Worum geht es?
Für Systemtests, Abnahmetests oder Fehlersuche werden Daten benötigt, die realitätsnah sind. Ansonsten sind Testergebnisse möglicherweise nicht belastbar. Gleichzeitig ist es riskant, einfach produktive Echtdaten in Test- oder Entwicklungsumgebungen zu kopieren: Dort gelten oft schwächere Zugriffsrechte, Logs und Schutzmaßnahmen, und es arbeiten dort mehr und andere Personen (z. B. Entwickler, externe Dienstleister) als diejenigen, die eigentlich mit den Daten umgehen dürfen. Dadurch können vertrauliche Betriebsinformationen oder personenbezogene Daten offengelegt, manipuliert oder zweckentfremdet werden.
Das Ziel des Controls ist ein Ausgleich: Testdaten sollen valide Testergebnisse liefern, gleichzeitig müssen sensible Inhalte geschützt bleiben.
Was empfiehlt die ISO 27002?
Testdaten sollten laut Kapitel 833 der ISO 27002 so ausgewählt und verarbeitet werden, dass Testergebnisse belastbar sind und gleichzeitig die Vertraulichkeit relevanter Betriebsinformationen gewahrt bleibt. Sensible Informationen – insbesondere personenbezogene Daten – sollten grundsätzlich nie in Entwicklungs- und Testumgebungen kopiert werden. Wo realistische Daten erforderlich sind, sind Schutzmaßnahmen verpflichtend und müssen nachgewiesen werden können.
Gleiche Zugangssteuerung wie in Produktion
Testumgebungen sollten nicht leichter zugänglich sein als produktive Systeme. Wenn etwa für das Produktivsystem Multi-Faktor-Authentifizierung und rollenbasierte Rechte gelten, sollte das auch für die Testumgebung gelten – nicht alle Entwickler sind also z. B. automatisch Admin.
Separate Freigabe je Kopiervorgang
Jedes Kopieren von echten Betriebsinformationen in eine Testumgebung sollte explizit und in jedem Einzelfall genehmigt werden.
Kopieren und Nutzung protokollieren (Audit-Trail)
Kopiervorgänge und die Verwendung der Daten sollten so dokumentiert werden, dass ein Testpfad nachvollziehbar ist. Wer hat den Export erstellt? Wann wurde in die Testumgebung importiert? Welche Testfälle wurden ausgeführt? Wann sind die Daten wieder gelöscht worden?
Sensible Inhalte entfernen oder maskieren
Wenn echte Informationen für Tests genutzt werden müssen, sollten sensible Inhalte entfernt, anonymisiert oder maskiert werden (z. B. Namen, Kontonummern, Gesundheitsdaten). In einem CRM-Testdump werden Namen durch Zufallswerte ersetzt, E-Mail-Adressen auf so etwas „user123@example.test“ gesetzt und vor allem Freitextfelder geleert, weil dort oft vertrauliche Inhalte stehen.
Testdaten nach Abschluss ordnungsgemäß löschen
Betriebsinformationen dürfen nicht dauerhaft in Testumgebungen verbleiben. Nach Ende des Tests sollten sie unverzüglich und entsprechend der definierten Verfahren gelöscht werden.
Zusätzlich sollten Testdaten sicher gespeichert werden, um Manipulationen zu verhindern (sonst werden Testergebnisse wertlos), und ausschließlich für Testzwecke verwendet werden.
Fazit
Gerade System- und Abnahmetests benötigen oft große Datenmengen, die produktiven Daten möglichst ähneln. Das erhöht den Druck, echte Daten zu kopieren und in der Praxis ist genau das oft der schnellste Weg zu realistischen Tests. Ein kritisches und im Zweifel auch rechtswidriges Vorgehen.
Ein gutes Testdaten-Management stellt sicher, dass Tests belastbar sind, ohne dass sensible Informationen unnötig verbreitet werden. Wer Kopieren, Zugriff, Maskierung und Löschung konsequent regelt und nachweist, reduziert Compliance-Risiken deutlich.
Organisationen sollten daher prüfen,
- ob es verbindliche Regeln gibt, wann und wie Betriebsdaten in Testumgebungen gelangen dürfen (inkl. separate Freigabe je Kopiervorgang),
- ob Testumgebungen mit denselben Zugangs- und Schutzmaßnahmen abgesichert sind wie Produktionsumgebungen (Rollen, MFA, Protokollierung),
- ob Maskierung/Anonymisierung von Testdaten praktikabel umgesetzt ist (inkl. Regeln für Freitextfelder und Anhänge),
- ob das Kopieren und die Nutzung von Testdaten nachvollziehbar dokumentiert wird (Audit-Trail/Testpfad),
- ob Testdaten nach Abschluss zeitnah und nachweisbar gelöscht werden (und keine dauerhaften Datenkopien in Testsystemen verbleiben).