Komplexe Softwaresysteme sind beides: Wichtige Grundlage unserer vernetzten Industrie und gleichzeitig Sicherheitsrisiko. Regelmäßige Kontrollen garantieren Unternehmen die Sicherheit ihrer IT-Systeme. Aber: Die raffinierten Tests sind technisch aufwendig und erfordern hohes Expertenwissen. Im Forschungsprojekt IntelliSecTest schließen sich die vier Fraunhofer-Institute AISEC, IEM, FKIE und FOKUS zusammen, um in den nächsten drei Jahren effiziente, kostengünstige und leicht anwendbare Security-Testings zu entwickeln.

Das künftige Security-Testing ermöglicht eine automatisierte statische und dynamische Analyse von IT-Systemen. Stärke des Werkzeugs, das im White Box-Verfahren direkt den Quellcode betrachtet, ist das präzise Erkennen von Softwareschwachstellen in C/C++-Programmcode. Als weiteres Plus planen die Wissenschaftlerinnen und Wissenschaftler verständlich aufbereitete Analyseberichte, die auch Nicht-IT-Experten eine effiziente Beurteilung von Sicherheitsrisiken direkt im Programmcode ermöglichen. Betriebe ohne eigene IT-Expertise gewinnen dadurch ein Stück Unabhängigkeit und Eigenkontrolle. Aber auch Zertifizierern oder Herstellern von Software wird das Testwerkzeug die Arbeit deutlich erleichtern.

Die Partner: IT-Expertise aus vier Fraunhofer-Instituten

Um das Testing-Werkzeug mit den aktuellsten Technologien aus der IT-Security-Forschung auszustatten, bündeln im Projekt IntelliSecTest vier Fraunhofer-Institute ihre Kompetenzen.

·       Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC: Das Fraunhofer AISEC verfügt mit seiner Abteilung »Sichere Betriebssysteme« über tiefgehende Expertise auf dem Gebiet der Absicherung hardwarenaher Softwarekomponenten. Neben der Entwicklung von neuen Mechanismen zum Schutz von Software, z.B. in Form von Compiler-Erweiterungen für Control-Flow Integrity (CFI) und Memory Safety, sind systematische Sicherheitstests und insbesondere das Fuzzing von Software dabei ein Forschungsschwerpunkt, der als Expertise in das Projekt eingebracht wird.

·       Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE: Die Abteilung Cyber Analysis & Defense des Fraunhofer FKIE verfügt über ausgewiesene Expertise auf dem Feld der Programmanalyse. Dabei setzt sie sowohl statische als auch dynamische Ansätze ein. In den letzten Jahren sind Ansätze wie LuckyCat, KLEAK und Fuzzer für verschiedene Anwendungen entstanden. Basierend auf diesen Ansätzen wird das Fraunhofer FKIE insbesondere seine Expertise in den Bereichen Ausführung, Reporting, statische und dynamische Analyse einbringen.

·       Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS: Der FOKUS-Geschäftsbereich Quality Engineering (SQC) ist Ansprechpartner für alle Fragen rund um die Absicherung, Bewertung und Optimierung der Qualität softwarebasierter Systeme. Die Wissenschaftler arbeiten an der Qualitätssicherung softwarebasierter Systeme über den gesamten Entwicklungsprozess – also von der Anforderungsanalyse bis zur Zertifizierung – um schon in frühen Entwicklungsphasen eines Produktes Fehler zu erkennen und zu beheben. SQC verfügt über langjährige Erfahrungen mit Testmethoden speziell im Security Testing und hier Fuzzing, und berät bspw. das BSI zum Einsatz von Fuzzing in Common-Criteria-Zertifizierungsverfahren. Mit Fuzzino steht zudem eine ausgereifte Basistechnologie zur Verfügung, die im Projekt weiterentwickelt werden soll.

·       Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM: Das Fraunhofer IEM verfügt mit seiner Abteilung Softwaretechnik und IT-Sicherheit über tiefgreifende Expertise in hochpräzisen und effizienten Verfahren der statischen Codeanalyse, insbesondere zur Erkennung von Sicherheitsschwachstellen. In Kooperation mit dem Lehrstuhl Softwaretechnik des Heinz Nixdorf Instituts wird u.a. das Werkzeug Phasar zur statischen Analyse von C/C++-Programmcode entwickelt. Das Fraunhofer IEM bringt seine Expertise und das Analysewerkzeug ein und koordiniert das Gesamtprojekt.

Das Security-Testing soll in einer dreijährigen Entwicklungsphase entstehen. Die Forschungsinstitute strukturieren und kombinieren zunächst aktuelle Test-Technologien: Dazu sollen die statische und die dynamische Codeanalyse mit Techniken der Testfallgenerierung zu einer vollautomatischen, intelligenten Testing-Software, einem sogenannten Fuzzer, verbunden werden. Mit Methoden der Künstlichen Intelligenz werden alle Ansätze zu einem wirkungsvollen Werkzeug verknüpft.