Unternehmen missbrauchen Kundendaten für Softwaretests
Mehr als drei Viertel der deutschen Unternehmen setzen echte Kundendaten zu Testzwecken in der Softwareentwicklung ein und geben diese in vielen Fällen sogar an externe Dienstleister weiter.
Zu diesem alarmierenden Ergebnis kommt eine aktuelle Studie des Ponemon Institute, die in Zusammenarbeit mit dem IT-Dienstleister Compuware erstellt wurde. Im internationalen Vergleich belegt Deutschland damit das Schlusslicht, wenn es um den Umgang mit Datenschutz bei Anwendungstests geht.
Viele Unternehmen gehen davon aus, dass Testdaten keine potenziellen Sicherheitslücken darstellen, da sie nicht in produktiven Umgebungen eingesetzt werden, so die Studienautoren. Jedoch besteht auch bei Tests die Gefahr, dass unautorisierte Personen auf die Daten zugreifen. “Selbst wenn die Programme intern gestestet werden, haben Personen Zugriff, die eigentlich nicht dafür autorisiert sind”, so Mareike Jacobshagen, Sprecherin von Compuware Deutschland. Bedenklich ist vor allem, dass 60 Prozent der Unternehmen, die ihre Tests auslagern, vertrauliche Daten an die Outsourcing-Partner weitergeben. Darunter befinden sich Informationen wie Kundennummern, Kreditkartennummern, Angaben zur Sozialversicherung, Zahlungsinformationen sowie Daten von Mitarbeitern und Lieferanten.
“Die Unternehmen sehen in bestehenden Kundendaten eine einfache und kostengünstige Datenquelle. Dieses Vorgehen birgt jedoch ein hohes Risiko für die Integrität von vertraulichen Informationen, insbesondere dann, wenn dritte Personen oder Offshoring-Ressourcen beteiligt sind”, erklärt Larry Ponemon, Chef des Ponemon Institutes. “Die Wenigsten sind sich dessen bewusst, welche Risiken bei Softwaretests und Anwendungsentwicklung bestehen”, sagt Marcus Nohl, Senior Technical Consultant Data Privacy Solutions bei Compuware. “Alle Organisationen, nicht nur in der Finanzbranche und dem Gesundheitswesen, sind verpflichtet, die Vertraulichkeit von Verbraucherdaten zu schützen”, mahnt Nohl.
“Ein Grund dafür ist sicherlich die Gesetzeslage, die keine dramatischen Strafen bei diesen Verstößen vorsieht. Frankreich hat hier beispielsweise strengere Regeln”, meint Jacobshagen. Einzige Lösung dieser Datenschutzkrise ist es, die Kundendaten für Softwaretests entsprechend aufzubereiten und zu anonymisieren. “Mit geeigneten Tools lassen sich die Informationen derart maskieren, dass die Daten verändert werden, dennoch konsistent bleiben und wie die echten Kundeninformationen zu Testzwecken eingesetzt werden können”, erläutert Jacobshagen. Damit können nicht nur gesetzliche Regeln eingehalten werden, sondern das Unternehmen schützt sich auch gegen einen Imageschaden und Vertrauensverlust der Kunden, falls jemand die Daten missbrauchen sollte.