Forschungsprojekt

IT-Sicherheit schnell und einfach prüfen

Komplexe Softwaresysteme sind beides: Wichtige Grundlage unserer vernetzten Industrie und gleichzeitig Sicherheitsrisiko. Die Sicherheit ihrer IT-Systeme können Unternehmen in regelmäßigen Kontrollen überprüfen. Aber: Die raffinierten Tests sind technisch aufwendig und erfordern hohes Expertenwissen. Im Forschungsprojekt „IntelliSecTest“ schließen sich vier Fraunhofer-Institute zusammen, um effiziente, kostengünstige und leicht anwendbare Security-Testings zu entwickeln.

Fraunhofer-Forscher arbeiten an einer innovativen Lösung für hochautomatisiertes Security Testing von Softwareanwendungen. © Fraunhofer IEM

„Unsere Vision ist ein IT-Sicherheitstest, der aktuellste Testmethoden kombiniert und damit unterschiedlichste Sicherheitsrisiken zuverlässig aufdeckt. Unternehmen erhalten verständliche Analyseberichte, um auch ohne eigene Software-Experten eine Ersteinschätzung in puncto IT-Security zu fällen“, schildert Prof. Eric Bodden (Direktor Forschungsbereich Softwaretechnik und IT-Sicherheit am Fraunhofer IEM und Leiter des Lehrstuhls Softwaretechnik am Heinz Nixdorf Institut der Universität Paderborn) das Ziel des Forschungsprojektes „IntelliSecTest“. Betriebe ohne eigene IT-Expertise könnten dann mit diesem Security-Testing-Werkzeug ein Stück Unabhängigkeit und Eigenkontrolle gewinnen. Aber auch Zertifizierern oder Herstellern von Software soll das Testwerkzeug die Arbeit deutlich erleichtern.

Anspruchsvolle Vorlaufforschung mit Praxisblick
Bis das Security-Testing einsatzbereit ist, steht den beteiligten Fraunhofer-Instituten AISEC, IEM, FKIE und FOKUS eine voraussichtlich dreijährige Entwicklungsphase bevor, in der sie von der Fraunhofer-Gesellschaft mit 3,5 Millionen Euro gefördert werden. Die Forschungsinstitute strukturieren und kombinieren zunächst aktuelle Test-Technologien: Dazu sollen die statische und die dynamische Codeanalyse mit Techniken der Testfallgenerierung zu einer vollautomatischen, intelligenten Testing-Software, einem sogenannten Fuzzer, verbunden werden. Mit Methoden der Künstlichen Intelligenz werden alle Ansätze zu einem wirkungsvollen Werkzeug verknüpft.

Anzeige

Das künftige Security-Testing soll eine automatisierte statische und dynamische Analyse von IT-Systemen möglich machen. Als Stärke des Werkzeugs, das im White Box-Verfahren direkt den Quellcode betrachtet, wird das präzise Erkennen von Softwareschwachstellen in C/C++-Programmcode genannt. Als weiteres Plus planen die Wissenschaftlerinnen und Wissenschaftler verständlich aufbereitete Analyseberichte, die auch Nicht-IT-Experten eine effiziente und kostengünstige Beurteilung von Sicherheitsrisiken direkt im Programmcode ermöglichen.

Ein Tool zur präzisen Erkennung von Softwareschwachstellen: Das ist das Ziel des Projektes IntelliSecTest. © Fraunhofer IEM

IT-Expertise aus vier Fraunhofer-Instituten
Um das Testing-Werkzeug mit den aktuellsten Technologien aus der IT-Security-Forschung auszustatten, bündeln im Projekt Intellisectest vier Fraunhofer-Institute ihre Kompetenzen: 

• Fraunhofer AISEC: Das Fraunhofer AISEC verfügt mit seiner Abteilung „Sichere Betriebssysteme“ über tiefgehende Expertise auf dem Gebiet der Absicherung hardwarenaher Softwarekomponenten. • Fraunhofer FKIE: Die Abteilung Cyber Analysis & Defense des Fraunhofer FKIE verfügt über ausgewiesene Expertise auf dem Feld der Programmanalyse.
• Fraunhofer FOKUS: Der FOKUS-Geschäftsbereich Quality Engineering (SQC) ist Ansprechpartner für alle Fragen rund um die Absicherung, Bewertung und Optimierung der Qualität softwarebasierter Systeme. Die Wissenschaftler arbeiten an der Qualitätssicherung softwarebasierter Systeme über den gesamten Entwicklungsprozess – also von der Anforderungsanalyse bis zur Zertifizierung – um schon in frühen Entwicklungsphasen eines Produktes Fehler zu erkennen und zu beheben.
• Fraunhofer IEM: Das Fraunhofer IEM verfügt mit seiner Abteilung Softwaretechnik und IT-Sicherheit über tiefgreifende Expertise in hochpräzisen und effizienten Verfahren der statischen Codeanalyse, insbesondere zur Erkennung von Sicherheitsschwachstellen. In Kooperation mit dem Lehrstuhl Softwaretechnik des Heinz Nixdorf Instituts wird u.a. das Werkzeug Phasar zur statischen Analyse von C/C++-Programmcode entwickelt. Das Fraunhofer IEM bringt seine Expertise und das Analysewerkzeug ein und koordiniert das Gesamtprojekt.

Externer Begleitkreis
Das Projekt IntelliSecTest arbeitet mit einem externen Begleitkreis mit Vertretern aus Politik, Industrie und Forschung zusammen. Die Mitglieder sind
• Thomas Caspers (Leiter des Fachbereichs Evaluierung und Betrieb von Kryptosystemen, Bundesamt für Sicherheit in der Informationstechnik (BSI))
• Dr. Kai Martius (Chief Technology Officer, secunet Security Networks AG)
• Prof. Dr. Thorsten Holz (Lehrstuhl Systemsicherheit, Ruhr-Universität Bochum)

Zusatzinformation zum Projekt
Das Projekt "IntelliSecTest" wird mit 3,5 Millionen Euro über drei Jahre im Fraunhofer-Programm Prepare gefördert. Es ist seit längerer Zeit das erste reine Softwareprojekt in der Förderlinie ist. "PREPARE" ist eine Förderlinie der Fraunhofer-Gesellschaft mit dem Ziel der institutsübergreifenden, anspruchsvollen Vorlaufforschung zur Vorbereitung neuer Geschäftsfelder, PREPARE startet 2020 mit den ersten zwölf Projekten. Das Projektvolumen beträgt insgesamt 37,4 Millionen Euro.

Quelle: Fraunhofer-Institut für Entwurfstechnik Mechatronik

Anzeige

Das könnte Sie auch interessieren

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige