Als dynamische Testtechnik wird beim Fuzzing das jeweilige Testobjekt ausgeführt, um Schwachstellen und Sicherheitslücken zu identifizieren. Dazu werden die Schnittstellen des zu testenden Systems mit ungültigen und unerwarteten Eingaben konfrontiert, um deren Robustheit zu prüfen. Auf diese Weise können Implementierungsfehler entdeckt werden, die zu ernsthaften Sicherheitsvorfällen führen können. Fuzzing wird von großen Technologieanbietern im Entwicklungsprozess eingesetzt, um bereits frühzeitig potenzielle Sicherheitslücken zu erkennen und zu beseitigen und somit die Anzahl der Sicherheitslücken im ausgelieferten Produkt zu minimieren.

Ziel des Leitfadens, der als erstes themenspezifisches Begleitdokument der neuen AIS 50 (AIS steht für Anwendungshinweise und Interpretationen) zum Thema »Guidance for Tool-supported and automated software testing« veröffentlicht wurde, ist es, die Möglichkeiten des methodischen Ansatzes des Fuzzings bei Common-Criteria-Evaluierungen aufzuzeigen. Der Begriff des Tool-gestützten Softwaretestens bezieht sich auf alle Arten von automatisierten werkzeugbasierten Softwaretestmethoden und -techniken. Beispiele für solche Techniken und Methoden sind Fuzzing und statische Codeanalyse, aber auch sichere Codierungspraktiken und Compliance zählen dazu. Für all diese Methoden und Techniken bietet die AIS 50 einen neuen, zukünftig durch weitere Leitfäden zu ergänzenden Rahmen.

Security Testing ist in der zunehmend vernetzten Welt ein Grundbaustein im Entwicklungsprozess geworden. Fuzzing hat sich als effektive Technik bewährt, um unbekannte Sicherheitslücken (0-Day-Vulnerabilities) aufzudecken. Während eines Common-Criteria-Zertifizierungsverfahrens kann Fuzzing in verschiedenen Situationen eingesetzt werden. Mit dem neuen Leitfaden soll die Vergleichbarkeit entsprechender Bewertungen erleichtert und verbessert werden.

Der Geschäftsbereich Quality Engineering am Fraunhofer FOKUS bietet mit »Fuzzino« eine Basislösung für Fuzzing an, die bereits von verschiedenen Werkzeuganbietern eingesetzt wird. Dazu zählen Dornier Consulting mit seinem modellbasiertem Testwerkzeug do.ATOMS und Spirents TTworkbench, eine TTCN-3-basierte Testautomatisierungsplattform. Mit Hilfe von Fuzzino können bestehende Testwerkzeuge, insbesondere solche, die für funktionale Tests entwickelt worden sind, einfach und effizient um Fuzzing erweitert werden.

Im »CertLab« begleiten die Wissenschaftlerinnen und Wissenschaftler der Geschäftsbereiche Digital Public Services und Quality Engineering seit 2011 im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) den Zertifizierungsprozess für IT-Sicherheitsprodukte gemäß dem Common Criteria Standard.