Studie weist auf ein übersehenes Risiko hin: Datenschutz und Softwaretests

Unternehmen verwenden für Softwaretests oft unverschlüsselte Realdaten aus laufenden Systemen

(28.11.08) - Eine Studie von Freeform Dynamics weist auf ein häufig übersehenes Sicherheitsrisiko hin. Anlässlich einer Umfrage unter 240 IT- Entscheidern stellte das Analystenhaus fest, dass in mehr als 70 Prozent der Unternehmen Daten aus laufenden Systemen für Softwaretests verwendet werden. Da Testumgebungen häufig nicht denselben strengen Sicherheitsbestimmungen unter-liegen, entstehen Unternehmen hier bislang ungeahnte Sicherheitsrisiken.

Die Studie von Freeform Dynamics, einem Forschungs- und Analyseunternehmen für Entwick-lungen im IT- und Kommunikationssektor, befasst sich mit dem Umgang mit Daten für Software-entwicklung und Tests in Unternehmen. 240 IT-Entscheider aus Deutschland, Frankreich und England wurden befragt.

Zwar zeigt die Studie, dass generell in den meisten Unternehmen das Thema Governance eine wichtige Rolle spielt. So gaben nur neun Prozent an, dass sie nur wenige Richtlinien zum Umgang mit Daten im Unternehmen installiert haben, während 58 Prozent bereits einen unternehmensweiten Rahmen an Richtlinien gespannt haben. Nur der Bereich Softwareentwicklung und Tests wird dabei oft übersehen oder als nicht so wichtig eingestuft. So verwenden 71 Prozent der Befragten für die Tests Daten direkt aus den Produktivsystemen. 40 Prozent gaben an, die Daten für die Testzwecke zu verfremden, 29 Prozent nutzen sowohl Rohdaten, als auch verfremdete Daten und zwei Prozent füttern ihre Tests nur mit Rohdaten.

Als Gründe, warum sie auf Realdaten zugriffen, gaben die Befragten an, dass sie Daten von ausreichender Qualität benötigten, um Workloads und Performance-Stufen genau modellieren zu können. Außerdem war es vielen nicht möglich, überhaut eine Live-Umgebung nachzustellen, ohne Live-Daten zu benutzen. Schließlich sagten viele an, dass die Erstellung von dezidierten Testdaten zu viel Zeit kosten würde. Und nicht zuletzt könnten spezielle Situationen überhaupt erst durch Live-Daten genau modelliert werden.

Häufig übersehenes Risiko

Dieser Umgang mit den Datensätzen muss dabei nicht zwangsläufig fahrlässig sein. Kritisch kann es werden, wenn er im krassen Gegensatz zu den Unternehmensrichtlinien steht. Doch häufig befinden sich Entwicklungs- und Testbereich außerhalb der dafür vorgesehenen Kontrollinstanzen. Bei 87 Prozent der Befragten obliegt die Verantwortung dafür allein dem IT-Personal. Und das arbeitet häufig mit externen Ressourcen an den fraglichen Daten - nur 27 Prozent der Befragten gaben an, alle Tests intern zu leisten. So könnten externe Nutzer zum Beispiel Zugang zu Kundendaten erhalten, die das Unternehmen vertraulich behandeln müsste.

Da Daten aus laufenden Systemen für Entwicklung und Tests aus genannten Gründen unverzicht-bar sind, empfehlen die Macher alternative Schritte, um die Risiken unter Kontrolle zu bringen. Eine Kombination aus allgemeinen und lokalen Richtlinien sollte etwa die nötige Flexibilität geben, um auch im Einzelfall mit Live-Daten gefahrlos arbeiten zu können. Wenn es um die Maskierung bzw. Anonymisierung der Daten geht, empfiehlt die Studie, hier in unterstützende Tools zu investieren, die diesen Prozess automatisieren. Dies würde das Risiko beträchtlich verringern und zudem Daten-Management und Workflow bei Softwareentwicklung und Tests verbessern. (IBM: ra)