Mangelnder Datenschutz bei Softwaretests
Deutsche Unternehmen gefährden Kundendaten für Test- und Entwicklungszwecke
Das Thema „Datenschutz“ genießt in Deutschland hohe mediale Aufmerksamkeit. Die Debatte über die Durchführung von Onlinedurchsuchungen zeigt, wie sensibel die Öffentlichkeit auf den unauthorisierten Umgang mit vertraulichen Daten reagiert. Aktuelle Untersuchungen zeigen jedoch, dass in vielen deutschen Unternehmen vertrauliche Kundeninformationen regelmäßig gefährdet werden.
Das Ponemon Institute fand in einer von Compuware beauftragten Studie heraus, dass gut drei Viertel der deutschen Unternehmen in Anwendungstests auf echte Kundendaten zurückgreifen oder diese zum gleichen Zweck an externe Dienstleister weitergeben. An der Untersuchung nahmen insgesamt 2.368 IT-Verantwortliche aus Deutschland (502 Personen), den USA, Großbritannien und Frankreich teil. Weitere Studienresultate und mögliche Konsequenzen beim Einsatz von „realen“ Testdaten sollen in diesem Beitrag erläutert werden.
Deutsche Unternehmen testen mit echten Kundendaten
Unternehmen versprechen sich von dem Einsatz „realer Testdaten“ bei der Softwareentwicklung verlässlichere Testprozesse, die zu qualitativ höherwertigen Produkten führen sollen. Dabei kann die Verletzung der Datensicherheit für Unternehmen durchaus kostspielig sein. Nach einer Erhebung des Ponemon-Instituts belaufen sich derzeit die Kosten pro gefährdeten Datensatz auf 197 US-Dollar. Zusätzlich drohen dem betroffenen Unternehmen ein erheblicher Image- und Vertrauensverlust, der sich in der Regel nur schwer wieder beheben lässt.
Dennoch greifen laut Studie 78 Prozent der befragten deutschen Unternehmen für Anwendungstests und 70 Prozent für die Softwareentwicklung auf Live-Daten zurück. Diese entstammen dann in der Regel Kundendatensätzen (43 Prozent) oder Verbraucherlisten (31 Prozent) und können Adressen genauso beinhalten wie Kreditkartennummern und weitere sensitive Daten. Zwei Drittel der befragten Betriebe, die ihre Tests auslagern, geben sensible Kundeninformationen sogar an externe Dienstleister weiter.
Dieser „freizügige“ Umgang mit sensiblen Kundeninformationen lässt vermuten, dass kaum ein Unternehmen das Risiko wahrnimmt, dem es sich dadurch regelmäßig aussetzt.
Der Stellenwert, den Richtlinien zum Umgang mit sensiblen Kundendaten einnehmen, ist in vielen Betrieben auch dementsprechend gering. Zwar existieren in 69 Prozent der Betriebe betriebsspezifische Compliance-Vorgaben. In 38 Prozent der Organisationen ist die Verantwortung für die Einhaltung der Richtlinien jedoch auf mehrere Instanzen verteilt. Somit gibt es betriebsweit oftmals keine konkrete Person, die für den Schutz sensibler Kundendaten bei Testprozessen zuständig ist.
Ein fehlendes Gefahrenbewusstsein seitens deutscher Unternehmen spiegelt sich auch in den mangelnden Schutzmethoden wider, die ihrerseits für Realdaten bei Tests angewendet werden.
So greift gerade mal ein Prozent der deutschen Studienteilnehmer auf professionelle Lösungen zurück, um Datenverluste und Datenmissbrauch zu vermeiden. Besonders für Testdaten, die im Laufe des Entwicklungsprozesses einer Reihe von unauthorisierten Personen zugänglich gemacht werden, ist ein Zusatzschutz jedoch zwingend notwendig. Eine automatisierte Datenverschlüsselung kann das Datenmissbrauchsrisiko bereits erheblich minimieren.
Datenverschlüsselung als Schutzmaßnahme
Um Datenschutz und Testqualität in Einklang zu bringen, brauchen Unternehmen für den Aufbau der Testdatensätze passende und professionelle Lösungen. Tools wie Test Data Privacy von Compuware helfen dabei, Testdatensätze sicher und effektiv zu verschlüsseln, ohne die Aussagefähigkeit für Testprozesse zu vermindern.
Eine geeignete IT-basierte Anwendung spürt dabei zunächst Cross-Referenzen zwischen zusammenhängenden Datentabellen auf, um anschließend die verbindenden Bezugsfelder an allen Stellen durchgängig zu verschlüsseln.
Bei Kreditkartennummern werden während dieses Prozesses beispielsweise die Feldinhalte selektiv maskiert: Da gliedernde Zeichen an definierten Positionen dabei übergangen werden, bleiben Trennstriche in der Nummernabfolge unversehrt.
Wo es vor allem auf die Lesbarkeit der Dateninhalte ankommt, können die Plausibilitätszusammenhänge der Kundendaten durch Anonymisierung hingegen in fiktive Datenbestände übertragen werden. Postleitzahlen, Städte- oder Straßennamen werden mit der Lösung automatisch durch fiktive Pendants ersetzt, ohne dass sie den für die Testumgebung notwendigen Informationsgehalt verlieren. Auch Personennamen können so effektiv durch Pseudonyme „ersetzt“ werden. IT-basierte Schutzanwendungen sind für die Aufbereitung von „echten“ Testdaten somit der schnellste und effizienteste Weg zu einem sicheren Schutz gegen Datenmissbrauch. Gleichzeitig senken sie für deutsche Unternehmen das Risiko, eines Tages selber wegen mangelnden Datenschutzes Schlagzeilen zu machen.
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by DisqusWeitere Artikel zum Thema
alle Artikel zum Thema
© 2012 FEiG & PARTNER