Scrum

Ein Insider für IT-Leute.

Ich hatte ja schon geschrieben, dass ich das Entwicklungsmodell Scrum für einen ziemlichen Scheiß halte. Ich war in einer Firma, in der das das Weltbild war, und ich als Security Officer da glücklicherweise nicht mit drin war, sondern mir nur das Gehampel angesehen habe. Ich hatte mal unter Zeitdruck ein Sicherheitsmodell zu erstellen und da kam tatsächlich einer an und meinte, ich könne das nur schaffen, wenn er mich als Scrum-Manager manage und ich deren alberne Rituale durchlaufe. Dem habe ich aber was erzählt, wo er sich Scrum hinstecken könne, und das Ding einfach zuhause und in Ruhe geschrieben.

Keine Ahnung, wie sich der Mist etablieren konnte, aber das ist so ein Sozialding. Wenn da irgendwer mit anfängt und sich das verbreitet, dass man das jetzt so mache, dann machen die alle mit und geben unfassbar viel Geld für Schulungen durch irgendwelche Scrum-Gurus und Evangelists aus. Das hat auch was von Betrug und Snake Oil, und letztlich geht es auch nur darum, Leute so unter Druck zu setzen, dass sie – irgendwas – arbeiten statt rumzufaseln. Das könnte seinen Ursprung in der US-amerikanischen IT-Landschaft genommen haben, weil dort jede Menge Leute in die IT gequotet wurden, die da – wir haben es am Beispiel Twitter gesehen – nur rumsitzen, labern und all die teuren Benefits in Anspruch nehmen, aber nichts arbeiten oder auch nichts können. Scrum ist ein System, um Leute unter Arbeitsdruck zu bringen und Leute, die nichts können, irgendwie einzubinden. Viele Scrum-Master oder sonstige Scrum-Funktionäre kommen aus Bereichen, die mit IT gar nichts zu tun haben. Scrum ist wunderbar, um Geisteswissenschaftler im IT-Sektor unterzubringen und dann per Gerechtigkeit „gleichzubezahlen“.

Scrum nervt gewaltig. Und Scrum scheitert konstruktionsbedingt an allen größeren und langfristigen Aufgaben, weil der Fokus immer auf kleinen und im nächsten „Sprint“ erreichbaren Aufgäbchen liegt.

Ich will dabei nicht verhehlen, dass die neue Methodik auch gewisse positive Aspekte hervorgebracht hat, die allerdings auch alles andere als unumstritten sind: Die schnelle Vorgehensweise führt zu CI/CD-Methoden, Continuous Integration, Continuous Delivery. Ich bin zwar überhaupt nicht begeistert davon, dass jeder ständig irgendwie im Produktivsystem herumfummelt und keiner mehr weiß, war wann was wo wie und warum gemacht hat, man sagt ja auch, dass viele Köche den Brei verderben.

Aber: Die dafür erforderlichen Build-Chains, einen automatisierten, sauberen, reproduzierbaren, dokumentierten, beliebig oft anzustoßenden Weg zur Reproduktion der ganzen Software zu haben, ist etwas, was ich außerordnetlich hoch einschätze, und gerade im Security-Umfeld für sehr wichtig halte, um schnell reagieren zu können. Da hat man eine Menge guter Werkzeuge entwickelt, und es ist famos, wenn man irgendwo tief drinnen einen Zeile Code ändert, und es dann gewaltig rumpelt und am Ende die komplette neue Software installationsfertig herauskommt oder auch direkt automatisch installiert wird. Ich weiß aus früheren Zeiten, dass es ein riesiges Problem war, Software zu compilieren und es während der Entwicklung oft auch über Monate hinweg gar nicht möglich war. Wenn aber im Hintergrund die Software permanent ständig neu compiliert und ständig neu automatisiert getestet wird, und sofort die rote Lampe angeht, wenn etwas nicht passt, dann ist das enorm hilfreich. Nur: Scrum korreliert nur mit dieser Technik, Scrum ist keineswegs kausal dafür. Höchstens im Sinne einer Motivation, weil Scrum das eben voraussetzt.

Meines Erachtens ist Scrum ein Werkzeug, um schlechte oder minderbefähigte Mitarbeiter zu dressieren und durch Micromanagement, durch Erteilen kleiner, aber ständig überwachter Aufgaben am Arbeiten zu halten, außerdem ständig irgendwelche Erfolgsberichte und Messwerte zu liefern, aber für befähigte Leute ist es eine Zumutung und ein Behinderung. Scrum nervt enorm, und die Rituale gehen mir enorm auf den Sack. Vor allem diese bunten Pappkärtchen finde ich albern. Für Scrum ist es wichtiger, Arbeit zu messen und zu berichten, als sie zu machen. Weil wir – das habe ich auch schon in der IT Security beklagt – nicht mehr inhaltlich arbeiten, sondern Führungsetagen haben, die irgendwelche Zahlen, grüne Haken und Messwerte haben wollen, eben solche MBA-Leute. Passt übrigens exakt auf den Qualitätsabsturz von Boeing, die von der Ingenieurs- zur MBA-Firma wurden und an ihren Sparmaßnahmen fast pleite gehen.

Und wenn dann noch der Scheiß dazukommt, dass man Anforderungen immer in der Form „Ich als … wünsche mir, dass …“ eingeworfen werden müssen, komme ich mir verarscht vor. Ich als Information Security Officer wünsche mir, dass solche Sicherheitsfehler nicht mehr gemacht werden. Küsschen und wir haben uns alle lieb. (Information Security Officers sind nicht dazu da, um irgendwen lieb zu haben. Wir sind mehr so der Drill Sergeant.)

Was ich damit eigentlich sagen will: Auf Golem gibt es – in deutscher Übersetzung aus dem Englischen – einen schönen Rant über Scrum: Scrum nervt. Oder im Original Scrum sucks.