Die Markforschungsfirma Ponemon Institute hat im Auftrag von Micro Focus im Rahmen der Studie weltweit rund 1350 Software-Entwickler und -Tester aus Firmen in den USA und England befragt. Der Schwerpunkt lag auf mittelständischen und großen Unternehmen mit einem Umsatz von mehr als 10 Millionen Dollar. Auch wenn nur Fachleute aus zwei Ländern befragt wurden, dürften sich die Resultate auch auf Deutschland oder andere europäische Länder übertragen lassen.

Das Resultat: Statt »Dummy-Daten« verwenden die meisten Firmen vertrauliche Daten, wenn sie Software entwickeln oder testen. Dies ist umso erstaunlicher, als 79 Prozent der befragten Unternehmen nach eigenen Angaben innerhalb der letzten zwölf Monate mindestens einen Fall von Datensicherheitsverletzung verzeichnen mussten.

Laut der Untersuchung verwenden 70 Prozent der Firmen für die Entwicklung und das Testen von Software keine »maskierten« Daten, sondern echte Informationen von Kunden, Mitarbeitern, Kreditkarten und andere vertrauliche Daten.

Mehr als 1 TByte Daten für Tests

Fast zwei Drittel der Befragten rufen diese Daten jede Woche ab, rund 90 Prozent auf monatlicher Basis. Drei Viertel der Befragten gaben zudem an, dass sie Testdaten in der Größenordnung von mehr als 1 TByte verwenden. Das heißt, Software-Tests mit Originalinformationen gehören zur Tagesordnung.

Obwohl die Unternehmen mehrheitlich selbst Erfahrungen mit Datensicherheitsverletzungen gemacht haben, sind nur 7 Prozent der Befragten der Auffassung, dass der Schutz von Daten in Entwicklungs- und Testumgebungen besonders ernst genommen wird.

»In vielen Unternehmen werden, wie unsere Untersuchung zeigt, für das Entwickeln und Testen von Software echte Daten verwendet«, erklärt Rainer Downar, Country Manager von Micro Focus Central Europe. »Man scheint sich überhaupt nicht darüber im Klaren zu sein, dass diese Daten besonders gefährdet sind, beispielsweise durch ehemalige Mitarbeiter oder Zulieferer.«

Tipps für sicheren Umgang mit Testdaten

Die Gründe dafür, dass keine maskierten Daten eingesetzt werden, reichen von Bequemlichkeit über Zeitmangel bis hin zu fehlendem Sicherheitsbewusstsein. Ein weiteres Argument: Nur anhand von »echten« Informationen ließen sich Anpassungen oder Neuentwicklungen durchführen.

Micro Focus und Ponemon raten Unternehmen, die Software-Tests durchführen zu folgenden Maßnahmen:

· Firmenleitung und Mitarbeitern muss klar sein, dass Daten bares Geld darstellen. Laut Ponemon kostet es im Schnitt rund 202 Dollar, um verloren gegangene Kunden- und Personaldaten wiederzubeschaffen.

· Mitarbeiter, die Zugang zu sensiblen Informationen haben, müssen in puncto Datenschutz entsprechend geschult werden. Wer fahrlässig mit solchen Daten umgeht, sollte gemaßregelt werden. Ebenso empfiehlt Micro Focus ein Belohnungssystem für Kollegen, die sich an die Sicherheitsregeln halten.

· Wenn Externe in Spiel kommen, sprich Berater, Dienstleister oder Partner, die Zugang zu Firmendaten haben, müssen verschärfte Datensicherungsmaßnahmen implementiert werden. Es empfiehlt sich, diese Schutzverfahren regelmäßig mithilfe von Assessments zu überprüfen. Zudem ist es notwendig, ein Security-Regelwerk auszuarbeiten und alle Mitarbeiter dazu zu verpflichten, dieses umzusetzen.

· Generell muss im Vorfeld geprüft werden, welche Risiken mit dem Einsatz von »echten« Daten im Rahmen von Software-Tests und der Programmentwicklung verbunden sind. Wenn dies erforderlich ist, ist das Implementieren von Sicherheitsregeln und Assessments ein Muss. Das schließt eine regelmäßige Überprüfung der Schutzmaßnahmen mit ein.

Die Studie Data Security in Development & Testing kann nach Registrierung kostenlos von der Web-Seite von Micro Focus heruntergeladen warden.