Eine Umfrage von Compuware in Zusammenarbeit mit NIFIS (Nationale Initiative für Internet-Sicherheit) ergab, dass 64 Prozent der IT-Entscheidungsträger echte Kundendaten für Anwendungstests nutzen. Damit gehen sie das Risiko von Bußgeldern oder anderen Maßnahmen nach dem Bundesdatenschutzgesetz (BDSG) ein. Das Gesetz verbietet es Unternehmen, Ist-Daten für andere Zwecke zu nutzen als für die, derentwegen sie erhoben wurden. Die Untersuchung wurde unter über 100 deutschen IT-Führungskräften durchgeführt.
Trotz zahlreicher, hoch brisanter Fälle von Betrug, Spam und Cybercrime sorgen Unternehmen noch immer nicht dafür, dass ihre Verfahren für den Datenschutz so strikt wie möglich konzipiert werden. Obwohl das Bundesdatenschutzgesetz bereits 1990 in Kraft trat, gaben 36 Prozent der IT-Entscheidungsträger an, dass sie nicht umfassend mit dem Gesetz vertraut sind. So kann es nicht verwundern, dass ein erheblicher Teil der Befragten das Risiko eines Verstoßes gegen das BDSG eingeht, indem sie ohne Beachtung datenschutzrechtlicher Vorschriften echte Kundendaten zum Testen von Anwendungen nutzen.
„Unternehmen haben ausreichend Zeit gehabt, um sich mit den notwendigen Maßnahmen zum Datenschutz vertraut zu machen und entsprechend zu implementieren“, kommentiert Gerald Pfeiffer, Manager Solutions Delivery bei Compuware. „Wenn sie keine stringenten Verfahren einsetzen, riskieren sie, dass Kundendaten unbemerkt an Dritte gelangen. Dies kann nicht nur ernsthafte Auswirkungen auf das Vertrauen der Kunden und auf den Ruf des Unternehmens haben sondern auch das Geschäftsergebnis beeinträchtigen.“
Die Untersuchungsergebnisse legen nahe, dass dokumentiert werden muss, wie und zu welchem Zweck IT-Abteilungen Kundendaten nutzen. Darüber hinaus hat sich die Datenschutzproblematik auch dadurch verschärft, dass in den letzten Jahren viele Unternehmen Arbeiten an externe Dienstleister auslagern. Dabei ist nicht immer ausgeschlossen, dass Angestellte von Outsourcing-Unternehmen vertrauliche Informationen weitergeben. Allerdings geben immerhin 53 Prozent der Befragten an, bei der Vergabe von Softwaretests an externe Partner Vertraulichkeitsvereinbarungen (Non Disclosure Agreements oder NDAs) abzuschließen.
„Unternehmen müssen ihre Maßnahmen zum Schutz von personenbezogenen Daten überdenken, damit diese nicht in die Umgebung der Anwendungstests gelangen“, so Pfeiffer weiter. „Test-Umgebungen sind von Natur aus unsichere Orte für die Verarbeitung von echten Kundendaten, auch deshalb, weil Ausdrucke und Test-Blätter während der Tests neben PCs liegen gelassen werden. Wenn die Kundendaten nach außen gelangen müssen die Unternehmen mit Bußgeldern rechnen. Der mögliche Imageschaden kann jedoch deutlich schlimmer sein.“
„Die datenschutzrechtlich saubere Vorgehensweise ist gestuft. In der Testphase werden keine Echtdaten, sondern spezielle Testdaten verwendet. Erst wenn die Software qualitätsgesichert und getestet ist, sind Praxiserprobungen mit Echtdaten zulässig, wenn dabei die Vorgaben des BDSG beachtet werden“, erläutert Dr. Thomas Lapp, Vorstand des NIFIS e.V.
Ein naheliegendes Vorgehen wäre es, keine Kundendaten für Tests zu nutzen, doch das ist nicht so einfach. Sofern Unternehmen nicht umfangreiche Datenmengen nutzen, die eine Anwendung komplett und gründlich unter “Live-Bedingungen“ testen, ist die Wahrscheinlichkeit von Fehlern im späteren Live-Einsatz sehr hoch. Daher haben Unternehmen die Wahl, entweder zeit- und kostenaufwändig umfassende Testdaten zu schaffen, die für den Zweck der Anwendung geeignet sind, oder Daten zu desensibilisieren, was einige Felder jedoch ungültig machen könnte. Der Anwendungstest wäre damit unvollständig.
Eine Möglichkeit zur Lösung dieses Problems ist die Anonymisierung der Daten. Durch den Austausch bekannter Werte, wie z.B. Adressen, mit anderen Werten können Kundendaten anonymisiert werden, sodass von diesen nicht mehr auf die Person zurück geschlossen werden kann, sie aber noch immer vom System in der ganzen Organisation verarbeitet werden können. Dabei bleiben wichtige Felder intakt, wie z.B. die Postleitzahl. Dieser Prozess kann automatisiert werden, damit menschliches Versagen ausgeschlossen wird.
