Sie sind hier: Startseite » Markt » Hintergrund

Cloud-Programme sind anfällig für Schwachstellen


Softwarwareentwickler erleben oftmals böse Überraschungen: Selbst nach langer und erfolgreicher Anwendung von Cloud Computing-Programmen tun sich plötzlich unerwartete Schwachstellen auf
Allein im Jahr 2012 wurden 9.762 bis dahin unbekannte Sicherheitslücken in der Open Source Vulnerability Database, einer weltweit zugänglichen Datenbank zur Verwaltung von Wissen um Sicherheitslücken in Software, registriert

(02.10.14) - Integration von digitalem Fachwissen und Automatisierung von Risiko-Analysen kann Testverfahren für Software deutlich verbessern und Cloud Computing sicherer machen. Das zeigen neueste Ergebnisse eines Projekts des Wissenschaftsfonds FWF zur Qualitätssicherung sicherheitskritischer Systeme, die soeben veröffentlicht wurden. Die Ergebnisse bilden eine Grundlage für sogenannte nicht-funktionale Sicherheitstests. Diese sollen Schwachstellen von Software identifizieren, die sich nicht aus dem unmittelbaren Programmablauf ergeben – und spielen für Cloud Computing eine immer wichtigere Rolle. Mit den nun entwickelten Grundlagen können solche Tests weiter automatisiert und nutzerfreundlicher gemacht werden.

Softwarwareentwickler erleben oftmals böse Überraschungen: Selbst nach langer und erfolgreicher Anwendung von Cloud Computing-Programmen tun sich plötzlich unerwartete Schwachstellen auf. Tatsächlich sind gerade Cloud-Programme anfällig dafür. Nicht weil sie schlecht geschrieben wurden, sondern weil sie viele laufend aktualisierte Schnittstellen besitzen. Diese machen Funktionalitäten erforderlich, die weit über den eigentlichen Programmablauf hinausgehen und von dritten Systemen abhängen. Sogenannte nicht-funktionale Sicherheitstests können diese Aspekte zwar testen, doch die konventionellen Methoden der Qualitätssicherung scheitern oft an der Komplexität der Anforderungen. Jetzt haben WissenschafterInnen der Universität Innsbruck Grundlagen vorgestellt, die nicht-funktionale Tests deutlich verbessern können.

Die wesentlichen Erfolgskriterien dieser vom Team um Prof. Ruth Breu, Leiterin des Instituts für Informatik, entwickelten Grundlagen sind dabei die Integration von Fachwissen sowie eine Automatisierung der Prozesse zur Risikoanalyse. Die Wichtigkeit für die Integration formalisierten Expertenwissens über Schwachstellen in Software führt die Expertin dabei eindrucksvoll aus: "Allein im Jahr 2012 wurden 9.762 bis dahin unbekannte Sicherheitslücken in der Open Source Vulnerability Database, einer weltweit zugänglichen Datenbank zur Verwaltung von Wissen um Sicherheitslücken in Software, registriert. Tatsächlich sind die Ursachen vieler dieser Sicherheitslücken aber seit Langem bekannt. Sie hätten zum Zeitpunkt der Softwareentwicklung also schon vermieden werden können. Optimierte nicht-funktionale Tests sollten daher auf solches existierende Wissen zurückzugreifen. Genau das tut unser Verfahren."

Dazu formalisiert das Team um Prof. Breu, Dr. Michael Felderer und Philipp Zech solches Wissen und macht es damit für nachfolgende automatische Risikoanalysen verfügbar. Diese Analysen resultieren in Risikoprofilen der zu testenden Systeme, die zum Erstellen ausführbarer Sicherheitstest verwendet werden. Dabei kommen moderne Programmiersprachen wie Scala und ASP sowie modellbasierte Verfahren zum Einsatz. Zu diesem automatisierten Prozess der Risikoanalyse meint Prof. Breu: "Das Problem bei bisherigen nicht-funktionalen Sicherheitstests ist die schier unendliche Anzahl an Möglichkeiten für Fehler. Bisher versuchte man, diese Situation durch menschliches Expertenwissen zu meistern, z. B. bei Penetrationstests. Die von uns gewählte Herangehensweise erlaubt nun aber ein strukturiertes und automatisiertes Testverfahren."

Prof. Breu ergänzt: "Zunächst war unsere Arbeit ja eher theoretisch geleitet. Doch wir wollten auch die Praxistauglichkeit unserer Überlegungen demonstrieren. Daher haben wir Real-Life Tests durchgeführt, die Reaktionen auf häufige Problemsituationen wie SQL-Injection-Angriffe checken." Im Rahmen der jetzt publizierten Arbeit wurde dabei zunächst auf eigens geschriebene Programme zurückgegriffen. Doch bereits seit einiger Zeit werden vom Team um Prof. Breu auch öffentlich verfügbare Testsysteme verwendet. Mit beeindruckendem Erfolg: Bis zu 90 Prozent aller Schwachstellen können aktuell zuverlässig identifiziert werden.

