Komplexe Softwaresysteme einfach auf Sicherheitslücken testen

Komplexe Softwaresysteme sind die Basis unserer vernetzten Industrie und bergen gleichzeitig ein Sicherheitsrisiko. Regelmäßige Kontrollen garantieren Unternehmen die Sicherheit ihrer IT-Systeme. Diese Testverfahren sind technisch aufwendig und erfordern eine hohe Expertise im Bereich IT-Sicherheit, die in vielen Unternehmen nicht oder nicht ausreichend vorhanden ist. Gemeinsam mit drei weiteren Fraunhofer-Instituten entwickelt das Fraunhofer IEM im Rahmen dieses Projekts ein Softwarewerkzeug für effiziente, kostengünstige und leicht anwendbare Security-Tests von Softwareanwendungen. 

Um dieses Ziel zu erreichen, sollen die statische und dynamische Codeanalyse mit Techniken der Testfallgenerierung zu einer vollautomatischen, intelligenten Testing-Software - einem sogenannten Fuzzer - verbunden werden. Mit Methoden der Künstlichen Intelligenz werden alle Ansätze zu einem wirkungsvollen Werkzeug verknüpft, das eine automatisierte Erkennung von Sicherheitsschwachstellen ermöglicht.

Die Vorteile des Werkzeugs, das im sogenannten White-Box-Verfahren den Quellcode direkt betrachtet, liegen in der präzisen Erkennung von Softwareschwachstellen in C/C++-Programmcode. Verständlich aufbereitete Analyseberichte sollen eine effiziente und kostengünstige Beurteilung von Sicherheitsrisiken direkt im Programmcode ermöglichen.

Das Fraunhofer IEM koordiniert das Gesamtprojekt und bringt seine tiefgreifende Expertise in hochpräzisen und effizienten Verfahren der statischen Codeanalyse, insbesondere zur Erkennung von Sicherheitsschwachstellen ein. So bauen die Forschungsarbeiten zum Beispiel auf dem Werkzeug Phasar auf, das gemeinsam mit dem Lehrstuhl Softwaretechnik des Heinz Nixdorf Instituts zur statischen Analyse von C/C++-Programmcodes entwickelt wurde.