Refine
H-BRS Bibliography
- yes (6)
Departments, institutes and facilities
Document Type
- Conference Object (4)
- Article (1)
- Report (1)
Has Fulltext
- no (6)
Keywords
- Sicherheitslücke (2)
- Computer architecture (1)
- Computersicherheit (1)
- DNSSEC (1)
- Datenschutz (1)
- Datensicherheit (1)
- Encryption (1)
- Euronorm (1)
- Fehlertoleranz (1)
- Funktionsprinzip (1)
Die Tool-gestützte Identifizierung von Sicherheitslücken kann in verschiedenen Stadien des Software-Entwicklungsprozesses und -Lebenszyklus durchgeführt werden. Mit Fuzzing und Threat-Modeling stehen beispielsweise zwei Methoden zur Verfügung, welche zum Finden von Sicherheitsproblemen auch in produktiv betriebenen Anwendungen eingesetzt werden können. Beim Threat-Modeling handelt es sich um ein heuristisches Verfahren, das die methodische Entwicklung eines vertrauenswürdigen Systementwurfs unterstützt. Mit der Fuzzing-Methode lässt sich die Robustheit der untersuchten Software sowohl mit willkürlichen als auch mit zielgerichteten Daten überprüfen. Im Beitrag werden die Vorgehensweisen beim Einsatz der beiden Methoden skizziert sowie Hinweise auf entsprechende Tools gegeben.
Trusted EPC Administration
(2009)
RFID-Transponder dienen der Identifizierung von Produkten, der Zuordnung von Produkten zu Personen, der Fälschungssicherheit und weiteren Anwendungsgebieten. Durch RFID-Transponder sollen Technologien wie z.B. der Barcode (teilweise) abgelöst werden. Einige Unternehmen sehen eine Koexistenz zwischen den Technologien, da die alte Technologie zur Zeit noch kostengünstiger ist. Einige Branchen, wie z.B. Produktion, Logistik und Handel, können von der Technologie profitieren. Die RFID-Transponder bringen gegenüber alten Technologien viele Vorteile. RFID ermöglicht die Verarbeitung eines größeren Datenvolumens, es ist kein direkter Sichtkontakt zum Lese-/Schreibgerät erforderlich und mehrere Transponder können gleichzeitig ausgewertet werden. Business-to-Business (B2B) Anwender erhoffen sich einen effizienteren und transparenteren Beschaffungsprozess, welcher im Rahmen des Supply-Chain-Managements Vorteile bringen kann. Diese Arbeit legt ihren Schwerpunkt auf die Echtzeitüberwachung während des gesamten Produktlebenszyklus. Zur weltweit eindeutigen Identifikation von Objekten werden dazu in RFID-Transpondern item-level Identifikationsnummern wie der EPC (Electronic Product Code) verwendet.
Threat Modeling ermöglicht als heuristisches Verfahren die methodische Überprüfung eines Systementwurfs oder einer Softwarearchitektur, um Sicherheitslücken kostengünstig und frühzeitig - idealerweise in der Design Phase - im Software-Entwicklungsprozess zu identifizieren, einzugrenzen und zu beheben. Threat Modeling lässt sich aber auch noch erfolgreich in der Verifikationsphase oder noch später - nach dem Release - zur Auditierung der Software einsetzen. Durch die Früherkennung von Sicherheitslücken können die Kosten zur Behebung bis auf ein Hundertstel reduziert werden. Die auf dem Markt verfügbaren Threat Modeling Tools werden identifiziert, analysiert und hinsichtlich Ihrer Eignung zur Erstellung komplexer, vollständiger Threat Models mit entwickelten Bewertungsparametern einem einfachen Bewertungsverfahren unterworfen.
Die Normen DIN EN 61508 und DIN EN 62304 beschreiben Sicherheitsanforderungen für die Entwicklung von Software im medizinischen Umfeld. Diese beinhalten u.a. Vorschriften zur Verifikation und Diagnose (Kapitel C5, DIN EN 61508-7), zur Beurteilung der funktionalen Sicherheit (Kapitel C6, DIN EN 61508-7), zur Implementierung und Verifikation von Software-Einheiten (Kapitel 5.5, DIN EN 62304) und zur Prüfung des Softwaresystems (Kapitel 5.7, DIN EN 62304). Durch die kosteneffektiven Verfahren Threat Modeling und Fuzzing wird diesen Forderungen entsprochen und insbesondere die Identifizierung unveröffentlichter Sicherheitslücken ermöglicht. In einem Forschungsprojekt1 werden Tools für beide Verfahren analysiert und bewertet. Im Projekt werden mit beiden Verfahren sehr erfolgreich bislang nicht identifizierte (unveröffentlichte) Sicherheitslücken in Individual- und Standardsoftware identifiziert und auch behoben. Im Rahmen der Gesundheitstelematik können durch beide Verfahren die Anforderungen zur Softwareentwicklung und -Verifizierung erfüllt und darüber hinaus kann ein weit höheres Sicherheitsniveau erreicht werden.