Komplexe Softwaresysteme sind beides: Wichtige Grundlage unserer vernetzten Industrie und gleichzeitig Sicherheitsrisiko. Regelmäßige Kontrollen garantieren Unternehmen die Sicherheit ihrer IT-Systeme. Aber: Die raffinierten Tests sind technisch aufwendig und erfordern hohes Expertenwissen. Im Forschungsprojekt IntelliSecTest schließen sich vier Fraunhofer-Institute zusammen, um effiziente, kostengünstige und leicht anwendbare Security-Testings zu entwickeln.

„Unsere Vision ist ein IT-Sicherheitstest, der aktuellste Testmethoden kombiniert und damit unterschiedlichste Sicherheitsrisiken zuverlässig aufdeckt. Unternehmen erhalten verständliche Analyseberichte, um auch ohne eigene Software-Experten eine Ersteinschätzung in puncto IT-Security zu fällen“, schildert Prof. Eric Bodden (Direktor Forschungsbereich Softwaretechnik und IT-Sicherheit am Fraunhofer IEM und Leiter des Lehrstuhls Softwaretechnik am Heinz Nixdorf Institut der Universität Paderborn) das Ziel des Forschungsprojektes IntelliSecTest. Betriebe ohne eigene IT-Expertise gewinnen mit dem Security-Testing-Werkzeug ein Stück Unabhängigkeit und Eigenkontrolle. Aber auch Zertifizierern oder Herstellern von Software wird das Testwerkzeug die Arbeit deutlich erleichtern.

Anspruchsvolle Vorlaufforschung mit Praxisblick

Bis das Security-Testing einsatzbereit ist, steht den beteiligten Fraunhofer-Instituten AISEC, IEM, FKIE und FOKUS eine voraussichtlich dreijährige Entwicklungsphase bevor, in der sie von der Fraunhofer-Gesellschaft mit 3,5 Millionen Euro gefördert werden. Die Forschungsinstitute strukturieren und kombinieren zunächst aktuelle Test-Technologien: Dazu sollen die statische und die dynamische Codeanalyse mit Techniken der Testfallgenerierung zu einer vollautomatischen, intelligenten Testing-Software, einem sogenannten Fuzzer, verbunden werden. Mit Methoden der Künstlichen Intelligenz werden alle Ansätze zu einem wirkungsvollen Werkzeug verknüpft.

Das künftige Security-Testing ermöglicht eine automatisierte statische und dynamische Analyse von IT-Systemen. Stärke des Werkzeugs, das im White Box-Verfahren direkt den Quellcode betrachtet, ist das präzise Erkennen von Softwareschwachstellen in C/C++-Programmcode. Als weiteres Plus planen die Wissenschaftlerinnen und Wissenschaftler verständlich aufbereitete Analyseberichte, die auch Nicht-IT-Experten eine effiziente und kostengünstige Beurteilung von Sicherheitsrisiken direkt im Programmcode ermöglichen.

Die Partner: IT-Expertise aus vier Fraunhofer-Instituten

Um das Testing-Werkzeug mit den aktuellsten Technologien aus der IT-Security-Forschung auszustatten, bündeln im Projekt IntelliSecTest vier Fraunhofer-Institute ihre Kompetenzen.

• Fraunhofer AISEC: Das Fraunhofer AISEC verfügt mit seiner Abteilung „Sichere Betriebssysteme“ über tiefgehende Expertise auf dem Gebiet der Absicherung hardwarenaher Softwarekomponenten. Neben der Entwicklung von neuen Mechanismen zum Schutz von Software, z.B. in Form von Compiler-Erweiterungen für Control-Flow Integrity (CFI) und Memory Safety, sind systematische Sicherheitstests und insbesondere das Fuzzing von Software dabei ein Forschungsschwerpunkt, der als Expertise in das Projekt eingebracht wird.
• Fraunhofer FKIE: Die Abteilung Cyber Analysis & Defense des Fraunhofer FKIE verfügt über ausgewiesene Expertise auf dem Feld der Programmanalyse. Dabei setzt sie sowohl statische als auch dynamische Ansätze ein. In den letzten Jahren sind Ansätze wie LuckyCat, KLEAK und Fuzzer für verschiedene Anwendungen entstanden. Basierend auf diesen Ansätzen wird das Fraunhofer FKIE insbesondere seine Expertise in den Bereichen Ausführung, Reporting, statische und dynamische Analyse einbringen.
• Fraunhofer FOKUS: Der FOKUS-Geschäftsbereich Quality Engineering (SQC) ist Ansprechpartner für alle Fragen rund um die Absicherung, Bewertung und Optimierung der Qualität softwarebasierter Systeme. Die Wissenschaftler arbeiten an der Qualitätssicherung softwarebasierter Systeme über den gesamten Entwicklungsprozess – also von der Anforderungsanalyse bis zur Zertifizierung – um schon in frühen Entwicklungsphasen eines Produktes Fehler zu erkennen und zu beheben. SQC verfügt über langjährige Erfahrungen mit Testmethoden speziell im Security Testing und hier Fuzzing, und berät bspw. das BSI zum Einsatz von Fuzzing in Common-Criteria-Zertifizierungsverfahren. Mit Fuzzino steht zudem eine ausgereifte Basistechnologie zur Verfügung, die im Projekt weiterentwickelt werden soll.
• Fraunhofer IEM: Das Fraunhofer IEM verfügt mit seiner Abteilung Softwaretechnik und IT-Sicherheit über tiefgreifende Expertise in hochpräzisen und effizienten Verfahren der statischen Codeanalyse, insbesondere zur Erkennung von Sicherheitsschwachstellen. In Kooperation mit dem Lehrstuhl Softwaretechnik des Heinz Nixdorf Instituts wird u.a. das Werkzeug Phasar zur statischen Analyse von C/C++-Programmcode entwickelt. Das Fraunhofer IEM bringt seine Expertise und das Analysewerkzeug ein und koordiniert das Gesamtprojekt.

Hochkarätiger Begleitkreis

Das Projekt IntelliSecTest arbeitet mit einem externen Begleitkreis mit Vertretern aus Politik, Industrie und Forschung zusammen. Die Mitglieder sind

• Thomas Caspers (Leiter des Fachbereichs Evaluierung und Betrieb von Kryptosystemen, Bundesamt für Sicherheit in der Informationstechnik (BSI))
• Dr. Kai Martius (Chief Technology Officer, secunet Security Networks AG)
• Prof. Dr. Thorsten Holz (Lehrstuhl Systemsicherheit, Ruhr-Universität Bochum)

PREPARE: Vorlaufforschung bei Fraunhofer

Das Projekt IntelliSecTest wird mit 3,5 Millionen Euro über drei Jahre im Fraunhofer-Programm PREPARE gefördert. Bemerkenswert ist, dass IntelliSecTest seit längerer Zeit das erste reine Softwareprojekt in der Förderlinie ist. PREPARE ist eine Förderlinie der Fraunhofer-Gesellschaft mit dem Ziel der institutsübergreifenden, anspruchsvollen Vorlaufforschung zur Vorbereitung neuer Geschäftsfelder, PREPARE startet 2020 mit den ersten zwölf Projekten. Das Projektvolumen beträgt insgesamt 37,4 Millionen Euro.