Schutz vor Cyberangriffen Automatisch unsicheren Code in Cloud-Anwendungen finden

Schwachstellen im Programmcode sind Einfallstore für Cyberkriminelle. Ein Software-Tool kann sie ausfindig machen und beheben.

Bild: iStock, pagadesign
01.06.2021

Die Software CodeShield ist in der Lage, Sicherheitslücken in Cloud-Systemen automatisiert zu erkennen und auszubessern. Damit stellt sie quasi eine „Rechtschreibprüfung“ für Entwickler dar. Fokussiert werden vor allem Cloud-Native-Anwendungen, die derzeit einen Boom erleben.

Cyberangriffe auf Cloud-Systeme nehmen zu. Oftmals enthalten entsprechende Anwendungen Sicherheitslücken, die von Hackern ausgenutzt werden.

Das 2020 gegründete Start-up CodeShield hat deshalb eine Software entwickelt, die solche Schwachstellen entdeckt und behebt. Das Unternehmen ist ein Spin-off des Fraunhofer-Instituts für Entwurfstechnik Mechatronik IEM und des Heinz-Nixdorf-Instituts der Universität Paderborn. Inzwischen zählt es neun Mitarbeiter.

„Oftmals sind es vulnerable Webinterfaces, falsch konfigurierte Schnittstellen oder verwundbare Zugangsprotokolle, die Cyberkriminelle ausnutzen. Dies kann beispielsweise zum Verlust sensibler Daten führen“, weiß Prof. Dr. Eric Bodden. Er ist Wissenschaftler am Fraunhofer IEM und einer der Gründer von CodeShield. Zu den weiteren Gründungsmitgliedern zählen Manuel Benz, Andreas Dann und Dr. Johannes Späth.

Cloud erfordert spezielle Sicherheitsmaßnahmen

Immer mehr Unternehmen verlagern ihre IT-Infrastruktur in die Cloud, nutzen Speicher- und Rechenkapazitäten von Cloud-Diensten oder programmieren Applikationen direkt in der Cloud. Das bietet zahlreiche Vorteile, erfordert jedoch auch besondere Sicherheitsvorkehrungen. Viele Firmen sind darauf nicht vorbereitet – mit Folgen für die Datensicherheit.

„Ziele von Hackerangriffen sind beispielsweise offen beschreibbare Buckets von Unternehmen“, erklärt Bodden. „In dieser Art von Cloud-Containern werden Daten in Form von Objekten gespeichert. Die Attacken sind beispielsweise möglich, wenn das Bucket nicht schreibgeschützt ist und so öffentlich darauf zugegriffen werden kann.“

Bekannte Opfer dieser Art von Attacken sind die Trading-Plattform BHIM und Autoclerc, eine Plattform-Vermittlung für Zimmer und Hotelgäste. Millionen von User- und Kontodaten gelangten in die Hände der Angreifer.

Schwachstellen automatisch erkennen

Mit seinem Tool will das Start-up solchen cyberkriminellen Vorgehen einen Riegel vorschieben. Die Software analysiert automatisiert Schwachstellen im Programmcode, wobei der Fokus auf Cloud-Native-Anwendungen liegt. Prominente Beispiele für solche Technologien sind Spotify und Netflix. Auch Elektroroller, die seit einiger Zeit zum Straßenbild gehören, sind mit der Cloud verbunden.

Die Crux erklärt Bodden: „Die von den Providern bereitgestellten Schnittstellen und Komponenten, man kann sie als eine Art Baukastensystem beschreiben, sind nicht einfach zu benutzen. Sie versetzen den Programmierer zwar in die Lage, in kurzer Zeit neue Applikationen zu entwickeln. Konfiguriert man die Schnittstellen jedoch falsch, können private Daten ungewollt veröffentlicht werden.“

CodeShield kann diese Schwachstellen automatisiert in Echtzeit aufdecken und gleichzeitig visualisieren. Von der Webseite und App über den Code bis hin zum Datencontainer stellt das Tool die komplette Cloud-Infrastruktur in Form von Diagrammen dar, sodass Programmierer mögliche Probleme und Angriffspunkte schnell erkennen. Auch Komponenten wie Open-Source-Bibliotheken von Drittanbietern lassen sich einbinden, anzeigen und prüfen.

Fingerprinting-Verfahren und Datenflussanalyse

Um Sicherheitslücken aufzudecken, nutzt CodeShield zum einen das sogenannte Fingerprinting-Verfahren. Dabei laden Bodden und sein Team die Open-Source-Komponenten aus der Cloud herunter und berechnen pro Komponente einen Fingerabdruck, anhand dessen unsicherer Code, wenn er zu einem späteren Zeitpunkt erneut in eine Applikation eingebunden wird, sofort wiedererkannt wird.

Zum anderen analysiert die Software den Programmcode, den der Entwickler selbst schreibt, in der Cloud ablegt und permanent bearbeitet, um Funktionalitäten anzupassen und zu ergänzen. In diesem Fall führt CodeShield täglich Datenflussanalysen durch. Dabei werden unter anderem Nutzereingaben im Frontend geprüft, um Manipulationen schnell aufzuspüren.

Eigens entwickelte Algorithmen sollen qualitativ hochwertige Analysen ermöglichen; die Rate an Falschmeldungen von CodeShield liegt nach Angaben des Start-ups bei unter fünf Prozent. „Viele IT-Sicherheitswerkzeuge liefern Falschmeldungen von 70 bis 80 Prozent, was ein großes Problem für Entwickler ist“, sagt Bodden. „Das ist vergleichbar mit einer Rechtschreibprüfung, die in jedem Satz Fehler markiert, wo keine sind.“

Hiervon kann sich die CodeShield-Technologie deutlich abheben. So entdeckte sie unter anderem auch Sicherheitslücken in der Corona-Warn-App vor deren Launch.

Bildergalerie

  • Starteten 2020 das Spin-off CodeShield (von links): Dr. Johannes Späth, Prof. Dr. Eric Bodden, Manuel Benz und Andreas Dann.

    Starteten 2020 das Spin-off CodeShield (von links): Dr. Johannes Späth, Prof. Dr. Eric Bodden, Manuel Benz und Andreas Dann.

    Bild: CodeShield

  • CodeShield stellt Datenflüsse in einer übersichtlichen Visualisierung dar und ermöglicht dadurch eine effiziente Einschätzung der Bedrohungslage.

    CodeShield stellt Datenflüsse in einer übersichtlichen Visualisierung dar und ermöglicht dadurch eine effiziente Einschätzung der Bedrohungslage.

    Bild: CodeShield

Verwandte Artikel