heise PlusAbo
Anzeige

Bessere Sicherheitstests mit Fuzzing – Schwachstellen suchen und finden

Dank neuer Ansätze beim Fuzzing lassen sich Systeme effizient testen, um Schwachstellen aufzuspüren und korrekte Patches zu gewährleisten.

Artikel verschenken
vorlesen Druckansicht 1 Kommentar lesen
Viele schwarze Würfel. In der Mitte ist ein roter Würfel mit einem Käfer darauf.

(Bild: Andrii Yalanskyi/Shutterstock.com)

Lesezeit: 17 Min.
Developer
Von
  • Ramon Barakat
  • Roman Kraus
  • Martin Schneider
Inhaltsverzeichnis

Notrufnummern funktionieren nicht, Kartenzahlungen sind nicht möglich, Operationen werden verschoben und Schäden in Milliardenhöhe entstehen, weil IT-Systeme zusammengebrochen sind. Was wie ein Szenario aus einem Katastrophenfilm klingt, wurde unter dem Namen CrowdStruck bekannt und resultierte einzig aus einer kleinen Schwachstelle im System: einem ungültigen Speicherzugriff. Es handelte sich um eine klassische Sicherheitslücke, die sich Angreifer gerne zunutze machen, um Systeme zum Absturz zu bringen oder Schadcode einzuschleusen.

Ramon Barakat

Ramon Barakat ist Wissenschaftler am Fraunhofer-Institut für Offene Kommunikationssysteme (FOKUS) in Berlin. Seine Forschungsschwerpunkte liegen in der Qualitätssicherung und Sicherheit von Softwaresystemen. Er verfügt über umfassende Erfahrung in modellbasiertem Testen, Fuzzing und hybriden Testverfahren und war an mehreren nationalen und EU-geförderten Forschungsprojekten beteiligt.

Roman Kraus

Roman Kraus ist Wissenschaftler am Fraunhofer-Institut FOKUS. In seiner Arbeit beschäftigt er sich primär mit Sicherheitstests von Softwaresystemen, wobei ein besonderer Schwerpunkt auf der Entwicklung von Fuzzing-Techniken liegt. Er hat mithilfe innovativer Fuzzing-Techniken Schwachstellen in mehreren MQTT-Brokern aufgedeckt.

Martin Schneider

Martin Schneider ist Leiter der Gruppe Testen im Geschäftsbereich Quality Engineering des Fraunhofer-Instituts FOKUS. Er ist Experte für Qualitätssicherung und Sicherheitstests im Bereich vernetzter Softwaresysteme. Er ist Co-Autor eines Fuzzing-Leitfadens für das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Co-Autor des Fachbuchs "Basiswissen Sicherheitstests" (dpunkt.verlag).

Solche Schwachstellen verursachen immer größere Schäden – nicht nur durch die zunehmende Digitalisierung, sondern auch durch Kaskadeneffekte. Die Europäische Union hat den Handlungsbedarf erkannt und versucht, mit dem Cyber Resilience Act (CRA) und einer neuen Produkthaftungsrichtlinie das Sicherheitsniveau für Produkte zu erhöhen. Damit sind Schwachstellen künftig auch mit Haftungsrisiken verbunden. Zusammen mit hohen Strafen bei Vergehen baut die EU einen Handlungsdruck auf, um die Sicherheit von vernetzten Produkten (im EU-Jargon "Produkte mit digitalen Elementen") über deren gesamte Lebenszeit zu verbessern.

Der Cyber Resilience Act und die neue Produkthaftungsrichtlinie erhöhen den Druck

Hersteller müssen regelmäßige Sicherheitstests nach dem Stand der Technik durchführen, etwa durch statische und dynamische Analysen. Die statische Variante steht für die Analyse des Quellcodes, ohne die Software auszuführen. Bei der dynamischen Analyse dagegen führen Testwerkzeuge die Software mit gezielten Eingaben aus und beobachten ihr Laufzeitverhalten, um Schwachstellen und deren Auswirkungen zu erfassen.

Das war die Leseprobe unseres heise-Plus-Artikels "Bessere Sicherheitstests mit Fuzzing – Schwachstellen suchen und finden". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.

Immer mehr Wissen. Das digitale Abo fĂĽr IT und Technik.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten