computerwoche.de

Security

Studie

Softwaretests: Deutsche Firmen schludern beim Datenschutz

09.01.2008
Gut drei Viertel der deutschen Unternehmen gefährden vertrauliche Informationen, indem sie echte Kundendaten zu Testzwecken einsetzen. Das ergab eine gemeinsame Studie des Ponemon Institute und von Compuware.

Deutsche Firmen nehmen es mit dem Schutz von Kundendaten offenbar nicht so genau – zu diesem Schluss kommt zumindest eine aktuelle Untersuchung, für die das Ponemon Institute im Auftrag von Compuware insgesamt 2.368 IT-Verantwortliche in Deutschland (502 Teilnehmer), Großbritannien, Frankreich und den USA nach den bei Softwaretests üblichen Gepflogenheiten befragt hat. Demzufolge setzen rund drei Viertel (78 Prozent) der hiesigen Unternehmen echte Daten in Anwendungstests oder in der Softwareentwicklung ein. Im Hinblick auf den Datenschutz in diesem Kontext bildet Deutschland damit das Schlusslicht im internationalen Vergleich. Andere Länder sind hier offenbar vorsichtiger: So nutzen US-Unternehmen sowie britische und französische Firmen mit 69, 58 beziehungsweise 43 Prozent erheblich seltener echte Kundendaten zu Testzwecken. Dem Report zufolge gehen viele Unternehmen offenbar davon aus, dass Testdaten keinem Sicherheitsrisiko ausgesetzt sind, weil sie nicht in produktiven Umgebungen eingesetzt werden. Allerdings könnten auch bei Tests unautorisierte Personen auf die Daten zugreifen, so die Studie.

Als besonders bedenklich bewertet die Studie, dass 60 Prozent der befragten Organisationen, die ihre Tests auslagern, vertrauliche Informationen wie Kreditkartennummern, Angaben zur Sozialversicherung, Zahlungsinformationen sowie Daten von Mitarbeitern und Lieferanten an ihre Outsourcing-Partner weitergeben. "Viele Unternehmen sehen in den bestehenden Kundendaten eine einfache und kostengünstige Datenquelle für Softwaretests", so Larry Ponemon, Chairman und Gründer des Ponemon Institute. Insbesondere wenn Drittpersonen oder Offshoring-Ressourcen beteiligt seien, berge dieses Vorgehen jedoch ein hohes Risiko für die Integrität vertraulicher Informationen.

Entsprechend ungeklärt ist in vielen Unternehmen, wer für den Schutz vertraulicher Testdaten verantwortlich ist. So wissen immerhin 20 Prozent der Firmen nicht, wer dafür zuständig ist, oder sehen keinen bestimmten Bereich in der Verantwortung. Bei den übrigen obliegt die diesbezügliche Zuständigkeit ganz unterschiedlichen Abteilungen: IT (40 Prozent), Fachbereiche (13 Prozent), Softwareentwicklung (25 Prozent) und Compliance (ein Prozent). (kf)