Die Aufgabe der Bedarfsanalyse im Bereich meiner Beratungstätigkeit liegt zunächst in der Definition der Aufgabenstellung und in der Feststellung des Ist-Zustandes beim Kunden. Dem schließt sich die Analyse der Anforderungen an, die mit der Erstellung der Anforderungsspezifikation bzw. des Pflichtenheftes abgeschlossen wird. Anschließend werden Realisierungsvorschläge - oft als Alternativvorschläge - erarbeitet und bewertet.
Im Bereich des Zahlungsverkehrs geht es - im einfachsten Falle - um die Erweiterung einer bestehenden HSM-Infrastruktur in bezug auf die Leistung und/oder Funktion, oder um den Ersatz durch neue, leistungsfähigere und funktionserweiterte Systeme. Erfordert die Funktionserweiterung eine Erweiterung des verfügbaren Funktionsumfanges, so wird nach Kundenanforderungen ein Pflichtenheft bzw. eine Funktionsspezifikation erstellt, die dem Hersteller von HSM als Grundlage für die Implementierung dient. Soll die bestehende HSM-Infrastruktur abgelöst werden, so muss die Bedarfsanalyse die infrastrukturellen, die funktionellen sowie die Leistungsanforderungen ermitteln. Als Nächstes wird ein Funktionsentwurf für die potentiellen Lieferanten erstellt. Nach Auswahl des Lieferanten bzw. des Herstellers wird eine Funktionsspezifikation als Implementierungsvorlage für den Hersteller angefertigt.
Ein ähnliches Vorgehen erfordern auch Personalisierungssysteme, wobei hier meist die Funktionserweiterung im Vordergrund steht, die durch neue Kartentypen erforderlich wird. Infrastrukturelle Änderungen werden dann nötig, wenn z.B. ein Übergang von der zentralen Struktur auf Client/Server-Architekturen geplant ist. Bei funktionellen Erweiterungen wird in diesem Bereich zunehmend das "P3" - System (Personalisation Preparation Process) eingesetzt, mit dem Funktionserweiterungen für die Personalisierung von Chipkarten ohne Erweiterung der Host-Personalisierungs-Software bewerkstelligt werden können.
Die Anforderungen der Public-Key Infrastructure (PKI) - Systeme in bezug auf die HSM sind dadurch gekennzeichnet, dass viele Fabrikate bereits eine Zulassung für bestimmte PKI-Systeme besitzen, so dass die Auswahl von HSM aufgrund von spezifischen Projektanforderungen getroffen werden muss. Ist eine Zulassung noch nicht vorhanden, bzw. ist eine Integration eines HSM in das betreffende PKI-System noch nicht erfolgt, so muss das HSM erst in das PKI-System integriert werden. PKI-Hersteller geben in der Regel an, welche HSM für ihr System bereits eine Zulassung besitzen bzw. empfohlen werden.
In der Regel ist die Bedarfsanalyse bei kundenspezifischen Anwendungen am umfangreichsten. Solche Anwendungen erfordern meist die Ausrüstung von Anwendungsservern mit HSM, die - aus Sicherheitserwägungen - nur die kundenspezifischen Funktionen in Form einer kundenspezifischen Anwendungsschnittstelle (API) enthalten. Oft wird die Bedarfsanalyse und ein Grob-Pflichtenheft vom Kunden vorgelegt. Die Aufgabe der Bedarfsanalyse ist dann, HSM-spezifische Detailanforderungen auszuarbeiten, die beim nachfolgenden Realisierungsvorschlag als Vorgabe dienen.