Der Fokus der vorliegenden Masterarbeit liegt auf der Evaluierung und konsequenten Weiterentwicklung des VS-Scrum Frameworks. Durch die Anwendung der DSR-Methode wurde ein methodischer Ansatz verfolgt, wodurch das Framework in mehreren Iterationen verfeinert und optimiert wurde. Das Ergebnis der Forschungsarbeit ist das VS-Scrum Framework 3.0.

In diesem Schlusskapitel wird zunächst ein umfassender Rückblick auf die zentralen Erkenntnisse und Entwicklungen der Arbeit gegeben. Daraufhin wird eine Zusammenfassung der durchgeführten Schritte sowie der gewonnenen Erkenntnisse präsentiert.

Nach dieser Retrospektive wird das wissenschaftliche und methodische Vorgehen dieser Arbeit kritisch betrachtet. Hierbei werden sowohl die Stärken als auch potenzielle Schwächen oder Limitationen des gewählten Ansatzes beleuchtet.

Anschließend wird der konkrete Mehrwert des VS-Scrum Framework 3.0 für die Praxis und die Wissenschaft hervorgehoben. Dies ist insbesondere im Kontext des Stringenz-Zyklus von Bedeutung. Der Stringenz-Zyklus betont die Notwendigkeit, die während der Forschung gewonnenen Erkenntnisse und Erfahrungen zurück in die wissenschaftliche Gemeinschaft zu tragen [8, S. 90].

Zum Abschluss der Arbeit wird ein Ausblick aufgezeigt. Trotz der Fortschritte eröffnen sich neue Fragen und Entwicklungsmöglichkeiten, welche als Anregung für weiterführende Untersuchungen in der Wissenschaft dienen können.

Zusammenfassung

Die wachsende Anzahl an IT-Sicherheitslücken und Bedrohungen in Deutschland ist enorm hoch. Trotzdem setzen zahlreiche Unternehmen bei der Softwareentwicklung auf das agile Framework Scrum, welches jedoch keine klaren Richtlinien für dem Umgang mit IT-Sicherheitsaspekten bietet. Um diese bestehende Lücke zu adressieren, hat der Autor dieser Arbeit im Rahmen eines früheren Forschungsprojekts anhand von Literaturarbeit das VS-Scrum Framework entwickelt. Dieses wurde in der vorliegenden Masterarbeit mehrfach evaluiert und optimiert. Als methodischer Ansatz wurde die DSR-Methode gewählt, wobei Fokusgruppeninterviews für die Evaluierung eingesetzt wurden.

Zu Beginn wurden die theoretischen Grundlagen im Rahmen der Wissensbasis erörtert. Dabei wurde insbesondere Scrum mit seinen Rollen, Vorteilen und Herausforderungen betrachtet. Weiterführend wurde die IT-Sicherheit in der Softwareentwicklung diskutiert. Das BSI bietet in Deutschland Unterstützung mittels des IT-Grundschutzes, damit ein angemessenes Sicherheitsniveau gewährleistet werden kann. Eine zentrale Anforderung ist dabei die Festlegung eines geeigneten Vorgehensmodells.

Das anschließend vorgestellte VS-Scrum Framework integriert neue Rollen und Prozesse zur Implementierung von IT-Sicherheitsanforderungen. Der Security Master übernimmt die Verantwortung für den Security Backlog, welcher IT-Sicherheitsanforderungen enthält. Außerdem prüft er, ob S-Tags für Anforderungen aus dem Product Backlog erforderlich sind. Zudem war ursprünglich ein Security Sprint vorgesehen, welcher nach dem regulären Sprint stattfinden sollte, in welchem ausschließlich IT-Sicherheitsanforderungen bearbeitet werden.

Im initialen Design-Zyklus lag der Schwerpunkt auf der Evaluierung des Frameworks mittels eines Experteninterviews. Die Rückmeldungen führten zu signifikanten Anpassungen, wie der Unterscheidung zwischen dem Projekt- und Organisationsumfeld sowie der Verschiebung des Security Backlogs in das Organisationsumfeld. Ergänzend dazu wurden weitere Optimierungen, wie die Integration eines IT-Sicherheitsfokus im Sprint und die Überprüfung von S-Tags im Refinement, vorgenommen. Dies resultierte in der Entwicklung des VS-Scrum Frameworks 2.0.

Eine erneute Evaluierung des VS-Scrum Frameworks 2.0 mittels Fokusgruppeninterview führte zu weiteren Anpassungen, wie der räumlichen Trennung von Projekt- und Organisationsumfeld sowie der visuellen Hervorhebung von Neuerungen im Vergleich zur Scrum-Methode. Das daraus resultierende VS-Scrum Framework 3.0 ist die finale Version, welche das zentrale Ergebnis dieser Arbeit darstellt.

Nach der Zusammenfassung der Arbeit gilt es im nächsten Kapitel eine kritische Betrachtung des Vorgehens durchzuführen.

Kritische Betrachtung des Vorgehens

Die Anwendung der DSR-Methode in Kombination mit Fokusgruppeninterviews stellte eine fundierte Basis für diese Forschungsarbeit dar. Diese Methode ermöglichte es, sowohl theoretische als auch praktische Aspekte in den Forschungsprozess zu integrieren und so ein umfassendes Bild des Themas aufzuzeigen. Die Fokusgruppeninterviews boten zudem die Möglichkeit, direktes Feedback von Experten zu erhalten und das entwickelte VS-Scrum Framework iterativ zu verbessern.

