Softwaretests gefährden IT-Compliance Softwaretests gefährden IT-Compliance - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


06.08.2012 Andreas Schaffry*

Softwaretests gefährden IT-Compliance

Unternehmen öffnen ihre IT immer mehr für Kunden und Partner. Bei Integration und Softwaretests vernachlässigen sie jedoch IT-Compliance und Datenschutz. Das hat die von der Hamburger Beratungsfirma Steria Mummert Consulting durchgeführte Studie "Corporate Governance" herausgefunden.

© apa

Internetkriminalität wird auch für Unternehmen immer mehr zum Problem. Allein in Deutschland stieg nach einer Erhebung des Bundeskriminalamts (BKA) die Anzahl der Online-Straftaten im Jahr 2010 um 190 Prozent im Vergleich zum Vorjahr. Ein Grund dafür liegt in der zunehmenden Vernetzung der Unternehmen mit ihren Kunden und Geschäftspartnern, die über das Internet und mit mobilen Anwendungen teilweise direkt auf Backend-Applikationen zugreifen können.

Die IT muss deshalb im Rahmen einer Corporate Governance speziellen Compliance-Anforderungen gerecht werden. Allerdings haben knapp einem Drittel der Unternehmen noch keine verbindlichen Corporate Governance-Regeln eingeführt. Das hat die von der Hamburger Beratungsfirma Steria Mummert Consulting durchgeführte Studie "Corporate Governance" herausgefunden. Die Hamburger Beratungsfirma befragte dafür 350 Fach- und Führungskräfte in Unternehmen mit mehr als 100 Mitarbeitern.

Aufgeschlüsselt nach Branchen fehlt es vor allem im Handel an festen Compliance-Regeln. Dort haben nur 40 Prozent der Befragten schriftlich niedergelegte Standards. Bei Transport und Logistik sind es 49 Prozent, in der Energie- und Wasserversorgung 70 Prozent. Branchenübergreifend gibt es nur bei rund einem Drittel der Firmen einen schriftlich fixierten Corporate Governance-Bericht.

Doch an den Schnittstellen zwischen dem Internet und den mobilen Apps auf der einen und den Business-Systemen auf der anderen Seite lauern viele Gefahren und Risiken. Da Kunden und Partner durch die Self-Services immer näher an die zentralen IT-Systeme heranrücken, müssen alle miteinander verbundenen IT-Komponenten zuverlässig und compliancekonform arbeiten und entsprechend getestet werden.

Schon der Ausfall eines Online-Shops oder mit dem falschen Preis ausgezeichnete Produkte und Waren in einem Webshop können die Reputation eines Unternehmens nachhaltig beschädigen. Hinzu kommt der finanzielle Schaden. Im einfachsten Fall gehen die Verkaufszahlen zurück. Sind vertrauliche Kundendaten in Internet öffentlich einsehbar drohen zudem rechtliche Konsequenzen in Form von Bußgeldern und Schadensersatzklagen.

Speziell Softwaretests sind häufig noch nicht auf dem Radar in der IT-Governance von Unternehmen. Das führt dazu, dass Compliance-Abteilungen die Probleme und Risiken unterschätzen, die durch Softwarefehler entstehen, die auf nachlässige Tests zurückzuführen sind. Zwar wird der mögliche Ausfall eines Systems durch technische Defekte bewertet, doch bisher kaum Fehlfunktionen, die aufgrund mangelnder oder ungenügender Testläufe auftreten.

Gibt es Änderungen in der Software, müssen Unternehmen die mit Kunden und Partnern verbundenen IT-Anwendungen wie auch das IT-Gesamtsystem gründlich testen. Ein weiteres Problem ist, dass IT-Abteilungen für die Testfälle oft Teildatenbestände aus der Produktionsumgebung oder Bewegungsdaten wie Auftragsdaten, Bestellungen oder Abrechnungssätze nutzen.

Damit verletzen sie jedoch Regelungen des Bundesdatenschutzgesetzes (BDSG), zugleich laufen sie Gefahr, dass sensible Daten öffentlich werden. Dazu muss eine Brücke zwischen qualitativ hochwertigen Regressionstests, darunter versteht man die Wiederholung aller oder eines Teils der Testfälle, und einer datenschutzrechtlich unbedenklichen Bereitstellung von Testdaten geschlagen werden. Möglich ist dies, indem die Fachbereiche sich schon bei der Testfallbeschreibung Gedanken über die notwendige Qualität von Testdaten machen.

Nach Ansicht von Steria Mummert müssen die Fachbereiche und die IT-Organisation bei Softwaretests auch enger mit der internen Compliance-Abteilung zusammenarbeiten. So ist bei der Entscheidung, ob Massentests, automatisierte Tests oder manuelle Tests durchgeführt werden sollen, zwischen Testaufwand und Fehlerrisiko abzuwägen.

* Der Autor ist Redakteur des CIO-Magazins.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr
  • APC Business Services GmbH

    APC Business Services GmbH IT-Personalbereitstellung, Individual-Softwareentwicklung, IKT-Consulting mehr
  • eyepin GmbH

    eyepin GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, Programmierung, Übernahme von Softwareprojekten mehr
  • Dicom Computer VertriebsgesmbH

    Dicom Computer VertriebsgesmbH WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzkomponenten, Mobile Lösungen und Applikationen,... mehr

Hosted by:    Security Monitoring by: