Automatisierte Bedrohungsmodellierung für den sicheren Softwarelebenszyklus
Unerkannte Fehler in einer Software können sich in deren weiteren Entwicklung fortpflanzen. Mit jedem Entwicklungsschritt wird es aufwendiger und kostenintensiver, diese Fehler zu beheben. Somit nimmt auch die Bedrohungslage durch Cyberattacken immer weiter zu. Zwar existieren automatisierte Werkzeuge, die beim Testen und Implementieren von Software unterstützen. Werkzeuge, die das sichere Design von Software automatisiert unterstützen, sind allerdings selten. Diese Herausforderung ist in der Softwareindustrie bekannt, weshalb es die Empfehlung gibt, das sichere Design im Entwicklungsprozess gegenüber dem Testen zu priorisieren. In der Praxis geschieht dies aber meist noch sehr manuell und lückenhaft.
Ziel des Projekts „Automatisierte Bedrohungsmodellierung für den sicheren Softwarelebenszyklus“ (OVVL) ist die automatisierte Unterstützung beim sicheren Design von Software während des gesamten Softwarelebenszyklus. Für diese anspruchsvolle Aufgabe müssen mehrere Teilanforderungen erforscht und in das im Projekt zu entwickelnde Softwaresystem integriert werden. Dazu gehören eine Methodik und Werkzeuge für automatisierte Bedrohungsanalysen sowie Datenstrukturen und offene Schnittstellen, die auch in späteren Entwicklungsstufen anwendbar sind. Darüber hinaus adressieren domänenspezifische Bedrohungsanalysen individuelle Anwendungsbereiche, wie etwa die Automatisierungstechnik und das Gesundheitswesen. Die Projektpartner setzen auf dem an der Hochschule Offenburg entwickelten Open-Source-Tool OVVL als technologische Grundlage für ihr innovatives und anwendungsnahes Entwicklungskonzept auf.
Im Projekt OVVL werden komplexe wissenschaftliche Methoden, wie der Einsatz Künstlicher Intelligenz (KI) zur automatisierten Bedrohungsanalyse, mit praxisorientierten Anforderungen an den Datenschutz und domänenspezifischen Einsatzmöglichkeiten kombiniert. Das aus dem Projekt hervorgehende Softwaresystem bietet Entwicklerinnen und -entwicklern die Möglichkeit, eine KI-gestützte Überprüfung ihrer Programme durchzuführen und so die IT-Sicherheitsanforderungen bereits beim Design von Software zielgerichteter zu berücksichtigen.