Das Ponemon-Instituts hat im Auftrag von Compuware eine Untersuchung mit dem Titel „Test Data Insecurity: The Unseen Crisis“ durchgeführt. Dem Bericht zufolge gefährden 62% der untersuchten Unternehmen vertrauliche Kundendaten, indem sie diese in Anwendungsstests oder bei der Software-Entwicklung benutzen. Die meisten geben vertrauliche Daten sogar an ihre Outsourcing-Partner weiter, die zudem teilweise im Ausland sitzen und hinsichtlich Datenschutz lascheren Gesetzen unterstehen. Die Hälfte der untersuchten Unternehmen, die mit ihren Kundendaten testen, unternimmt keinerlei Anstrengungen, diese gegen Missbrauch zu schützen. Testumgebungen werden normalerweise nicht annähernd so gut bis gar nicht gegen unbefugten Zugriff gesichert wie produktive Umgebungen, obwohl sie oft die gleichen Daten beherbergen.

Anscheinend sind sich die meisten Softwareentwickler gar nicht bewusst, dass sie damit in gröbster Weise gegen das Datenschutzgesetz verstossen. Das wundert mich eigentlich gar nicht, denn kaum ein Softwareentwickler befasst sich mit Rechtsaspekten. Diese sind schliesslich auch nicht Teil der üblichen Ausbildungsprogramme in der Informatik. Hier besteht akuter Handlungsbedarf! Datenschutz, Urheberrecht, Domainrecht im Zusammenhang mit dem Namens- und Markenrecht sowie Vertrags- und Handelsrecht sollten daher feste Bestandteile jeder höheren Ausbildung in der Informatik sein.

Wer die Verantwortung für die (meist illegale) Verwendung der vertraulichen Testdaten beziehungsweise deren Weitergabe an Dritte trägt, ist in der Regel unklar. Dennoch ahnen die meisten Kollegen, dass dies ein heikles Thema ist und haben nicht selten ein mulmiges Gefühl dabei – jedenfalls wenn sie zum ersten Mal damit in Berührung kommen. Da sie aber meist keine entsprechende interne Weisung finden (sofern sie überhaupt danach suchen), wähnen sie sich in Sicherheit. Wo kein Kläger, da kein Richter. Niemand kann einem vorwerfen, man habe sich nicht an die Regeln gehalten, wenn es gar keine gibt. So bin ich selber schon mehrmals mit Kundendaten in Berührung gekommen, die ich gar nie zu Gesicht bekommen hätte dürfen.

Brauchbare Testdaten zu generieren, ist nicht immer ganz einfach, besonders wenn das Datenmodell komplex ist und die Datenmengen gross sind. Als ich ich noch selber entwickelte, haben wir jeweils mit einem klar definierten Set von selber (meist mit Scripts automatisiert) erzeugten Testdaten gearbeitet. Das hatte den Vorteil, dass wir unsere Daten immer vollständig unter Kontrolle hatten. Eine weitere Möglichkeit, zu Testdaten zu kommen ist, scharfe (Personen-) Daten zu anonymisieren und eventuell zusätzlich zu verfremden, was aber nicht selten Probleme bei der Integrität und Plausibilität der Daten mit sich bringt. Trotzdem ist die Verwendung von scharfen Geschäftsdaten für Testzwecke in der Regel keine Lösung für eine kostengünstige Testdaten-Beschaffung, wenn dadurch die Privatsphäre von Menschen verletzt wird, denn schliesslich leben wir nicht im wilden Westen!