Trotz dieser Stärken gibt es jedoch auch einige Limitationen, die berücksichtigt werden sollten. Erstens könnte die Größe und Diversität der Expertenstichprobe eine Einschränkung darstellen. Eine größere und vielfältigere Stichprobe hätte möglicherweise zu einem breiteren Spektrum an Meinungen, Erfahrungen und Perspektiven geführt. Zweitens könnten durch die Ausprägung von Gruppennormen einzelne, abweichende Meinungen möglicherweise nicht geäußert worden sein. Zudem wird durch die Anwesenheit anderer Forschungsteilnehmer die Vertraulichkeit der Forschungssitzung beeinträchtigt. Diese Einflüsse hätten durch Einzelinterviews vermieden werden können.

Obwohl die theoretische Evaluierung des VS-Scrum Frameworks wertvolle Erkenntnisse lieferte, fehlt bisher die praktische Anwendung des Modells. Ein solcher Test hätte nicht nur die Effektivität des VS-Scrum Frameworks in einem realen Umfeld überprüfen können, sondern auch potenzielle Herausforderungen und Hindernisse bei seiner Implementierung aufgedeckt. Nach der kritischen Betrachtung des Vorgehens wird der Mehrwert dieser Arbeit für die Praxis und die Wissenschaft erläutert.

Mehrwert für Praxis und Wissenschaft

Die Entwicklung des VS-Scrum Framework 3.0 bringt sowohl für die Praxis als auch für die Wissenschaft erhebliche Vorteile mit sich. Auf der praktischen Seite zeigt sich, wie in Kapitel []{.mark}1.1 bereits hervorgehoben wurde, dass das traditionelle Scrum-Framework keine expliziten Richtlinien für den Umgang mit IT-Sicherheitsaspekten in der Softwareentwicklung hat. Trotz dieser Lücke setzen viele Unternehmen auf Scrum. Das VS-Scrum Framework 3.0 schließt diese Lücke und ermöglicht es Organisationen, Scrum sicher zu implementieren.

Auf der wissenschaftlichen Seite werden die Erkenntnisse und Ergebnisse dieser Arbeit aktiv in die Wissenschaft zurückgeführt. Dies entspricht dem zentralen Prinzip des Stringenz-Zyklus im Rahmen der DSR-Methode. Hierfür wurde unter anderem die Webseite https://securitymaster.io erstellt. Diese ermöglicht es Interessierten, Zugriff auf die Arbeit, zugehörige Grafiken und weitere Ressourcen zu erhalten. Sie können diese Materialien herunterladen, für eigene Zwecke anpassen und nutzen. Über eine Kontaktmöglichkeit auf der Webseite können Feedback und Anregungen direkt an den Autor gerichtet werden. Darüber hinaus wird diese Arbeit in stark gekürzter Form beim BSI Call for Papers[^6] eingereicht. Dadurch besteht die Chance, das Framework auf dem 20. Deutschen Sicherheitskongress einem breiten Fachpublikum zu präsentieren. Im abschließenden Kapitel dieser Arbeit wird ein Ausblick darauf gegeben, wie das Framework in Zukunft weiterentwickelt und eingesetzt werden könnte.

Ausblick

In einer Zeit, in der die Digitalisierung in nahezu allen Lebens- und Geschäftsbereichen voranschreitet, gewinnt die IT-Sicherheit immer mehr an Bedeutung. Vor diesem Hintergrund stellt das VS-Scrum Framework eine ganzheitliche Lösung dar, um den stetig wachsenden und sich verändernden IT-Sicherheitsherausforderungen gerecht zu werden.

Zukünftige Forschungsansätze könnten sich darauf fokussieren, spezifische Aspekte des Frameworks weiterzuentwickeln oder neue IT-Sicherheitsanforderungen zu integrieren. Die eigens dafür ins Leben gerufene Webseite dient als Plattform für diesen fortlaufenden Dialog und Austausch mit Experten, Praktikern und anderen Interessierten. Sie ermöglicht es, Feedback zu sammeln, Erfahrungen auszutauschen und das VS-Scrum Framework kontinuierlich an die sich verändernde IT-Sicherheitslandschaft anzupassen.

Ein weiterer entscheidender Schritt in der Weiterentwicklung des VS-Scrum Frameworks ist seine praktische Anwendung und Erprobung. Der Autor der vorliegenden Arbeit hat, in seiner Rolle als CISO, die Gelegenheit, das Framework im eigenen Unternehmen im Rahmen einer Fallstudie zu testen. Dies bietet nicht nur die Chance, unmittelbares Feedback aus der Praxis zu erhalten, sondern auch die langfristigen Auswirkungen und Vorteile einer solchen Implementierung zu beobachten. Außerdem können Schwachstellen identifiziert, Lösungen entwickelt und das Framework entsprechend angepasst werden, um es noch effektiver und relevanter für die IT-Sicherheitsanforderungen der Zukunft zu machen.

In einer digitalisierten Welt, in der die Reputation eines Unternehmens innerhalb kürzester Zeit durch Cyber-Vorfälle gefährdet werden kann, ist es unerlässlich, proaktive Sicherheitsmaßnahmen zu ergreifen. Das in dieser Arbeit entwickelte VS-Scrum Framework stellt einen solchen Ansatz dar. Es bietet Unternehmen nicht nur einen strategischen Vorteil, sondern auch die Möglichkeit, ihre wertvollen digitalen Vermögenswerte zu schützen. Denn wie Stephane Nappo so treffend bemerkte, kann das, was in Jahrzehnten aufgebaut wurde, in Minuten verloren gehen.