64 Prozent der Unternehmen riskieren Verstöße gegen Bundesdatenschutzgesetz - Compuware-Untersuchung deckt auf: Viele Unternehmen missbrauchen Kundendaten

Dreieich/ Frankfurt am Main (ots) - Eine Umfrage von Compuware in
Zusammenarbeit mit NIFIS (Nationale Initiative für
Internet-Sicherheit) ergab, dass 64 Prozent der
IT-Entscheidungsträger echte Kundendaten für Anwendungstests nutzen.
Damit gehen sie das Risiko von Bußgeldern oder anderen Maßnahmen nach
dem Bundesdatenschutzgesetz (BDSG) ein. Das Gesetz verbietet es
Unternehmen, Ist-Daten für andere Zwecke zu nutzen als für die,
derentwegen sie erhoben wurden. Die Untersuchung wurde unter über 100
deutschen IT-Führungskräften durchgeführt.

Trotz zahlreicher, hoch brisanter Fälle von Betrug, Spam und
Cybercrime sorgen Unternehmen noch immer nicht dafür, dass ihre
Verfahren für den Datenschutz so strikt wie möglich konzipiert
werden. Obwohl das Bundesdatenschutzgesetz bereits 1990 in Kraft
trat, gaben 36 Prozent der IT-Entscheidungsträger an, dass sie nicht
umfassend mit dem Gesetz vertraut sind. So kann es nicht verwundern,
dass ein erheblicher Teil der Befragten das Risiko eines Verstoßes
gegen das BDSG eingeht, indem sie ohne Beachtung
datenschutzrechtlicher Vorschriften echte Kundendaten zum Testen von
Anwendungen nutzen.

"Unternehmen haben ausreichend Zeit gehabt, um sich mit den
notwendigen Maßnahmen zum Datenschutz vertraut zu machen und
entsprechend zu implementieren", kommentiert Gerald Pfeiffer, Manager
Solutions Delivery bei Compuware. "Wenn sie keine stringenten
Verfahren einsetzen, riskieren sie, dass Kundendaten unbemerkt an
Dritte gelangen. Dies kann nicht nur ernsthafte Auswirkungen auf das
Vertrauen der Kunden und auf den Ruf des Unternehmens haben sondern
auch das Geschäftsergebnis beeinträchtigen."

Die Untersuchungsergebnisse legen nahe, dass dokumentiert werden
muss, wie und zu welchem Zweck IT-Abteilungen Kundendaten nutzen.
Darüber hinaus hat sich die Datenschutzproblematik auch dadurch
verschärft, dass in den letzten Jahren viele Unternehmen Arbeiten an
externe Dienstleister auslagern. Dabei ist nicht immer
ausgeschlossen, dass Angestellte von Outsourcing-Unternehmen
vertrauliche Informationen weitergeben. Allerdings geben immerhin 53
Prozent der Befragten an, bei der Vergabe von Softwaretests an
externe Partner Vertraulichkeitsvereinbarungen (Non Disclosure
Agreements oder NDAs) abzuschließen.

"Unternehmen müssen ihre Maßnahmen zum Schutz von
personenbezogenen Daten überdenken, damit diese nicht in die Umgebung
der Anwendungstests gelangen", so Pfeiffer weiter. "Test-Umgebungen
sind von Natur aus unsichere Orte für die Verarbeitung von echten
Kundendaten, auch deshalb, weil Ausdrucke und Test-Blätter während
der Tests neben PCs liegen gelassen werden. Wenn die Kundendaten nach
außen gelangen müssen die Unternehmen mit Bußgeldern rechnen. Der
mögliche Imageschaden kann jedoch deutlich schlimmer sein."

"Die datenschutzrechtlich saubere Vorgehensweise ist gestuft. In
der Testphase werden keine Echtdaten, sondern spezielle Testdaten
verwendet. Erst wenn die Software qualitätsgesichert und getestet
ist, sind Praxiserprobungen mit Echtdaten zulässig, wenn dabei die
Vorgaben des BDSG beachtet werden", erläutert Dr. Thomas Lapp,
Vorstand des NIFIS e.V.

Ein naheliegendes Vorgehen wäre es, keine Kundendaten für Tests zu
nutzen, doch das ist nicht so einfach. Sofern Unternehmen nicht
umfangreiche Datenmengen nutzen, die eine Anwendung komplett und
gründlich unter "Live-Bedingungen" testen, ist die Wahrscheinlichkeit
von Fehlern im späteren Live-Einsatz sehr hoch. Daher haben
Unternehmen die Wahl, entweder zeit- und kostenaufwändig umfassende
Testdaten zu schaffen, die für den Zweck der Anwendung geeignet sind,
oder Daten zu desensibilisieren, was einige Felder jedoch ungültig
machen könnte. Der Anwendungstest wäre damit unvollständig.

Eine Möglichkeit zur Lösung dieses Problems ist die Anonymisierung
der Daten. Durch den Austausch bekannter Werte, wie z.B. Adressen,
mit anderen Werten können Kundendaten anonymisiert werden, sodass von
diesen nicht mehr auf die Person zurück geschlossen werden kann, sie
aber noch immer vom System in der ganzen Organisation verarbeitet
werden können. Dabei bleiben wichtige Felder intakt, wie z.B. die
Postleitzahl. Dieser Prozess kann automatisiert werden, damit
menschliches Versagen ausgeschlossen wird.

"Warum sollte man Daten in einer unsicheren Umgebung schützen,
wenn das Problem von Anfang an vermieden werden kann", fragt Gerald
Pfeiffer. "Die Lösung des Problems ist keineswegs einfach. Allerdings
können Organisationen die Herausforderung annehmen, indem sie
ganzheitlich auf ihre Geschäftsprozesse blicken und darauf schauen,
wie Kundendaten von den Anwendungen, die diese Prozesse unterstützen,
genutzt werden. Mit dieser Analyse kann dann bestimmt werden, welche
Daten für einen Gebrauch beim Anwendungstest anonymisiert werden
müssen. Dieser Ansatz ermöglicht es den Unternehmen, eine Anwendung
umfassend zu testen, ohne dass sensible Informationen eingesehen
werden können oder unbemerkt nach außen gelangen."

###

Compuware Corporation

Compuware (Nasdaq: CPWR) hilft IT-Verantwortlichen ihre
IT-Organisation effektiver zu steuern und dadurch den Beitrag der
Informationstechnologie (IT) zum Unternehmenserfolg zu maximieren.
Compuware-Lösungen beschleunigen die Entwicklung, verbessern die
Qualität und steigern die Performance geschäftskritischer Systeme.
Dadurch werden CIOs in die Lage versetzt, das gesamte
IT-Leistungsspektrum auf die Geschäftsziele auszurichten und die
Effizienz der Abläufe, die Produktivität der IT-Mitarbeiter sowie die
Gesamtkosten zu optimieren. 1973 gegründet, verfügt Compuware heute
über mehr als 30 Jahre Erfahrung im Bereich unternehmenskritischer
Informationstechnologie. Im deutschsprachigen Raum vertrauen mehr als
2.000 Unternehmen den Produkten und Dienstleistungen von Compuware.

NIFIS

NIFIS Nationale Initiative für Internet-Sicherheit e.V. ist die
Selbsthilfeorganisation der Wirtschaft, um Unternehmen im Kampf gegen
die wachsenden Gefahren aus dem Internet technisch, organisatorisch
und rechtlich zu stärken. Hierzu will NIFIS Konzepte für den Schutz
vor Angriffen aus dem Datennetz entwickeln, in pragmatische Lösungen
umsetzen und der Wirtschaft zur Verfügung stellen. NIFIS fällt damit
im Datenverkehr eine ähnliche Rolle zu wie einem Automobilclub im
Straßenverkehr.

Originaltext: Compuware GmbH
Digitale Pressemappe: http://presseportal.de/story.htx?firmaid=18059
Pressemappe via RSS : feed://presseportal.de/rss/pm_18059.rss2

Pressekontakt:

Mareike Jacobshagen
Compuware GmbH, Dreieich
Tel.: 06103-9488-186
E-Mail: mareike.jacobshagen@de.compuware.com

Volker Ludwig
NIFIS e.V., Frankfurt
Tel.: 069-4 01 47-1 42
E-Mail: volker.ludwig@nifis.de

Johannes Kaiser
Hotwire, Frankfurt
Tel.: 069-256693-35
E-Mail: johannes.kaiser@hotwirepr.com