Tesis-Forschungsprojekt mit der Uni Augsburg: Softwareschwachstellen frühzeitig aufdecken

Thematisch lag der Fokus auf der sicheren Authentifizierung mobiler Anwender

(03.05.11) - Die Tesis Sysware Software Entwicklung hat in einem dreijährigen Forschungsprojekt mit der Universität Augsburg einen Prozess entwickelt, der Software-Schwachstellen frühzeitig aufdeckt. Eine Passwort-Reset-Lösung fürs Handy diente als erster Anwendungsfall. Das Ergebnis: "Aspr.Mobil" kann auch in Unternehmen und Bereichen mit höchsten Sicherheitsanforderungen eingesetzt werden.

Zusammen mit dem Institut für Informatik der Universität Augsburg entwickelten die IT-Sicherheitsxxperten der Tesis Sysware einen Prozess, der Schwachstellen in neuer Software schon während der Entwicklungsphase aufspürt - noch weit bevor er in der Qualitätssicherung des fertigen Produkts entdeckt werden könnte. Unterstützt wurde das Forschungsprojekt vom Bayerischen Staatsministerium für Wirtschaft, Infrastruktur, Verkehr und Technologie im Rahmen der "Software-Offensive Bayern".

Thematisch lag der Fokus auf der sicheren Authentifizierung mobiler Anwender: Wer auf Unternehmensdaten zugreift, muss unbedingt eindeutig identifiziert werden, um Spionage und Datenklau zu verhindern. Besonders, wenn der Zugriff von außen, über unbekannte öffentliche Netze und Fremdgeräte erfolgt, werden sichere Anmeldeprozesse, Authentifizierung und Autorisierung zur Herausforderung.

Heute geht der Trend hin zu immer mehr mobilen Anwendern. Nicht nur Mitarbeiter greifen auf die IT-Ressourcen eines Unternehmens zu, sondern auch externe Auftragnehmer und Kooperations-partner. Der Anteil von Mitarbeitern im Außendienst oder im Home-Office wächst ebenso. Deshalb wird es wichtiger denn je, auch deren nicht-ortsgebundene Arbeitsplätze bestmöglich in die IT-Prozesse des Unternehmens einzubinden.

Als konkreter Anwendungsfall des Forschungsprojekts diente "Aspr.Mobil", eine mobile Erweiterung der Software "Tesis Aspr". Mit Aspr setzen Mitarbeiter in Unternehmen vergessene Passwörter schnell und unkompliziert zurück. Aspr.Mobil macht diesen Dienst auch außerhalb der Firma per Handy nutzbar. Denn gerade unterwegs, zum Beispiel auf Kundenterminen, wirkt es unprofessio-nell, wenn ein Berater Passwörter nicht kennt und das Problem nicht schnell lösen kann. Zugriff auf Aspr im Intranet der Firma ist oft nicht gegeben. Und wer viel abends, nachts oder in anderen Zeitzonen arbeitet, befindet sich außerhalb der Service-Zeiten des Support-Centers.

Um garantieren zu können, dass Aspr.Mobil ebenso sicher ist wie die webbasierte Variante, haben die Tesis Sysware und die Universität Augsburg gemeinsam ein Softwaremodell entworfen, das den Workflow theoretisch analysiert und nach speziell festgelegten Maßstäben auf Sicherheit überprüft.

Das Ergebnis: Aspr.Mobil erfüllt alle Sicherheitsanforderungen. Und die Methode hilft nicht nur in diesem Einzelfall: Sie ist universell einsetzbar und kann auch bei allen zukünftigen, sicherheits-kritischen Softwareprojekten als wissenschaftliche Grundlage dienen. (Tesis Sysware: ra)