Corporate Governance

Softwaretests gefährden IT-Compliance

05.10.2011
Von 
Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und von 2006 bis 2015 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.
Weitere Artikel des Autors

Schon der Ausfall eines Online-Shops oder mit dem falschen Preis ausgezeichnete Produkte und Waren in einem Webshop können die Reputation eines Unternehmens nachhaltig beschädigen. Hinzu kommt der finanzielle Schaden. Im einfachsten Fall gehen die Verkaufszahlen zurück. Sind vertrauliche Kundendaten in Internet öffentlich einsehbar drohen zudem rechtliche Konsequenzen in Form von Bußgeldern und Schadensersatzklagen.

Unzureichende Software-Tests

Speziell Softwaretests sind häufig noch nicht auf dem Radar in der IT-Governance von Unternehmen. Das führt dazu, dass Compliance-Abteilungen die Probleme und Risiken unterschätzen, die durch Softwarefehler entstehen, die auf nachlässige Tests zurückzuführen sind. Zwar wird der mögliche Ausfall eines Systems durch technische Defekte bewertet, doch bisher kaum Fehlfunktionen, die aufgrund mangelnder oder ungenügender Testläufe auftreten.

Schriftlich festgelegte Compliance-Berichte sind in den meisten Firmen noch nicht etabliert.
Schriftlich festgelegte Compliance-Berichte sind in den meisten Firmen noch nicht etabliert.
Foto: Steria Mummert

Gibt es Änderungen in der Software, müssen Unternehmen die mit Kunden und Partnern verbundenen IT-Anwendungen wie auch das IT-Gesamtsystem gründlich testen. Ein weiteres Problem ist, dass IT-Abteilungen für die Testfälle oft Teildatenbestände aus der Produktionsumgebung oder Bewegungsdaten wie Auftragsdaten, Bestellungen oder Abrechnungssätze nutzen.

Zu wenig Datenschutz

Damit verletzen sie jedoch Regelungen des Bundesdatenschutzgesetzes (BDSG), zugleich laufen sie Gefahr, dass sensible Daten öffentlich werden. Dazu muss eine Brücke zwischen qualitativ hochwertigen Regressionstests, darunter versteht man die Wiederholung aller oder eines Teils der Testfälle, und einer datenschutzrechtlich unbedenklichen Bereitstellung von Testdaten geschlagen werden. Möglich ist dies, indem die Fachbereiche sich schon bei der Testfallbeschreibung Gedanken über die notwendige Qualität von Testdaten machen.

Nach Ansicht von Steria Mummert müssen die Fachbereiche und die IT-Organisation bei Softwaretests auch enger mit der internen Compliance-Abteilung zusammenarbeiten. So ist bei der Entscheidung, ob Massentests, automatisierte Tests oder manuelle Tests durchgeführt werden sollen, zwischen Testaufwand und Fehlerrisiko abzuwägen.

Zur Startseite