News/Blog

30.04.2020

Testdatenmanagement – innovative Lösungsansätze für eine strategische Herausforderung

Viele IT-Abteilungen beschäftigen sich aktuell intensiv mit dem Thema Testdatenmanagement. Vor dem Hintergrund der DSGVO suchen Unternehmen nach alternativen Lösungen zum Testen mit Produktivdaten. Über neue Lösungsansätze sprechen wir mit dem Testmanagement-Experten Christian Alexander Graf.

 

Herr Graf, warum ist das Testen mit Produktivdaten so problematisch?

Die DSGVO sieht mit dem Artikel 5 ganz klar vor, dass für Softwaretests keine Produktivdaten verwendet werden dürfen. Dies verstößt gegen die eindeutige Zweckbestimmung der Datenerhebung und den Grundsatz der Datenminimierung. In jüngerer Zeit sehen wir, dass dieses Vorgehen konsequenter von den Revisionsabteilungen und den Behörden moniert wird. Für Verstöße gegen die DSGVO sind hohe Strafzahlungen vorgesehen.

Das Bild zeigt die Silhouette eines Menschen, der sich eine Übersicht für Testdaten und Unternehmensdaten als Hologramm dargestellt, anschaut. [Bildnachweis: iStock.com/ConceptCafe]

Viele Unternehmen suchen jetzt schnelle Lösungen und investieren zum Beispiel in die Entwicklung von kurzfristigen Anonymisierungslösungen. Ist damit die Herausforderung „keine Produktivdaten für den Softwaretest“ aus Ihrer Sicht gelöst?

Mit einer Anonymisierung von Produktivdaten kann das Problem zwar kurzfristig behoben werden, ist aber nicht strategisch gelöst. Bei solchen Lösungen werden Daten mit Hilfe von Skripten in eine Testdatenbank migriert, wobei gleichzeitig die Anonymisierung der Daten vorgenommen wird. Diese Daten veralten allerdings schnell und die Migration muss für den nächsten Test zumindest inkrementell wiederholt werden. Außerdem muss sorgfältig geprüft werden, welche Datenfelder anonymisiert werden müssen. Mit einem einfachen ‚Schwärzen‘ eines Feldes ist das nicht getan, weil natürliche Personen auch über sogenannte ‚Quasi-Identifier‘ einem Datensatz zugeordnet werden können. Bei einem ‚Update‘ der Testdatenbank muss daher immer wieder geprüft werden, ob die Anonymisierung auch wirklich noch eine Anonymisierung ist.

Natürlich ist es nachvollziehbar, dass Unternehmen bei einer Monierung durch Revision oder Behörden eine schnelle Lösung suchen, aber strategisch sollte besser auf ein Konzept mit synthetischen Daten gesetzt werden.

Was verstehen Sie unter einem „Konzept mit synthetischen Daten“?

Unter synthetischen Testdaten verstehe ich Daten, die spezifisch und passgenau für Tests generiert worden sind und keinen Bezug zu einer natürlichen Datenquelle haben. Sie sind also nicht aus vorhandenen Produktivdaten gewonnen worden. Damit sind sie unter keinen Umständen noch irgendwie personenbezogen.

Synthetische Daten haben nicht nur den unbestreitbaren Vorteil, dass sie vollständig DSGVO-konform sind, sondern sie bringen für den Softwaretest noch viele weitere Vorteile mit sich.

Welche Vorteile meinen Sie im Besonderen?

Synthetische Testdaten können gezielt für den jeweiligen Testfall erstellt werden. Und die Tests können beliebig oft wiederholt werden, weil sich die Testdaten nicht „verbrauchen“, sondern immer wieder neu generiert werden können. Ein Problem ist oftmals auch, dass für bestimmte Testszenarien keine passenden Testdaten im Produktivsystem vorhanden sind – mit synthetisch generierten Testdaten können jederzeit alle erforderlichen Tests durchgeführt werden. In der eben diskutierten Situation der Migration aus Echtdaten werden diese oft immer noch zusätzlich händisch angelegt, was viel Arbeit macht.
Von Vorteil ist dies auch bei der Neu-Einführung von Software. Die Tests der neuen Software können bereits vor der Migration der Daten aus dem Altsystem durchgeführt werden. Und natürlich reduziert sich mit der Strategie „synthetische Testdaten“ der Aufwand für das Testdatenmanagement deutlich, weil die wiederkehrende Testdatensuche und Anonymisierung entfallen.

Im Rahmen der DSGVO muss u.a. auch die korrekte Umsetzung von Löschkonzepten getestet werden. Dafür werden auch Daten „mit entsprechender Vergangenheit“ benötigt. Ist dies auch mit synthetischen Daten realisierbar?

Nicht nur für Löschkonzepte, sondern auch für den Test von HCM-Szenarien oder für Tests von Banken- und Versicherungssoftware sind Daten „mit Vergangenheit“ essenziell – immer dort, wo Verträge oder Konten mit einem Lebenszyklus für Tests benötigt werden. Mit einem leistungsfähigen Tool ist dies auch kein Problem – synthetische Daten mit Vergangenheit können in jeder erforderlichen Konstellation – auch in großen Mengen für Last- und Performancetests generiert werden.

Vielen Dank für das Gespräch!

 


Christian Alexander Graf berät Unternehmen zu Teststrategien, Datenanalysen und IT-Sicherheit. Er ist Dozent für Statistik an der iubh München und Dozent für IT-Sicherheit an der DHBW in Mannheim.
Er ist Buchautor und hat etliche Fachartikel zu unterschiedlichen Themen rund um die Qualitätssicherung verfasst.

Das Gespräch führte Isabella Rieger, Head of Marketing and Sales, FMC GmbH.

 

Erfahren Sie mehr darüber, wie Sie mit succest suite synthetische Testdaten mit Historie für Ihre Software-Tests generieren.


‹ zurück