- Anzeige -


Sie sind hier: Startseite » Markt » Hintergrund

Cloud-Programme sind anfällig für Schwachstellen


Softwarwareentwickler erleben oftmals böse Überraschungen: Selbst nach langer und erfolgreicher Anwendung von Cloud Computing-Programmen tun sich plötzlich unerwartete Schwachstellen auf
Allein im Jahr 2012 wurden 9.762 bis dahin unbekannte Sicherheitslücken in der Open Source Vulnerability Database, einer weltweit zugänglichen Datenbank zur Verwaltung von Wissen um Sicherheitslücken in Software, registriert

(02.10.14) - Integration von digitalem Fachwissen und Automatisierung von Risiko-Analysen kann Testverfahren für Software deutlich verbessern und Cloud Computing sicherer machen. Das zeigen neueste Ergebnisse eines Projekts des Wissenschaftsfonds FWF zur Qualitätssicherung sicherheitskritischer Systeme, die soeben veröffentlicht wurden. Die Ergebnisse bilden eine Grundlage für sogenannte nicht-funktionale Sicherheitstests. Diese sollen Schwachstellen von Software identifizieren, die sich nicht aus dem unmittelbaren Programmablauf ergeben – und spielen für Cloud Computing eine immer wichtigere Rolle. Mit den nun entwickelten Grundlagen können solche Tests weiter automatisiert und nutzerfreundlicher gemacht werden.

Softwarwareentwickler erleben oftmals böse Überraschungen: Selbst nach langer und erfolgreicher Anwendung von Cloud Computing-Programmen tun sich plötzlich unerwartete Schwachstellen auf. Tatsächlich sind gerade Cloud-Programme anfällig dafür. Nicht weil sie schlecht geschrieben wurden, sondern weil sie viele laufend aktualisierte Schnittstellen besitzen. Diese machen Funktionalitäten erforderlich, die weit über den eigentlichen Programmablauf hinausgehen und von dritten Systemen abhängen. Sogenannte nicht-funktionale Sicherheitstests können diese Aspekte zwar testen, doch die konventionellen Methoden der Qualitätssicherung scheitern oft an der Komplexität der Anforderungen. Jetzt haben WissenschafterInnen der Universität Innsbruck Grundlagen vorgestellt, die nicht-funktionale Tests deutlich verbessern können.

Die wesentlichen Erfolgskriterien dieser vom Team um Prof. Ruth Breu, Leiterin des Instituts für Informatik, entwickelten Grundlagen sind dabei die Integration von Fachwissen sowie eine Automatisierung der Prozesse zur Risikoanalyse. Die Wichtigkeit für die Integration formalisierten Expertenwissens über Schwachstellen in Software führt die Expertin dabei eindrucksvoll aus: "Allein im Jahr 2012 wurden 9.762 bis dahin unbekannte Sicherheitslücken in der Open Source Vulnerability Database, einer weltweit zugänglichen Datenbank zur Verwaltung von Wissen um Sicherheitslücken in Software, registriert. Tatsächlich sind die Ursachen vieler dieser Sicherheitslücken aber seit Langem bekannt. Sie hätten zum Zeitpunkt der Softwareentwicklung also schon vermieden werden können. Optimierte nicht-funktionale Tests sollten daher auf solches existierende Wissen zurückzugreifen. Genau das tut unser Verfahren."

Dazu formalisiert das Team um Prof. Breu, Dr. Michael Felderer und Philipp Zech solches Wissen und macht es damit für nachfolgende automatische Risikoanalysen verfügbar. Diese Analysen resultieren in Risikoprofilen der zu testenden Systeme, die zum Erstellen ausführbarer Sicherheitstest verwendet werden. Dabei kommen moderne Programmiersprachen wie Scala und ASP sowie modellbasierte Verfahren zum Einsatz. Zu diesem automatisierten Prozess der Risikoanalyse meint Prof. Breu: "Das Problem bei bisherigen nicht-funktionalen Sicherheitstests ist die schier unendliche Anzahl an Möglichkeiten für Fehler. Bisher versuchte man, diese Situation durch menschliches Expertenwissen zu meistern, z. B. bei Penetrationstests. Die von uns gewählte Herangehensweise erlaubt nun aber ein strukturiertes und automatisiertes Testverfahren."

