(pressebox) Bremen, 04.02.2011 – Bereits 2010 startete das Projekt ASKS, initiiert von den Unternehmen Axivion, Beo, bremen online services (bos KG) sowie des Technologie-Zentrums Informatik der Universität Bremen (TZI). Ziel des Projekts ist die Entwicklung einer weitgehend automatisierten statischen Sicherheitsanalyse von Software-Systemen auf Basis der Software-Architektur, um Informationssicherheit und Datenschutz effizient sicherzustellen sowie diese Methodik effektiv in den Entwicklungsprozess von Software zu integrieren. Die statische Sicherheitsanalyse auf Basis der Software-Architektur durchzuführen ist ein neuer Ansatz und unterscheidet sich von anderen, am Markt etablierten Ansätzen, die in der Regel die statische Sicherheitsanalyse des Quellcodes anvisieren.
Aufgrund historisch gewachsener Software-Systeme werden deren Funktionalitäten und Versionen immer weniger transparent und nachvollziehbar. Eine fehlerfreie und auf einem angemessenen Sicherheitsniveau basierende Weiterentwicklung wird immer schwieriger. Insbesondere KMU’s ist es aufgrund begrenzter Entwicklungsressourcen teilweise nicht möglich, ständig angepasste Sicherheitsmethoden zu entwickeln und angemessene manuelle Sicherheitsanalysen wirtschaftlich durchzuführen.
Im Ergebnis des Projektes wird auf Basis der Axivion Bauhaus Suite ein unterstützendes Werkzeug konzipiert und implementiert, welches den Software-Quellcode auf anwendungs- und domänen-spezifische Sicherheitslücken untersuchen kann. Für Entwickler und andere Projektbeteiligte werden in einem Sicherheitsdashboard Informationen mit Entscheidungshilfen aufbereitet, damit diese sofort entsprechende Gegenmaßnahmen ergreifen können.
Anwendungsfälle für die architekturbasierte Sicherheitsanalyse sind beispielsweise fehlerhaft umgesetzte Rollenmodelle in JEE-Applikationen, fehlende Durchsetzung von Zugriffskontrollentscheidungen und Umgehung von APIs, Sicherheitslücken durch fehlerhafte Vertrauensbeziehungen sowie der fehlende kryptographische Schutz von Daten und Kommunikationskanälen.
Das Projekt startete im Juli 2010 und hat eine Laufzeit von 24 Monaten. Die Sicherheitsmiddleware Governikus der bos KG sowie die Entwicklungsprozesse der bos KG dienen im Projekt ASKS als Anwendungsbeispiele. Ziel der bos KG durch die Beteiligung am Projekt ist es, die eigenen, sehr aufwendigen und vielfältigen Prozesse hinsichtlich der Software-Sicherheit im Rahmen der Entwicklung zu optimieren.