// HEISE ONLINE — SPAZIO & SCIENZA
heise+ | Security-Tests automatisieren: Von der Code-Analyse bis zur Patch-Validierung
Eine neue Methodik integriert statische und dynamische Security-Tests, reduziert Falschmeldungen und validiert Patches automatisiert für eine höhere Sicherheit.
Die zunehmende Verbreitung von digitalen Geräten in allen Lebensbereichen sowie die stark ansteigende Zahl an Angriffen auf solche Systeme macht robuste Sicherheitstests dieser Systeme immer relevanter. Gleichzeitig erhöht die EU-Verordnung zur Cyber-Resilienz (Cyber Resilience Act, CRA) den Druck auf Hersteller, nachweislich wirksame Sicherheitsmaßnahmen zu implementieren. Ab 2027 müssen Produkte mit digitalen Elementen, die neu auf den EU-Markt kommen, grundlegende Sicherheitsanforderungen erfüllen und über ein strukturiertes Schwachstellenmanagement verfügen.
Traditionelle Testmethoden stoßen hier oft an ihre Grenzen. Sie sind häufig zu isoliert und liefern keine durchgängige Evidenz für Konformität und Sicherheit über den gesamten Produktlebenszyklus. Im europäischen Forschungsprojekt DOSS (Design And Operation Of Secure IoT Supply Chain) wurde von Fraunhofer FOKUS eine integrierte Methodik entwickelt, die Sicherheitsanalysetechniken miteinander kombiniert und nahtlos in bestehende Entwicklungs- und Bereitstellungsprozesse einbindet.
Security-Tests gelten oft als Spezialdisziplin neben der klassischen Testautomatisierung. Eine neue Methodik integriert automatisiert statische und dynamische Security-Tests, reduziert Falschmeldungen (False-Positives) und überprüft Patches vor Release auf Vollständigkeit. Der Beitrag beschreibt die von spezifischen Werkzeugen unabhängige Methodik, die von Fraunhofer FOKUS im DOSS-Projekt entwickelt und validiert wurde.
Der Ansatz kombiniert statische und dynamische Analysetechniken und nutzt KI, um Schwachstellen frühzeitig zu erkennen und gezielt zu verifizieren. Zudem kommen dynamische Analysen zur Validierung von Sicherheitspatches zum Einsatz, die insbesondere zur Erfüllung der CRA-Anforderungen relevant sind. Die Ergebnisse werden in maschinenlesbarer Form aufbereitet, sodass sie im Rahmen von Lieferketten und Zertifizierungsprozessen wiederverwendet werden können.
Extra ins Büro, um den Server per BIOS-Eingriff wieder flott zu kriegen? Den Weg kann ein IP-KVM wie der PicoKVM ersparen. Wir haben ihn ausprobiert.
Batteriespeicher ist günstig wie nie und auch manche PV-Bestandsanlage könnte ein wenig mehr davon gebrauchen. Anker verspricht ein Update in fünf Minuten.
Ob für die Arbeit oder einen produktiven Alltag: Gestalten Sie die iPad-Bedienoberfläche individuell und passen Sie Funktionen an Ihre Bedürfnisse an.
Elgatos Stream Deck + XL erleichtert die Mac-Bedienung mit zusätzlichen Tasten und Reglern, nimmt aber auch einiges an Platz weg. Das kann das Werkzeug.
Mehr als Kilozählen: Fünf smarte Waagen zeigen im Test, was ihre Körperanalyse wirklich leistet – vom Spargerät bis zur Luxuswaage mit Handsensoren.