“Warum sollte man Daten in einer unsicheren Umgebung schützen, wenn das Problem von Anfang an vermieden werden kann”, fragt Gerald Pfeiffer. „Die Lösung des Problems ist keineswegs einfach. Allerdings können Organisationen die Herausforderung annehmen, indem sie ganzheitlich auf ihre Geschäftsprozesse blicken und darauf schauen, wie Kundendaten von den Anwendungen, die diese Prozesse unterstützen, genutzt werden. Mit dieser Analyse kann dann bestimmt werden, welche Daten für einen Gebrauch beim Anwendungstest anonymisiert werden müssen. Dieser Ansatz ermöglicht es den Unternehmen, eine Anwendung umfassend zu testen, ohne dass sensible Informationen eingesehen werden können oder unbemerkt nach außen gelangen.“
Trotz zahlreicher, hoch brisanter Fälle von Betrug, Spam und Cybercrime sorgen Unternehmen noch immer nicht dafür, dass ihre Verfahren für den Datenschutz so strikt wie möglich konzipiert werden. Obwohl das Bundesdatenschutzgesetz bereits 1990 in Kraft trat, gaben 36 Prozent der IT-Entscheidungsträger an, dass sie nicht umfassend mit dem Gesetz vertraut sind. So kann es nicht verwundern, dass ein erheblicher Teil der Befragten das Risiko eines Verstoßes gegen das BDSG eingeht, indem sie ohne Beachtung datenschutzrechtlicher Vorschriften echte Kundendaten zum Testen von Anwendungen nutzen.
„Unternehmen haben ausreichend Zeit gehabt, um sich mit den notwendigen Maßnahmen zum Datenschutz vertraut zu machen und entsprechend zu implementieren“, kommentiert Gerald Pfeiffer, Manager Solutions Delivery bei Compuware. „Wenn sie keine stringenten Verfahren einsetzen, riskieren sie, dass Kundendaten unbemerkt an Dritte gelangen. Dies kann nicht nur ernsthafte Auswirkungen auf das Vertrauen der Kunden und auf den Ruf des Unternehmens haben sondern auch das Geschäftsergebnis beeinträchtigen.“
Die Untersuchungsergebnisse legen nahe, dass dokumentiert werden muss, wie und zu welchem Zweck IT-Abteilungen Kundendaten nutzen. Darüber hinaus hat sich die Datenschutzproblematik auch dadurch verschärft, dass in den letzten Jahren viele Unternehmen Arbeiten an externe Dienstleister auslagern. Dabei ist nicht immer ausgeschlossen, dass Angestellte von Outsourcing-Unternehmen vertrauliche Informationen weitergeben. Allerdings geben immerhin 53 Prozent der Befragten an, bei der Vergabe von Softwaretests an externe Partner Vertraulichkeitsvereinbarungen (Non Disclosure Agreements oder NDAs) abzuschließen.
„Unternehmen müssen ihre Maßnahmen zum Schutz von personenbezogenen Daten überdenken, damit diese nicht in die Umgebung der Anwendungstests gelangen“, so Pfeiffer weiter. „Test-Umgebungen sind von Natur aus unsichere Orte für die Verarbeitung von echten Kundendaten, auch deshalb, weil Ausdrucke und Test-Blätter während der Tests neben PCs liegen gelassen werden. Wenn die Kundendaten nach außen gelangen müssen die Unternehmen mit Bußgeldern rechnen. Der mögliche Imageschaden kann jedoch deutlich schlimmer sein.“
„Die datenschutzrechtlich saubere Vorgehensweise ist gestuft. In der Testphase werden keine Echtdaten, sondern spezielle Testdaten verwendet. Erst wenn die Software qualitätsgesichert und getestet ist, sind Praxiserprobungen mit Echtdaten zulässig, wenn dabei die Vorgaben des BDSG beachtet werden“, erläutert Dr. Thomas Lapp, Vorstand des NIFIS e.V.
Ein naheliegendes Vorgehen wäre es, keine Kundendaten für Tests zu nutzen, doch das ist nicht so einfach. Sofern Unternehmen nicht umfangreiche Datenmengen nutzen, die eine Anwendung komplett und gründlich unter “Live-Bedingungen“ testen, ist die Wahrscheinlichkeit von Fehlern im späteren Live-Einsatz sehr hoch. Daher haben Unternehmen die Wahl, entweder zeit- und kostenaufwändig umfassende Testdaten zu schaffen, die für den Zweck der Anwendung geeignet sind, oder Daten zu desensibilisieren, was einige Felder jedoch ungültig machen könnte. Der Anwendungstest wäre damit unvollständig.
Eine Möglichkeit zur Lösung dieses Problems ist die Anonymisierung der Daten. Durch den Austausch bekannter Werte, wie z.B. Adressen, mit anderen Werten können Kundendaten anonymisiert werden, sodass von diesen nicht mehr auf die Person zurück geschlossen werden kann, sie aber noch immer vom System in der ganzen Organisation verarbeitet werden können. Dabei bleiben wichtige Felder intakt, wie z.B. die Postleitzahl. Dieser Prozess kann automatisiert werden, damit menschliches Versagen ausgeschlossen wird.
“Warum sollte man Daten in einer unsicheren Umgebung schützen, wenn das Problem von Anfang an vermieden werden kann”, fragt Gerald Pfeiffer. „Die Lösung des Problems ist keineswegs einfach. Allerdings können Organisationen die Herausforderung annehmen, indem sie ganzheitlich auf ihre Geschäftsprozesse blicken und darauf schauen, wie Kundendaten von den Anwendungen, die diese Prozesse unterstützen, genutzt werden. Mit dieser Analyse kann dann bestimmt werden, welche Daten für einen Gebrauch beim Anwendungstest anonymisiert werden müssen. Dieser Ansatz ermöglicht es den Unternehmen, eine Anwendung umfassend zu testen, ohne dass sensible Informationen eingesehen werden können oder unbemerkt nach außen gelangen.“
