CRITICALMATE

Bessere Software dank Sicherheitsüberprüfung während der Entwicklung

Softwareentwicklerinnen und -entwickler erhalten schon während des Programmierens Rückmeldung zu Sicherheitslücken.© Gorodenkoff – Adobe Stock

Motivation

Mit zunehmender Digitalisierung steigen die Anforderungen an den Datenschutz ständig. Dies erfordert Maßnahmen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu sichern. Bei Anwendungen wie beispielsweise Interneteinkäufen, Home Banking oder der elektronischen Steuererklärung ist ein zuverlässiger Datenschutz unverzichtbar. Kryptografische Programmbibliotheken in der Softwareentwicklung bilden eine essenzielle Grundlage für die Verschlüsselung von Daten zum Schutz vor unberechtigtem Zugriff. Durch fehlerhafte Verwendung dieser Bibliotheken können allerdings schnell Programmierfehler entstehen, die die erstellte Verschlüsselung unsicher und angreifbar machen. Solche Sicherheitslücken sollten möglichst schon während der Entwicklung erkannt und behoben werden.

Ziele und Vorgehen

Im Projekt CRITICALMATE (Cybersecurity static analysis with immediate feedback) wird ein Prüfwerkzeug entwickelt, das Softwareentwicklern bereits in ihrer Entwicklungsumgebung eine sofortige Rückmeldung zu sicherheitskritischen Fehlern gibt, so dass sie diese sofort beheben können. Die Prüfgenauigkeit und die Qualität der Rückmeldung werden mit Maschinellem Lernen stetig verbessert. Um die Nutzung des Prüfwerkzeugs unabhängig von der verwendeten Entwicklungsumgebung zu erlauben, wird ein standardisiertes Kommunikationsprotokoll entwickelt. Die ständige Anpassung der Prüfregeln an die aktuellen Sicherheitsanforderungen wird über ein Regel-Austausch-Protokoll abgebildet. Dieses ermöglicht es den verschiedenen Regelanbietern - wie Herstellern von Prüfwerkzeugen oder offiziellen Stellen wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) - neue Prüfregeln einzupflegen.

Innovationen und Perspektiven

Das entwickelte Prüfwerkzeug ermöglicht eine direkte Fehlerkorrektur ohne die vorherige Prüfung durch einen Sicherheitsbeauftragten. Durch die offene Regelschnittstelle kann das Prüfwerkzeug stets Sicherheitsüberprüfungen nach dem aktuellen Stand der Technik garantieren und wird auch zukünftige, bisher unbekannte Bedrohungen erkennen. Da das Werkzeug in beliebigen Entwicklungsumgebungen eingesetzt werden kann, spricht CRITICALMATE einen großen Markt von Softwareentwicklern an. Infolgedessen ist mit einer signifikanten Verringerung von Programmierfehlern und Sicherheitslücken bei neu- und weiterentwickelter Software zu rechnen. Dies ist insbesondere relevant vor dem Hintergrund der aktuellen Diskussion, Gewährleistungsansprüche und Produkthaftung auch bei Softwareprodukten zu etablieren. Mit den Ergebnissen des Vorhabens kann die RIGS IT ein erweitertes effektives Prüfwerkzeug anbieten und Software-Entwicklerinnen und Entwickler als neue Zielgruppe direkt adressieren. Die deutschen Unternehmenskunden erhalten mit CRITICALMATE die Möglichkeit, die Auswirkungen menschlicher Fehler bei der Programmierung zu minimieren. Dies erhöht die Sicherheit und Zuverlässigkeit von in Deutschland hergestellter Software und stärkt somit Deutschland als IT-Standort. Zudem werden Bürgerinnen und Bürger zukünftig weniger durch Auswirkungen von Softwarefehlern in Anwendungen in ihrem Alltagsleben beeinträchtigt.