Prof. Breu ergänzt: "Zunächst war unsere Arbeit ja eher theoretisch geleitet. Doch wir wollten auch die Praxistauglichkeit unserer Überlegungen demonstrieren. Daher haben wir Real-Life Tests durchgeführt, die Reaktionen auf häufige Problemsituationen wie SQL-Injection-Angriffe checken." Im Rahmen der jetzt publizierten Arbeit wurde dabei zunächst auf eigens geschriebene Programme zurückgegriffen. Doch bereits seit einiger Zeit werden vom Team um Prof. Breu auch öffentlich verfügbare Testsysteme verwendet. Mit beeindruckendem Erfolg: Bis zu 90 Prozent aller Schwachstellen können aktuell zuverlässig identifiziert werden.

Insgesamt stellen die Ergebnisse dieses Projekts des FWF einen signifikanten Fortschritt für die zukünftige Qualitätssicherung sicherheitskritischer Systeme dar – ein Ergebnis, das die Bedeutung grundlegender wissenschaftlicher Arbeiten für die reibungslose Funktion unseres Alltages einmal mehr unter Beweis stellt. (Universität Innsbruck Institut für Informatik: ra)

Uni Innsbruck Institut für Informatik: Kontakt

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Hintergrund

  • Facility-Management mit strategischem Partner

    Die Analyse von Immobiliendaten ermöglicht eine zielgerichtete, transparente, kundenorientierte sowie planbare Serviceerbringung. Das bietet sowohl Mehrwerte für den Kunden als auch für den Facility-Service-Dienstleister. Ein datengetriebener Ansatz, auch Data-driven Facility Management genannt, ermöglicht einen intelligenten Betrieb von Gebäuden und Prozessen. Realisierbar sind vollautomatisierte Dienstleistungs-Workflows, die sich durch Transparenz und Effizienz auszeichnen. Das auf Facility Management spezialisierte Marktforschungsunternehmen Lünendonk & Hossenfelder hat sich gemeinsam mit dem Facility-Management-Dienstleister Gegenbauer ausführlich mit Data-driven Facility Management auseinandergesetzt und die Ergebnisse in einem Whitepaper veröffentlicht.

  • Bewältigung der 5G-Herausforderungen

    Nach Abschluss der 5G-Mobilfunkfrequenz-Auktion mit einer Zahlung von 6,6 Milliarden Euro an den Staat mehren sich die Fragen rund um den neuen Mobilfunkstandard, der sich auf die Gesellschaft zubewegt: Wie schnell erfolgt der Ausbau? Lohnt sich der Umstieg auf 5G jetzt schon für Verbraucher und wie gut sind die Unternehmen in Deutschland darauf vorbereitet? Denn in nur 3,5 Jahren dürfte 5G schätzungsweise die schnellste Technologie mit einer Milliarde Nutzern sein. Trotz enormer Chancen darf die Sicherheit und Gewährleistung von 5G nicht außer Acht gelassen werden, denn Carrier Service Provider (CSPs) stehen vor erheblichen Herausforderungen. Die disaggregierten Netzwerkfunktionen der 5G-Technologie mit Cloud RAN, Control and User Plane Separation (CUPS), Network Slicing, neuem disaggregierten 5G-Kernnetz, Edge Cloud, NFV, SDN, Containern, Mikrodiensten und vielem mehr werden eine größere Komplexität, Sicherheitslücken und Herausforderungen in Bezug auf die Sichtbarkeit der Dienste mit sich bringen.

  • Amateure haben die Szene übernommen

    Nach Angaben der Sicherheitsspezialisten von Radware haben Razzien, Verhaftungen und die Beschlagnahmung von Servern keine nennenswerten Auswirkungen auf das Wachstum illegaler Booter- und Stresser-Dienste. Solche Dienste, auch als DDoS-as-a-Service bezeichnet, werden von vielen Hackern angeboten, die auf diese Weise ihre bestehenden Botnets vermarkten, wenn sie diese nicht gerade selbst für eine Attacke einsetzen. Sie agieren wie ganz normale Unternehmen nach marktwirtschaftlichen Kriterien. Die Services werden statt wie früher im Darknet und auf sozialen Medien heute vor allem auf gängigen Internet-Suchmaschinen umfangreich beworben, und ein starker Wettbewerb sorgt für immer niedrigere Preise und senkt so die Eintrittsschwelle für Amateur-Hacker.

  • Auch in der SAP-Welt: Die Zukunft heißt Hybrid

    Zwei fundamentale Änderungen werden SAP-Anwender in den nächsten Jahren beschäftigen: zum einen die gerade erst verlängerte Frist für die Migration bisheriger Datenbanken zu SAP HANA und bestehender Applikationen auf SAP S/4HANA bis spätestens 2027, zum anderen die anstehenden Innovationsprojekte im Rahmen der Digitalen Transformation, etwa in Themenfeldern wie IoT, Data Analytics sowie KI und Machine Learning. Diese Veränderungen erfordern neue Architekturen und Plattformen anstatt bisher genutzter Silos. Die Lösung ist eine integrierte, hybride Multi-Cloud-Plattform auf beliebiger Infrastruktur. Peter Körner, Business Development Manager Open Hybrid Cloud SAP Solutions bei Red Hat, zeigt die Vorteile einer Open-Hybrid-Cloud-Strategie auf und erläutert die Bedeutung von APIs und Cloud-nativer Entwicklung in diesem Kontext.

  • Corona-Krise treibt Cloud-Nutzung voran

    Ob im Gesundheitssystem, in der Politik oder in der Wirtschaft - Die Corona-Krise hat in nahezu allen gesellschaftlichen Bereichen Mängel aufgedeckt und Handlungsbedarf offenbart. Dies trifft auch auf den Digitalisierungsstand deutscher Unternehmen zu. Durch die schnelle Umstellung auf Home Office und die Verlagerung von Service sowie Freizeitaktivitäten in den digitalen Raum ist der Bedarf nach Cloud-Lösungen so hoch wie nie. Was der Schlüssel für eine erfolgreiche Migration ist und welchen konkreten Geschäftsnutzen Unternehmen aus einer Verlagerung ihrer Services in die Cloud ziehen können, erklärt Klaus Kurz, Director Solutions Consulting bei New Relic.

  • Fünf Trends, die Edge vorantreiben

    Das Bild der primitiven Edge, die bloß Daten weiterleitet, ist überholt. Denn Edge Computing spielt in den verteilten Infrastrukturen des Internet of Things (IoT) eine zunehmend wichtige Rolle. Dabei funktioniert die Technologie nach folgendem Prinzip: Lokale Geräte verarbeiten Daten wie Sensormesswerte direkt und führen eine Geschäftslogik aus, ohne Daten an einen Server zu übertragen. Eine Edge Runtime stellt hierfür die Funktionen für die Endgeräte bereit und steuert auf ihnen Module, beispielsweise Container. Die Kommunikation zwischen den Modulen und dem IoT-Hub in der Cloud übernimmt der Edge Hub. Auf diese Weise lässt sich die Peripherie lokal und ohne permanente Internetverbindung steuern. Das System performt schneller und besser, da weniger Daten durch das Netzwerk müssen. Relevante Analyseergebnisse gehen zu einem späteren Zeitpunkt an den Cloud-Server, sobald eine Internetverbindung besteht.

  • Einfallstor: Cloud-E-Mail-Dienst

    Digitale Büro-Dienste, wie Office 365 und G-Suite, kommen von Jahr zu Jahr häufiger in verschiedenen Unternehmen zum Einsatz. Die Vorteile liegen auf der Hand: Das Office-Paket, vor allem das E-Mail-Postfach, werden nicht mehr lokal auf dem Computer gespeichert, sondern über eine Cloud bezogen. Dort lagern auch die Nachrichten und sind somit von jedem Gerät aus abrufbar. In Zeiten der mobilen Mitarbeiter, die Smartphones oder Laptops nutzen, unverzichtbar. Jedoch kommt eine Sache im Zuge dieser Umstellung gerne zu kurz: die IT-Sicherheit. Generell kümmern sich Unternehmen zwar um dieses Thema, doch im Speziellen bleibt Potenzial zur Verbesserung. Organisationen aller Art müssen sich dringend um zuverlässige Schutzmaßnahmen für ihre E-Mail-Programme kümmern. Die virtuellen Nachrichten sind kein Nebenprodukt mehr, sondern die hauptsächliche Kommunikation vieler Angestellter untereinander und mit Kunden - besonders in Zeiten des Home Offices und gestiegenen Fernzugriffes. Gleichzeitig aber sind E-Mails auch ein hervorragendes Einfallstor für Cyber-Kriminelle, wenn keine Sicherheitslösungen diese daran hindern.

  • Praktikabilität des Cloud Printing

    Mittlerweile weiß wohl jeder Unternehmer - anfangs mussten IT-Mitarbeiter noch mit dem Mythos aufräumen, es handle sich um eine wortwörtliche Datenwolke -, worum es sich bei der viel diskutierten Cloud handelt: eine Armada von Servern, die rund um die Uhr in Benutzung enorme Datenmengen speichern und ausgeben. 75 Prozent der deutschen Unternehmen haben Cloud Computing bereits fest in ihre Geschäftsprozesse integriert - ausschließlich eine verschwindend geringe Zahl von acht Prozent beschäftigt sich weiterhin überhaupt nicht mit diesem Thema. Kein Wunder, denn die Vorteile der digitalen Speichersilos liegen auf der Hand: Dezentrales Arbeiten von überall und von jedem Endgerät aus, einheitliche Datensätze und die Möglichkeit, Änderungen in Echtzeit durchzuführen, sowie dadurch erheblich vereinfachte Prozesse - abteilungs- oder sogar unternehmensübergreifend. Auch das direkte Drucken aus- oder das direkte Scannen in die Cloud erweisen sich als extrem nützliche Tools für Anwender. Bisher konnten Unternehmen bereits eine ganze Reihe wichtiger Geschäftsprozesse in die Cloud verschieben.

  • Morgengrauen des Internet of Things

    Viele der größten Unternehmen sind heutzutage nicht mehr in der materiellen Produktion vorzufinden. Vorbei sind die Zeiten, in denen die großen Autohersteller oder ölfördernde Unternehmen die Spitze der wertvollsten Unternehmen unter sich ausmachten. So stand im Jahre 1996 der Financial Times zufolge General Electrics mit 136 Milliarden US-Dollar an der Spitze der wertvollsten Unternehmen weltweit - kein digitales Unternehmen schaffte es in den Anfangsjahren des Internets in die Top 5. Ein ganz anderes Bild bietet sich 2020, in welchem die ersten fünf Plätze allesamt unter den digitalen Riesen aufgeteilt werden. Microsoft führt in der neuen Erhebung mit 1,2 Billionen US-Dollar die Liste an.

  • Viele Unternehmen sind noch schlecht aufgestellt

    Großflächige Homeoffice-Möglichkeiten, E-Learning und Online-Medizin - was bis vor Kurzem noch unmöglich schien, ist Alltag geworden. Die Corona-Krise ist ein Wendepunkt in der Digitalisierung von Wirtschaft und Gesellschaft. Während in den vergangenen Jahren viel über ihre disruptive Kraft diskutiert, aber wenig gehandelt wurde, zeigt sich in der jetzigen Krise der wahre Charakter digitaler Innovationen. Sie machen Unternehmen und Organisationen in Krisenzeiten anpassungsfähig, handlungsfähig und damit überlebensfähig. Digitale Innovation ist damit gleichbedeutend mit "digitaler Resilienz" - sprich der Fähigkeit, sich mittels Digitalisierung bestmöglich gegen unvorhergesehene Krisen und externe Einflüsse zu immunisieren.