IT-Sicherheit integral betrachtet



Ähnliche Dokumente
Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Professionelle Seminare im Bereich MS-Office

Analyse zum Thema: Laufzeit von Support-Leistungen für ausgewählte Server OS

360 - Der Weg zum gläsernen Unternehmen mit QlikView am Beispiel Einkauf

Informationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:

Research Note zum Thema: Laufzeit von Support-Leistungen für Server OS

ERPaaS TM. In nur drei Minuten zur individuellen Lösung und maximaler Flexibilität.

Content Management System mit INTREXX 2002.

Speicher in der Cloud

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Task: Nmap Skripte ausführen

Die integrierte Zeiterfassung. Das innovative Softwarekonzept

Liferay 6.2. Open Source IT-Dienstleister. Ein modernes Open Source Portal System. forwerts solutions GmbH, Gabriele Maas

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Agile Enterprise Development. Sind Sie bereit für den nächsten Schritt?

Durchführung der Datenübernahme nach Reisekosten 2011

Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl

Ihre Interessentendatensätze bei inobroker. 1. Interessentendatensätze

Einbindung einer ACT!12-16 Datenbank als Datenquelle für den Bulkmailer 2012

SharePoint Portal für eine effiziente Zusammenarbeit

Lizenzierung von System Center 2012

SSI WHITE PAPER Design einer mobilen App in wenigen Stunden

Grundfunktionen und Bedienung

Auktionen erstellen und verwalten mit dem GV Büro System und der Justiz Auktion

Handbuch ECDL 2003 Basic Modul 5: Datenbank Grundlagen von relationalen Datenbanken

StuPro-Seminar Dokumentation in der Software-Wartung. StuPro-Seminar Probleme und Schwierigkeiten in der Software-Wartung.

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

Anforderungen an die HIS

Reporting Services und SharePoint 2010 Teil 1

Skills-Management Investieren in Kompetenz

Was meinen die Leute eigentlich mit: Grexit?

Der schnelle Weg zu Ihrer eigenen App

Projektmanagement in der Spieleentwicklung

L10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016

! " # $ " % & Nicki Wruck worldwidewruck

Quick Reference Historie des Dokuments

Berechtigungsgruppen TimeSafe Leistungserfassung

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

icloud nicht neu, aber doch irgendwie anders

Inhaltsverzeichnis U M S T E L L U N G A U F O F F I C E 3 6 5

Agile Software Verteilung

Windows 8 Lizenzierung in Szenarien

Interview zum Thema Management Reporting &Business Intelligence

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Anleitung über den Umgang mit Schildern

Saxonia Forum 2015: SMART BUSINESS APPLIKATIONEN: ZIELGRUPPENORIENTIERTE SOFTWARELÖSUNGEN

Private oder public welche Cloud ist die richtige für mein Business? / Klaus Nowitzky, Thorsten Göbel

Anhand des bereits hergeleiteten Models erstellen wir nun mit der Formel

Nutzung dieser Internetseite


IT-Trend-Befragung Xing Community IT Connection

DER SELBST-CHECK FÜR IHR PROJEKT

IDV Assessment- und Migration Factory für Banken und Versicherungen

GPP Projekte gemeinsam zum Erfolg führen

Der Kalender im ipad

«PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.»

DOKUMENTATION VOGELZUCHT 2015 PLUS

Der Schutz von Patientendaten

Lizenzierung von SharePoint Server 2013

Ihren Kundendienst effektiver machen

4.1 Download der App über den Play Store

Lizenzierung von SharePoint Server 2013

Inkrementelles Backup

Synchronisations- Assistent

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

infach Geld FBV Ihr Weg zum finanzellen Erfolg Florian Mock

Urlaubsregel in David

Datensicherung. Beschreibung der Datensicherung

SharePoint Demonstration

einrichtung in den kaufmännischen Programmen der WISO Reihe

AZK 1- Freistil. Der Dialog "Arbeitszeitkonten" Grundsätzliches zum Dialog "Arbeitszeitkonten"

[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL

.. für Ihre Business-Lösung

Agile Vorgehensmodelle in der Softwareentwicklung: Scrum

Mehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen.

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Konzentration auf das. Wesentliche.

Verpasst der Mittelstand den Zug?

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

:: Anleitung Hosting Server 1cloud.ch ::

mobile Dokumente, Informationen, ECM... Immer präsent auch unterwegs.

Leichte-Sprache-Bilder

Mobile Intranet in Unternehmen

Stellen Sie bitte den Cursor in die Spalte B2 und rufen die Funktion Sverweis auf. Es öffnet sich folgendes Dialogfenster

Die Post hat eine Umfrage gemacht

Service CASES. Praxis-Beispiele zur Gestaltung eines echten Kundennutzens. Volume 18

OUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten

Microsoft Update Windows Update

Qualität und Verlässlichkeit Das verstehen die Deutschen unter Geschäftsmoral!

Java Entwicklung für Embedded Devices Best & Worst Practices!

Multichannel Challenge: Integration von Vertriebsorganisation und Contact Center in der Versicherung

2.1 Präsentieren wozu eigentlich?

Informationssicherheit als Outsourcing Kandidat

Windows 10 > Fragen über Fragen

Transkript:

2.2011 Heft 5 Deutschland: 14,90 Österreich: 16,80 Schweiz: sfr 29,80 Luxemburg: 16,90 Expertenwissen für IT-Architekten, Projektleiter und Berater Peter Schaar: Datenschutz setzt die Spielregeln. SICHERHEIT IT-Sicherheit integral betrachtet Data Loss Protection Enterprise Wide Integration Security Alles sicher oder was? Die BSI-Sicherheitsanforderungen an Cloud-Anbieter Rechte und Rollen Zentrales Rollen- und Rechtecockpit für SOA-Applikationen Business Continuity Management Sicherung kritischer Wertschöpfungsprozesse Schatzkammer Datenbank Sicherheitsstrategien für Datenbanken

Testdaten Testdaten Generierung oder Verfremdung? Herausforderungen beim Umgang mit Testdaten Ein Softwaretest ist nur so gut wie die Daten, mit dem die Systeme getestet werden. Die gängige Praxis, Abzüge von Produktionsdaten zu verwenden, kann datenschutzrechtliche Folgen bergen, die vielen Unternehmen und Dienstleistern anscheinend nicht hinreichend bekannt sind. Auch haben Unternehmen zwar oft Datenschutz-, IT-Compliance- und IT-Governance- Regeln, doch wie wendet man diese im Softwaretest an? Autoren: Matthias Rasking und Stephan Oswald Der Umgang mit Testdaten ist weiterhin eines der größten Probleme im Softwaretest. Sei es die schwierige Identifikation von Testdaten für Testszenarien, die Herausforderung, Testdaten über einen längeren Testzeitraum hinweg nachzuhalten oder die mangelnde Verfügbarkeit von Testdaten aus Schnittstellensystemen ca. 30 Prozent aller abgewiesenen Fehler in Projekten mit einem niedrigen Reifegrad der IT-Prozesse sind auf mangelhafte Testdaten zurückzuführen. Mit definierten Prozessen für Testdatenverwendung lässt sich diese Fehlerquelle auf unter 5 Prozent reduzieren. Diese Verbesserung verlangt allerdings ein umfassendes Verständnis der Anforderungen an Testdaten sowie einen projektweiten Fokus auf die Erstellung und Pflege von Testdaten. Die Bereitstellung von Testdaten wird in Releases zu oft auf wenige Schritte beschränkt, anstatt den gesamten Lebenszyklus von Testdaten vollständig abzubilden (Abb. 1). Hierbei wird davon ausgegangen, dass Testfälle grundsätzlich Testdaten aus dem Produktionsbetrieb benötigen (entweder aus einem Datenabzug oder migrierte Daten bei neuen Anwendungen). Außerdem setzt dieser Prozess zwar eine umfangreiche Kenntnis der Tester in Bezug auf die relevanten Daten für die Testfälle voraus, vernachlässigt aber wesentliche Punkte in Bezug auf Nachvollziehbarkeit, Wiederverwendbarkeit und letztlich auch Prozesseffizienz. Oft wird eine gewisse Realitätsnähe der Daten für Testzwecke gefordert, was aber meistens bedeutet, dass die benötigten Testszenarien nicht ausreichend detailliert wurden, um auf andere Bereitstellungsmethoden zurückzugreifen. Der pragmatische Ansatz, Testdaten während des Tests herauszusuchen, bedingt sehr erfahrene Tester und erschwert die Planbarkeit der Tests. Der Aufwand für einen Produktionsabzug ist meistens immens (es gibt Ausnahmen, bei denen mit viel Aufwand auch eine wöchentliche Bereitstellung ermöglicht wird). Dazu kommen Ladezeiten, während denen die Testumgebungen nicht zur Verfügung stehen. Daher aktualisieren viele Firmen ihren Testdatenbestand nur ein bis zwei mal im Jahr, was wiederum zu Proble- 26 bt 2.2011

men mit der Aktualität der Testdaten (zum Beispiel durch zwischenzeitlich eingespielte Änderungen) führen kann. Ansätze zur Verbesserung der Situation Eine Möglichkeit zur Verbesserung besteht in der Nutzung von synthetischen Testdaten, also Datensätzen, die manuell oder mit Werkzeugen generiert wurden. Einige Firmen verwenden bereits im Einsatz befindliche Werkzeuge (die eigentlich zur Testautomatisierung oder für Performance Tests geeignet sind), um über die Oberfläche Testdaten anzulegen. Für einfache Datenkonstellationen und die Vervielfältigung von Daten mag dieser Ansatz zwar zweckdienlich sein, allerdings muss dazu die Anwendung stabil sein, und komplexe Datensätze oder historisierte Daten können nicht erzeugt werden. Hinzu kommt noch ein Thema, das im Zuge der Novellierung des Bundesdatenschutzgesetzes, des Telekommunikationsgesetzes und weiterer Gesetze und Regularien nicht nur in Deutschland mehr und mehr Aufmerksamkeit erhält: Datenschutz und Datensicherheit. In Hinsicht auf die abzuleitenden datenschutzrechtlichen Hürden, die das Softwaretesten berühren, müssen alle Testprozesse und ausgeführten Testprojekte überprüft werden. Es ist zu prüfen, ob die Dokumentation von Testfällen, die personenbezogene oder sensitive Daten enthalten, aufbewahrt und zurückgeführt werden müssen oder vernichtet werden können. Dazu muss natürlich mit der Revision und Rechtsabteilung erst einmal definiert werden, welche Daten sensitiv sind und wie mit diesen umgegangen werden darf (zeitliche Beschränkung der Tests, Logging und Einschränkung des Zugriffes, Anonymisierung etc). Es muss geprüft werden, ob die Prozesse zur Übergabe von Daten an interne oder externe Testorganisationen noch den gesetzlichen Bestimmungen standhalten. Darüber hinaus ist zu prüfen, wie auf Produktionsdaten verzichtet oder der Prozess so gesteuert werden kann, dass eine Anonymisierung der Daten (sofern möglich und aus einer Kosten-Nutzen-Betrachtung heraus sinnvoll) dort stattfindet, wo Testmanager und externe Dienstleister sowie deren Erfüllungsgehilfen keinen Zugriff haben. Tests mit Daten aus Produktivsystemen sind auf ein Minimum zu reduzieren und es ist ein methodischer und toolgestützter Rahmen aufzubauen, der die Simulation realer Testszenarien mit rein synthetisch erzeugten und/ Abb. 1: Herkömmlicher Prozess zur Verwendung von Testdaten (vereinfacht) Abb. 2: Robuster Testdatenmanagementprozess oder anonymisierten Testdaten ermöglicht, und bei dem die Testergebnisse trotzdem noch nachvollziehbar und aussagekräftig sind. Ein End-to-End-Prozess für Testdatenmanagement Ein Prozess für den Umgang mit Testdaten sollte also möglichst alle Testphasen abdecken, von der Planung bis zu Durchführung und Abschluss der Tests. Ein wohl definierter Prozess beginnt mit der Identifikation von Datenquellen, Datentypen und den eigentlichen Anforderungen an Testdaten. Eine besondere Rolle spielen hierbei Abhängigkeiten zwischen Daten untereinander (zum Beispiel bei Schnittstellen), aber auch Abhängigkeiten zu Datenquellen, die im Laufe der Testphase aktualisiert werden. In der Testvorbereitungsphase ist die Erfassung und Erstellung der Testdaten wichtig. Daten können mit Werkzeugen ausgewählt, extrahiert und validiert werden. In diesem Schritt sollte auch ein Verfremdungsansatz verwendet werden, um bei extrahierten Daten sensible Felder zu maskieren. Werkzeuge können dabei eine entscheidende Rolle spielen. Einige Firmen, vor allem im Versicherungs- bt 2.2011 27

