Schnittstellen sind Angriffsstellen


Forschungsprojekt zur IT-Sicherheit: Qualitäts- und Sicherheitslücken im Cloud Computing erkennen schließen
"Fuzzing" ist besonders für die Absicherung von Schnittstellen zwischen Systemen geeignet


(18.05.12) - Mithilfe der Testmethodik des sogenannten "Fuzzing" lassen sich viele Qualitäts- und Sicherheitslücken im Cloud Computing und bei mobilen Anwendungen erkennen und dadurch schließen. Voraussetzung dabei ist, dass das Fuzzing systematisch in den Testprozess von Unternehmen integriert ist. Zu diesem Ergebnis kommt das Forschungsprojekt "SecuriFIT", das vom IT-Security-Netzwerk "SesamBB" mit Mitteln des Bundes und des Landes Brandenburg beauftragt wurde.

Das Forschungskonsortium von SecuriFIT besteht aus Experten der SQS Software Quality Systems AG und Codenomicon. Gemeinsam bearbeiteten sie über sechs Monate hinweg das von SesamBB geförderte Projekt.

Ausgangslage war die Erkenntnis, dass Fuzzing besonders für die Absicherung von Schnittstellen zwischen Systemen geeignet sei. In einer Art Stresstest bombardiert Fuzzing diese Schnittstellen kontinuierlich mit automatisch generierten Testdaten, mit dem Ziel diese Schnittstellen aufzubrechen. Dieses Vorgehen eignet sich insbesondere für Cloud und Mobile Computing, da es hier überdurchschnittlich viele Schnittstellen und damit mögliche Angriffsstellen gibt. "Mit unserer Defensic-Suite unterstützen wir heute über 300 Protokolle, für die diese Technik direkt eingesetzt werden kann", so Anton von Troyer, Leiter der deutschen Codenomicon-Niederlassung in München.

Motivation für das Projekt sei die Tatsache gewesen, dass Fuzzing als Testtechnik bisher noch nicht systematisch in bestehende Testprozesse integriert ist, so die Forscher von SecuriFIT. Diese seien in der Regel für die Sicherheitstests des Fuzzings noch nicht entsprechend angepasst. "Der Einsatz von Fuzzing wurde bisher auch dadurch erschwert, dass eine Vielzahl von unterschiedlichen Testprozessen wie die von ISEB, ISTQB oder TMap zum Einsatz kommen", erläutert Frank Simon, Leiter von SQS Research. "SecuriFIT hat nun einen generischen Testprozess vorgelegt, der das Fuzzing beinhaltet und somit diese Testtechnik für einen systematischen Praxiseinsatz nutzbar macht. "Dadurch kann Fuzzing einfach in alle Testprozesse fertig integriert werden", so Simon.

In einem zweiten Schritt wird SecuriFIT diesen übergreifenden Testprozess inklusive Fuzzing in den nächsten Monaten in einem konkreten Anwendungsfall einsetzen, um den Nutzen des Vorgehens mit empirischem Datenmaterial zu unterfüttern.

Die Forschungsergebnisse selbst sind ab sofort für Mitglieder und Interessenten des SesamBB-Netzwerkes verfügbar und werden aktuell auf einigen Konferenzen bereits vorgestellt.

Das Forschungsprojekt wird gefördert durch SesamBB, einem Netzwerk von Unternehmen aus Berlin und Brandenburg. Die brandenburgische Landesregierung unterstützt SesamBB im Rahmen der Gemeinschaftsaufgabe "Verbesserung der regionalen Wirtschaftsstruktur" (GRW) mit Mitteln des Bundes und des Landes. Ziel des Forschungsprojekts ist es, nachhaltige Lösungen zu finden, welche die öffentliche Sicherheit und die Sicherheit in Unternehmen verbessern. (SQS Software Quality Systems: ra)

SQS Software Quality Systems: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Hintergrund

  • ray ebnet Weg in hybride Cloud-Welt

    proAlpha, Anbieterin von ERP- und Softwarelösungen für die mittelständische Fertigungsindustrie, kündigt die allgemeine Verfügbarkeit seiner webbasierten ERP-Lösung "proAlpha ray" an. Damit erhalten Nutzer über den Browser einfachen und mobilen Zugriff auf das ERP, jederzeit und über nahezu jedes beliebige Endgerät.

  • Viel Potenzial in der neuen "Sales Cloud"

    Es ist die neue Vertriebslösung der SAP: Die "Sales Cloud V2". Sie verspricht vor allem eines: intelligente, automatisierte und user-freundliche Prozesse. Wie viel Erleichterung verschafft die neue Lösung den Vertriebs-Teams? Und was sind die Unterschiede zur Vorgängerversion?

  • Dell RMAD beschleunigt Disaster Recovery

    Dell liefert ab sofort das neue Release des "Dell Recovery Manager for Active Directory" und des "Recovery Manager for Active Directory Forest Edition 8.7" aus. Unternehmen, die eine hybride Active-Directory-Umgebung mit Azure AD Connect betreiben, sind so in der Lage, AD-Objekte in Echtzeit zu sichern, zu analysieren und wiederherzustellen - und dies sowohl in On-Premises-Umgebungen als auch in der Cloud. Damit ist Dell der erste Anbieter im Markt, der eine vollständige Suite von AD-Backup- und Recovery-Lösungen bereitstellt, die Item-Level Recovery, vergleichende Berichte und Attribute-Rollback-Funktionalitäten unterstützen. Unternehmen erhalten die vollständige Kontrolle, die sie für eine erfolgreiche, hybride AD-Verwaltung benötigen. Sie sind damit in der Lage, in ihrem Rechenzentrum eine automatische Wiederherstellung auf Forest-Ebene vorzunehmen sowie eine voll funktionsfähige Virtual-Lab-Umgebung aufzubauen.

  • Fortschrittlicheres IT-Management

    Kaseya, Anbieterin von Software für Cloud-basiertes IT-Management, stellt ein Fünf-Schritte-Model von, mit dem Unternehmen fortschrittlicheres IT-Management haben können. Im Gegensatz zur gängigen Annahme haben mittelständische Unternehmen einen großen Vorteil, wenn sie ihre IT voranbringen wollen. Der Schlüssel dafür heißt Flexibilität, weil Mittelständler ihre IT mit einem geringen finanziellen Aufwand weiterentwickeln können.

  • HR-Management aus der Cloud

    Das Personalwesen und das Human Capital Management (HCM) haben in den letzten Jahren deutlich und vielerorts auch nachhaltig an Bedeutung gewonnen. Mit den wachsenden Funktionsumfängen betriebswirtschaftlicher Lösungen hat sich das Personalwesen vom Verwaltungsapparat bis heute zu einem wertvollen strategischen Instrument zur Umsetzung der Unternehmensziele entwickelt. Nicht nur im personalintensiven Dienstleistungssektor gilt das Human Capital Management heute als kardinale Managementdisziplin, die mit ihren Kernaufgaben wie u.a. Personalauswahl, Talent und Performance Management, Personalentwicklung, Self Services oder Ressourcensteuerung einen gewichtigen Beitrag zum Unternehmenserfolg leistet. Bedarfsgerechte Cloud Computing-Angebote eröffnen mit ihren flexiblen und nutzungsorientierten Betriebsmodellen quasi für jedermann eine schnelle und preisgünstige Transformation der HR-Prozesse zu einem proaktiven Managementwerkzeug.

  • Cloud: Auch WANs können Probleme bereiten

    Cloud Computing bringt einem Unternehmen eine Menge Vorteile, etwa niedrigere Kosten, Rechenleistung und Software nach Bedarf oder Zugriff auf ausgefeilte Funktionen wie Disaster Recovery und Datenreplizierung in einem Cloud-Data-Center. "Doch ein Cloud Computing-Projekt kann schnell in einem Debakel enden", warnt Jeff Aaron, Vice President Marketing bei Silver Peak Systems, einem weltweit führenden Anbieter von Software, mit der sich Daten schnell, effizient und sicher über große Entfernungen übermitteln lassen. "Das ist dann der Fall, wenn der Nutzer nicht im Vorfeld prüft, ob seine Netzwerkinfrastruktur für die speziellen Anforderungen von Cloud Computing-Diensten ausgelegt ist."

  • Externe Cloud kann zur Schatten-IT führen

    Laut den Analysten von Gartner wird der Anteil der Mitarbeiter, die im IT-Betrieb tätig sind, von heute bis zu 70 Prozent auf unter 30 Prozent sinken (Gartner: "IT Professional Outlook, 2012 to 2016", Januar 2012). Damit steht die IT-Organisation vor einer drastischen Veränderung: Soll sie den IT-Betrieb weiterhin intern leisten, so muss sie einen hohen Automatisierungsgrad erreichen. Der Druck auf IT-Verantwortliche wird durch die Angebote externer Cloud Service-Provider verstärkt, die IT-Leistungen durch flexibel skalierbare Rechenzentren mit modernster Technik anbieten.

  • Komplexitätsproblem Cloud Computing

    Keine Frage, Cloud Computing ist auf dem Vormarsch. Schon heute hängen 44 Prozent aller Händler-Websites von Amazons Cloud Computing-Plattform "EC2" ab. Dazu steigt der Anteil an Online-Inhalten von Drittanbietern (CDN) stetig weiter an. Und auch Big Data steht nicht mehr zu Wahl, sondern ist bereits Wirklichkeit. Nach Erhebungen von Deloitte werden bis Ende des Jahres schon über 90 Prozent der Fortune 500 Unternehmen Big Data-Initiativen auf den Weg gebracht haben.

  • Cloud Computing braucht Sicherheit

    Die Gefahren beim Cloud Computing müssen beherrschbar sein. Dies forderte die Nifis Nationale Initiative für Informations- und Internet-Sicherheit e.V. anlässlich der diesjährigen it-sa 2012. Laut Nifis ist die Gefahr, beim Nutzen der Daten-Wolke durch Hacker-Angriffe in Mitleidenschaft gezogen zu werden und dabei sensible Daten zu verlieren, sehr groß. Vor allem Datenpannen bei Cloud Computing-Anbietern sorgen immer wieder für ein unkalkulierbares Bedrohungspotential.

  • Was Cloud-Lösungen dem Mittelstand bringen

    Der Vorteil von Cloud Computing-Anwendungen im Mittelstand ist in aller Munde. ProjectHQ bietet mit dem "Cloud-Kompass" nun den direkten Vergleich zwischen klassischer Software und modernen Cloud-Lösungen. Mit dem "ProjectHQ Cloud-Kompass" ist es möglich, den direkten Kostenvergleich zwischen klassischer Software und einer modernen Cloud Computing-Lösung anzustellen. Interessierte Unternehmen können mit nur wenigen Angaben zu bestehenden Systemen eine aussagekräftige Abschätzung der Kosten- und Funktionsvorteile für ihre Ansprüche erhalten.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen