Eine Studie von Freeform Dynamics weist auf ein häufig übersehenes Sicherheitsrisiko hin. Anlässlich einer Umfrage unter 240 IT- Entscheidern stellte das Analystenhaus fest, dass in mehr als 70 Prozent der Unternehmen Daten aus laufenden Systemen für Softwaretests verwendet werden. Da Testumgebungen häufig nicht den selben strengen Sicherheitsbestimmungen unterliegen, entstehen Unternehmen hier bislang ungeahnte Sicherheitsrisiken.
Zwar zeigt die Studie, dass generell in den meisten Unternehmen das Thema Governance eine wichtige Rolle spielt. So gaben nur neun Prozent an, dass sie nur wenige Richtlinien zum Umgang mit Daten im Unternehmen installiert haben, während 58 Prozent bereits einen unternehmensweiten Rahmen an Richtlinien gespannt haben. Nur der Bereich Softwareentwicklung und Tests wird dabei oft übersehen oder als nicht so wichtig eingestuft. So verwenden 71 Prozent der Befragten für die Tests Daten direkt aus den Produktivsystemen. 40 Prozent gaben an, die Daten für die Testzwecke zu verfremden, 29 Prozent nutzen sowohl Rohdaten, als auch verfremdete Daten und zwei Prozent füttern ihre Tests nur mit Rohdaten.
Als Gründe, warum sie auf Realdaten zugriffen, gaben die Befragten an, dass sie Daten von ausreichender Qualität benötigten, um Workloads und Performance-Stufen genau modellieren zu können. Außerdem war es vielen nicht möglich, überhaut eine Live-Umgebung nachzustellen, ohne Live-Daten zu benutzen. Schließlich sagten viele an, dass die Erstellung von dezidierten Testdaten zu viel Zeit kosten würde. Und nicht zuletzt könnten spezielle Situationen überhaupt erst durch Live-Daten genau modelliert werden.
Dieser Umgang mit den Datensätzen muss dabei nicht zwangsläufig fahrlässig sein. Kritisch kann es werden, wenn er im krassen Gegensatz zu den Unternehmensrichtlinien steht. Doch häufig befinden sich Entwicklungs- und Testbereich außerhalb der dafür vorgesehenen Kontrollinstanzen. Bei 87 Prozent der Befragten obliegt die Verantwortung dafür allein dem IT-Personal. Und das arbeitet häufig mit externen Ressourcen an den fraglichen Daten – nur 27 Prozent der Befragten gaben an, alle Tests intern zu leisten. So könnten externe Nutzer zum Beispiel Zugang zu Kundendaten erhalten, die das Unternehmen vertraulich behandeln müsste.
Da Daten aus laufenden Systemen für Entwicklung und Tests aus genannten Gründen unverzichtbar sind, empfehlen die Macher alternative Schritte, um die Risiken unter Kontrolle zu bringen. Eine Kombination aus allgemeinen und lokalen Richtlinien sollte etwa die nötige Flexibilität geben, um auch im Einzelfall mit Live-Daten gefahrlos arbeiten zu können. Wenn es um die Maskierung bzw. Anonymisierung der Daten geht, empfiehlt die Studie, hier in unterstützende Tools zu investieren, die diesen Prozess automatisieren. Dies würde das Risiko beträchtlich verringern und zudem Daten-Management und Workflow bei Softwareentwicklung und Tests verbessern.
Die Optim Data Privacy Solution gewährleistet die Vertraulichkeit privater Informationen und die Sicherheit von Test- und Entwicklungsumgebungen. Mithilfe von Optim werden die Daten so maskiert und transformiert, dass sie nicht mehr zur Identifizierung einer Person verwendet werden können. Hierbei kommen Maskierungstechniken wie Substrings, arithmetische Ausdrücke, Generierung von Zufalls- und fortlaufenden Zahlen, Datumsveränderungen und Verkettungen zum Einsatz. Es können auch standortspezifische Datenkonvertierungsroutinen eingesetzt werden, durch die die Verarbeitungslogik aus verschiedenen zusammengehörigen Anwendungen und Datenbanken integriert wird. Deidentifizierte Daten sind sicher und können für Anwendungstests verwendet werden. Die maskierten Daten liefern präzise und zuverlässige Testergebnisse und gewährleisten die Einhaltung des Datenschutzes.
Quellen:
www.fktg.de
www.ibm.com/de
www.optimsolution.com
www.freeformdynamics.com
Keine Kommentare:
Kommentar veröffentlichen