Einhaltung der Compliance bei Softwaretests
Übersehenes Risiko: Datenschutz und Softwaretests - Unternehmen verwenden für Softwaretests oft unverschlüsselte Realdaten aus laufenden Systemen verwenden
Häufig befinden sich Entwicklungs- und Testbereich außerhalb der dafür vorgesehenen Kontrollinstanzen
(02.12.08) – IBM stellte eine Studie ("Data Governance in the Software Lifecycle - Assuring the security of sensitive information", Martin Atherton, Jon Collins and Dale Vile, May 2008) von Freeform Dynamics vor, die sich mit dem Umgang mit Daten für Softwareentwicklung und Tests in Unternehmen befasst. 240 IT-Entscheider aus Deutschland, Frankreich und England wurden befragt.
Das Analystenhaus stellte erhebliche Compliance-Mängel fest: In mehr als 70 Prozent der Unternehmen werden (Echt)Daten aus laufenden Systemen für Softwaretests verwendet. Da Testumgebungen häufig nicht denselben strengen Sicherheitsbestimmungen unterliegen, entstehen Unternehmen hier bislang ungeahnte Sicherheitsrisiken. Vom fehlenden Datenschutz ganz zu schweigen.
Zwar zeigt die Studie, dass generell in den meisten Unternehmen das Thema Governance eine wichtige Rolle spielt. So gaben nur neun Prozent an, dass sie nur wenige Richtlinien zum Umgang mit Daten im Unternehmen installiert haben, während 58 Prozent bereits einen unternehmensweiten Rahmen an Richtlinien gespannt haben.
Nur der Bereich Softwareentwicklung und Tests wird dabei oft übersehen oder als nicht so wichtig eingestuft. So verwenden 71 Prozent der Befragten für die Tests Daten direkt aus den Produktivsystemen. 40 Prozent gaben an, die Daten für die Testzwecke zu verfremden, 29 Prozent nutzen sowohl Rohdaten, als auch verfremdete Daten und zwei Prozent füttern ihre Tests nur mit Rohdaten.
Als Gründe, warum sie auf Realdaten zugriffen, gaben die Befragten an, dass sie Daten von ausreichender Qualität benötigten, um Workloads und Performance-Stufen genau modellieren zu können. Außerdem war es vielen nicht möglich, überhaut eine Live-Umgebung nachzustellen, ohne Live-Daten zu benutzen. Schließlich sagten viele an, dass die Erstellung von dezidierten Testdaten zu viel Zeit kosten würde. Und nicht zuletzt könnten spezielle Situationen überhaupt erst durch Live-Daten genau modelliert werden.
Häufig übersehenes Risiko
Dieser Umgang mit den Datensätzen muss dabei nicht zwangsläufig fahrlässig sein. Kritisch kann es werden, wenn er im krassen Gegensatz zu den Unternehmensrichtlinien steht. Doch häufig befinden sich Entwicklungs- und Testbereich außerhalb der dafür vorgesehenen Kontrollinstanzen. Bei 87 Prozent der Befragten obliegt die Verantwortung dafür allein dem IT-Personal. Und das arbeitet häufig mit externen Ressourcen an den fraglichen Daten – nur 27 Prozent der Befragten gaben an, alle Tests intern zu leisten. So könnten externe Nutzer zum Beispiel Zugang zu Kundendaten erhalten, die das Unternehmen vertraulich behandeln müsste.
Da Daten aus laufenden Systemen für Entwicklung und Tests aus genannten Gründen unverzichtbar sind, empfehlen die Macher alternative Schritte, um die Risiken unter Kontrolle zu bringen. Eine Kombination aus allgemeinen und lokalen Richtlinien sollte etwa die nötige Flexibilität geben, um auch im Einzelfall mit Live-Daten gefahrlos arbeiten zu können.
Wenn es um die "Maskierung" bzw. Anonymisierung der Daten geht, empfiehlt die Studie, hier in unterstützende Tools zu investieren, die diesen Prozess automatisieren. Dies würde das Risiko beträchtlich verringern und zudem Daten-Management und Workflow bei Softwareentwicklung und Tests verbessern. (IBM: Freeform Dynamics: ra)
Hier geht es zur Studie [203 KB]
(mit freundlicher Genehmigung der IBM)
Lesen Sie auch:
Softwaretests: Compliance durch Anonymisierung
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>