Cyber-Security
Sicherheitslücken aufspüren
Auf der SPS IPC Drives zeigt Softscheck, wie man mit einem toolgestützten Testverfahren, die besonders gefährlichen, unentdeckten Sicherheitslücken bei Industrie-Anlagen ausfindig zu machen kann.
Die Notwendigkeit, auch industrielle Anlagen vor IT-Angriffen zu schützen, steht mittlerweile außer Frage. Zwar hatte die Stuxnet-Affäre alle Verantwortlichen aufgeweckt, doch herrschte danach zunächst die Meinung, ein solcher Angriff sie viel zu aufwändig als dass man daraus ein generelles Bedrohungsszenario ableiten könne. Der Herbst 2013 hat gezeigt, wie naiv diese Vorstellung leider ist.
Besonders gefährlich sind sog. »Zero-Day Vulnerabilities«. Das sind ganz neu entdeckte Sicherheitslücken, über die der Hersteller noch nicht informiert ist (»nullter Tag«) und gegen die es demzufolge auch noch keinen Schutz gibt. Die Firma Softscheck stellte gestern einen »Security Testing Process« vor, der mittels automatisierter Werkzeuge solche Lücken aufspüren soll. Allerdings setzt dieser Prozess bereits bei der Entwicklung der Software an. Wenn das Kind erstmal in den Brunnen gefallen ist – sprich: sich unsichere Software auf einer Steuerung befindet – ist es wesentlich schwerer, Abhilfe zu schaffen. Grundlage des Securtiy-Testing-Prozesses ist die Entwicklung einer Sicherheitsarchitektur für die Software. Wenn diese erstellt ist, kann sie mittels Angriffsszenarien auf Sicherheitslücken überprüft werden. Der Quellcode muss einer statischen Code-Analyse unterzogen werden (White-Box-Testing). Ist das Programm compiliert, folgt ein dynamischer Test mittels „Fuzzing“ (Black-Box-Test). Dabei wird das Programm automatisiert mit (unerwarteten) Eingabedaten gefüttert. Die Reaktionen des Programms können zu überhöhtem Ressourcenverbrauch, Speicherüberlauf etc. führen, was dann eventuelle Sicherheitslücken offenbart. Mit diesem Verfahren können unbekannte Sicherheitslücken aufgespürt werden. Die Überprüfung auf bekannte Schwachstellen findet durch „Penetration Testing“ statt, das nach Leitfäden des BSI (Bundesamt für Sicherheit in der Informationstechnik) durchgeführt wird.
Softscheck ist eine IT-Sicherheitsberatung, die sich seit über zehn Jahren mit dem Schutz vernetzter kommerzieller und industrieller Computersysteme beschäftigt.
Jobangebote+ passend zum Thema
Lesen Sie mehr zum Thema
