Risiko: Datenklau beim Software-Test

DeveloperIT-ProjekteSicherheitSoftware

Unternehmen betreiben großen Aufwand, um Kundendaten zu schützen. Doch viele verwenden bei Software-Tests echte Daten. Die Folgen können fatal sein.

Manchmal hat lückenhafter Datenschutz auch seine gute Seiten. Die »Zumwinkel-Affäre« und andere spektakuläre Fälle von Steuerhinterziehung in diesem Frühjahr konnten nur deshalb aufgedeckt werden, weil es einem Servicetechniker gelungen war, sensible Kundendaten aus einer Liechtensteiner Bank zu stehlen.

Trotz der angeblich so aufwändigen Datenschutzvorkehrungen kommen solche Pannen offensichtlich in den besten Häusern vor.

Ein Grund hierfür ist, dass manche IT-Manager bestimmte Risiken einfach nicht ernst nehmen. Das zeigt eine Studie des britischen Analystenhauses Freeform Dynamics zum Thema Softwaretests. Das erschreckende Ergebnis: In mehr als 70 Prozent der Unternehmen werden dabei Daten aus laufenden Systemen verwendet. Die Analysten hatten eine Umfrage unter 240 IT- Entscheidern aus Deutschland, Frankreich und England gestartet.

Riskant: Über 70 Prozent der Unternehmen verwenden Daten aus laufenden Systemen für Softwaretests. Das zeigt die Studie des Analystenhauses Freeform Dynamics. (Bild: Freeform Dynamics)


Test und Entwicklung außer Kontrolle

Die Gefahr entsteht, weil sich Entwicklungs- und Testbereiche häufig außerhalb der streng kontrollierten Bereiche befinden, in denen sich die sensiblen Daten eigentlich bewegen sollten. Bei 87 Prozent der Befragten hat hier allein das IT-Personal die Verantwortung, und die IT-Kollegen arbeiten vielfach mit externen Ressourcen an den fraglichen Daten. So erhalten Unbefugte Zugang zu Kundendaten, die eigentlich vertraulich behandeln müsste. Nur 27 Prozent der Befragten gaben an, alle Tests intern zu leisten.

Test nur mit echten Daten möglich?
Als Gründe, warum sie beim Test auf Realdaten zugreifen, gaben die Befragten an, dass sie Daten von ausreichender Qualität benötigten, um Workloads und Performance-Stufen beim Benchmarking realistisch modellieren zu können. Außerdem sind viele offenbar gar nicht in der Lage, eine Live-Umgebung nachzustellen, ohne Live-Daten zu benutzen.

Ein weiteres Argument ist, dass die Erstellung der Testdaten zu viel Zeit kostet. Und nicht zuletzt könnten spezielle Situationen überhaupt erst durch Live-Daten genau modelliert werden.

Tools zur Anonymisierung der Daten
Wenn es aber keine andere Möglichkeit gibt, als Daten aus laufenden Systemen für Entwicklung und Tests zu verwenden, dann sollten die Manager wenigstens die Risiken kontrollieren. Für die Maskierung oder Anonymisierung der Daten gibt es beispielsweise Tools, die diesen Prozess automatisieren. Das verringert das Risiko beträchtlich. Angenehmer Nebenerffekt: Der Workflow bei Softwareentwicklung und Tests läuft ebenfalls besser.

Realitätsnahe Testdaten automatisch erzeugen
Testtools werden unter anderem von Softwarefirmen wie Intellicorp (speziell für SAP), Solix, Software Management und IBM Optim angeboten. Peter Schneider, Marketing Manager IBM Optim, sagt: »Erst wenn der Schutz persönlicher Daten auch bis ins letzte Eck eines Unternehmens gewährleistet werden kann, ist das Vertrauen, das Kunden in Unternehmen stecken, gerechtfertigt.«

»Datenschutz bis ins letzte Eck« Peter Schneider, Marketing Manager IBM Optim: (Bild IBM)

Tools wie Optim Data Privacy Solution sollen die Vertraulichkeit privater Informationen schützen. Mit ihnen werden die Daten so maskiert und verändert, dass sie nicht mehr zur Identifizierung einer Person taugen. Die maskierten Daten liefern trotzdem präzise und zuverlässige Testergebnisse und gewährleisten dabei die Einhaltung des Datenschutzes.

Ex-Post-Chef Klaus Zumwinkel hätte den Einsatz solcher Tools sicher befürwortet.
(Peter Baumann/mt)

Weblinks
Studie Data Governance in the Software Lifcycle
Intellicorp
Software Management Inc.
Solix
IBM Optim