Sie sind hier: Startseite » Markt » Hintergrund

Cloud-Programme sind anfällig für Schwachstellen


Softwarwareentwickler erleben oftmals böse Überraschungen: Selbst nach langer und erfolgreicher Anwendung von Cloud Computing-Programmen tun sich plötzlich unerwartete Schwachstellen auf
Allein im Jahr 2012 wurden 9.762 bis dahin unbekannte Sicherheitslücken in der Open Source Vulnerability Database, einer weltweit zugänglichen Datenbank zur Verwaltung von Wissen um Sicherheitslücken in Software, registriert

(02.10.14) - Integration von digitalem Fachwissen und Automatisierung von Risiko-Analysen kann Testverfahren für Software deutlich verbessern und Cloud Computing sicherer machen. Das zeigen neueste Ergebnisse eines Projekts des Wissenschaftsfonds FWF zur Qualitätssicherung sicherheitskritischer Systeme, die soeben veröffentlicht wurden. Die Ergebnisse bilden eine Grundlage für sogenannte nicht-funktionale Sicherheitstests. Diese sollen Schwachstellen von Software identifizieren, die sich nicht aus dem unmittelbaren Programmablauf ergeben – und spielen für Cloud Computing eine immer wichtigere Rolle. Mit den nun entwickelten Grundlagen können solche Tests weiter automatisiert und nutzerfreundlicher gemacht werden.

Softwarwareentwickler erleben oftmals böse Überraschungen: Selbst nach langer und erfolgreicher Anwendung von Cloud Computing-Programmen tun sich plötzlich unerwartete Schwachstellen auf. Tatsächlich sind gerade Cloud-Programme anfällig dafür. Nicht weil sie schlecht geschrieben wurden, sondern weil sie viele laufend aktualisierte Schnittstellen besitzen. Diese machen Funktionalitäten erforderlich, die weit über den eigentlichen Programmablauf hinausgehen und von dritten Systemen abhängen. Sogenannte nicht-funktionale Sicherheitstests können diese Aspekte zwar testen, doch die konventionellen Methoden der Qualitätssicherung scheitern oft an der Komplexität der Anforderungen. Jetzt haben WissenschafterInnen der Universität Innsbruck Grundlagen vorgestellt, die nicht-funktionale Tests deutlich verbessern können.

Die wesentlichen Erfolgskriterien dieser vom Team um Prof. Ruth Breu, Leiterin des Instituts für Informatik, entwickelten Grundlagen sind dabei die Integration von Fachwissen sowie eine Automatisierung der Prozesse zur Risikoanalyse. Die Wichtigkeit für die Integration formalisierten Expertenwissens über Schwachstellen in Software führt die Expertin dabei eindrucksvoll aus: "Allein im Jahr 2012 wurden 9.762 bis dahin unbekannte Sicherheitslücken in der Open Source Vulnerability Database, einer weltweit zugänglichen Datenbank zur Verwaltung von Wissen um Sicherheitslücken in Software, registriert. Tatsächlich sind die Ursachen vieler dieser Sicherheitslücken aber seit Langem bekannt. Sie hätten zum Zeitpunkt der Softwareentwicklung also schon vermieden werden können. Optimierte nicht-funktionale Tests sollten daher auf solches existierende Wissen zurückzugreifen. Genau das tut unser Verfahren."

Dazu formalisiert das Team um Prof. Breu, Dr. Michael Felderer und Philipp Zech solches Wissen und macht es damit für nachfolgende automatische Risikoanalysen verfügbar. Diese Analysen resultieren in Risikoprofilen der zu testenden Systeme, die zum Erstellen ausführbarer Sicherheitstest verwendet werden. Dabei kommen moderne Programmiersprachen wie Scala und ASP sowie modellbasierte Verfahren zum Einsatz. Zu diesem automatisierten Prozess der Risikoanalyse meint Prof. Breu: "Das Problem bei bisherigen nicht-funktionalen Sicherheitstests ist die schier unendliche Anzahl an Möglichkeiten für Fehler. Bisher versuchte man, diese Situation durch menschliches Expertenwissen zu meistern, z. B. bei Penetrationstests. Die von uns gewählte Herangehensweise erlaubt nun aber ein strukturiertes und automatisiertes Testverfahren."

Prof. Breu ergänzt: "Zunächst war unsere Arbeit ja eher theoretisch geleitet. Doch wir wollten auch die Praxistauglichkeit unserer Überlegungen demonstrieren. Daher haben wir Real-Life Tests durchgeführt, die Reaktionen auf häufige Problemsituationen wie SQL-Injection-Angriffe checken." Im Rahmen der jetzt publizierten Arbeit wurde dabei zunächst auf eigens geschriebene Programme zurückgegriffen. Doch bereits seit einiger Zeit werden vom Team um Prof. Breu auch öffentlich verfügbare Testsysteme verwendet. Mit beeindruckendem Erfolg: Bis zu 90 Prozent aller Schwachstellen können aktuell zuverlässig identifiziert werden.

Insgesamt stellen die Ergebnisse dieses Projekts des FWF einen signifikanten Fortschritt für die zukünftige Qualitätssicherung sicherheitskritischer Systeme dar – ein Ergebnis, das die Bedeutung grundlegender wissenschaftlicher Arbeiten für die reibungslose Funktion unseres Alltages einmal mehr unter Beweis stellt. (Universität Innsbruck Institut für Informatik: ra)

Uni Innsbruck Institut für Informatik: Kontakt

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Hintergrund

  • Wohin zieht die Cloud?

    Jerome Evans, Gründer und Geschäftsführer der firstcolo GmbH, blickt voraus und betrachtet die anstehenden Entwicklungen rund um die Cloud in 2025: Die Einführung der Cloud hat nicht nur unsere Arbeitsweise, sondern auch unseren Alltag verändert.

  • Generative KI-Inferenz im Fokus

    Die fortschreitende Entwicklung der IT-Landschaft bringt neue Trends mit sich, die 2025 die Technologienutzung in Unternehmen grundlegend verändern werden. Themen wie generative KI und Datensouveränität werden Branchen dazu zwingen, ihre Strategien anzupassen und sich auf neue Realitäten einzustellen. Jeff Wittich, Chief Product Officer bei Ampere Computing, hat vier Prognosen für diese Zukunft formuliert.

  • Bewältigung der KI-Arbeitslasten

    Der Paradigmenwandel der stark digitalisierten Welt von heute stellt Unternehmen hinsichtlich ihrer IT-Infrastrukturen vor große Herausforderungen, bietet aber auch neue Chancen. Zunehmende Cyberbedrohungen, stärkere Virtualisierung oder Transformation durch künstliche Intelligenz (KI) - Unternehmen sind gezwungen, ihre Datenspeicherstrategien zu überdenken, um widerstandsfähig, flexibel und zukunftssicher zu bleiben.

  • KI verankert sich zunehmend in Prozessen

    Die im Wandel befindliche Weltwirtschaft hat den Unternehmen im zurückliegenden Jahr viele Veränderungen und Anpassungen abverlangt. Dieser Trend wird sich nach Einschätzung von Patric Dahse, CEO der Natuvion Group, im kommenden Jahr fortsetzen. Konkret sieht Dahse fünf Trends, mit denen sich die Unternehmen im neuen Jahr auseinandersetzen müssen.

  • Compliance bleibt ein Muss

    Der Wechsel auf SAP S/4HANA wird im kommenden Jahr nochmals an Dringlichkeit gewinnen und damit auf die Archivierungsprozesse ausstrahlen. Der Umstieg zwingt die Unternehmen dazu, ihre Daten- und Dokumentenverwaltung, inklusive deren Archivierung, neu zu denken und bestehende Lösungen so anzupassen, dass sie mit den Anforderungen an Flexibilität, Performance und Compliance Schritt halten können.

  • KI-Einsatz und stringentere Sicherheit

    Mit Blick auf 2025 sind Unternehmen gut beraten, der Datensicherheit in der Cloud angesichts des verstärkten KI-Einsatzes höchste Priorität einzuräumen. Im kommenden Jahr werden Unternehmen zunehmend unter Druck geraten, groß angelegte KI-Initiativen abzusichern und gleichzeitig eine wachsende Zahl von Datenbeständen vor Cyber-Bedrohungen zu schützen.

  • Vom KI-Hype zum Produktivbetrieb

    Ist der KI-Hype noch ungebrochen oder macht sich bereits Ernüchterung breit? Man mag den Eindruck gewinnen, Letzteres träfe zu. Schließlich ist es von der ersten Experimentierphase bis zum effizienten Echteinsatz oft ein weiter, beschwerlicher Weg. Markus Eisele, Developer Strategist bei Red Hat, zeigt, mit welchen Konzepten und Plattformen Unternehmen einen erfolgreichen KI-Einsatz erreichen können.

  • Anwendungsfälle für KI

    Unternehmen erleben heute mit der Künstlichen Intelligenz (KI) einen Déjà-vu-Moment. Ähnlich wie bei früheren Technologiesprüngen - dem Aufkommen des PCs, des Internets oder der Cloud-Technologie - stehen sie an einem Wendepunkt, an dem die breite Einführung von KI die Unternehmenslandschaft transformiert.

  • Vom Kreditinstitut zur Technologie-Oase

    Wir schreiben das Jahr 2035: Sie wachen auf und überprüfen Ihre Finanzen über einen sprachaktivierten digitalen Assistenten, der als Hologramm von Elvis erscheint. Nach der Authentifizierung durch Stimm- und Fingerabdruck-Biometrie liefert Ihnen der verstorbene King of Rock'n'Roll einen Überblick über Ihre Ausgaben, Ersparnisse und Investitionen in einem personalisierten Dashboard, das alle Ihre Konten und Finanzdaten an einem Ort zusammenfasst.

  • Cloud-Drucklösungen spielen eine große Rolle

    Heutzutage lässt sich technischer Fortschritt kaum mehr mit dem bloßen Auge erkennen. Selten vergeht ein Tag ohne eine weitere Innovation, die für mehr Effizienz sorgt. Diese Entwicklung macht auch vor Druckern nicht Halt. Cloud-Lösungen ermöglichen zentrale Administration und Kosteneinsparungen bei lokalen Servern. Doch in diesem Zusammenhang geht die Tendenz eher in Richtung langsamer Wechsel in die Wolke. Warum ist das so? "In vielen Unternehmen - insbesondere aus Branchen, in denen sensible Daten auf der Tagesordnung stehen - herrschen Sicherheits- und Datenschutzbedenken.

Mobilität & Vernetzung auf dem Vormarsch Umsetzung von Big Data-Projekten

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen