System-Qualität und Informationssicherheit

Technische Systeme durchdringen immer stärker unsere Welt – dies gilt sowohl für den privaten Bereich als auch für Organisationen. So bilden mehr und mehr bilden Unternehmen ihre Kerngeschäftsprozesse auf IT-Systeme ab. Mit der zunehmenden Vernetzung dieser technischen Systeme wächst auch ihre Komplexität. Aufgrund der steigenden Abhängigkeit von der Technik müssen oftmals hohe Anforderungen an die Qualität dieser Systeme gestellt werden. So können im Extremfall Ausfallzeiten in einem Telekommunikationsnetz die Existenz eines Providers bedrohen. Banken müssen ihre Daten vor unerlaubten Manipulationen schützen. Letztendlich erwartet auch jeder Einzelne den Schutz seiner Privatsphäre.

Ein wesentlicher Bestandteil heutiger technischer Systeme ist Software, von der implizit eine korrekte Funktionsweise erwartet wird. Andererseits ist die Software oftmals historisch gewachsen, so dass sie schwer wartbar ist und den Qualitätsansprüchen nicht genügt. Es müssen also Verfahren entwickelt werden, die Qualität heutiger Systeme und insbesondere der Software zu sicherzustellen und ggf. zu verbessern. Mit dem neu eingerichteten Leitthema SQUIS – Systemqualität und Informationssicherheit wird sich das TZI in der Zukunft verstärkt mit dieser Thematik befassen.  Hierbei wird insbesondere der Zusammenhang zwischen Informationssicherheit und Softwarequalität betrachtet.

Die Berücksichtigung von Informationssicherheit bereits im Stadium der Software-Entwicklung bietet die Möglichkeit, Informationssicherheit in den Entwicklungsprozess der Software zu integrieren und nicht nachträglich aufzusetzen. Dies ist insbesondere vor dem Hintergrund zu sehen, dass ein Großteil der heutigen Sicherheitsprobleme durch fehlerhafte Software verursacht wird. So begünstigen vor allem Sicherheitslücken in Betriebssystemen oder der Anwendungssoftware wie z.B. Buffer-Overflows die Verbreitung von Schadsoftware. Der Sicherheitsexperte McGraw[1] formuliert: “A central and critical aspect of the computer security is a software problem. Software defects with ramifications (…) promise to be with us for years. (…) By any measure, security problems in software are common, and the problem is growing.”

Durch den verstärkten Einsatz und die Integration von Software in Organisationen wird die Gefahr von professionellen Angriffen in Zukunft noch größer, zumal sicherheitskritische Funktionalität durch neue Software-Architekturen wie z.B. die Service Oriented Architecture (SOA) gezielt Außenstehenden verfügbar gemacht wird – mit den entsprechenden Risiken. Dies ist beispielsweise in lieferkettenübergreifenden Geschäftsprozessen der Fall.

Um einen angemessenen Stand der Informationssicherheit erreichen zu können, ist mithin eine wartbare und qualitativ hochwertige Software Grundvoraussetzung. Da mit der zunehmenden Komplexität von Systemen und Software zu erwarten ist, dass die Software-Sicherheit eine immer wichtigere Rolle spielt, stellt sich das TZI dieser Herausforderung und untersucht in diesem Leitthema Verfahren wie Software Reengineering oder die statische Softwareanalyse,  um Software sicherer zu machen.

 --

[1] G. McGraw. Software Security. Building Security In. Addison-Wesley, 2006.