Unternehmen öffnen ihre IT immer mehr für Kunden und Partner. Bei Integration und Softwaretests vernachlässigen sie jedoch IT-Compliance und Datenschutz. Das hat die von der Hamburger Beratungsfirma Steria Mummert Consulting durchgeführte Studie "Corporate Governance" herausgefunden. [...]
Internetkriminalität wird auch für Unternehmen immer mehr zum Problem. Allein in Deutschland stieg nach einer Erhebung des Bundeskriminalamts (BKA) die Anzahl der Online-Straftaten im Jahr 2010 um 190 Prozent im Vergleich zum Vorjahr. Ein Grund dafür liegt in der zunehmenden Vernetzung der Unternehmen mit ihren Kunden und Geschäftspartnern, die über das Internet und mit mobilen Anwendungen teilweise direkt auf Backend-Applikationen zugreifen können.
Die IT muss deshalb im Rahmen einer Corporate Governance speziellen Compliance-Anforderungen gerecht werden. Allerdings haben knapp einem Drittel der Unternehmen noch keine verbindlichen Corporate Governance-Regeln eingeführt. Das hat die von der Hamburger Beratungsfirma Steria Mummert Consulting durchgeführte Studie „Corporate Governance“ herausgefunden. Die Hamburger Beratungsfirma befragte dafür 350 Fach- und Führungskräfte in Unternehmen mit mehr als 100 Mitarbeitern.
Aufgeschlüsselt nach Branchen fehlt es vor allem im Handel an festen Compliance-Regeln. Dort haben nur 40 Prozent der Befragten schriftlich niedergelegte Standards. Bei Transport und Logistik sind es 49 Prozent, in der Energie- und Wasserversorgung 70 Prozent. Branchenübergreifend gibt es nur bei rund einem Drittel der Firmen einen schriftlich fixierten Corporate Governance-Bericht.
Doch an den Schnittstellen zwischen dem Internet und den mobilen Apps auf der einen und den Business-Systemen auf der anderen Seite lauern viele Gefahren und Risiken. Da Kunden und Partner durch die Self-Services immer näher an die zentralen IT-Systeme heranrücken, müssen alle miteinander verbundenen IT-Komponenten zuverlässig und compliancekonform arbeiten und entsprechend getestet werden.
Schon der Ausfall eines Online-Shops oder mit dem falschen Preis ausgezeichnete Produkte und Waren in einem Webshop können die Reputation eines Unternehmens nachhaltig beschädigen. Hinzu kommt der finanzielle Schaden. Im einfachsten Fall gehen die Verkaufszahlen zurück. Sind vertrauliche Kundendaten in Internet öffentlich einsehbar drohen zudem rechtliche Konsequenzen in Form von Bußgeldern und Schadensersatzklagen.
Speziell Softwaretests sind häufig noch nicht auf dem Radar in der IT-Governance von Unternehmen. Das führt dazu, dass Compliance-Abteilungen die Probleme und Risiken unterschätzen, die durch Softwarefehler entstehen, die auf nachlässige Tests zurückzuführen sind. Zwar wird der mögliche Ausfall eines Systems durch technische Defekte bewertet, doch bisher kaum Fehlfunktionen, die aufgrund mangelnder oder ungenügender Testläufe auftreten.
Gibt es Änderungen in der Software, müssen Unternehmen die mit Kunden und Partnern verbundenen IT-Anwendungen wie auch das IT-Gesamtsystem gründlich testen. Ein weiteres Problem ist, dass IT-Abteilungen für die Testfälle oft Teildatenbestände aus der Produktionsumgebung oder Bewegungsdaten wie Auftragsdaten, Bestellungen oder Abrechnungssätze nutzen.
Damit verletzen sie jedoch Regelungen des Bundesdatenschutzgesetzes (BDSG), zugleich laufen sie Gefahr, dass sensible Daten öffentlich werden. Dazu muss eine Brücke zwischen qualitativ hochwertigen Regressionstests, darunter versteht man die Wiederholung aller oder eines Teils der Testfälle, und einer datenschutzrechtlich unbedenklichen Bereitstellung von Testdaten geschlagen werden. Möglich ist dies, indem die Fachbereiche sich schon bei der Testfallbeschreibung Gedanken über die notwendige Qualität von Testdaten machen.
Nach Ansicht von Steria Mummert müssen die Fachbereiche und die IT-Organisation bei Softwaretests auch enger mit der internen Compliance-Abteilung zusammenarbeiten. So ist bei der Entscheidung, ob Massentests, automatisierte Tests oder manuelle Tests durchgeführt werden sollen, zwischen Testaufwand und Fehlerrisiko abzuwägen.
* Der Autor ist Redakteur des CIO-Magazins.
Be the first to comment