Sicherheitslücken finden: Intelligentes und automatisiertes Testen von vernetzten Programmen
Die fortschreitende Digitalisierung stellt viele kleine und mittlere Unternehmen (KMU) vor große Herausforderungen. Konfrontiert mit dem Wunsch Produkte zu vernetzen, entsteht vermehrter Bedarf für IT-Sicherheit in der Software- und Produktentwicklung. Die damit verbundenen Kosten sind für viele KMU jedoch oft kaum wirtschaftlich. Auch Großunternehmen, die über entsprechende fachliche Expertise verfügen, werden immer wieder von Sicherheitslücken in ihren Produkten überrascht. In der Breite einsetzbare, intelligente und automatisierte IT-Sicherheitstests versprechen eine höhere Wirtschaftlichkeit und reduzierte Komplexität.
In der Vergangenheit wurden für das Aufspüren von Sicherheitslücken in erster Linie statische Analysemethoden gewählt. Zum Überprüfen komplexer Softwareprodukte sind diese jedoch sehr ineffizient. Fuzzing, also das automatisierte Testen von Softwareprogrammen mithilfe von vielen, zufälligen Eingabedaten, kann hier Abhilfe schaffen. Moderne Fuzzing-Ansätze nutzen selbstlernende Algorithmen, um das Testverfahren zu verbessern.
Ziel des Vorhabens „Automatische Programmanalyse für Schwachstellenerkennung in Netzwerkapplikationen mittels Fuzzing (KMU-FUZZ)“ ist die Erforschung von Fuzzing-Methoden für Netzwerkapplikationen und deren benutzungsfreundliche Bereitstellung für KMU. Zunächst erforschen und optimieren die Konsortialpartner entsprechende Testmethoden. Dabei stellt die Zustandsabhängigkeit der Netzwerkkommunikation, d.h. die protokollarisch festgelegte Abfolge von Nachrichten zum erfolgreichen Verbindungsaufbau, eine besondere Herausforderung dar. Im nächsten Schritt stehen KMU-spezifische Anforderungen zur Anwendung dieser Tests im Vordergrund. Fuzz-Tests müssen in KMU verbreitete, proprietäre Netzwerkprotokolle unterstützen. Außerdem gilt es, benutzungsfreundliche Umsetzungsmöglichkeiten von Fuzzing zu erforschen, da Sicherheitstests in KMU häufig nicht von hinreichend spezialisierten Fachexpertinnen und -experten durchgeführt werden.
Die Nachfrage nach automatisierten Sicherheitstests spiegelt sich auch im Bestreben der großen IT-Konzerne wider, die an ähnlichen Lösungen forschen. Entsprechend sind die Erwartungen an künftige Entwicklungen basierend auf den Forschungsergebnissen hoch.
Die fortschreitende Digitalisierung schafft stetig neue Anwendungsbereiche für diese Art automatisierter Sicherheitstests. Beispielsweise können Komponenten für das Smart Home oder verschiedene Elemente des Cloud Computing durch solche Tests besser abgesichert werden. Die Notwendigkeit für mehr IT-Sicherheit in diesen Bereichen spiegelt sich auch in der Einführung des EU-Gütesiegels für vernetzte Geräte wider. Die Ergebnisse von KMU-FUZZ haben das Potenzial, mit Methoden und Werkzeugen zur Güteprüfung solcher Geräte und Produkte beizutragen.