Es gibt viele Szenarien, um Testdaten bereitzustellen diese müssen aus verschiedenen Gesichtspunkten wie Datensicherheit, Datenschutz und Kosten-Nutzen-Verhältnis betrachtet werden. Interview Stephan Oswald: Als Beratungshaus und Technologiefirma dürfen Sie Ihre Kunden rechtlich nicht beraten. Was sagen Sie Kunden, die nichtanonymisierte Produktionsdaten zum Test verwenden wollen? Matthias Rasking: Zunächst einmal ist es wichtig, dass man die Datenquelle als solche überhaupt kennt. Wir führen seit mehreren Jahren innerhalb von Accenture Schulungsprogramme durch, um auf die Aspekte Datenschutz und Datensicherheit in den verschiedenen Ländern hinzuweisen. Für diese Themen gibt es jährliche Auffrischungsschulungen, die verpflichtend sind. Da Accenture in über 120 Ländern Kunden berät und IT-Projekte umsetzt, ist das lokale Verständnis in Bezug auf Testdaten besonders wichtig. Unsere Testmanager sind geschult, gezielt Fragen über Testdaten zu stellen, um eine erste Risikoanalyse (angelehnt an CobiT und COSO) der zu bearbeitenden Daten durchführen zu können. Anhand dieser Analyse ist dann der Angebotsverantwortliche in der Lage, unsere Kunden auf wichtige Aspekte im Umgang mit Testdaten hinzuweisen, um den Kunden zusammen mit deren Datenschutzbeauftragten einen Lösungsweg aufzeigen können. Es gibt viele Szenarien, um Testdaten bereitzustellen diese müssen unter verschiedenen Gesichtspunkten wie Datensicherheit, Datenschutz und Kosten-Nutzen-Verhältnis betrachtet werden. Hier kann Accenture zwar Beispiele für mögliche Lösungswege von anderen Projekten einbringen, die Entscheidung für ein Szenario liegt aber immer beim Kunden. Oswald: Wenn Sie Offshore -Software testen, was ist für Ihre Kunden hinsichtlich personenbezogener Daten zu beachten? Rasking: Grundsätzlich gehen wir davon aus, dass Daten für Testzwecke entweder anonymisiert sind oder wir synthetische Daten verwenden können. Der Zugriff auf personenbezogene Daten ist für externe Mitarbeiter ja generell nur in Verbindung mit einem separat aufgesetzten Verfahren möglich. Beim Einsatz von Mitarbeitern in Offshore -Lokationen treten wiederum besondere Probleme auf. Wichtig ist in diesem Kontext, dass offshore keine allgemeingültige Bezeichnung ist, sondern zwischen den entsprechenden Voraussetzungen in EU- und Nicht- EU-Ländern (also auch Marokko, Ägypten, Brasilien etc.) unterschieden wird. Für unsere Kunden haben wir innovative Modelle entwickelt, um bereits in frühen Phasen mit synthetischen Daten zu arbeiten, die unsere Testspezialisten selbst erzeugen, um dadurch eine Unabhängigkeit von personenbezogenen Daten zu erlangen. Zusammen mit Werkzeugen, die die Erstellung und Verwaltung von Stubs und Simulatoren für Schnittstellen vereinfachen, können so Werkzeuge zur nachvollziehbaren und automatisierbaren Erzeugung von Testdaten sehr helfen. Oswald: Was raten Sie Ihren Kunden hinsichtlich der Übergabe von Testdaten bei Cloud-basiertem Testing? Rasking: Das Tückische an der Nutzung von Testdaten in Cloud-basierten Szenarien ist, dass der Testspezialist sich oftmals nicht mehr sicher sein kann, wo die Daten eigentlich gespeichert werden. Schauen Sie sich mal das Testmanagementtool eines Kunden an: Wenn ich in einem Defect eine Fehlerbeschreibung anhänge, die gegebenenfalls personenbezogene Daten enthält wo werden diese Daten dann gehalten? Viele große Unternehmen setzen bereits Software-as-a-Service-Lösungen ein, ohne sich im Klaren zu sein, wo genau ihre Daten nun sind, daher wird es immer wichtiger, mit synthetischen Daten zu arbeiten. Und das, ohne zu wissen und nachvollziehbar zu dokumentieren, welche Daten überhaupt in den Systemen und Werkzeugen gehalten werden. Oswald: Würden Sie Ihren Kunden raten, sich nach neuen Methoden umzusehen, damit künftig keine Produktionsdaten mehr im Softwaretest eingesetzt werden müssen? Rasking: Auf jeden Fall sollten sie diese Möglichkeit in Betracht ziehen, selbst wenn man für bestimmte Tests weiterhin auf produktive Daten angewiesen sein wird. Viele Unternehmen scheuen die Anfangsinvestition, das komplette Testfallportfolio so zu überarbeiten, dass ein Großteil mit synthetischen Daten getestet werden kann. Es wird dabei nur der Datenschutzaspekt betrachtet, nicht aber die enorme Effizienzsteigerung und bessere Planbarkeit von Tests mit synthetischen Daten. Tests werden häufig durch Mitarbeiter der Fachbereiche durchgeführt, die die wichtigsten Szenarien kennen und die in der Produktion relevanten Testdatensätze identifizieren können. Das führt oft dazu, dass Testfälle nur rudimentär beschrieben sind. Dadurch entfällt die Möglichkeit, Testspezialisten für diese Tests einzusetzen, die eventuell aus den Anforderungen effizientere Kombinationsmöglichkeiten und effektivere Testabdeckungen ableiten könnten. Ohne ein systematisch abgeleitetes Testfallportfolio verliert man aber den Überblick der Testabdeckung und damit der Produktqualität. Und zu einer systematischen Ableitung von Testfällen gehört nun mal die Definition der wichtigsten Parameter und damit der benötigten Testdaten. Mit synthetisch erzeugten Testdaten können vielfältige Kombinationen simuliert werden, die die Testabdeckung erhöhen und die Effektivität der Tests steigen lässt. 28 bt 2.2011

umfeld, verwenden zwar häufig selbstgeschriebene Programme, um bei einem Produktionsabzug Datenschutzrichtlinien umzusetzen, aber mittlerweile sind die Werkzeuge in diesem Bereich so flexibel geworden, dass sie auch komplexe Applikationslandschaften (zum Beispiel heterogene SAP- und Nicht-SAP-Systeme) abdecken können. Zudem sollte ein gestuftes System zur Testdatenbereitstellung eingesetzt werden: Für die frühen Teststufen können Testdatengeneratoren eingesetzt werden. Für diese Aktivitäten benötigt man üblicherweise eine geringe Einarbeitungszeit und kann auch wiederverwendbare Aufträge zur Testdatenerzeugung verwalten. Dazu müssen aber die Testfälle entsprechend granular beschrieben werden, damit Testdaten bereits frühzeitig erzeugt werden können. Um gesamte Testumgebungen mit verfremdeten Testdaten zu bestücken, können ebenfalls Werkzeuge zum Einsatz kommen. Diese Aktivitäten benötigen jedoch eine höhere Anfangsinvestition in die Datenmodellierung und in die Ausgestaltung der Prozesse, können dann aber zu einem sehr robusten Service für die Datenbereitstellung ausgebaut werden. Letztendlich ist es also keine Frage des Toolsets, sondern der Prozesse für die Erstellung und Benutzung von Testdaten. Ob Open-Source- oder kommerzielle Lösung verschiedene Aktivitäten wollen unterstützt werden. Matthias Rasking leitet den Bereich Accenture Test Services in Deutschland, Österreich und der Schweiz sowie Accentures globale Testing Community of Practice mit über 13 000 Testspezialisten. Er ist seit mehr als 10 Jahren tätig für Kunden in verschiedenen Industrien in den Bereichen Software- und Systementwicklung und bei der Gestaltung und Implementierung von Testund IT-Prozessen. Neben seinen Projektaufgaben bei Accenture leitet er als Working Group Manager den Bereich Model Development and Maintenance der TMMi foundation, einer Non-Profit-Organisation zur Etablierung von TMMi als Prozessstandardmodell im Testing. Stephan Oswald war nach Ausbildung und Wanderjahren in der IT, von 1993 2007 Geschäftsführender Gesellschafter der Firmen ProConnect Consulting GmbH und PMWarehouse Solution GmbH in den Bereichen Service Delivery RZ und Hochverfügbarkeitslösungen, sowie einer der ersten Anbieter einer Cloud-Lösung für E-Mail-Marketing. Seit Anfang 2010 verantwortet er bei der GFB Softwareentwicklung den Aufbau Marketing und Vertrieb DACH. Mit Q-up, dem Testdatengenerator, treibt er auch hier wieder eine hochinnovative Lösung zum Erfolg. Anzeige PROVIDER APPS OS ANDROID D E-READER Der frische 360 -Blick auf mobile Entwicklungen! SMART R PHONES EDITORS PICK iphone Der frische 360 -Blick auf mobile Entwicklungen iphone, Android und BlackBerry sind nicht mehr wegzudenken aus dem mobilen Leben der Menschen. Tendenz steigend. Mit immer neuen Geräten, neuen Anbietern und einem weiter steigenden Bedarf an Applikationen ist der Hunger nach Informationen in diesem Bereich schier unendlich. Dieser Entwicklung trägt das neue Webportal mobile360.de Rechnung, das über sämtliche Plattformen und Betriebssysteme hinweg berichtet. Zum Fokus des Portals gehören neben der Softwareentwicklung auch der Markt, Trends und Neuigkeiten im Bereich der App Stores sowie die verschiedenen Smartphones und Tablets ein 360 -Blickwinkel auf das Mobile Development. bt mobile360.de 2.2011 29

4 Ausgaben pro Jahr! Jetzt Expertenwissen für IT-Architekten, Projektleiter und Berater abonnieren: Die Schwerpunkte des Hefts: Enterprise Architecture Management Cloud Computing, SOA, BPM Agiles Projektmanagement Change Management Enterprise Integration IT Governance Open Source im Unternehmen

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback