Datenschutz, IT-Compliance & IT-Governance in der Testautomatisierung



Ähnliche Dokumente
Verarbeitung der Eingangsmeldungen in einem Callcenter

Nutzung dieser Internetseite

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

Projektmanagement in der Spieleentwicklung

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Der Schutz von Patientendaten

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Datensicherung. Beschreibung der Datensicherung

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Konsolidierung und Neuimplementierung von VIT. Aufgabenbeschreibung für das Software Engineering Praktikum an der TU Darmstadt

Verjährungsfalle Gewährleistungsbürgschaft. -Unterschiedliche Verjährungsfristen für Mängelansprüche und Ansprüche aus der Gewährleistungsbürgschaft

«PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.»

infach Geld FBV Ihr Weg zum finanzellen Erfolg Florian Mock

Informationssicherheit als Outsourcing Kandidat

Die Post hat eine Umfrage gemacht

Was meinen die Leute eigentlich mit: Grexit?

GPP Projekte gemeinsam zum Erfolg führen

Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems

Alle gehören dazu. Vorwort

Mehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen.

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Was macht Layer2 eigentlich? Erfahren Sie hier ein wenig mehr über uns.

Informationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:

Anmeldeverfahren. Inhalt. 1. Einleitung und Hinweise

ACHTUNG: Voraussetzungen für die Nutzung der Funktion s-exposé sind:

Dieser PDF-Report kann und darf unverändert weitergegeben werden.

SharePoint Demonstration

Datenschutz-Management

ICS-Addin. Benutzerhandbuch. Version: 1.0

Urlaubsregel in David

PIERAU PLANUNG GESELLSCHAFT FÜR UNTERNEHMENSBERATUNG

D i e n s t e D r i t t e r a u f We b s i t e s

Qualität und Verlässlichkeit Das verstehen die Deutschen unter Geschäftsmoral!

.. für Ihre Business-Lösung

Konzentration auf das. Wesentliche.

Welchen Weg nimmt Ihr Vermögen. Unsere Leistung zu Ihrer Privaten Vermögensplanung. Wir machen aus Zahlen Werte

StuPro-Seminar Dokumentation in der Software-Wartung. StuPro-Seminar Probleme und Schwierigkeiten in der Software-Wartung.

Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl

40-Tage-Wunder- Kurs. Umarme, was Du nicht ändern kannst.

L10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Telekommunikation Ihre Datenschutzrechte im Überblick

Schnellstart - Checkliste

Herzlich Willkommen beim Webinar: Was verkaufen wir eigentlich?

Anleitung zum ebanking KOMPLETT - Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Sich einen eigenen Blog anzulegen, ist gar nicht so schwer. Es gibt verschiedene Anbieter. ist einer davon.

Das Leitbild vom Verein WIR

Das Persönliche Budget in verständlicher Sprache

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL

die wichtigsten online-tools für augenoptiker websites

Wann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt?

Leichte-Sprache-Bilder

Spezial. Das System für alle Kostenträger! Elektronischer Kostenvoranschlag. Schnell zu Ihrem Geld: Sofortauszahlung mit egeko cash!

Gemeinsame Erklärung zur inter-kulturellen Öffnung und zur kultur-sensiblen Arbeit für und mit Menschen mit Behinderung und Migrations-Hintergrund.

Wie oft soll ich essen?

Cad-OasEs Int. GmbH. 20 Jahre UG/NX Erfahrung prägen Methodik und Leistungen. Nutzen Sie dieses Wissen!

Danke, dass sie sich für die Infoliste der Moodleveranstaltung eingetragen haben.

Chancen und Potenziale von Cloud Computing Herausforderungen für Politik und Gesellschaft. Rede Hans-Joachim Otto Parlamentarischer Staatssekretär

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Datenschutz. Vortrag am GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße Osnabrück

Catherina Lange, Heimbeiräte und Werkstatträte-Tagung, November

Stellen Sie bitte den Cursor in die Spalte B2 und rufen die Funktion Sverweis auf. Es öffnet sich folgendes Dialogfenster

ZIELE erreichen WERTSTROM. IDEEN entwickeln. KULTUR leben. optimieren. KVP und Lean Management:

Herzlich willkommen bei tetraguard Ihrem Spezialisten für Sicherheitssoftware!

Mobile Intranet in Unternehmen

Kompetenz in Sachen e-business. Interview

Das Handwerkszeug. Teil I

EasyWk DAS Schwimmwettkampfprogramm

Professionelle Seminare im Bereich MS-Office

1. Fabrikatshändlerkongress. Schlussworte Robert Rademacher

Datenschutz im Spendenwesen

Application Lifecycle Management als strategischer Innovationsmotor für den CIO

Behindert ist, wer behindert wird

Gesetzliche Aufbewahrungspflicht für s

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Gruppenrichtlinien und Softwareverteilung

Der schnelle Weg zu Ihrer eigenen App

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

DER SELBST-CHECK FÜR IHR PROJEKT

Checkliste zum Datenschutz

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft- Betriebssystem

Charakteristikum des Gutachtenstils: Es wird mit einer Frage begonnen, sodann werden die Voraussetzungen Schritt für Schritt aufgezeigt und erörtert.

Musterdepot +134% seit Auflegung Trading Depot für alle kurzfristig orientieren Anleger

Multi-Channel E-Commerce. Mehr Umsatz. durch. Multi-Channel-Vertrieb. Jan Griesel

ÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Anleitung zur Daten zur Datensicherung und Datenrücksicherung. Datensicherung

Einrichten einer Festplatte mit FDISK unter Windows 95/98/98SE/Me

-Inhalte an cobra übergeben

M03a Lernstraße für den Unterricht in Sekundarstufe I

Tauschbörsen File Sharing Netze

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Reporting Services und SharePoint 2010 Teil 1

Transkript:

Q-up ist ein Produkt der: Q-up ist ein Produkt der: Aktuelle Informationen Datenschutz, IT-Compliance & IT-Governance in der Testautomatisierung www.q-up-data.com Der Testdatengenerator 1

Inhalt Datenschutz, IT-Compliance & Datenschutz, IT-Compliance + IT-Governance in der Testautomatisierung Einleitung 3 Gesetzliche Anforderung Wahrnehmung und Wirklichkeit 4 Quick Check - Fragen an mein Unternehmen 4 Fragen an Prof. Dr. Wilmer 5 Konsequent ehrlich - Was ist zu tun 7 Fragen an Matthias Rasking 8 Der Ausweg Rechtskonforme Testdaten mit Q-up Ergebnis Quick Check Q-up Funktionen 11 Testsuiten 11 Kontakte & Partner 12 Herausgeber & Redaktion: GFB Softwareentwicklungsgesellschaft mbh Obere Zeil 2 6144 Oberursel Geschäftsführer: Michael Völker HRG: 6789 Amtsgericht Bad Homburg Michael Völker (V.i.S.d.P) Kontakt: info@gfb-softwareentwicklung.de Telefon: + 49 6171-694 Bildrechte: Titel: René Mansi - istockphoto.com Seite 2: bbostjan - istockphoto.com Prill Mediendesign & Fotografie Seite 9: Franck Boston - Fotolia.com Auszüge aus dem Bundesdatenschutzgesetz Alle Copyrights & eingetragenen Zeichen gehören den jeweiligen Unternehmen und Personen 2 Eine Lösung aus der Praxis

Q-up ist ein Produkt der: IT-Governance in der Testautomatisierung Der Autor Stephan Oswald ist zuständig für Vertrieb & Marketing von Q-up bei der GFB Softwareentwicklungsgesellschaft mbh in Oberursel. Stephan.Oswald@GFB Softwareentwicklung.de Herzlich Willkommen Die Qualitäts- und Softwaretestbranche wächst stetig und verzeichnet eine immer größere Beachtung. Heute erzeugte Softwareanwendungen benötigen immer komplexere Testszenarien. Wenn Softwareapplikationen entwickelt und integriert werden, müssen Schnittstellen und Zusammenarbeit auf Herz und Nieren getestet sein, bevor die Software in den Produktionsstand geht. Technologisch ist dies mit Lösungen von verschiedensten Herstellern möglich. Die derzeit wichtigste Aufgabenstellung ist, einen höheren Grad der Automatisierung im Softwaretest zu erreichen, um mit vorhandenen Ressourcen ein breites Spektrum an Testfällen abzudecken. Dahinter verbirgt sich eine ganze Branche mit weltweit ca.. Testmanagern, die mit Dienstleistungen und Tools rund 79 Mrd. umsetzen. Ein Softwaretest ist nur so gut wie die Daten, mit dem die Systeme getestet werden. Abzüge von Produktionsdaten zu verwenden birgt datenschutzrechtliche Folgen, die vielen Unternehmen und Beratern nicht hinreichend bekannt sind. Oft haben Unternehmen zwar Datenschutz-, IT-Compliance und IT-Governance Regeln, doch wie wendet man diese im Softwaretest an? Mit der Nivellierung der europäischen Datenschutzrichtlinien und dem Bekanntwerden von Datenverlusten bei Banken, ist das Thema Testdaten in den Fokus bei Datenschützern und IT-Verantwortlichen gerückt. Zu diesem Thema fragen wir Spezialisten, stellen Fragen an Ihr Unternehmen und zeigen eine mögliche Lösung auf. Wir wünschen Ihnen, alle Richtlinien einzuhalten und zeigen mit dieser Ausgabe, wie Sie die Problematik angehen können. www.q-up-data.com 3

Gesetzliche Anforderung Wahrnehmung und Wirklichkeit Quick Check Die im Quick Check stehenden Fragen sind ein kleiner Ausschnitt dessen, was datenschutzrechtlich beachtet werden muss, wenn mit Daten von Kunden, Auftraggebern, Lieferanten, Partnern und Personal, Software getestet wird. Für die meisten Softwaretests werden keine personenbezogenen Daten benötigt, aber eingesetzt! Wie verhält sich die Software mit diesem oder Millionen von Datensätzen? Ein Datensatz entwickelt und verändert sich über seinen Lebenszyklus derart, dass Testmanager davon ausgehen, dass Softwaretests mit produktiven Daten aus verschiedenen Zyklen relevantere Ergebnisse liefern als solche, die von Hand oder so genannten Testdatengeneratoren erzeugt werden. Dass Abzüge von Produktionsdaten in der Realität verfremdet werden müssen, also die personenbezogene Herkunft eines Datensatzes keine Rückschlüsse auf Fragen an Ihr Unternehmen 1. Nutzt Ihr Unternehmen Produktionsdaten im Softwaretest? 2. Werden diese anonymisiert, also verfremdet, bevor sie für Testzwecke eingesetzt werden? 3. Ist sichergestellt dass Testmanager keine aussagefähigen Produktionsdaten erhalten? 4. Hat Ihr Unternehmen Testdaten schon einmal in ein Land außerhalb der EU gesendet? den Eigentümer ableiten lassen darf, ist bekannt. Nicht bekannt ist, dass der Eigentümer seine Zustimmung zur Verwendung, der Verfremdung, einer Ausfuhr oder Übergabe an Dritte geben muss. In einem Grundsatzpapier der EU steht: Die derzeit geltende Datenschutzregelung der EU zielt darauf ab, die Achtung der Grundrechte natürlicher Personen, insbesondere des Grundrechts auf den Schutz personenbezogener Daten zu garantieren, wie es die EU-Charta der Grundrechte vorsieht. Noch gibt es keine Bestimmungen, wie mit Daten in der Qualitätssicherung umgegangen werden muss. Liest man das Bundesdatenschutzgesetz mit dem Hintergrund Softwaretest, so ist abzuleiten, dass die bisher getroffenen Maßnahmen und derzeitigen Standards nicht mehr ausreichen, um sich vor Missbrauch, Diebstahl und daraus entstehenden zivilrechtlichen Folgen zu schützen. Unternehmen, die hier vorbeugen wollen, müssen jetzt reagieren, um für die Zukunft gerüstet zu sein. Kein Unternehmen kann es sich leisten, in den Fokus datenschutzrechtlicher Ermittlungen zu kommen. Besonders das Aufspüren und der Nachweis, welche Daten wo und von wem verwendet wurden und wann diese zurückgeführt wurden, ist ein mühsamer und langer Prozess, der Ressourcen unnötig bindet. Einmal erzeugte Produktionsdatenabzüge dürften ohne die Einwilligung der betroffenen Personen nicht gelöscht werden, zieht man das Bundesdatenschutzgesetz zu rate, hier geregelt in 11. Es gilt der Merksatz; Es sind genaue Prozesse zu definieren und einzuhalten wenn Daten übergeben und genutzt werden sollen. 5. Hat Ihr Unternehmen eine Einverständniserklärung des Dateneigentümers zur Verwendung personenbezogener Daten im Softwaretest? 6. Hat Ihr Unternehmen einen Prozess definiert, wie mit Testdaten zu verfahren ist, wenn der Testprozess beendet wurde? 7. Werden die Testmanager in Ihrem Unternehmen oder die beauftragter Unternehmen datenschutzrechtlich aufgeklärt? Fazit Überprüfen Sie die Prozesse Ihres Unternehmens auf Änderungen und bestehende Gesetze. Fragen Sie Ihre Testspezialisten nach Möglichkeiten, wie man den Einsatz von Produktionsdaten vermeiden kann. www.bfdi.bund.de/cln_134/de/schwerpunkte/schwerpunkte_node.html www.bfdi.bund.de/cln_134/de/entschliessungen/intdsk/intdsk_node.html www.bfdi.bund.de/cln_134/de/gesetzeundrechtsprechung/gesetze_node.html Das Ergebnis Ihres Quick Checks finden Sie auf Seite. 4 Eine Lösung aus der Praxis

Q-up ist ein Produkt der: Interview Fragen an Prof. Dr. Wilmer Frage: Herr Prof. Dr. Wilmer, im Rahmen des Lissabon Vertrages und angesichts der Entwicklungen im Europäischen Datenschutzrecht, wie sehen Sie die Perspektiven im Umgang mit personenbezogen Daten? In den letzten hren beobachtet man ein steigendes Bewusstsein für die Bedeutung des Datenschutzes. Diese Entwicklung ist meines Erachtens auf zwei Punkte zurückzuführen: Zum einen haben etliche Skandale im Datenschutzbereich dazu geführt, dass in den Unternehmen die Furcht vor Medienskandalen und den zugehörigen Konsequenzen für das Management zugenommen hat. Zum anderen wird es im Zuge des Cloud Computing und anderer neuerer Geschäftsmodelle für Anbieter immer wichtiger, das Vertrauen der Anwender in Datenschutz und Datensicherheit zu stärken. Frage: Gilt dies auch für den Umgang mit Daten zu Testzwecken? Gibt es dort eigene Regelungen? Leider gilt diese Aufmerksamkeit noch nicht für den Bereich des Einsatzes von Produktivdaten zu Testzwecken. In der Beratungspraxis zeigt sich dies bereits daran, dass die Regelung des Datentestens in der Vertragsgestaltung oft nur ungenügend berücksichtigt wird. Viele unterschätzen den Aufwand der Datengenerierung und glauben, man könne problemlos auf existierende Produktivdaten zurückgreifen. Dass diese Daten jedoch vollwertige Daten im Sinne des BDSG und des TMG sind, wird hierbei in der Praxis meist nicht gesehen. Frage: Ist es denn nicht zulässig, Produktivdaten für Tests einzusetzen? Beim Datenschutz gilt ein sogenanntes Verbot mit Erlaubnisvorbehalt. Dies bedeutet, dass jede Datenverwendung durch die sogenannte verantwortliche Stelle von der ursprünglichen Einwilligung gedeckt sein muss. Zum einen sollte daher jeder interne Einsatz von Daten für Testzwecke von der Einwilligung umfasst sein. Dies wäre auch ein weniger kritischer Fall. Problematisch wird es allerdings, wenn der Einsatz von Produktivdaten zu Testzwecken zwar im Haus der verantwortlichen Stelle durchgeführt wird, dabei aber Außenstehende, etwa ein IT-Anbieter Zugang zu den Daten erhält, um das projektierte System zu testen. Prof. Dr. Thomas Wilmer...... ist geschäftsführender Direktor des Instituts für Informationsrecht der Hochschule Darmstadt sowie Datenschutzbeauftragter der Hochschule und Leiter des Masterstudiengangs Internationales Lizenzrecht. Daneben ist er Counsel bei avocado rechtsanwälte. Er ist spezialisiert auf Fragen des Datenschutzrechts und des Softwarerechts, hat zahlreiche Publikationen zum Informationsrecht veröffentlicht und ist regelmäßig als Gutachter und Referent bei Inhouse-Fortbildungen tätig. Mehr Zur Person www.xing.com/profile/thomas_wilmer Fortsetzung umseitig >> www.q-up-data.com 5

Und noch schwieriger wird es, wenn die Daten das Haus zu Testzwecken verlassen, möglicherweise sogar noch eine Übermittlung außerhalb der EU stattfindet. Letzteres geschieht insbesondere in BackUp-Fällen häufiger als gedacht. Frage: Welche Konsequenzen haben solche Verstöße? Verstöße gegen Datenschutzvorschriften können in schweren Fällen Bußgelder bis zu 3..- Euro sowie Freiheitsstrafen bis zu zwei hren nach sich ziehen. Daneben treten natürlich der Imageverlust für das Unternehmen sowie eine mögliche persönliche Haftung des Managements nach Compliance-Grundsätzen Daneben können die Betroffenen natürlich auch ihre Auskunftsrechte geltend machen und so das Unternehmen in Verlegenheit bringen. Frage: Gibt es noch weitere rechtliche Vorgaben zu beachten?, neben der Einordnung als (möglicherweise sogar besondere ) personenbezogene Daten nach dem BDSG können die Daten verschiedenen anderen Institut für Informationsrecht Das Institut für Informationsrecht (i2r), aus dem gleichnamigen Studiengang hervorgegangen, beschäftigt sich mit der Erforschung von Rechtsfragen in den Bereichen: e-commerce, Informationstechnologie, geistiges Eigentum, gewerblicher Rechtschutz, Datenschutz, Recht des e-government sowie anglo-amerikanisches IT-Recht. Dabei stehen im Vordergrund der Aktivitäten des Instituts die Begleitung aktueller technischer Entwicklungen und der sich daraus ergebenden Fragestellungen. Dies gilt etwa für die Fortentwicklung des M-Commerce, für die Frage der Patentierung von Software oder für die Fortentwicklung des e-government. Die Forschungsaktivitäten sind in besonderem Maße anwendungsorientiert und interdisziplinär ausgerichtet, dazu gehört die Begleitforschung zu innovativen Geschäfts- und Prozessmodellen. rechtlichen Vorgaben unterliegen. So kann ihre Preisgabe etwa gegen einen NDA, eine Vertraulichkeitsvereinbarung verstoßen (welche mit einer Vertragsstrafe belegt sein kann), daneben kann es sich je nach Branche auch um Daten handeln, deren Preisgabe wegen Geheimnisverrats strafbar ist. Frage: Haben Sie den Eindruck, dass sich alle Unternehmen dieser Risiken ausreichend annehmen? Aufgrund der zunehmenden Aufmerksamkeit für Datenschutzverstöße sind zwar bestimmte sensible Bereiche wie die Auftragsdatenverarbeitung stärker ins Bewusstsein der Unternehmen gerückt, ich habe aber nicht den Eindruck, dass dies bereits für die Frage der Testdaten gilt. Gerade in Unternehmen, in denen besonders sensible Daten vorhanden sind und geschützt werden müssen, darf dieser Bereich nicht stiefmütterlich behandelt werden. Das Problem der Testphasen hat sich manchen Unternehmen erst durch vertragsrechtliche Fragestellungen erschlossen (wer stellt wann die Testumgebung, wer stellt die Testdaten), oder durch lizenzrechtliche Probleme, die dann entstanden sind, wenn Dritten zu Testzwecken ein lizenzrechtlich untersagter Zugang zum System gewährt werden musste. Datenschutzfragen standen hier bisher hintenan. Frage: Kann man denn die rechtlichen Fragen überhaupt lösen? Sicher ist dies möglich. Entweder man verwendet keine Produktivdaten zum Testen, sondern rein fiktive Daten, oder man hält die auch für Produktivdaten notwendigen Prozedere ein, die natürlich bei der Zugänglichmachung der Daten für Dritte voraussetzen, dass man bereits ganz zu Beginn die entsprechenden Einwilligungen der Betroffenen eingeholt bzw. die notwendigen Prozeduren für die Weitergabe der Daten sicher im Griff hat. Frage: Kann man nicht statt fiktiver Daten auch eine Anonymisierung vornehmen?, dies wäre auch ein gangbarer Weg, er ist oft jedoch genauso aufwendig wie die Generierung von Testdaten, wenn man eine echte Anonymisierung als Ergebnis haben möchte. Es genügt nämlich in aller Regel nicht, in einem Datensatz etwa nur die Namen zu ändern, vielmehr muss ein Rückschluss auf die Identität des Betroffenen sicher ausgeschlossen sein. Bis der Datensatz entsprechend angepasst wurde, ist es oft einfacher, gleich fiktive Datensätze zu verwenden. Herr Prof. Dr. Wilmer, wir danken Ihnen für das Gespräch. 6 Eine Lösung aus der Praxis

Q-up ist ein Produkt der: Konsequent ehrlich Was ist zu tun In Hinsicht auf die abzuleitenden datenschutzrechtlichen Hürden, die das Softwaretesten berühren, müssen alle Prozesse und ausgeführten Testprojekte überprüft werden. Es ist zu prüfen, ob Testfälle, die personenbezogene Produktionsdaten enthalten, aufbewahrt, zurückgeführt oder vernichtet werden können. Es muss geprüft werden, ob die Prozesse zur Übergabe von Daten an interne oder externe Testmanager den gesetzlichen Bestimmungen standhalten. Darüber hinaus ist zu prüfen, wie auf Produktionsdaten verzichtet werden kann oder wie der Prozess so gesteuert wird, dass eine Anonymisierung der Daten dort stattfindet, wo Testmanager und externe Berater sowie deren Erfüllungsgehilfen keinen Zugriff haben. Tests mit Produktivdaten und an Produktivsystemen sind auf ein Minimum zurückzuführen. Der Weg zu rechtskonformen Testdaten im Softwaretest Analyse Konzeptionierung Anonymisierung Synthetisierung Rechtssicherheit Was ist zu tun? Beauftragen Sie Ihren Datenschutzexperten, einen Maßnahmenkatalog zu erstellen. Klären Sie alle Mitarbeiter und Erfüllungsgehilfen über datenschutzrechtliche Konsequenzen auf. Gleichen Sie Ihre IT-Compliance und IT-Governance mit den aktuellen Datenschutzrichtlinien hinsichtlich Ihrer Softwaretestprojekte ab. Prüfen Sie Ihre Prozesse in den Softwaretestprojekten. Spüren Sie Datenpools auf, in denen Produktivdaten vorgehalten werden, und erarbeiten Sie ein Sicherheitskonzept. Dokumentieren Sie alle Aktionen, wenn Produktivdaten Produktionssysteme verlassen, und sorgen Sie für gesicherte Rückführung. Geben Sie keine Produktivdaten an externe Unternehmen. Schicken Sie keine Daten, ob anonymisiert oder originär, in EU Drittstaaten. Verpflichten Sie externe Unternehmen auf Rückführung von Testdaten. Prüfen Sie Ihre Kundensituationen, AGB, Verträge, etc. auf die Verwendung von Daten für Softwaretestzwecke. Lassen Sie Daten für Softwaretests live maskieren oder verfremden, bevor diese für Testzwecke freigegeben werden. Führen Sie diese anschließend gesichert zurück. Bauen Sie sukzessive synthetische Datenpools auf. www.q-up-data.com 7

Interview Fragen an Matthias Rasking Frage: Herr Rasking, Sie sind seit vielen hren im Bereich Softwaretesten tätig. Wie sehen Sie die Entwicklung in den nächsten hren? Testing als Disziplin im Software Engineering wird mehr und mehr wahrgenommen. Im Bereich Test Services gibt es einen regelrechten Hype in Bezug auf Industrialisierung und Zentralisierung, durch Innovationen im Bereich Entwicklungsmethoden, Technologien und Anwendungsformen. Einige Lösungen für Softwaretests werden mit agilen Methoden entwickelt und viele nutzen die Möglichkeiten einer Benutzer-/ Rollenorientierten und durch diese selbst konfigurierbaren Oberfläche. Daraus leite ich einen weiteren Trend ab Testing wird in Zukunft nicht mehr als alleinige Maßnahme für Qualität eines Produktes dienen, Unternehmen fangen an, Qualität bereits in frühen Phasen einzufordern. Frage: Früher wurde Software erst kurz vor der Auslieferung getestet, heute wird der komplette LifeCycle betrachtet. Wie betrachten Sie die Entwicklung bei Accenture intern? Für interne Anwendungen bei Accenture, sind wir vor hren den Weg gegangen ein globales Test Center of Excellence aufzubauen. Wir haben die Lieferzeiten reduziert und sind den gestiegenen Ansprüchen der Berater und Software Ingenieure gerecht geworden. Hierbei spielt die Qualität eine entscheidende Rolle, so wurde zuerst das Berufsbild eines Testers in unserer internen IT geschärft. In Zusammenarbeit mit den Accenture Technology Labs wurden innovative Werkzeuge und Verfahrensweise entwickelt, um für die notwendige Qualität und Konsistenz zu sorgen. Matthias Rasking...... leitet den Bereich Accenture Test Services in Deutschland, Österreich und der Schweiz sowie Accentures globale Testing-Community mit über 12. Testspezialisten. Zudem ist er Leiter der Arbeitsgruppe für Modellentwicklung und -wartung bei der TMMi Foundation. Mehr Zur Person Mehr Zur Person www.xing.com/profile/matthias_rasking Frage: Als Beratungshaus und Technologiefirma dürfen Sie Ihre Kunden rechtlich nicht beraten, was sagen Sie Kunden, die Ihnen Produktionsdaten zum Test andienen? Zunächst einmal ist es wichtig, dass man die Datenquelle als solche überhaupt kennt. Wir führen seit mehreren hren innerhalb von Accenture Schulungsprogramme durch, um auf die Aspekte Datenschutz und Datensicherheit in den verschiedenen Ländern hinzuweisen. Für diese Themen gibt es jährliche Auffrischungsschulungen, die verpflichtend sind. Da Accenture in über 12 Ländern Kunden berät und IT- Projekte umsetzt, ist das lokale Verständnis in Bezug auf Testdaten besonders wichtig. Unsere Testmanager sind geschult, gezielt Fragen über Testdaten zu stellen, um eine erste Risikoanalyse (angelehnt an CobiT und COSO) der zu bearbeitenden Daten durchführen zu können. Anhand dieser Analyse ist dann der Ange- 8 Eine Lösung aus der Praxis

Q-up ist ein Produkt der: botsverantwortliche in der Lage, unsere Kunden auf wichtige Aspekte im Umgang mit Testdaten hinzuweisen, damit wir Kunden zusammen mit deren Datenschutzbeauftragten einen Lösungsweg aufzeigen können. Hier kann Accenture zwar Beispiele für mögliche Lösungswege von anderen Projekten einbringen, die Entscheidung für ein Szenario liegt aber immer beim Kunden. Frage: Wenn Sie offshore Software testen, was ist für Ihre Kunden hinsichtlich personenbezogener Daten zu beachten? Grundsätzlich gehen wir davon aus, dass Daten für Testzwecke entweder anonymisiert sind, oder wir synthetische Daten verwenden können. Der Zugriff auf personenbezogene Daten ist für externe Mitarbeiter ja generell nur in Verbindung mit einem separat aufgesetzten Verfahren möglich. Beim Einsatz von Mitarbeitern in offshore Lokationen treten wiederum besondere Probleme auf, wichtig ist in diesem Kontext, dass offshore keine allgemeingültige Bezeichnung ist, sondern zwischen den entsprechenden Voraussetzungen in EU- und nicht-eu-ländern (also auch Marokko, Ägypten, Brasilien etc) unterschieden werden. Für unsere Kunden haben wir innovative Modelle entwickelt, um bereits in frühen Phasen mit synthetischen Daten zu arbeiten, die sich unsere Testspezialisten selbst erzeugen, um dadurch eine Unabhängigkeit von personenbezogenen Daten zu erlangen. Zusammen mit Werkzeugen, die die Erstellung und Verwaltung von Stubs und Simulatoren für Schnittstellen vereinfachen, können so Werkzeuge zur nachvollziehbaren und automatisierbaren Erzeugung von Testdaten sehr helfen. Frage: Was raten Sie Ihren Kunden hinsichtlich der Übergabe von Testdaten für Ihre Projekte in der Cloud? Das Tückische an der Nutzung von Testdaten in cloud-basierten Szenarien ist, dass der Testspezialist sich oftmals nicht mehr sicher sein kann, wo die Daten eigentlich gespeichert werden. Schauen Sie sich mal das Testmanagement-Tool eines Kunden an: Wenn ich in einem Defect eine Fehlerbeschreibung anhänge, die gegebenenfalls personenbezogene Daten enthält wo werden diese Daten dann gehalten? Viele große Unternehmen setzen bereits Software-as-a-Service Lösungen ein, ohne sich im Klaren zu sein, wo genau ihre Daten nun sind, daher wird es immer wichtiger, mit synthetischen Daten zu arbeiten. Frage: Würden Sie Ihren Kunden raten, sich nach neuen Methoden um zu sehen, damit künftig keine Produktionsdaten mehr im Softwaretest eingesetzt werden müssen? Auf jeden Fall. Viele Unternehmen scheuen die Anfangsinvestition, das komplette Testfallportfolio so zu überarbeiten, dass ein Großteil mit synthetischen Daten getestet werden kann. Es wird dabei nur der Datenschutz-Aspekt betrachtet, nicht aber die enorme Effizienzsteigerung und bessere Nachvollziehbarkeit von Tests mit synthetischen Daten. Tests werden häufig durch Mitarbeiter der Fachbereiche durchgeführt, die die wichtigsten Szenarien kennen und in der Produktion relevanten Testdatensätze identifizieren können. Das führt oft dazu, dass Testfälle nur rudimentär beschrieben sind. Dadurch entfällt die Möglichkeit, Testspezialisten für diese Tests einzusetzen, die eventuell aus den Anforderungen effizientere Kombinationsmöglichkeiten und effektivere Testabdeckungen ableiten könnten. Ohne ein systematisch abgeleitetes Testfallportfolio verliert man aber den Überblick der Testabdeckung und damit der Produktqualität. Mit synthetisch erzeugten Testdaten können jedwede Kombinationen simuliert werden, die Effektivität der Tests steigt kontinuierlich an. Herr Rasking, wir danken Ihnen für das Gespräch. ACCENTURE Accenture ist ein weltweit führender Managementberatungs-, Technologie- und Outsourcing- Dienstleister. Accenture schafft für seine Kunden nachhaltigen Markterfolg und bringt sie auf ihrem Weg zum High Performance-Unternehmen nach vorn. Mit rund 211. Mitarbeitern, die Kunden in über 12 Länder betreuen, erwirtschaftete das Unternehmen im vergangenen Fiskaljahr (zum 31. August 2) einen Nettoumsatz von 21,6 Mrd. US-Dollar. www.q-up-data.com 9

Rechtskonforme Testdaten mit Q-up Anonymisierungsfunktion Projekte Schablonen Aufträge Daten Anweisungen Daten werden mit Q-up live dupliziert, analysiert, anonymisiert, angereichert, dynamisiert Produktivsystem mit Kunden-, Bewegungs- und Produktdaten Ergebnis Quick Check Fragen an Ihr Unternehmen 1. Nutzt Ihr Unternehmen Produktionsdaten im Softwaretest? 2. Werden diese anonymisiert, also verfremdet, bevor sie für Testzwecke eingesetzt werden? 3. Ist sichergestellt dass Testmanager keine aussagefähigen Produktionsdaten erhalten? 4. Hat Ihr Unternehmen Testdaten schon einmal in ein Land außerhalb der EU gesendet? 5. Hat Ihr Unternehmen eine Einverständniserklärung des Dateneigentümers zur Verwendung personenbezogener Daten im Softwaretest? 6. Hat Ihr Unternehmen einen Prozess definiert, wie mit Testdaten zu verfahren ist, wenn der Testprozess beendet wurde? 7. Werden die Testmanager in Ihrem Unternehmen oder die beauftragter Unternehmen datenschutzrechtlich aufgeklärt? Ergebnis: (Punkte) -2 Punkte: Ihr Unternehmen ist gut aufgestellt, justieren Sie nach 3-4 Punkte: Prüfen Sie, wo sich Prozesse verbessern lassen > 5 Punkte: Stellen Sie einen Maßnahmenkatalog zusammen, weisen Sie auf dringenden Handlungsbedarf hin Lösungen aus der Praxis Zu testendes System für das ein Abbild realer Daten benötigt wird Mit einer Aufgabenstellung begann für die GFB Softwareentwicklungsgesellschaft mbh aus Oberursel, was heute Q-up, die Standardsoftware für rechtskonforme Daten im Softwaretest, ist. Q-up ist ein Multifunktionswerkzeug, um die Brücke zwischen Produktionsdaten und Testdaten zu schlagen. So können nahezu alle Quellen gelesen und in alle Ziele geschrieben werden. Sowohl parallel als auch sequenziell. Die Aufgabe, die eine Lösung zur Erzeugung von Testdaten erbringen muss, heißt nicht Daten zu erzeugen oder einfach zu verfremden. Q-up liest die fachliche Logik einer Datenbank, Anwendung oder eingelesener Files und simuliert und ergänzt in Teilen oder erzeugt vollständig neue Datensätze. Ob ein einfaches Textfile, ein komplexes XML File oder direkt in Datenbanken hinein, Q-up erzeugt Daten für nahezu jede Anforderung. Bei Erstellung von Inserts für Datenbanken berücksichtigt Q-up die referentielle Integrität. Einmal erzeugte Daten können jederzeit wieder hergestellt werden, ohne Testdaten abspeichern zu müssen. Hierdurch spart Q-up Maintenancekosten. Abgelegt in hierarchisch gegliederten Projekten können sie Testfällen zugeordnet und mit diesen abgespeichert werden. Darüber hinaus, kann Q-up von jeder Testsuite aus gesteuert werden und liefert direkt Daten an diese zurück. Stand alone ist Q-up als Migrationswerkzeug oder zur Testdatenverfremdung (Anonymisierung, Maskierung) einsetzbar. Eine Lösung aus der Praxis

Q-up ist ein Produkt der: Q-up Funktionen ü Erzeugen synthetischer Daten, Files und Datenpools üteil und Live Anonymisierung von Produktionsdaten für Softwaretests ü Simulieren der fachlichen Logik in Testdaten ü Dynamisierung von Testdaten und Simulation historisch gewachsener Daten ü Berücksichtigung der referentiellen Integrität Mit den Assistenten für Oracle und SQL können schnell und einfach die fachliche Logik von Datenbanken ausgelesen werden und synthetische Datenpools oder Livedaten erzeugt werden, um Applikationen und Datenbanken zu testen. Durch die konsequente Weiterentwicklung von Q-up wird es künftig für den kompletten Life Cycle von Softwareprojekten möglich sein, Testdaten in Form und Anzahl auf Knopfdruck zu erzeugen. ü Kostenreduktion bei Maintenance und Testdatenerstellung ü Einfache Integration in alle gängigen Testsuiten testsuiten www.q-up-data.com 11

Der Testdatengenerator Assistenten für Oracle & SQL Datenbanken - Einfaches Auslesen fachlicher Logik - Automatisches Erzeugen von Q-up Projekten - Berücksichtigung referentieller Integrität Testdatenverfremdung Compliance & Datenschutz - live Anonymisierung von Produktionsdaten - Sicherheit für externe Testteams & Auftraggeber - Sichere Datenmigration in neue Systeme Integration in alle gängigen Testsuiten Exzellenter Service und Support. Denn das macht den Unterschied. Sie haben Fragen zu diesem Beispielprojekt, zu Q-up oder wünschen eine ausführliche Beratung? Nutzen Sie unsere kostenlose Service-Hotline*: 8 7873282 * aus dem deutschen Festnetz, Mo.-Fr. -13 Uhr und 14-17 Uhr Bezugsquellen und Support: GFB Softwareentwicklungsgesellschaft mbh Obere Zeil 2 6144 Oberursel Tel.: +49 () 6171 694- Fax.: +49 () 6171 694-11 info@gfb-softwareentwicklung.de www.gfb-softwareentwicklung.de 12 Eine Lösung aus der Praxis

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback