der Anwendung
    • Die Anwendung muss nach dem Start in max. 30 sec bereit für die Auswahl/Eingabe sein
  • Max. Dauer für die Generierung eines bestimmten Berichts
    • Die Umsatzstatistik muss binnen 1 min verfügbar sein (Umsatzdaten für 200 Filialen über 12 Monate).

Ergonomie, Usability

Spezifizieren Sie besondere Anforderungen der User hinsichtlich Bedienung, z.B. aufgrund körperlicher Beeinträchtigung, Schutzbekleidung.

Beispiele:

  • Die Schriftgröße muss für jeden User individuell einstellbar sein.
  • Die Schrift am Bildschirm hat mindestens 10pt und kann auf 20pt vergrößert werden.
  • Durch die Vergrößerung der Schrift darf kein Text verschwinden bzw. darf die Bedienung nicht beeinträchtigt werden.
  • Die Bedienung muss auch mit wärmeisolierten Handschuhen auf dem Touchscreen einfach möglich sein.
  • Die Elemente auf dem Bildschirm müssen so platziert sein, dass die Auswahl eines Elements für die meisten User mit Handschuhen ohne unabsichtliche Mehrfachauswahl möglich ist.

Relevante Gesetze, Regelwerke

Nennen Sie relevante Regelwerke (Standards), Zertifizierungen und Gesetze, welche die IT-Lösung erfüllen muss (siehe auch Gesetze im IT-Umfeld).

Kapitel 4: Anforderungen zur Unterstützung im Betrieb

Updates und Support

Um die IT-Lösung aktuell zu halten und im Falle von Problemen auch Unterstützung vom Lieferanten/Hersteller zu bekommen, sollten Sie Updates und Support für den gesamten Betriebszeitraum fordern.

Dafür nennen Sie auch den geplanten Nutzungszeitraum für die IT-Lösung.

Software-Updates

Jeder Software-Hersteller hat einen definierten Modus, wie Kunden Software-Updates bekommen:

  • „Minor Updates“, Patches, Fixes sind in der Regel für einen gewissen Zeitraum kostenlos. Typischerweise entspricht das den Ansprüchen aus der Gewährleistung.
  • Update-Vertrag: alle Software-Updates sind im Rahmen der Laufzeit des Update-Vertrages kostenlos. Sollte der Vertrag beendet und später wieder aktiviert werden, werden Aufschläge verrechnet (Upgrade-Kosten).
  • „Major Updates“ bzw. Upgrades bei Bedarf: Sie kaufen die neue Software-Version und kommen in der Regel einen Upgrade-Rabatt.

Jede Software-Version erreicht nach einer definierten Zeit (herstellerabhängig) den Status „End of Life“. Damit werden keine neuen Updates mehr bereitgestellt. Um die Software weiter aktuell zu halten, ist dann ein Upgrade auf eine neuere „Major Release“ erforderlich. Damit sind bei einem Nutzungszeitraum über 10 Jahre in der Regel mehrere Software-Upgrades notwendig.

Upgrades haben typischerweise gröbere Auswirkungen auf das IT-System, womit diese am besten im Rahmen eines IT-Projekts implementiert werden (siehe IT-Betrieb, Änderung einer bestehenden IT-Lösung).

Um Kosten zu sparen, können Sie im Support-Vertrag auf kostenlose Upgrades verzichten (herstellerabhängig).

IT-Support

Für die zu erbringenden Support-Leistungen spezifizieren Sie:

  • Welche Art von Support der Anbieter zu erbringen hat
    • Support-Level (First-Level, Second-Level, Third-Level) bzw. Leistungen darüber hinaus (siehe IT-Betrieb)
    • Telefon-Support, Vor-Ort-Support
  • Wie die Kommunikation mit dem Support erfolgen muss
    • Welche Sprachen müssen die Support-Mitarbeiter sprechen?
  • Welche Verfügbarkeit und Reaktionszeit vom Support gefordert sind
    • Zu welchen Zeiten muss der Support erreichbar sein?
    • In welchem Zeitraum muss sich ein Support-Mitarbeiter melden?
    • In welchem Zeitraum muss sich ein Experte für die IT-Lösung melden?
  • Welche Problembehebungszeiten garantiert werden müssen
    • In welchem Zeitraum muss ein schweres bzw. kritisches Problem behoben werden?
    • In welchem Zeitraum muss ein normales Problem behoben werden?

Weitere Informationen zum Thema Sie unter IT-Betrieb.

Überwachung und Anpassung der IT-Security

Da laufend neue Bedrohungsszenarien auftauchen, muss die IT-Security auch laufend überwacht und ggf. angepasst werden.

Wenn Sie diese Aufgabe nicht selbst durchführen können, so holen Sie sich dafür einen kompetenten Dienstleister. Um sicherzustellen, dass der Dienstleister diese Aufgabe auch ernst nimmt, sollten Sie eine entsprechende Schadenshaftung vereinbaren.

Spätere Anpassungen der IT-Lösung

Eine IT-Lösung anzupassen oder zu erweitern kann teuer werden: Manche Lieferanten nutzen die Abhängigkeit des Kunden aus und verlangen deutlich mehr, als für eine vergleichbare Leistung in einer Erst-Implementierung.

Deshalb sollten Sie bereits bei der Auswahl der IT-Lösung eine Kostenerhebung für eine mögliche Erweiterung durchführen und diese bei der Auswahl der IT-Lösung berücksichtigen. Idealerweise vereinbaren Sie dafür eine Preisbindung im Liefervertrag.

Beschreiben Sie einige Szenarien zur zukünftigen Anpassung der IT-Lösung, wie z.B.:

  • Neuen Bericht bzw. neue Statistik implementieren
  • Bestehendes Formular um ein Datenfeld erweitern
  • Nicht mehr benötigtes Datenfeld ausblenden
  • Erweiterung des Speicherplatzes
  • System in einer weiteren Abteilung/Niederlassung verwenden
  • Anpassung der System-Schnittstellen nach Änderung eines angebundenen IT-Systems
  • Anpassung an geänderte gesetzliche Vorgaben bzw. Standards

Moderne Standard-Software ist weitgehend konfigurierbar. Damit kann die Software ohne Installation oder Programmierung in einem gewissen Rahmen angepasst werden. Z.B. ist die Anpassung des Rechnungslayouts (Schrift, Logo etc.) oder das Ausblenden von Funktionen aus dem Menü typischerweise einfach möglich.

Kleinere Konfigurationsarbeiten sollten Sie selbst umsetzen können, ohne den Lieferant/Hersteller einbinden zu müssen. Holen Sie sich vom Anbieter die Zusicherung, dass selbst durchgeführte Konfigurationsänderungen zu keiner Einschränkung des Supports führen.

Pönalen

Anforderungen an Verfügbarkeit, Reaktionszeit und Problembehebungszeit können mit Pönalen für Nicht-Einhaltung unterlegt werden.

Pönalen werden typischerweise nicht im Lastenheft definiert, sondern in den Lieferbedingungen.

Vorlage

Download “Vorlage Lastenheft” Lastenheft-Vorlage.docx – 94,68 kB