IT AUDIT - IT-Systemprüfung IDW PS 330/IDW EPS 850 | Softwarezertifizierung IDW PS 880 | Internes Kontrollsystem (IKS) IDW PS 261/PS 951 | GDPdU | Interne Revision | IT-Risikomanagement | SOX Compliance | IT Governance | IT Assurance

InfoCenter

Datenschutz

10.08.2006: Nach einer Umfrage riskieren 64 Prozent der Unternehmen Verstöße gegen datenschutzrechtliche Bestimmungen.

Nach einer Umfrage unter über 100 deutschen IT-Führungskräften von Compuware in Zusammenarbeit mit NIFIS (Nationale Initiative für Internet-Sicherheit e.V.) nutzen 64 Prozent der IT-Entscheidungsträger echte Kundendaten für Anwendungstests. Damit liegt ein Verstoß gegen datenschutzrechtliche Regelungen vor, das mit Bußgeldern oder anderen Maßnahmen nach dem Bundesdatenschutzgesetz (BDSG) geahndet werden kann. Das Gesetz verbietet es Unternehmen, Ist-Daten für andere Zwecke zu nutzen als für die, derentwegen sie erhoben wurden.

36 Prozent der Befragten gaben bei der Umfragen zudem an, dass sie mit dem Inhalt des DSG nicht umfassend vertraut sind. Trotz zahlreicher brisanter Fälle von Betrug, Spam und Cyberkriminalität sorgen also viele Firmen noch immer nicht dafür, dass ihre Verfahren für den Datenschutz so strikt wie möglich konzipiert werden, so die Mahnung der Studienautoren. "Unternehmen haben ausreichend Zeit gehabt, um sich mit den notwendigen Maßnahmen zum Datenschutz vertraut zu machen und entsprechend zu implementieren", kritisiert Fuchsberger. "Wenn sie keine durchgängigen Verfahren einsetzen, riskieren sie, dass Kundendaten unbemerkt an Dritte gelangen. Dies kann nicht nur ernsthafte Auswirkungen auf das Vertrauen der Kunden und auf den Ruf des Unternehmens haben, sondern auch das Geschäftsergebnis beeinträchtigen."

Eine weitere Möglichkeit zum Missbrauch für geschützte Daten ergibt sich durch den anhaltenden Trend zum Outsourcing von IT-Aufgaben, bei dem auch persönliche Kundendaten an externe Unternehmen weitergeleitet werden. Allerdings geben immerhin 53 Prozent der Unternehmen an, bei derartigen Vorgängen Vertraulichkeitsvereinbarungen mit den beauftragten Dienstleistern abzuschließen. Für die Verfasser der Studie geht dies nicht weit genug. Sie fordern eine lückenlose Dokumentation über die Verwendung von Daten.

Software-Testumgebungen seien von Natur aus unsichere Orte für sensible Daten, so Fuchsberger. Nahe liegend wäre es, keine Kundendaten für Tests zu nutzen, wodurch jedoch keine guten Tests durchgeführt werden könnten. Sofern nicht umfangreiche Datenmengen genutzt werden, die eine Anwendung komplett und gründlich unter "Live-Bedingungen" testet, ist die Wahrscheinlichkeit von Fehlern im späteren Live-Einsatz sehr hoch, so Fuchsberger. Daher haben Unternehmen die Wahl, zeit- und kostenaufwändig umfassende Testdaten zu schaffen und entsprechend zu nutzen oder aber Daten zu desensibilisieren, was einige Felder jedoch ungültig machen könnte.

Der Tipp des Managing Direktors ist deshalb die Anonymisierung der Daten. Durch den konsistenten Austausch bekannter Daten wie Namen, Adressen, Kunden-, Konto- oder Versicherungsnummern mit anderen plausiblen Werten können Kundendaten so anonymisiert werden, dass von diesen nicht mehr auf die Person zurückgeschlossen werden kann, sie aber noch immer vom System in der ganzen Organisation verarbeitet werden können. Zudem bleiben wichtige Felder intakt.

(Quelle: www.ebigo.de)

[ Zurück ]