Cybersecurity Wie Cloud-Anwendungen sicherer gemacht werden können

Redakteur: Alina Hailer

Unternehmen nutzen immer häufiger Cloud-Dienste, die jedoch oft Sicherheitslücken aufweisen. Die damit verbundenen Cyberangriffe sollen nun durch eine neue Sicherheitssoftware verhindert werden.

Firmen zum Thema

Zu den Gründungsmitgliedern von Code-Shield gehören (von links nach rechts) Dr. Johannes Späth, Prof. Bodden vom Fraunhofer Institut IEM, Manuel Benz sowie Andreas Dann.
Zu den Gründungsmitgliedern von Code-Shield gehören (von links nach rechts) Dr. Johannes Späth, Prof. Bodden vom Fraunhofer Institut IEM, Manuel Benz sowie Andreas Dann.
(Bild: Code-Shield)

Viele Unternehmen verlagern ihre IT-Infrastruktur in „Clouds“, nutzen die Speicher- und Rechenkapazitäten von Cloud-Diensten oder programmieren Applikationen direkt in der Cloud.

Cloud-Computing wird dadurch immer weiter zum Wachstumsmarkt. Während dies viele Vorteile bietet, werden dafür jedoch auch besondere Sicherheitsvorkehrungen benötigt. Viele Anwendungen enthalten Sicherheitslücken, die von Hackern ausgenutzt werden. Damit nehmen die Cyberangriffe auf Cloud-Softwaresysteme stetig zu. Die Software Code-Shield des gleichnamigen Unternehmens soll nun Schwachstellen erkennen und automatisiert beheben. Code-Shield ist ein Ableger des Fraunhofer-Instituts für Entwurfstechnik Mechatronik IEM und des Heinz-Nixdorf-Instituts der Universität Paderborn.

Cyberangriffe auf lückenhafte Cloud-Container

Viele Firmen sind auf die Cyberangriffe nicht vorbereitet. Diese haben jedoch oft Folgen für die Datensicherheit. Hacker nutzen oft störanfällige Webinterfaces, falsch konfigurierte Schnittstellen oder verwundbare Zugangsprotokolle. So können beispielsweise sensible Daten geklaut werden.

„Ziele von Hackerangriffen sind beispielsweise offen beschreibbare Buckets von Unternehmen. In dieser Art von Cloud-Containern werden Daten in Form von Objekten gespeichert. Die Attacken sind beispielsweise möglich, wenn das Bucket nicht schreibgeschützt ist und so öffentlich darauf zugegriffen werden kann“, erläutert Prof. Eric Bodden, Wissenschaftler am Fraunhofer IEM. Gemeinsam mit Kollegen des Heinz-Nixdorf-Instituts hat er den Ableger Code-Shield gestartet und damit ein Tool entwickelt, das die Sicherheit von Cloud-Anwendungen analysiert, bewertet und Schwachstellen behebt.

Sicherheitslücken automatisch erkennen

Mit Code-Shield will das Start-Up Hackern einen Riegel vorschieben. Die Software analysiert automatisiert Schwachstellen im Programmcode, wobei der Fokus auf Cloud-Native-Anwendungen, wie beispielsweise Spotify und Netflix, liegt. Auch Elektroroller, die seit einiger Zeit zum Straßenbild gehören, sind mit einer Cloud verbunden. Die Anwendungen werden direkt beim Cloud-Provider gehostet.

Auch der Programmcode wird in der Cloud programmiert und liegt dann beispielsweise bei Amazon-Web-Services vor, einem bekannten Anbieter dieser Dienste. Die Schwierigkeit: Die von den Providern bereitgestellten Schnittstellen und Komponenten sind nicht einfach zu benutzen. Sie versetzen den Programmierer zwar in die Lage, in kurzer Zeit neue Applikationen zu entwickeln. Konfiguriert man die Schnittstellen jedoch falsch, können private Daten ungewollt veröffentlicht werden. Die Software Code-Shield soll diese Schwachstellen automatisiert in Echtzeit aufdecken und visualisieren. Die Software stellt von der Webseite und App über den Code bis hin zum Datencontainer die komplette Cloud-Infrastruktur in Form von Diagrammen dar, sodass Programmierer mögliche Probleme und Angriffspunkte schnell erkennen können. Auch Komponenten wie Open-Source-Bibliotheken von Drittanbietern lassen sich einbinden, anzeigen und prüfen.

Fingerprinting-Verfahren und Datenflussanalyse

Um die Sicherheitslücken im Code aufzudecken, nutzt das Werkzeug zum einen das sogenannte Fingerprinting-Verfahren. Die Open-Source-Komponenten werden aus der Cloud heruntergeladen und anschließend wird pro Komponente ein Fingerabdruck berechnet. So wird ein unsicherer Code, wenn er zu einem späteren Zeitpunkt erneut in eine Applikation eingebunden wird, sofort wiedererkannt.

Zum anderen analysiert Code-Shield den Programmcode, den der Entwickler selber schreibt, in der Cloud ablegt und permanent bearbeitet, um Funktionalitäten anzupassen und zu ergänzen. In diesem Fall führt die Software täglich Datenflussanalysen durch, wobei unter anderem Nutzereingaben im Front-End geprüft werden, um eine Manipulationen schnell aufzuspüren. Eigens entwickelte Algorithmen ermöglichen die Analysen. Viele IT-Sicherheitswerkzeuge liefern Falschmeldungen von 70 bis 80 Prozent. Das ist vergleichbar mit einer Rechtschreibprüfung, die in jedem Satz Fehler markiert, wo keine sind. Die Rate an Falschmeldungen von Code-Shield liegt nach Angaben der Wissenschaftler jedoch bei unter fünf Prozent. So entdeckte die Software beispielsweise Sicherheitslücken in der Corona-Warn-App vor ihrer Veröffentlichung.

Die Code-Shield-Technologie wurde 2019 mit dem Ernst-Denert-Software-Engineering-Award ausgezeichnet. Das Unternehmen wird gefördert durch das europäische Förderprogramm Start-Up-Transfer-NRW sowie durch das BMBF-Programm Start-Up-Secure.

(ID:47456044)