Aufwandseinschätzung von Penetration Tests mithilfe der Timeboxing-Methode

Das Timeboxing ist ein zentrales Konzept der agilen Softwareentwicklung und kommt in immer mehr Bereichen zum Einsatz. Grundsätzlich bezieht sich eine Timebox auf die Zeit, die Sie haben, um eine Aufgabe zu erfüllen. Das Besondere an der Timeboxing-Methode ist, dass sie den Aspekt Zeit höher einstuft als Inhalte und Ressourcen.
Damit passt sie hervorragend zu agilen Arbeitsansätzen und schärft den Fokus. Wichtig beim Timebox Management ist zudem, dass sich die Umfänge und Inhalte stetig ändern können. Der Zeitrahmen jedoch bleibt gleich.

Zeit blocken: Timebox vs. Deadline: Das ist der Unterschied

Mobile Anwendungen und Webanwendungen werden heute regelmäßig mithilfe von agilen Methoden entwickelt. Bei diesen geht es weniger um eine Deadline als vielmehr um eine Timebox. Obwohl Deadline und Timeboxing einander nicht ausschließen, gibt es drei zentrale Unterschiede.

• Die Deadline bestimmt der Auftraggeber, nicht das Entwicklungsteam. Anders verhält es sich bei der Scrum Timebox. Hier legt das Team fest, welche Aufgaben im Rahmen einer Timebox machbar sind.
• Das Timebox Management zielt darauf ab, eine bestimmte Menge an Aufgaben in einem zuvor definierten Zeitraum abzuarbeiten. Anders als bei der Deadline drohen keine Konsequenzen, sollten einzelne Aspekte nicht fertiggestellt werden.
• Der wichtigste Unterschied zwischen der Deadline und dem Timeboxing ist das Mindset. Beim Timebox Management liegt der Fokus auf einem selbstbestimmten Entwicklungsteam. Deadlines hingegen fokussieren sich auf die Vorgaben des Auftraggebers.

Die Timeboxing-Methode in der Praxis

Die Timebox ist eine wichtige Technik, die darauf abzielt, den Fokus aufrechtzuerhalten. Deshalb können Sie diese Methode sowohl bei der Entwicklung von Webanwendungen als auch bei privaten Aufgaben verwenden. In der Praxis basiert die Timeboxing-Methode auf unterschiedlichen Schritten:

• Sie definieren eine Timebox, die Sie über einen längeren Zeitraum aufrechterhalten. In Entwicklungsteams handelt es sich meistens um 2 oder 4 Wochen.
• Jedem Zeitrahmen fügen Sie eine Anzahl an Aufgaben hinzu. Es ist dabei wichtig, die Timebox im Auge zu behalten. Dabei gilt: Je mehr Zeit Sie zur Verfügung haben, desto mehr Anforderungen lassen sich unterbringen.
• Ist die Zeit abgelaufen, dann ist der Vorgang beendet - unabhängig davon, ob Sie sämtliche Aufgaben erledigt haben. Offene Punkte können Sie in die nächste Timebox übernehmen.

Das Besondere an dieser Vorgehensweise: Sie können mit Timeboxing sogar Projekte managen, die nicht genau spezifizierbar sind. Gleichzeitig lassen sich hochdynamische Vorhaben auf diese Weise am einfachsten umsetzen.
Gut zu wissen: Bei der traditionellen Planungsarbeit stehen Vorgänge im Fokus, beim Timeboxing hingegen die Abfolge von Arbeitsabschnitten. Deshalb eignet sich diese Methode für die Entwicklung von Gesundheitsapps oder DiGAs wie auch für komplexe Pentests im Unternehmen.

Timeboxing als Tool für das persönliche Zeitmanagement

Mit der Timeboxing-Methode gelingt es Ihnen, Ihre Arbeiten effizienter durchzuführen. Deshalb können Sie den Ansatz für private Projekte oder Ihren Arbeitsalltag gleichermaßen nutzen. Dafür unterteilen Sie die verfügbare Arbeitszeit in Timeboxes, die allesamt gleich groß sind.
Danach definieren Sie die zu erledigenden Tasks und schätzen, wie lange jede von ihnen dauern wird. Haben Sie diese Aufwandseinschätzung vorgenommen, können Sie die Aufgaben auf einzelne Timeboxes aufteilen. Anschließend arbeiten Sie die einzelnen Zeitfenster nacheinander ab.
Übrigens: Die Pomodoro-Technik verfolgt grundsätzlich dieselbe Vorgehensweise. Allerdings handelt es sich dabei um sehr kurze Zeitfenster. Beim Timeboxing können Sie Ihre Fokuszeiten großzügiger gestalten.

Timeboxing im klassischen Projektmanagement

Unabhängig vom agilen Ansatz lässt sich die Scrum Timebox auch im klassischen Projektmanagement nutzen. Dazu planen Sie Ihr Projekt auf oberster Ebene mit Arbeitspaketen, die Sie anschließend dem jeweiligen Zeitraum zuordnen.
Da diese Methodik ein gewisses Umdenken erfordert, entscheiden sich viele Projektmanager jedoch für einen hybriden Ansatz. In diesem Fall planen Sie einen Teil der Aufgaben auf traditionelle Weise. Den anderen Teil setzen sie mit der Timebox um. Durch dieses Vorgehen können Se auch Aspekte des Projekts berücksichtigen, die Sie vorab nicht genau einschätzen können.

Timeboxing im Rahmen von Scrum

Die Timebox ist im agilen Softwaremanagement beheimatet. Sie können sie für Infrastruktur-Pentests, Mobile Anwendungen oder Softwareentwicklung gleichermaßen nutzen. Schließlich basiert jedes Scrum-Projekt auf festgelegten Zyklen, während derer Sie Ihre Projekte kontinuierlich verbessern.
Tatsächlich richten sich viele Aspekte in Scrum nach der Timebox aus. Die Grundlage dafür stellen die User Storys im Backlog dar. Diese konzentrieren sich auf den Mehrwert des Projektes. Jede dieser Storys bricht das Entwicklungsteam wiederum in eine Vielzahl an Aufgaben herunter. So passen sie dann in die Timebox hinein. Zu den wichtigsten Timeboxing-Events im Scrum gehören:

• Sprint: Der Sprint ist der Zeitrahmen, der für die Arbeit zur Verfügung steht. Während dieser Timebox liegt der Fokus auf sämtlichen Tasks, auf die sich das Entwicklungsteam festgelegt hat.
• Grooming: Hier schaffen der Project Owner und das Team ein gemeinsames Verständnis für die User Storys.
• Planning: In der Sprint Planning Timebox commited sich das Projektteam auf die Aufgaben für den nächsten Sprint.
• Review: Am Ende stellen die Teammitglieder während des Reviews vor, woran sie während des Sprintzeitraums gearbeitet haben.
• Retro: Diese Timebox dient dem kontinuierlichen Fortschritt im Team und findet am Ende des Sprints statt. Hier besprechen Sie nicht nur Probleme, sondern auch, was gut gelaufen ist.
• Daily: Das Daily findet täglich statt und dauert maximal 15 Minuten. Während dieser Timebox beantwortet jedes Teammitglied die drei zentralen Fragen:
  Was habe ich gestern getan? Woran arbeite ich heute? Gibt es etwas, das mich an der Arbeit hindert?

Gut zu wissen: Jedes Event in Scrum erhält seine eigene Timebox, beispielsweise die Sprint Planning Timebox. Sie beträgt wenige Stunden bis mehrere Arbeitstage, abhängig von der Dauer des Sprints.

Die Bedeutung von Timeboxing in der IT und Softwareentwicklung

Das Timeboxing ist ein wichtiges Hilfsmittel im modernen Entwicklungsalltag. Mit ihm können Sie Ihren Fokus schärfen und sich besser auf die anstehenden Aufgaben konzentrieren. Statt der Entwicklung gemäß dem Wasserfallmodell fördert die Methodik die dynamische Softwareentwicklung und erlaubt eine kontinuierliche Verbesserung. Deshalb vertrauen auch Experten wie Turingpoint oder Atlassian auf diese Ansätze.
Das Timeboxing funktioniert selbst bei Pentests für verschiedene Testmethoden: White-, Black- und Grey-Box Tests können unterschiedlich umfangreich ausfallen. Durch den vordefinierten Zeitrahmen gelingt es, den Fokus auf die wichtigsten Aspekte zu konzentrieren.
Natürlich müssen Sie für die Aufwandseinschätzung die grundlegende IT-Infrastruktur kennen. Denn obwohl der Penetration Testing Execution Standard (PTES) ein Regelwerk bietet: Das tatsächliche Verfahren kann je nach Unternehmen abweichen. Beispielsweise gibt es sechs Linux-Distributionen für Penetrationstests, die abhängig von der zu testenden Umgebung zum Einsatz kommen.
Beim Timeboxing müssen Sie für die anstehenden Aufgaben zunächst den Aufwand einschätzen. Hier ist es einfacher, den allgemeinen Arbeitsaufwand abzuschätzen. Auf diese Weise werden Kosten und Preisgestaltung für einen Pentest deutlich transparenter. Gleichzeitig ist es möglich, einen Zeitrahmen bereitzustellen. Während diesem können sich die Sicherheitsexperten auf die Prüfung von Standards konzentrieren. Dazu gehört beispielsweise, dass bei der Softwareentwicklung die OWASP Mobile Top 10 berücksichtigt wurden.
Übrigens: Das Timeboxing macht beim Pentest vs. Red-Team-Assessment den Unterschied aus. Während sich Penetrationstests verhältnismäßig einfach timeboxen lassen, ist das beim Red-Team-Assessment nicht der Fall. Schließlich sollen solche Assessments einen echten Angriff simulieren. Und Angreifer hören am Ende der Timebox nicht auf, falls sie in Ihr System eindringen konnten.