Forscher arbeiten derzeit an einem Security-Testing, das sich auch ohne Software-Experten durchführen lässt.

Bild: Fraunhofer IEM

IT-Sicherheit Schnelle Security-Tests ohne Software-Experten

19.06.2020

Regelmäßige Kontrollen gewährleisten die IT-Sicherheit in Unternehmen. Die Tests sind jedoch technisch aufwendig und erfordern hohes Expertenwissen. Vier Fraunhofer-Institute schließen sich nun in einem neuen Projekt zusammen, um kostengünstige und leicht anwendbare Security-Testings zu entwickeln.

Komplexe Softwaresysteme sind beides: wichtige Grundlage einer vernetzten Industrie und Sicherheitsrisiko. Regelmäßige Kontrollen schützen, sind aber auch kompliziert.

„Unsere Vision ist ein IT-Sicherheitstest, der aktuellste Testmethoden kombiniert und damit unterschiedlichste Sicherheitsrisiken zuverlässig aufdeckt“, erklärt Prof. Eric Bodden, Direktor Forschungsbereich Softwaretechnik und IT-Sicherheit am Fraunhofer IEM, das Ziel des Forschungsprojekts IntelliSecTest. Unternehmen erhalten verständliche Analyseberichte, um auch ohne eigene Software-Experten eine Ersteinschätzung in puncto IT-Security zu fällen.“

Betriebe ohne IT-Expertise gewinnen so ein Stück Unabhängigkeit und Eigenkontrolle. Aber auch Zertifizierern oder Herstellern von Software könnte das Testwerkzeug die Arbeit deutlich erleichtern.

Verständliche und automatisierte Sicherheitsanalyse

Bis das Security-Testing einsatzbereit ist, steht den beteiligten Fraunhofer-Instituten eine voraussichtlich dreijährige Entwicklungsphase bevor. Sie werden dabei von der Fraunhofer-Gesellschaft mit 3,5 Millionen Euro gefördert.

Zunächst strukturieren und kombinieren die Institute aktuelle Test-Technologien: Dazu sollen die statische und die dynamische Codeanalyse mit Techniken der Testfallgenerierung zu einer vollautomatischen, intelligenten Testing-Software, einem sogenannten Fuzzer, verbunden werden. Mit Methoden der Künstlichen Intelligenz werden alle Ansätze dann zu einem wirkungsvollen Werkzeug verknüpft.

Das künftige Security-Testing soll eine automatisierte statische und dynamische Analyse von IT-Systemen ermöglichen. Die Stärke des Werkzeugs, das im White-Box-Verfahren direkt den Quellcode betrachtet, liegt im präzisen Erkennen von Softwareschwachstellen in C/C++-Programmcode. Zusätzlich planen die Wissenschaftler verständlich aufbereitete Analyseberichte, die auch Nicht-IT-Experten eine effiziente und kostengünstige Beurteilung von Sicherheitsrisiken direkt im Programmcode ermöglichen.

IT-Expertise aus vier Fraunhofer-Instituten

Im Projekt IntelliSecTest bündeln folgende vier Fraunhofer-Institute ihre Kompetenzen:

  • Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC: Das Fraunhofer AISEC verfügt mit seiner Abteilung „Sichere Betriebssysteme“ über tiefgehende Expertise auf dem Gebiet der Absicherung hardwarenaher Softwarekomponenten. Neben der Entwicklung von neuen Mechanismen zum Schutz von Software, beispielsweise in Form von Compiler-Erweiterungen für Control-Flow Integrity (CFI) und Memory Safety, sind systematische Sicherheitstests und insbesondere das Fuzzing von Software ein Forschungsschwerpunkt, der in das Projekt eingebracht wird.

  • Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE: Die Abteilung „Cyber Analysis & Defense“ des Fraunhofer FKIE verfügt über ausgewiesene Kenntnisse auf dem Feld der Programmanalyse. Dabei setzt sie sowohl statische als auch dynamische Ansätze ein. In den letzten Jahren sind Ansätze wie LuckyCat, Kleak und Fuzzer für verschiedene Anwendungen entstanden. Basierend auf diesen Ansätzen wird das Fraunhofer FKIE insbesondere seine Expertise in den Bereichen Ausführung, Reporting, statische und dynamische Analyse einbringen.

  • Fraunhofer-Institut für offene Kommunikationssysteme Fokus: Der Fokus-Geschäftsbereich Quality Engineering (SQC) ist Ansprechpartner für alle Fragen rund um die Absicherung, Bewertung und Optimierung der Qualität softwarebasierter Systeme. Die Wissenschaftler arbeiten an der Qualitätssicherung softwarebasierter Systeme über den gesamten Entwicklungsprozess, um schon in frühen Entwicklungsphasen eines Produktes Fehler zu erkennen und zu beheben. SQC verfügt über langjährige Erfahrungen mit Testmethoden speziell im Security-Testing und hier Fuzzing, und berät unter anderem das BSI zum Einsatz von Fuzzing in Common-Criteria-Zertifizierungsverfahren. Mit Fuzzino steht zudem eine Basistechnologie zur Verfügung, die im Projekt weiterentwickelt werden soll.

  • Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM: Das Fraunhofer IEM besitzt mit seiner Abteilung „Softwaretechnik und IT-Sicherheit“ umfangreiches Wissen in hochpräzisen und effizienten Verfahren der statischen Codeanalyse, insbesondere zur Erkennung von Sicherheitsschwachstellen. In Kooperation mit dem Lehrstuhl Softwaretechnik des Heinz-Nixdorf-Instituts wird unter anderem das Werkzeug Phasar zur statischen Analyse von C/C++-Programmcode entwickelt. Das Fraunhofer IEM bringt seine Expertise und das Analysewerkzeug ein und koordiniert das Gesamtprojekt.

Begleitkreis des Projekts

IntelliSecTest arbeitet mit einem externen Begleitkreis mit Vertretern aus Politik, Industrie und Forschung zusammen. Die Mitglieder sind:

  • Thomas Caspers, Leiter des Fachbereichs Evaluierung und Betrieb von Kryptosystemen beim Bundesamt für Sicherheit in der Informationstechnik (BSI)

  • Dr. Kai Martius, Chief Technology Officer bei Secunet Security Networks

  • Prof. Dr. Thorsten Holz, Lehrstuhl Systemsicherheit an der Ruhr-Universität Bochum

Förderprogramm Prepare

Das Projekt IntelliSecTest wird im Fraunhofer-Programm Prepare gefördert. IntelliSecTest ist dabei das erste reine Softwareprojekt in der Förderlinie seit Längerem.

Das Ziel von Prepare ist die institutsübergreifende, anspruchsvolle Vorlaufforschung zur Vorbereitung neuer Geschäftsfelder. 2020 startet die Förderlinie mit den ersten zwölf Projekten. Das Projektvolumen beträgt insgesamt 37,4 Millionen Euro.

Bildergalerie

  • Ziel des Projekts IntelliSecTest ist es, ein Tool zur präzisen Erkennung von Softwareschwachstellen zu entwickeln.

    Bild: Fraunhofer IEM

Verwandte Artikel