Bei Software-Tests verwenden Unternehmen häufig unverschlüsselte Realdaten aus laufenden Systemen. Ein Sicherheitsrisiko, das oft übersehen wird. Denn Testumgebungen unterliegen meist weniger strengen Sicherheitsbestimmungen wie andere Systeme.
Generell zeigt die Studie, dass in den meisten Unternehmen Governance eine wichtige Rolle spielt. So gaben nur neun Prozent an, dass sie lediglich wenige Richtlinien zum Umgang mit Daten im Unternehmen installiert haben. 58 Prozent der Firmen haben hingegen einen unternehmensweiten Rahmen an Richtlinien gespannt.
Bei den Bereichen Software-Entwicklung und Tests greifen Richtlinien allerdings häufig zu kurz. So verwenden 71 Prozent der Befragten für die Tests Daten direkt aus den Produktivsystemen. 40 Prozent geben an, die Daten für Testzwecke zu verfremden, 29 Prozent nutzen Rohdaten und verfremdete Daten und zwei Prozent greifen bei ihren Tests nur auf Rohdaten zurück.
Unternehmen greifen auf Realdaten zurück, weil sie sich Daten von ausreichender Qualität wünschen, um Workloads und Performance-Stufen genau modellieren zu können. Zudem sind viele der Befragten beim Nachstellen einer Live-Umgebung auf Live-Daten angewiesen. Und sie wollen Kosten sparen. Die Erstellung dezidierter Testdaten würde zu viel Zeit kosten.
Wann der Umgang fahrlässig wird
Der Einsatz von Realdaten unterscheidet sich von Region zu Region. Während in Deutschland weniger als 20 Prozent oft oder manchmal Realdaten bei Tests nutzen, sind es in Frankreich über 20, in Großbritannien beinahe 30 Prozent. Die Anteile verschieben sich, wenn man diejenigen Befragten betrachtet, die die Daten anonymisieren. Dann liegen die Deutschen mit knapp 50 Prozent vorn. Frankreich und Großbritannien folgen mit 45 beziehungsweise 42 Prozent.
Zwangsläufig fahrlässig ist dieser Umgang mit Realdaten noch nicht. Das wird er erst, wenn er nicht mehr mit den Unternehmensrichtlinien konform ist. Das kommt jedoch häufig vor: In vielen Firmen befinden sich Entwicklungs- und Testbereich außerhalb der dafür vorgesehenen Kontrollinstanzen. Bei 87 Prozent der Befragten liegt die alleinige Verantwortung dafür beim IT-Personal. Und das leistet Tests häufig extern. Nur 27 Prozent führen alle Tests intern durch und behalten so beispielsweise sensible Kundendaten im Unternehmen.
Die Befragten glauben, dass vor allem mehr technische Ressourcen dem Sicherheitsproblem erfolgreich entgegenwirken könnten. Dazu zählen Datenmanagement-Tools, Tools die das Löschen von Testdaten ermöglichen sowie Tools für einen besseren Workflow.
Die Befragung ergab zudem, dass Unternehmen mit Flexibilität die Risiken am besten unter Kontrolle bringen. Eine Kombination aus allgemeinen und lokalen Richtlinien wird als sicherste Variante bei der Nutzung von Realdaten eingestuft.
Die Studie "Governance & Software Testing" von Freeform Dynamics, einem Forschungs- und Analyseunternehmen für Entwicklungen im IT- und Kommunikationssektor hat im Auftrag von IBM 240 IT-Entscheider aus Deutschland, Frankreich und England befragt.