Ausgezeichneter Security-Testing-Prozess

Vorbeugen ist besser als Heilen

Für ihren umfangreichen Security-Testing Prozess zur Härtung von Software schon in der Entwicklungsphase erhielt die GmbH aus St. Augustin 2019 den Preis „Produkt des Jahres“ der SmarterWorld in der Kategorie „Smart Automation/ Security“.

„Der Preis kommt zur rechten Zeit“, freute sich Geschäftsführer Professor Dr. Hartmut Pohl anlässlich der Auszeichnung mit dem Preis „Produkt des Jahres“ der SmarterWorld in den Geschäftsräumen der GmbH in St. Augustin bei Bonn. Mit steigendem Vernetzungsgrad des „Internet of Everything“ steigt die Bedeutung der Sicherheit von Hard- und Software „ab ovo“. „Wenn auf Security schon im Entwicklungsprozess geachtet wird, werden mögliche spätere Schäden durch Hacker und Schadsoftware minimiert“ weiß Professor Pohl.

In Sachen des Security-Testing schon in der Entwicklungsphase von Software hat sich die GmbH aus St. Augustin zu einem führenden Dienstleister entwickelt, der mit seiner Expertise zum Beispiel schon zur deutschlandweit ersten erfolgreichen Zertifizierung eines Smart Meter Gateways beitrug. Das Smart Meter Gateway der PPC AG und der OpenLimit SignCubes erhielt im Dezember 2018 die Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Professor Pohl nahm den Preis im Namen des ganzen Teams entgegen, das, so der Geschäftsführer, aktuell „an der Weiterentwicklung des vorhandenen Security Testing Prozesses“ arbeitet und weitere Methoden hinzufügt.

Das Wachsen des Internet of Things mache sich bemerkbar, so Pohl. Einerseits ließen die Unternehmen jetzt zunehmend ganze Infrastrukturen und Netze testen, andererseits werde immer häufiger mit dem Testen vernetzter Produkte beauftragt, von Smart Home-Komponenten und smarten Küchenmaschinen über smarte medizinische Geräte bis hin zu mobilen Apps.

Das Besondere am -Testing sei, dass der Prozess „ziemlich vollständig“ ist, so Professor Pohl. „Wir beginnen mit einer Security Requirement Analyse, überprüfen also, ob der Kunde überhaupt die richtigen Anforderungen formuliert und auf dieser Basis das adäquate Security-Design entwickelt hat. Im zweiten Schritt überprüfen wir das Security-Design, die Architektur. Der dritte Schritt ist die Überprüfung des daraus abgeleiteten Quellcodes, die Static Source Code Analysis. Der vierte Schritt ist das allen bekannte Penetration Testing, der fünfte Schritt ist Fuzzing. Wir bombardieren eine Anwendung wie eine mobile App mit erfahrungsgemäß erfolgreichen Angriffsdaten und schauen, wie die Anwendung reagiert. Bei Anomalien muss man in den maschinenausführbaren Code schauen.“ überprüft ferner, ob z.B. unerwünschter Code vorliegt, (Backdoors (Hintertüren), Trojaner etc.) und überprüft im Conformity Testing die Übereinstimmung von Design und Implementierung sowie der Implementierung und ausführbarem Code.

„Das Thema ist nicht die vielen Angriffe abzuwehren“, so Prof. Pohl, dafür existiere kommerzielle und offene Software, die ihrerseits aber wieder ausnutzbare Fehler enthalten könnte. „Wir schauen auf die Angriffspunkte von Software, Firmware und Mikrocode selbst.“

Von überprüfte und gehärtete Software findet sich in so unterschiedlichen Produkten wie Smart Meter Gateways, dem automobilen Notrufsystem eCall, Blockchain-Implementationen, Smart Contracts, Radargeräten, Clouds, industriellen Maschinensteuerungen und Sensoren, Küchenmaschinen, medizinischen Geräten und vollständigen Infrastrukturen.

Artikel der Smarter World