Stell dir vor, du baust ein hochsicheres Online-Meldeportal für Menschen, die von Hafenkriminalität betroffen sind.
Du investierst Steuergeld, entwickelst anonymisierte Prozesse, trennst schön ordentlich Technik und Fachlichkeit – und dann vergisst du… einen Haken zu setzen.
Nein, das ist kein Witz. Das ist das echte Leben in der deutschen Digitalverwaltung.
Was ist passiert?
- Im Sommer 2022 geht in Bremen ein Hinweisportal live. Für Whistleblower. Für Menschen, die mutmaßlich ihr Leben riskieren, um gegen organisierte Kriminalität auszusagen.
- Es gibt nur ein klitzekleines Problem:
Keiner hat Zugriff auf die Meldungen. - Warum? Weil irgendein Checkboxchen bei der Rechtevergabe im Backend nicht aktiviert wurde.
- Das fiel… nicht auf. Jahrelang. Weil: „Es gingen ja keine Meldungen ein.“
Was sich anhört wie ein Witz über stumpfe Behördenrealität, ist trauriger Alltag. Kein Monitoring. Kein Test im Livebetrieb. Keine Prozesskontrolle. Kein Alarm. Kein Logging. Kein gar nix.
Die Realität:
„Mehrere Hinweise wurden tatsächlich abgegeben, aber niemand konnte sie lesen.“
🤡 Und jetzt kommt der Knaller: Der Fehler wurde nicht durch einen Penetrationstest, nicht durch einen Funktionstest, nicht durch eine End-to-End-Abnahme, sondern durch:
Einen Angeklagten vor dem Landgericht, der meldete und keine Antwort bekam.
Das nennt sich dann wohl „User Acceptance Test in freier Wildbahn“.
Mein Tipp als Testmanager:
Wer ein System für Notfälle und Whistleblower baut, aber keine Kontrolle darüber hat, ob überhaupt Daten ankommen, betreibt keine IT, sondern gefährliche Alibipolitik.
Hier ein paar ganz altmodische Dinge, die geholfen hätten:
| MaĂźnahme | Nutzen |
|---|---|
| Smoke-Test nach Liveschaltung | Erkennt grobe Schnitzer wie „niemand kann zugreifen“ |
| Rechte-Rollen-Matrix + Review | Zeigt, wenn Haken fehlen |
| Monitoring der Submission-Events | FrĂĽhwarnsystem, wenn keine Auswertung erfolgt |
| Reporting an den Betrieb | Sichtbarkeit fĂĽr die Fachabteilung |
| Retrospektive nach Launch | Erkenntnisse nutzen, nicht verdrängen |
| Logging von Zugriffen / Fehlversuchen | Ja, auch das hilft manchmal! |
Was lernen wir?
„Das Kriterium für die Wahrheit ist die Praxis“, sagt Senatorin Schilling.
Schön. Nur blöd, wenn man die Praxis nicht testet.
🛠Verbesserungsvorschläge für die Zukunft
- Verbindliche Abnahmeprozesse mit echten User-Szenarien – keine theoretischen Reviews.
- Mindestens zwei Eskalationsstufen, wenn eingehende Meldungen ĂĽber Wochen nicht bearbeitet werden.
- Zwingendes Monitoring von eingehenden Formularen und deren Status.
- Regelmäßige Blackbox-Tests: „Was sieht der Fachanwender? Was passiert mit dem Input?“
- Verantwortlichkeit sichtbar machen: Wer testet, wer betreibt, wer kontrolliert?
