Nicht selten gibt es Meldungen über Sicherheitslücken und Programmfehler von IT-Softwares — und oft atmen wir erst einmal auf, wenn es uns auf den ersten Blick nicht betrifft. Aber spätestens, wenn Cyberkriminelle auf persönliche Daten zugreifen oder sich in sicherheitskritische Infrastruktur wie Krankenhäuser oder Stromnetze hacken, wird die Bedrohung real und die Bedeutung von Software-Sicherheit deutlich. Die zunehmende Digitalisierung verstärkt die Bedrohung im Cyberraum zusätzlich. Um die Gefahren einzudämmen, ist es notwendig, mögliche Programmfehler und Sicherheitslücken in Computerprogrammen auszumachen, bevor sie Schaden anrichten. Das funktioniert mit dem sogenannten „Fuzzing“ — einer Methode, um Software automatisiert zu testen, indem ein Programm mit zufälligen, unerwarteten oder fehlerhaften Eingaben gefüttert wird, um Schwachstellen oder Sicherheitslücken aufzudecken. „Ein jeder, der ein Programm veröffentlicht, sollte vorher einen Fuzzer darüber laufen lassen, um sicherzugehen, dass das Programm auch wirklich gesichert ist — gegen Zufallsdaten und auch gegen gängige Angriffe“, sagt Andreas Zeller, CISPA-Faculty und Professor für Softwaretechnik an der Universität des Saarlandes.

Das Problem: Fuzzing ist derzeit noch aufwendig und teuer, da die Fuzzer auf das zu testende Programm angepasst werden müssen.  Um das zu ändern, hat Prof. Andreas Zeller das Projekt „S3 — Semantics of Software Systems“ ins Leben gerufen. Seine Vision: Fuzzing weiter zu optimieren, damit jede Software der Welt ganz automatisch getestet werden kann. „Ich muss nicht mehr als Mensch meine Tests schreiben, sondern ich habe einen Fuzzer, der automatisch immer wieder neue Eingaben für mein Programm erzeugt und möglicherweise sogar noch prüft, ob das Verhalten meines Programms das richtige ist“, erklärt Prof. Zeller.

Wie weit sind wir von der Vision einer automatischen Sicherheitsprüfung im Cyberraum entfernt? Wo setzt die Forschung an, um Fuzzing weiter zu automatisieren? Und welche praktischen Anwendungen gibt es? Darüber hat detektor.fm-Redakteur Stephan Ziegert im „Forschungsquartett“ mit Prof. Andreas Zeller gesprochen. Zeller ist Faculty am CISPA Helmholtz-Zentrum für Informationssicherheit und Professor für Softwaretechnik an der Universität des Saarlandes.