Kommunikation und Marketing

SoftSCheck findet Sicherheitslücken in Software

Dienstag, 2. März 2010

Software kann nicht fehlerfrei erstellt werden. Trotz herkömmlicher Tests sind sporadische Betriebsausfälle und unbeabsichtigter Datenabfluss die häufigsten Folgen sicherheitsrelevanter Fehler. Das führt zu hohen Umsatzausfällen, möglichen rechtlichen Konsequenzen oder zu unbeabsichtigten Verstößen gegen den Datenschutz.

"Wir identifizieren Sicherheitslücken, die andere nicht finden. Die im Forschungsprojekt entwickelten Verfahren bewähren sich in der Praxis schon heute bei unseren Kooperationspartnern", so Professor Dr. Hartmut Pohl, Initiator des Projekts.

Sicherheitslücken öffnen der Computerspionage Tür und Tor - Ausgangspunkt des Projekts "SoftSCheck" (Rapid In-Depth-Analyse von Software-Vulnerabilities) der Informatiker an der Hochschule Bonn-Rhein-Sieg. Sie analysieren die jeweilige Software mit Hilfe von über 100 weltweit verfügbaren Threat Modeling Tools und Fuzzern, um bisher unveröffentlichte sicherheitsrelevante Fehler zu identifizieren. "Die Integration dieser Verfahren in den Software Development Lifecycle (SDL) erhöht den Widerstandswert der Software und trägt auch zu enormen Kostenersparnissen bei", sagt Professor Pohl.

Dabei unterstützt Threat Modeling als heuristisches Verfahren die methodische Überprüfung eines Systementwurfs oder einer Architektur in der Design-Phase von Software. Eingabe- und Kommunikationsschnittstellen (attack surface) werden systematisch auf Angriffsmöglichkeiten untersucht mit dem Erfolg, dass Sicherheitslücken, Design Flaws und Angriffspunkte identifiziert, bewertet und korrigiert werden können.

Beim Fuzzing werden die Eingabeschnittstellen der zu testenden Software mit zufälligen und zielgerichteten Daten angegriffen, um durch die nachfolgende Analyse Programmierfehler und Sicherheitslücken zu erkennen. Fuzzing kann überall eingesetzt werden - auch bei Protokollen, Individualsoftware, Webapplikationen - und ist erfolgreich sowohl mit Quellcode (White-Box-Test) als auch ohne Quellcode (Black-Box-Test).

Partner von SoftSCheck sind Microsoft Deutschland und SAP, die Gesellschaft für Informatik und ihre Schulungstochter Deutsche Informatik-Akademie (DIA) sowie das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD).

SoftSCheck wird vom Bundesministerium für Bildung und Forschung (BMBF) gefördert und auf der CeBIT in Halle 9, Stand D06 (Innovationsland Nordrhein-Westfalen), in einer Live-Demo präsentiert. Zu Methoden und Erfolgen gibt ein Vortrag am Freitag, 5. März 2010, im Rahmen des future talk um 13.30 Uhr in Halle 9, Stand A30 (future park), Einblick.

Kontakt

Prof. Dr. Hartmut Pohl Informationssicherheit Fachbereich Informatik .softScheck.com +49 2241 9558 81

Dr. Udo Scheuer Wissens- und Technologietransfer Grantham-Allee 20 53737 Sankt Augustin +49 2241 865 650