IBM warnt

Kaum Datenschutz bei Softwaretests

27.11.2008
Von Stefan Ueberhorst
Für Softwaretests werden oft unverschlüsselte Realdaten aus laufenden Systemen verwendet. Dieses Studienergebnis nimmt IBM zum Anlass, auf seine einschlägige Sicherheitslösung "IBM Optim" zu verweisen.

Eine Studie der britischen Marktforscher von Freeform Dynamics spiegelt laut IBM ein häufig übersehenes Sicherheitsrisiko wieder. Anlässlich einer Umfrage unter 240 IT-Entscheidern aus Deutschland, Frankreich und England stellte das Analystenhaus fest, dass in mehr als 70 Prozent der Unternehmen Daten aus laufenden Systemen für Softwaretests verwendet werden. Da Testumgebungen häufig nicht den sonst im Unternehmen gültigen Sicherheitsbestimmungen unterliegen, entstehen hier bislang ungeahnte Sicherheitsrisiken.

Zwar zeigt die Studie, dass bereits 58 Prozent der Befragten einen unternehmensweiten Rahmen für Sicherheitsrichtlinien gespannt haben, doch die Bereiche Softwareentwicklung und Tests werden dabei oft übersehen oder als nicht so wichtig eingestuft. So verwenden 71 Prozent der Befragten für die Tests Daten direkt aus den Produktivsystemen. 40 Prozent gaben an, die Daten für die Testzwecke zu verfremden, 29 Prozent nutzen sowohl Rohdaten, als auch verfremdete Daten, und zwei Prozent füttern ihre Tests nur mit Rohdaten.

Als Gründe, warum sie auf Realdaten zugreifen, gaben die Befragten an, dass sie Daten von ausreichender Qualität benötigen, um Workloads und Performance-Stufen genau modellieren zu können. Außerdem war es vielen nicht möglich, überhaupt eine Live-Umgebung nachzustellen, ohne Live-Daten zu benutzen. Schließlich meinten viele, dass die Erstellung von dezidierten Testdaten zu viel Zeit kosten würde. Und nicht zuletzt könnten spezielle Situationen überhaupt erst durch Live-Daten genau modelliert werden.

Häufig übersehenes Risiko

Dieser Umgang mit den Datensätzen muss nicht zwangsläufig fahrlässig sein. Kritisch kann es werden, wenn er im krassen Gegensatz zu den Unternehmensrichtlinien steht. Denn häufig befinden sich Entwicklungs- und Testbereich außerhalb der Kontrollinstanzen. Bei 87 Prozent der Befragten obliegt die Verantwortung allein dem IT-Personal, das zudem noch oft mit externen Ressourcen an den fraglichen Daten arbeitet. Nur 27 Prozent der Befragten gaben an, alle Tests intern zu leisten. So könnten externe Nutzer zum Beispiel Zugang zu Kundendaten erhalten, die das Unternehmen vertraulich behandeln müsste.

Da Informationen aus laufenden Systemen für die Entwicklung und Tests jedoch unverzichtbar sind, empfehlen die Analysten alternative Schritte, um die Risiken unter Kontrolle zu bringen. Eine Kombination aus allgemeinen und lokalen Richtlinien sollte etwa die nötige Flexibilität geben, um auch im Einzelfall mit Live-Daten gefahrlos arbeiten zu können. Wenn es um die Maskierung beziehungsweise Anonymisierung der Daten geht, empfiehlt die Studie, hier in unterstützende Tools zu investieren, die diesen Prozess automatisieren. Zu ähnlichen Ergebnissen kam eine im Januar dieses Jahres veröffentlichte, von Compuware beauftragte Studie des Ponemon Insitute rund um das Thema Datenschutz bei Softwaretests.