17. November 2008 - Softwaretests

Wie Softwaretester dem Datenschutz helfen können

Wenn personenbezogene Daten ungewollt im Internet zugänglich werden, muss nicht immer ein Datendiebstahl dahinterstecken. Fehlerhaft programmierte und unzureichend getestete Software kann ebenso zu einem gefährlichen Datenabfluss führen. Als DSB sollten Sie aber nicht nur prüfen, ob die eingesetzten Programme auch wirklich getestet wurden. Die Testdaten gilt es ebenfalls zu überprüfen: Viele Unternehmen nutzen vertrauliche Echtdaten zu Testzwecken, ohne sich der Brisanz bewusst zu sein.

wie-softwaretester-dem-datenschutz-helfen-konnen.jpeg
Go oder No-Go für eine neue Software? Die Tests sollten das auch in Datenschutzhinsicht zeigen (Foto: Rolf van Melis/PIXELIO).

Wenn es im Budget eines Softwareprojekts eng wird, also Zeit und Kosten aus dem Ruder laufen, wird in so manchem Unternehmen gerne an einer bestimmten Stelle gespart, die dem Anwender oder Kunden nicht immer sofort auffällt – bei den Softwaretests.

Softwaretests sind keine Kür

Doch die Überprüfung der Eigenentwicklung oder der eingekauften Individualsoftware gehört unbedingt zu einem Softwareprojekt dazu.

Zahlreiche Beispiele der jüngeren Vergangenheit zeigen, dass fehlerhafte Software zu einem ungewollten, riskanten Datenabfluss führen kann, oftmals sogar ins offene Internet.

Datensicherheit muss in den Prüfplan

Die Sicherstellung der Softwarequalität darf nicht zu einseitig gesehen werden:

  • Funktionale Tests versuchen, die Anforderungen der künftigen Benutzer zu überprüfen. Der Sinn solcher Tests ist für viele Unternehmen schnell nachvollziehbar.
  • Weniger verbreitet sind schon die Usability-Tests, die die Ergonomie der Mensch-Computer-Interaktion betrachten.
  • Und die Prüfungen der Datensicherheit entsprechend der Security Policies des Anwenderunternehmens oder IT-Grundschutz des BSI sowie die Kontrolle der Einhaltung von Datenschutzvorgaben sind leider oft gar nicht im Fokus der Tester.

Hier sollten Sie deshalb als Datenschutzbeauftragter auf die entsprechende Priorität im Prüfplan und ein eigenes Projektbudget für die Tests drängen.

Wichtig ist dabei auch die Unabhängigkeit der Tester von der eigentlichen Entwicklungsabteilung.

Testdaten und Echtdaten sind strikt zu trennen

Aber selbst die Schaffung einer speziellen Testabteilung bedeutet noch keine Entwarnung für den Datenschutz.

Zahlreiche Unternehmen in Deutschland nutzen Echtdaten zu Testzwecken, wie verschiedene Untersuchungen gezeigt haben. Wird eine externe Testeinrichtung beauftragt, gelangen Kundendaten und andere personenbezogene Daten auch an Dritte, zum Teil ins Ausland, da dort die Nutzung von IT-Kapazitäten unter Umständen günstiger erscheint.

Hier sollten Sie als Datenschutzbeauftragter klarstellen, dass Testdaten und Echtdaten strikt zu trennen sind.

Zugriffsberechtigungen müssen auch im Testfall beachtet werden

Leider kann man in der Praxis feststellen, dass mitunter Praktikanten, die ansonsten nie Zugriff auf vertrauliche Informationen bekommen hätten, bei der Unterstützung von Softwaretests ohne weiteres Kunden- und Personaldaten einsehen können.

Ebenso werden verschiedene Stellen und Abteilungen in die Tests einbezogen, die im Normalfall keine Zugriffsberechtigung auf die vertraulichen Daten haben, aber zu Testzwecken ganze Datenbanken bereit gestellt bekommen.

So werden Tests datenschutzgerecht

Richtiges Testen lohnt sich immer, nicht nur, aber auch für die Steigerung der Datensicherheit:

  • Der wichtigste Schritt in Richtung datenschutzkonformer Softwaretests ist die Anonymisierung der Testdaten. Für die Testabläufe ist grundsätzlich nur die Struktur der Testdaten wichtig, nicht aber die Echtheit des Kundennamens, seiner Anschrift und Kreditkartennummer. Alle Felder, die einen Personenbezug ermöglichen, müssen also in der Testdatenbank anonymisiert werden. Werden dazu spezielle Skripte genutzt, die die Daten entsprechend automatisch überarbeiten, sind diese Programmroutinen zuerst an Demodaten zu testen.
  • Auf dem Markt sind spezielle Testprogramme verfügbar, die die Testdaten jeweils vor und nach dem Probedurchlauf verschlüsseln.
  • Moderne Werkzeuge zur Testautomatisierung können zudem aus Demodaten ohne weiteres brauchbare Testfälle generieren, ohne echte Kundendaten verwenden zu müssen.
  • Softwaretester sollten zudem nicht nur in Teststrategien und Testmethoden geschult werden. Eine Unterweisung durch den Datenschutzbeauftragten sorgt für die notwendige Sensibilisierung im Umgang mit Daten und schafft Verständnis für die notwendige Anonymisierung.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln