13. August 2019

Testdaten in der Cloud: Datenschutz sicherstellen

Gesetzliche Bestimmungen wie die Europäischen Datenschutzgrundverordnung (EU-DSGVO) haben den Umgang mit personenbezogenen Daten verändert: Das gilt nicht nur für gespeicherte Kunden- oder Personaldaten, sondern auch für Daten, die für die Entwicklung, für Softwaretests und zu Schulungszwecken verwendet werden. Die strengen Vorschriften verbieten die Verwendung sensibler Informationen für andere Zwecke als die, zu denen sie erhoben wurden. Daher dürfen sie nicht in einer Entwicklungsumgebung eingesetzt werden. Geschieht das dennoch, können saftige Strafen drohen.

Bevor eine Software im Produktivbetrieb eingesetzt wird, muss sie verschiedene Testphasen durchlaufen. Dafür werden typkonforme Daten benötigt, die den späteren Echtzeitbetrieb simulieren. Viele Unternehmen kopieren deshalb den Datenbestand aus dem produktiven System einfach ins Testsystem und verwenden diese als Testdaten. Das ist jedoch ein Albtraum für jeden Datenschützer. Hinzu kommt, dass Testdaten besondere Anforderungen erfüllen müssen, wenn sie für fach- und branchenspezifische Software – zum Beispiel für Finanzdienstleister – eingesetzt werden. Diese unterliegen nicht nur einer speziellen Form, sondern auch strengen Datenschutzbestimmungen wie dem PCI DSS (Payment Card Industry Data Security Standard).

Trotz der gesetzlichen Regelungen müssen die Testszenarien aber natürlich möglichst realitätsnah sein. E-Mail-Adressen müssen beispielsweise noch als E-Mail-Adressen erkennbar sein, Geburtsdaten müssen formal immer noch Geburtsdaten entsprechen, um die gleichen Fehler zu provozieren, die später im normalen Betrieb auftreten können.

Für Unternehmen bedeutet das, sie benötigen eine Lösung, die Testdaten nach allen relevanten Gesetzes- und Compliance-Vorgaben erstellen kann und dennoch gewährleistet, dass keine Rückschlüsse auf die Originaldaten gezogen werden können. Die Testdatengenerierung von eperi gewährleistet eine flexible Tokenisierung und garantiert, dass Unternehmen die Testdaten ganz nach den eigenen Anforderungen konfigurieren und somit einzelne Parameter jederzeit anpassen können.

Speziell für die Verwendung bei Testdaten hat eperi einen Tokenizer für aussprechbare Zeichenketten hinzugefügt. Ein Beispiel: Der Test eines CRM-Systems kann dazu führen, dass jemand telefonisch den Namen eines Kontoinhabers an jemand anderen weitergeben muss. Das wäre mit zufällig generierten Zeichenketten (wie Xbfegt) sehr mühsam und kann zu Missverständnissen führen.

Darüber hinaus können Kunden ihre eigenen Tokenizer entwerfen. Damit können beispielsweise relevante Teile der Live-Kreditkartendaten so anonymisiert werden, dass sie später dem Format von Dummy-Zahlungskarten entsprechen.

Die generierten Werte können entweder die statistische Verteilung der Originalwerte darstellen oder völlig unabhängig davon sein (= eindeutige Token). Außerdem können die Kunden mit dem eperi Gateway alle Zeilen einer Spalte auf die gleichen Zieldaten setzen oder sicherstellen, dass bestimmte Spalten in der Zieltabelle ganz weggelassen werden, um Daten zu reduzieren. Und sie können entscheiden, ob sie den Originalwert beibehalten wollen, um die erzeugten Daten bei Bedarf wieder auf ihren Originalwert zurücksetzen zu können oder ob sie sie verwerfen möchten.

Das alles ist mit geringen Kosten verbunden: Es sind keine Änderungen an der Zielanwendung erforderlich, sodass der Integrationsaufwand minimal ist. Auch bei unterschiedlichen Quell- und Zieldatenbanktypen in Test- und Produktionsumgebung (wie beispielsweise DB2 und Oracle) ist die eperi Testdatengenerierung problemlos einsetzbar. 

Elmar_Eperiesi_Beck-eperi

Elmar Eperiesi-Beck ist Gründer und CEO der eperi GmbH.

 

Quelle Titelbild: eperi