Insgesamt stellen die Ergebnisse dieses Projekts des FWF einen signifikanten Fortschritt für die zukünftige Qualitätssicherung sicherheitskritischer Systeme dar – ein Ergebnis, das die Bedeutung grundlegender wissenschaftlicher Arbeiten für die reibungslose Funktion unseres Alltages einmal mehr unter Beweis stellt. (Universität Innsbruck Institut für Informatik: ra)

Uni Innsbruck Institut für Informatik: Kontakt

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • Cloud-Edge-Infrastruktur in Europa

    eco - Verband der Internetwirtschaft e.V. übernimmt das Projektmanagement für das neu gestartete Projekt FACIS im Rahmen der europäischen Infrastrukturinitiative IPCEI-CIS/8ra . FACIS steht für das Konzept der Federation Architecture for Composed Infrastructure Services und wird seit November 2024 für die kommenden zwei Jahre vom Bundesministerium für Wirtschaft und Klimaschutz (BMWK) mit rund 6,8 Millionen Euro gefördert.

  • 2025 zeichnen sich fünf KI-Trends ab

    Scott Zoldi, KI-Visionär und Chief Analytics Officer bei Fico, sieht aktuell folgende fünf KI-Trends: Erkenntnis in Unternehmen reift: Nicht jede KI ist eine GenAI. Unternehmen befassen sich zunehmend mit dem geschäftlichen Mehrwert ihrer KI-Investitionen. Sie achten immer mehr darauf, bei welchen Herausforderungen GenAI eine gute Lösung bringt und wo traditionelle KI-Technologie und interpretierbares maschinelles Lernen die Alternative sind. Tatsächlich sind mehr als 80 Prozent aller KI-Systeme, die heute in Unternehmen im Einsatz sind, keine GenAI.

  • Nutzung von KI als Wirtschaftsfaktor

    Die Entwicklung und Adaption von Künstlicher Intelligenz in Deutschland geht einigen viel zu langsam. Ist das wirklich so? Tatsächlich haben wir die KI weder verschlafen noch mutwillig ein- und ausgebremst. Aber es gibt eine Reihe von Besonderheiten, die der Nutzung von KI als Wirtschaftsfaktor nicht förderlich sind.

  • Erste Warnungen in Europa vor US-Clouds

    Norwegen und Dänemark warnen vor US-Cloud-Anbietern. Werden Deutschland und weitere europäische Länder diesem Beispiel folgen? Wann werden Regeln zum Datenschutz verschärft und wie können Unternehmen diese Hürde meistern?

  • Weg zu mehr Nachhaltigkeit

    Die sich zunehmend verschärfende Energieknappheit stellt Industrie, Haushalte und Politik vor enorme Herausforderungen. In einigen Branchen führt dies bereits dazu, dass Produktionskapazitäten gedrosselt werden. Vor diesem Hintergrund geraten auch Rechenzentren ins Blickfeld, die als digitale Infrastrukturen der modernen Gesellschaft zwar eine zentrale Rolle spielen, aber auch als besonders energieintensiv gelten.

  • Von der Optimierung zur Transformation

    Generative Künstliche Intelligenz (GenAI) wird 2025 zum Standardwerkzeug der deutschen Wirtschaft. Nahezu acht von zehn Unternehmen (79 Prozent) setzen die Technologie ein oder haben es vor. Der Fokus liegt allerdings auf der Optimierung und nicht auf der Transformation des Geschäfts. Lediglich 46 Prozent der Entscheider sind der Meinung, dass es mittelfristig neue, vollständig KI-basierte Geschäftsmodelle geben wird.

  • Welche Chancen bieten AI und Automatisierung?

    Automatisierung am Arbeitsplatz, kombiniert mit Artificial Intelligence (AI), GenAI, Machine Learning (ML) und Orchestrierung, ermöglicht Unternehmen, Arbeitsabläufe auf ein neues Level zu heben. Durch diese Technologien lassen sich skalierbare, anpassungsfähige Geschäftsprozesse schaffen, die auf langfristige Ziele ausgerichtet sind.

  • Datenschutzstrategien für hybride IT

    Eine von Arcserve beauftragte unabhängige Befragung unter IT-Führungskräften ergab, dass 80 Prozent schon einmal von Ransomware betroffen waren. Während 82 Prozent der Betroffenen angaben, dass sie den Schaden innerhalb von 48 Stunden beheben konnten, war dazu knapp ein Fünftel nicht in der Lage. Problematisch ist auch, dass bis zu 30 Prozent der Daten bei einem erfolgreichen Ransomware-Angriff nicht wiederhergestellt werden konnten.

  • Cloud-basierte Monetarisierung löst Probleme

    Mit ihrer jahrzehntelangen Erfahrung im Management wiederkehrender Kundenbeziehungen sind Telekommunikationsunternehmen (Telcos) attraktive Partner in der Abonnement-Wirtschaft. Ihr großer Kundenstamm, der sich durch historisch niedrige Abwanderungsraten auszeichnet, bietet eine solide Grundlage, um vom wachsenden Abonnementmarkt zu profitieren.

  • Fokus auf Datenschutz & Compliance

    IT-Ausgaben in der Finanzbranche werden 2025 auf über 58 Milliarden USD steigen, während Technologien wie generative Künstliche Intelligenz (GenAI) Arbeitsabläufe, Datenmanagement und Kundeninteraktionen revolutionieren. Gleichzeitig wird der sich vollziehende Generationswechsel bei den Anlegern endgültig ein neues Level an Digitalisierung fordern. Fünf zentrale Trends werden diesen Wandel prägen: die Optimierung von Kundenerlebnissen, die Einführung modularer Architekturen, datengetriebene Innovationen, die Konvergenz von Branchen und ein verstärkter Fokus auf Datenschutz und Compliance.

Mobilität & Vernetzung auf dem Vormarsch Umsetzung von Big Data-Projekten

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen