Sicherheitslücken in Software automatisch erkennen

Wer mit Open Source-Software arbeitet, muss bislang manuell prüfen, ob neue Schwachstellen aufgetreten oder Lizenzen abgelaufen sind. Die Gründer von CodeShield arbeiten daran, dieses Verfahren zu automatisieren. Auf diese Weise sollen Unternehmen künftig Zeit und Geld sparen können.

Beinahe täglich ist in der Presse von Angriffen auf IT-Systeme oder von neuen Sicherheitslücken in Software zu lesen. Rund drei von vier deutschen Unternehmen sind in den vergangenen zwei Jahren von Datendiebstahl, Industriespionage oder Sabotage betroffen gewesen, so das Ergebnis einer Befragung des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien (Bitkom). Doch wenn es darum geht, sich vor Angriffen zu schützen und Software abzusichern, denken die meisten Nutzer zunächst an Firewalls oder Virenscanner. Ziel dieser Produkte ist es, Angreifern den Zugriff auf die zu schützenden Systeme zu verwehren, allerdings schlägt dies immer häufiger fehl. Hinzu kommt, dass die Entwicklungszyklen moderner Software immer kürzer werden. Daher ist es unerlässlich, die Software selbst von Grund auf sicher zu entwickeln.

Um diesen Anforderungen gerecht zu werden, werden vermehrt – auch in kommerzieller Software – sogenannte Open-Source-Bibliotheken genutzt. Open-Source-Bibliotheken erlauben es Entwicklern, ähnlich wie bei einem Baukasten, auf bewährte Funktionen zurückzugreifen und in die eigene Software zu integrieren. So lassen sich bei der Softwareentwicklung Zeit und Kosten sparen. Die Vorteile, die solche Bibliotheken bieten, haben mittlerweile die meisten Unternehmen erkannt. Entsprechend beträgt der Anteil von Open-Source-Codes in Softwareprodukten häufig bis zu 90 Prozent.

Allerdings birgt die unachtsame Integration von Open-Source-Bibliotheken auch erhebliche finanzielle und sicherheitsrelevante Risiken für Unternehmen. So können die Lizenzen der eingesetzten Bibliotheken zueinander inkompatibel sein. Dies kann zu unabsichtlichen Lizenzverletzungen und möglichen Schadensersatzforderungen führen. Zusätzlich können in eingebunden Bibliotheken Schwachstellen lauern, die ein Einfallstor für Angreifer sein können. Um diese Risiken zu minimieren, müssen die eingesetzten Open-Source-Bibliotheken regelmäßig überprüft werden, ob für sie neue erkannte Security-Schwachstellen gemeldet wurden. Aktuelle Werkzeuge können Unternehmen zwar dabei unterstützen, solche Prüfungen durchzuführen, allerdings produzieren sie regelmäßig Falschmeldungen, übersehen bereits bekannte Schwachstellen oder schlagen selbst bei kleinsten Anpassungen an den Bibliotheken fehl. Daher lässt sich eine manuelle Überprüfung der Ergebnisse kaum vermeiden, was für Unternehmen aktuell sehr zeit- und kostenintensiv ist.

Um zuverlässig und effizient neue Schwachstellen oder Lizenzverletzungen in eingesetzten Open-Source-Bibliotheken zu erkennen, hat sich Anfang des Jahres am TecUP der Uni Paderborn und der garage33 das Team von CodeShield,, als Spin-off des Heinz Nixdorf-Instituts der Universität Paderborn und des Fraunhofer IEM, zusammengefunden. Das Gründerteam, bestehend aus Manuel Benz, Andreas Dann, Dr. Johannes Späth und Prof. Dr. Eric Bodden, hat sich während seiner gemeinsamen Forschungsarbeit am Lehrstuhl von Prof. Bodden an der Universität Paderborn und dem Fraunhofer IEM kennengelernt.

Forschungsschwerpunkt der Gründer sind hochpräzise und effiziente Analysen und sogenannte Fingerprinting-Verfahren, die den Binärcode der Open-Source-Bibliotheken tiefgehend analysieren und dadurch unnötige Falschmeldungen reduzieren, neue Schwachstellen identifizieren und selbst angepasste Bibliotheken erkennen können. Nach langjähriger Forschung arbeiten die Gründer nun unter Hochdruck daran, ihre Forschungsergebnisse in dem IT-Security-Werkzeug „CodeShield“ umzusetzen. Mit CodeShield werden Entwickler unmittelbar beim Programmieren auf Schwachstellen oder mögliche Lizenzverletzungen hingewiesen und dabei unterstützt, diese zu beheben. Durch eine direkte Integration in die Entwicklungsumgebungen und Arbeitsprozesse von Entwicklern, soll IT-Security einfach, verständlich und beherrschbar gemacht werden – ähnlich einer Rechtschreibprüfung.

Neben der Sicherheitsanalyse von eingesetzten Open-Source-Bibliotheken, arbeiten die Gründer auch daran, den vom Unternehmen selbst entwickelten Code effizient zu analysieren und darin enthaltene Schwachstellen aufzudecken. „Mit unseren Analysen konnten wir bereits komplexe Schwachstellen in prominenter Security-Software aufdecken, den Herstellern melden und so dazu beitragen, dass sie behoben werden konnten. Das zeigt uns, dass die Lösung reif ist für den Einsatz in der Praxis“, sagt Dr. Johannes Späth, Co-Founder von CodeShield.



Facts & Figures

263.856  Mio Euro Gesamtinvestition
davon:
131.928 Euro EFRE Fördermittel
105.542 Euro NRW Landesmittel


Projektpartner

Universität Paderborn


Schwerpunkt

Steigerung von innovativen und wachstumsstarken Unternehmensgründungen


Laufzeit

01.11.2019 - 31.10.2020