Sie sind hier: Startseite » Markt » Hintergrund

Cloud-Programme sind anfällig für Schwachstellen


Softwarwareentwickler erleben oftmals böse Überraschungen: Selbst nach langer und erfolgreicher Anwendung von Cloud Computing-Programmen tun sich plötzlich unerwartete Schwachstellen auf
Allein im Jahr 2012 wurden 9.762 bis dahin unbekannte Sicherheitslücken in der Open Source Vulnerability Database, einer weltweit zugänglichen Datenbank zur Verwaltung von Wissen um Sicherheitslücken in Software, registriert

(02.10.14) - Integration von digitalem Fachwissen und Automatisierung von Risiko-Analysen kann Testverfahren für Software deutlich verbessern und Cloud Computing sicherer machen. Das zeigen neueste Ergebnisse eines Projekts des Wissenschaftsfonds FWF zur Qualitätssicherung sicherheitskritischer Systeme, die soeben veröffentlicht wurden. Die Ergebnisse bilden eine Grundlage für sogenannte nicht-funktionale Sicherheitstests. Diese sollen Schwachstellen von Software identifizieren, die sich nicht aus dem unmittelbaren Programmablauf ergeben – und spielen für Cloud Computing eine immer wichtigere Rolle. Mit den nun entwickelten Grundlagen können solche Tests weiter automatisiert und nutzerfreundlicher gemacht werden.

Softwarwareentwickler erleben oftmals böse Überraschungen: Selbst nach langer und erfolgreicher Anwendung von Cloud Computing-Programmen tun sich plötzlich unerwartete Schwachstellen auf. Tatsächlich sind gerade Cloud-Programme anfällig dafür. Nicht weil sie schlecht geschrieben wurden, sondern weil sie viele laufend aktualisierte Schnittstellen besitzen. Diese machen Funktionalitäten erforderlich, die weit über den eigentlichen Programmablauf hinausgehen und von dritten Systemen abhängen. Sogenannte nicht-funktionale Sicherheitstests können diese Aspekte zwar testen, doch die konventionellen Methoden der Qualitätssicherung scheitern oft an der Komplexität der Anforderungen. Jetzt haben WissenschafterInnen der Universität Innsbruck Grundlagen vorgestellt, die nicht-funktionale Tests deutlich verbessern können.

Die wesentlichen Erfolgskriterien dieser vom Team um Prof. Ruth Breu, Leiterin des Instituts für Informatik, entwickelten Grundlagen sind dabei die Integration von Fachwissen sowie eine Automatisierung der Prozesse zur Risikoanalyse. Die Wichtigkeit für die Integration formalisierten Expertenwissens über Schwachstellen in Software führt die Expertin dabei eindrucksvoll aus: "Allein im Jahr 2012 wurden 9.762 bis dahin unbekannte Sicherheitslücken in der Open Source Vulnerability Database, einer weltweit zugänglichen Datenbank zur Verwaltung von Wissen um Sicherheitslücken in Software, registriert. Tatsächlich sind die Ursachen vieler dieser Sicherheitslücken aber seit Langem bekannt. Sie hätten zum Zeitpunkt der Softwareentwicklung also schon vermieden werden können. Optimierte nicht-funktionale Tests sollten daher auf solches existierende Wissen zurückzugreifen. Genau das tut unser Verfahren."

Dazu formalisiert das Team um Prof. Breu, Dr. Michael Felderer und Philipp Zech solches Wissen und macht es damit für nachfolgende automatische Risikoanalysen verfügbar. Diese Analysen resultieren in Risikoprofilen der zu testenden Systeme, die zum Erstellen ausführbarer Sicherheitstest verwendet werden. Dabei kommen moderne Programmiersprachen wie Scala und ASP sowie modellbasierte Verfahren zum Einsatz. Zu diesem automatisierten Prozess der Risikoanalyse meint Prof. Breu: "Das Problem bei bisherigen nicht-funktionalen Sicherheitstests ist die schier unendliche Anzahl an Möglichkeiten für Fehler. Bisher versuchte man, diese Situation durch menschliches Expertenwissen zu meistern, z. B. bei Penetrationstests. Die von uns gewählte Herangehensweise erlaubt nun aber ein strukturiertes und automatisiertes Testverfahren."

Prof. Breu ergänzt: "Zunächst war unsere Arbeit ja eher theoretisch geleitet. Doch wir wollten auch die Praxistauglichkeit unserer Überlegungen demonstrieren. Daher haben wir Real-Life Tests durchgeführt, die Reaktionen auf häufige Problemsituationen wie SQL-Injection-Angriffe checken." Im Rahmen der jetzt publizierten Arbeit wurde dabei zunächst auf eigens geschriebene Programme zurückgegriffen. Doch bereits seit einiger Zeit werden vom Team um Prof. Breu auch öffentlich verfügbare Testsysteme verwendet. Mit beeindruckendem Erfolg: Bis zu 90 Prozent aller Schwachstellen können aktuell zuverlässig identifiziert werden.

