64 Prozent verwenden echte Kundendaten für Software-Tests
Eine Umfrage unter mehr als 100 IT-Verantwortlichen, die gemeinsam von Compuware und dem Sicherheitsinstitut NIFIS durchgeführt wurde, hat zu Tage gebracht, dass 64 Prozent der Befragten stiefmütterlich mit Kundendaten umgehen. „Sie verwenden echte Datensätze, um Anwendertests mit neuer Software durchzuführen“, erklärte Franz Fuchsberger, Managing Director bei Compuware Austria. Damit setzen sich diese Unternehmen dem Risiko der missbräuchlichen Verwendung von schutzwürdigen, personenbezogenen Daten mit allen Konsequenzen nach dem Datenschutzgesetz (DSG) aus.
36 Prozent der Befragten gaben außerdem an, dass sie mit dem Inhalt des DSG nicht umfassend vertraut sind. Trotz zahlreicher, hoch brisanter Fälle von Betrug, Spam und Cybercrime würden Unternehmen noch immer nicht dafür sorgen, dass ihre Verfahren für den Datenschutz so strikt wie möglich konzipiert werden, mahnen die Studienautoren. „Unternehmen haben ausreichend Zeit gehabt, um sich mit den notwendigen Maßnahmen zum Datenschutz vertraut zu machen und entsprechend zu implementieren“, kritisiert Fuchsberger. „Wenn sie keine durchgängigen Verfahren einsetzen, riskieren sie, dass Kundendaten unbemerkt an Dritte gelangen. Dies kann nicht nur ernsthafte Auswirkungen auf das Vertrauen der Kunden und auf den Ruf des Unternehmens haben sondern auch das Geschäftsergebnis beeinträchtigen.“
Eine weitere Missbrauchsmöglichkeit für geschützte Daten ergibt sich durch den anhaltenden Trend zum Outsourcing von IT-Aufgaben, bei dem auch persönliche Kundendaten an externe Unternehmen weitergeleitet werden. Allerdings geben immerhin 53 Prozent der Unternehmen an, bei derartigen Vorgängen Vertraulichkeitsvereinbarungen mit den beauftragten Dienstleistern abzuschließen. Die Studienautoren fordern eine lückenlose Dokumentation über die Verwendung von Daten.
Software-Testumgebungen seien von Natur aus unsichere Orte für sensible Daten, meint Fuchsberger. Naheliegend wäre es, keine Kundendaten für Tests zu nutzen, wodurch jedoch keine guten Tests durchgeführt werden können. Sofern nicht umfangreiche Datenmengen genutzt werden, die eine Anwendung komplett und gründlich unter „Live-Bedingungen“ testet, ist die Wahrscheinlichkeit von Fehlern im späteren Live-Einsatz sehr hoch, so Fuchsberger. Daher haben Unternehmen die Wahl, entweder zeit- und kostenaufwändig umfassende Testdaten zu schaffen, die für den Zweck der Anwendung geeignet sind, oder Daten zu desensibilisieren, was einige Felder jedoch ungültig machen könnte.
Fuchsberger rät zur Anonymisierung der Daten. Durch den konsistenten Austausch bekannter Daten wie Namen, Adressen, Kunden-, Konto- oder Versicherungsnummern mit anderen plausiblen Werten können Kundendaten so anonymisiert werden, dass von diesen nicht mehr auf die Person zurück geschlossen werden kann, sie aber noch immer vom System in der ganzen Organisation verarbeitet werden können. Dabei bleiben wichtige Felder intakt (pressetext.austria, Wien, 02.08.2006).