Durch das Internet der Dinge (Internet of Things, IoT) wächst das durch Ausführungsfehler verursachte Risiko von Angriffen auf die Software von Systemen. Dies stellt neue Anforderungen an die Softwaresicherheit. Im Projekt »Verification Engineering of Safety and Security Critical Industrial Applications« (VESSEDIA), das am 31. Dezember 2019 endete, wurden Verifikationswerkzeuge und -Methoden, die ursprünglich für sicherheitskritische Anwendungen entwickelt wurden, für die kostengünstige Zertifizierung von IoT-Geräten angepasst. Werkzeuge zur Softwareanalyse können einen bedeutenden Beitrag leisten, die Sicherheit und Zuverlässigkeit digitaler Technologien zu gewährleisten.
In kritischen Domänen wie Luft- und Raumfahrt, Schienenverkehr oder Finanzwirtschaft werden hohe Investitionen getätigt, um die in den jeweiligen Systemen eingesetzte Software zu testen und mittels statischer Analyse zu prüfen. Im IoT-Bereich hingegen liegt der Fokus auf einer kurzen Entwicklungszeit und niedrigen Entwicklungskosten. Dies steht im Konflikt zum Einsatz bisheriger Methoden der statischen Analyse, da deren Anwendung sowohl komplex als auch kostenintensiv ist. Dadurch wird eine umfassende Sicherheitsprüfung von IoT-Systemen erschwert.
Ziel von VESSEDIA
Ziel des VESSEDIA-Projektes ist es, die Einsatzmöglichkeiten von Softwareanalyse-Werkzeugen zu erweitern. Die Nutzung der Werkzeuge soll für hochdynamische Systeme in Domänen mit weniger kritischen Anwendungen erleichtert werden. Darüber hinaus sollen die entwickelten Analyseverfahren geringe zusätzliche Kosten verursachen.
Die Ziele des VESSEDIA-Projekts werden sowohl in Form von Grundlagenforschung als auch in praktischer Anwendung verfolgt. Schwerpunkte des Projekts sind:
- die Entwicklung einer Methodik, um Werkzeuge zur Softwareanalyse wirksam einzusetzen,
- die Standardisierung von Werkzeugen zur statischen Analyse, um deren Einsatzmöglichkeiten zu erweitern,
- der Nachweis der verbesserten Analysemethoden auf dem für die Entwicklung von IoT-Anwendungen weit verbreiteten Betriebssystem Contiki OS,
- die Entwicklung eines »Security Certification Levels« (SCL) für IoT-Anwendungen, für die eine Common Criteria-Zertifizierung zu kostenintensiv ist.
Safety und Security
Fraunhofer FOKUS war im Projekt für den Bereich »Safety and Security Verification Methodologies«, in dem unter anderem die Qualitätssicherung der weiterentwickelten statischen Analyse-Werkzeuge stattfand, verantwortlich. Weiterhin wurde eine cloud-basierte Lösung implementiert, mit deren Hilfe statische Analysen mittels des Frama-C Werkzeugs beschleunigt ausgeführt werden können. Darüber hinaus entstand eine Leitlinie für eine kosteneffiziente Kombination von statischer Analyse und Testen für IoT-Anwendungen.
Projektpartner von VESSEDIA
Im VESSEDIA-Projekt arbeiten zehn Partner aus Wirtschaft und Forschung über einen Zeitraum von drei Jahren zusammen. Die Projektpartner kommen aus Belgien, Deutschland, Finnland, Frankreich, Österreich, Spanien und Ungarn. Die Europäische Union fördert VESSEDIA über das Förderprogramm für Forschung und Innovation »Horizon 2020«.