Insgesamt stellen die Ergebnisse dieses Projekts des FWF einen signifikanten Fortschritt für die zukünftige Qualitätssicherung sicherheitskritischer Systeme dar – ein Ergebnis, das die Bedeutung grundlegender wissenschaftlicher Arbeiten für die reibungslose Funktion unseres Alltages einmal mehr unter Beweis stellt. (Universität Innsbruck Institut für Informatik: ra)

Uni Innsbruck Institut für Informatik: Kontakt

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Hintergrund

  • Künstliche Intelligenz das Maß aller Dinge

    Ob in der Fertigung oder im Bau- und Ingenieurwesen - 2024 wird für beide Branchen eine richtungsweisende Zeit mit zahlreichen Herausforderungen und Hürden. Doch das neue Jahr birgt auch vielversprechende Trends, neue Lösungsansätze und innovative Technologien.

  • Nachhaltigkeit kommt in der Cloud an

    "IT doesn't matter" - so lautete die Überschrift eines Artikels des US-amerikanischen Wirtschaftsjournalisten Nicholas Carr im Jahr 2003. Gemeint war: IT sei ein Standardprodukt, das zwar Kosteneinsparungen bringe, aber keine Investition in die strategische Differenzierung sowie die Wettbewerbs- und Innovationsfähigkeit von Unternehmen ist.

  • Zero Day und Zero Trust sind Themen

    Cloud-Security war das wichtigste Thema der IT-Sicherheit im Jahr 2023, und sie wird auch 2024 zu Recht erhebliche Aufmerksamkeit bekommen. "Doch Cloud-Security ist nur eine Seite der Medaille", gibt Gregor Erismann, CCO der Schweizer Security-Spezialistin Exeon Analytics. zu bedenken.

  • Hohe Nachfrage nach IDP

    Retarus hat drei Trends identifiziert, welche die digitale Geschäftskommunikation 2024 nachhaltig beeinflussen werden. Insbesondere künstliche Intelligenz wird in den kommenden Monaten eine immer wichtigere Rolle spielen und es Unternehmen ermöglichen, effizienter zu arbeiten und ihre Wettbewerbsposition zu stärken.

  • Cloud-Daten-Verschlüsselung 2024

    Wie zu jedem Jahreswechsel orakeln Unternehmen, Wirtschaftsweise und weitere Fachkundige darüber, was sich im neuen Jahr ändern wird. Was sie dabei in der Vergangenheit kaum auf dem Schirm hatten: die sogenannten Black-Swan-Ereignisse, große, überraschende und einschneidende Ereignisse. Mit querliegenden Frachtern und Lieferkettenzusammenbrüchen, der Pandemie oder den Kriegen mit weitreichenden wirtschaftlichen Folgen hatte keiner wirklich gerechnet.

  • Potenzial der Daten nutzen

    Exasol hat ihre Prognosen für den Bereich Data Analytics im Jahr 2024 veröffentlicht. Disruptive Technologien wie künstliche Intelligenz (KI) setzen sich in der Tech-Branche immer weiter durch.

  • Keine Wechselflut der Cloud-Anbieter

    2024 werden viele Unternehmen realisieren, dass sie als Teil ihrer Datenstrategie ihre Hybrid-Cloud-Strategie überarbeiten müssen, um die Vorteile der künstlichen Intelligenz (KI) voll auszuschöpfen. Dies bedeutet, dass die Qualität und Zugänglichkeit von Daten auf dem Prüfstand stehen.

  • Energienutzung in Rechenzentren optimieren

    Die Europäische Kommission hat am 5. Dezember 2023 das strategische Förderprojekt IPCEI-CIS (Important Projects of Common European Interest - Next Generation Cloud Infrastructure and Services) genehmigt. Zielsetzung des Projektes ist die Entwicklung von gemeinsamen Konzepten und ein erster industrieller Einsatz für moderne Cloud- und Edge-Computing-Technologien.

  • Sieben wichtige KI-Trends für 2024

    Künstliche Intelligenz (KI) ist längst mehr als ein Hype, sie etabliert sich zunehmend als integraler Bestandteil von immer mehr Lebens- und Geschäftsbereichen. Die Experten der Inform GmbH als weltweit führender Anbieter von fortschrittlichen KI-basierten Optimierungssoftwarelösungen prognostizieren sieben entscheidende KI-Trends, die 2024 und darüber hinaus eine Vielzahl von Branchen und gesellschaftlichen Praktiken beeinflussen werden.

  • Desktop as a Service vermeidet Oversizing

    Mit der fortschreitenden Digitalisierung und dem anhaltenden Homeoffice-Trend verändern sich die Anforderungen an das IT-Service-Management. Gleichzeitig stehen die Unternehmen unter wachsendem Druck durch globale Herausforderungen wie Lieferkettenprobleme, Inflation und Rezession. Um die Produktivität ihrer IT-Abteilungen zu erhöhen, benötigen sie Lösungen, mit denen sich Prozesse optimieren lassen - auch mithilfe von künstlicher Intelligenz (KI).

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen