Software Security

Sicherheit testen und evaluieren

Software wird im Unternehmensumfeld in zahllosen Variationen und Konfigurationen eingesetzt. Der Einsatz erfordert jedoch einen kritischen Blick auf die Risiken: Durch Software-Sicherheitsprüfungen und Freigabemechanismen kann man einer Gefährdung durch Angreifer effektiv begegnen. Für IT-Verantwortliche stellt sich daher die Frage, wie sich Risiken für ihr Unternehmen minimieren lassen, ohne dabei das Kosten-Nutzen-Verhältnis aus dem Blick zu verlieren.

Überblick – Was wir leisten

  • Wir unterstützen Sie in der Sicherheit von Open Source und Closed Source Software
  • Wir unterstützen Sie, sichere Software zu entwickeln: Durch Bedrohungsmodellierungen, konzeptionelle Sicherheitsüberprüfungen oder Penetrationstests
  • Wir entwickeln spezielle Analysewerkzeuge, um vollautomatisiert Schwachstellen in Software (Source/kompilierter Code) aufzudecken und mögliche Lösungsvorschläge aufzuzeigen
  • Wir entwickeln spezielle Analysewerkzeuge, um vollautomatisiert interne Software Programmier-Guidelines in Softwarelösungen zu überprüfen
  • Hersteller werden durch uns über potenzielle Sicherheitsprobleme in ihrer Software informiert
  • Entwickler erhalten von uns konkrete Empfehlungen für sichere Software-Implementierungen

Unsere Expertise

Unsere Erfahrung aus tiefen manuellen Software-Bewertungsprojekten seit 2004 und das starke Verständnis für IT-Sicherheitsrisiken in Implementierungen von Software ermöglicht es uns, effizient Software-Sicherheitsuntersuchungen und -bewertungen durchzuführen.

Unsere selbstentwickelten Tools ermöglichen es, gehärtete Software (z.B. Debugger-Erkennung, Rooting-Erkennung, Code Obfuscation, Software-Integritätsprüfung und Hooking-Erkennung) zu bewerten. Dies geschieht im Rahmen von statischen und dynamischen Analysen, symbolischer Ausführung, Fuzzing und Ähnlichkeitserkennung oder mittels des Quellcodes der jeweiligen Software.

Unser Angebot

Für die nachfolgend genannten Projekttypen können in Abstimmung mit Ihnen verschiedene Ansätze verwendet werden, darunter die konzeptionelle Überprüfung, Black Box Penetrationstests, Reverse Engineering und Source Code Audit.

Lastenheftdefinition der Software-Sicherheitsfunktionen

Wenn Sie die eigene Software extern implementieren lassen, so sollten Sie dem Implementierungspartner eine genaue Beschreibung der Sicherheitsarchitektur definieren. Dies beinhaltet, mit welchen spezifischen Mechanismen und Konfigurationen das Software-Sicherheitskonzept und entsprechende Mechanismen umgesetzt werden sollen. Wir helfen Ihnen bei der sachgemäßen Spezifikation der notwendigen Maßnahmen.

Review des Software-Sicherheitskonzepts

Zentraler Bestandteil einer Analyse der Sicherheitsarchitektur sind die produkt- bzw. dienstspezifischen Software-Sicherheitsanforderungen. Diese bilden den Erwartungshorizont für die Untersuchungen und die abschließende Bewertung. Im Zentrum steht eine Bewertung des potenziellen Ausmaßes möglicher Schäden im Hinblick auf realistische Szenarien. Zudem wird die Angriffsfläche der Software und ihrer Komponenten identifiziert. Auf Fehlstellen in der generellen Konzeption, der Sicherheitsanforderungen und in der Feinspezifikation spezifischer Maßnahmen wird im Rahmen der Analyse der Sicherheitsarchitektur hingewiesen, und es werden Empfehlungen gegeben, um diesen Aspekten adäquat begegnen zu können.

Software-Sicherheitsbewertung

Dieser Projekttyp ist auf Ihre interne Entwicklung und Ihr Management ausgerichtet und betrachtet die Implementierung der Software und auf Wunsch die der beteiligten Backendsysteme: Die Bewertungsberichte dieses Projekttyps liefern Ihnen alles, was Sie benötigen, um fundierte Entscheidungen zu treffen: dokumentierte Anforderungen und Annahmen, detaillierte Beschreibungen von Tests und Ergebnissen für Ihre Entwickler und aussagekräftige zusammenfassende Bewertungen für Ihr Management. Die Projektergebnisse sind auf Ihre internen Zwecke beschränkt.

Aussagen zu spezifischen Software-Security-Claims

In wettbewerbsintensiven Märkten kann eine hohe Software-Sicherheit der Vorteil sein, der Sie zum Marktführer macht. Wir führen Auswertungen durch, die spezifische Sicherheitsansprüche Ihrer Lösung im Rahmen einer gezielten Bewertung überprüfen und Ihnen helfen, auf die Sicherheitsbedürfnisse und auf Fragen Ihrer Kunden einzugehen. Der Projektbericht konzentriert sich auf die angestrebten Sicherheitsansprüche und kann im Rahmen eines NDA an Ihre Kunden/Partner weitergegeben werden.

Öffentliche Aussagen zur Software-Sicherheit

Testate und Testierungsberichte zeigen Ihren Kunden und der Öffentlichkeit, dass Sie sich um die Sicherheit Ihrer Software kümmern. Von einem unabhängigen Labor unter der renommierten Marke Fraunhofer herausgegeben, vermitteln Sie Vertrauen und stärken Ihr Umsatzpotenzial. Apps können ein Fraunhofer SIT-Testat bei der Erfüllung aller angestrebten Sicherheitsanforderungen erhalten. Das Testat selbst kann zu Marketingzwecken als Differenzierungsmerkmal gegenüber Ihrem Mitbewerber verwendet werden.

Schulung von Software-Entwicklern

Wir verbringen viel Zeit damit, Schwachstellen von Software anzugreifen, indem wir beispielsweise selbst implementierte kryptografische Verfahren aushebeln, Implementierungsfehler finden und nach sensiblen, unsicher gespeicherten Daten suchen. In Software-Entwicklerschulungen teilen wir unser Wissen darüber, welche Fehler man bei Software-Implementierungen besser nicht machen sollte, und auf welche als sicher bekannten Building Blocks Entwickler stattdessen zurückgreifen sollten.

Ansprechpartner

Dr.-Ing Siegfried RasthoferAbteilungsleiter Secure Software Engineering

Telefon+49 6151 869-177
E-Mail senden

Ansprechpartner

Dr. Jens HeiderAbteilungsleiter Testlab Mobile Security

Telefon+49 6151 869-233
E-Mail senden

Stellenangebote

Fraunhofer SIT sucht wiss. Mitarbeiter/innen für den Bereich Cybersicherheit

Wir suchen zum nächstmöglichen Zeitpunkt engagierte und exzellente Wissenschaftlerinnen und Wissenschaftler für Cybersicherheit und Privatsphärenschutz, die den Aufbau des Nationalen Forschungszentrums für angewandte Cybersicherheit mitgestalten möchten. In diesem Zusammenhang sind mehrere Stellen mit Aufgaben zur fachlichen und personellen Leitung in Forschungs- und Entwicklungsprojekten zu besetzen.