Software automatisiert evaluieren
Vertrauliche Dokumente gibt es in Bundesbehörden jede Menge. Ob Papier-Dokumente wie Verträge oder digitale Daten wie Office-Dokumente, Telefonate und Bilder: Diese Daten gelten als Verschlusssachen und müssen sensibel behandelt sowie verwaltet werden. Bevor Software mit Verschlusssachen in Berührung kommen darf, muss sie von der Cyber-Sicherheitsbehörde des Bundes, dem Bundesamt für Sicherheit in der Informationstechnik (BSI), sorgfältig geprüft werden. Das Fraunhofer IEM und das Fraunhofer AISEC arbeiten im Auftrag des BSI derzeit an Lösungsansätzen für die Erhöhung des Automatisierungsgrades im Rahmen des Evaluierungsprozesses. Dr. Matthias Meyer, Abteilungsleiter Sichere IoT-Systeme, erläutert uns das Vorgehen im Projekt DUST.
Was ist eine aktuelle Herausforderung im Rahmen der sicherheitstechnischen Überprüfung von softwarebasierten Produkten– und was ist das Ziel des Projektes DUST?
Der Aufwand für die Sicherheitsüberprüfung von Softwareprodukten steigt enorm an: Die stetig zunehmende Anzahl von gefundenen Sicherheitslücken erfordert immer neue Sicherheitsupdates und Neubewertungen von Softwarelösungen. Dies gilt insbesondere auch für Softwareprodukte zum Schutz von Verschlusssachen. Hinzu kommt, dass bestehende Produkte als Teil der agilen Softwareentwicklung stetig weiterentwickelt und in immer kürzeren Zyklen veröffentlicht werden – und Anwender wie beispielsweise Behörden diese neuen Features nutzen möchten.
Die Evaluierung von Softwareprodukten für Verschlusssachen erfolgt derzeit größtenteils manuell – und stößt dementsprechend an Grenzen. Daher ist das Ziel von DUST die Möglichkeiten zur Erhöhung der Automatisierung in diesem Verfahren zu überprüfen. Dies steckt auch schon in dem Akronym DUST, welches vollumfänglich für „Die aUtomatiSche digiTale Nachweisführung zur Evaluierung von VS-IT“ steht.
Wie geht das Projektteam nun vor? Was sind die Meilensteine?
Zunächst haben wir mögliche Verfahren und Tools für die Software-Evaluierung recherchiert sowie den bestehenden Nachweiskatalog auf Automatisierungspotential analysiert. Zusätzlich haben wir auch bereits bestehende Verfahren im Bereich der statischen, dynamischen und instrumentierten Codeanalyse sowie Fuzzing betrachtet und analysiert, welche Nachweise von diesen Verfahren theoretisch automatisiert erbracht werden können.
Aktuell erarbeiten wir Konzepte für eine Automatisierung der Nachweise. Dies beinhaltet sowohl die Automatisierung des aktuellen Nachweiskatalogs als auch die mögliche Erschließung von weiterem Automatisierungspotential. Aufbauend darauf beschäftigen wir uns mit der Bewertung und Erprobung der vorgeschlagenen Änderungen. Wichtig dabei: Auch bei Erhöhung des Automatisierungsgrades muss das Schutzniveau des bisherigen Evaluierungskatalogs erhalten bleiben!
Ist der Anwendungsfall nur für das BSI interessant oder betrifft das Problem die gesamte Behördenlandschaft? Und: lässt er sich auch auf Use Cases aus der Industrie übertragen?
Definitiv ist dieses Projekt nicht nur für das BSI interessant. Denn im Projekt nehmen wir nicht nur die Sicht des BSI als Evaluator ein, sondern auch die der Hersteller. Wir fragen konkret, wie die Nachweise von den Herstellern der Software automatisiert erbracht werden könnten. Damit sind die in diesem Projekt erarbeiteten Ergebnisse auch für alle Hersteller von Softwareprodukten für Verschlusssachen relevant. Die weitere Verwertbarkeit in der gesamten Industrie ist eine interessante Frage. Sicherlich sind die Ergebnisse dieses Projekts auf den Nachweiskatalog im Speziellen zugeschnitten. Aber die grundlegende Idee, den Prozess zur Nachweiserbringung und -prüfung zu automatisieren, lässt sich auch gut auf andere Bereiche übertragen, bspw. für eine Evaluierung nach den Prüfkriterien der Common Criteria oder anderen Normen und Standards, die erfüllt und abgenommen werden müssen.
Zum Projekt DUST
Im Projekt DUST „Die aUtomatiSche digiTale Nachweisführung zur Evaluierung von VS-IT“ arbeiten das Fraunhofer AISEC und das Fraunhofer IEM von November 2022 bis April 2024 im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zusammen.
Weitere Informationen
- Forschungsbereich Safety & Security by Design am Fraunhofer IEM (iem.fraunhofer.de)