idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
Wie lassen sich Sicherheitsschwachstellen bei der Software-Entwicklung vermeiden? Das herauszufinden ist das Ziel eines gemeinsamen Forschungsvorhabens zwischen dem Fraunhofer-Institut für Sichere Informationstechnologie SIT und dem GESIS – Leibniz-Institut für Sozialwissenschaften. Erstmals begleiten dabei Sozialwissenschaftler und Sicherheitsexperten gemeinsam ein Entwicklerteam in der Entwurfsphase eines Softwareprojektes. Kontaktmöglichkeiten, aktuelle Informationen und Berichte aus dem Projekt veröffentlichen die Partner im Projektblog unter esse.sit.fraunhofer.de. Das Projekt wird vom European Center for Security and Privacy by Design (EC-SPRIDE) teilfinanziert.
GESIS - Leibniz-Institut für Sozialwissenschaften ist die größte deutsche Infrastruktureinrichtung für die Sozialwissenschaften im deutschsprachigen Raum. GESIS betreut umfangreiche Bestände an Umfragedaten und weiteren Forschungsdaten, um diese auch anderen Wissenschaftlern für ihre eigene Forschung zur Verfügung zu stellen. Besonders sensible Daten kann GESIS dabei nur unter besonderen Sicherheitsvorkehrungen bereitstellen; Sozialforscher dürfen diese Daten derzeit nur vor Ort in Köln in einem Secure Data Center (SDC) auswerten. Um auch ein Internetbasiertes Arbeiten auf den datenschutzrelevanten Daten zu ermöglichen, entwickelt eine Gruppe von Software- und Datenexperten bei GESIS jetzt einen besonders gesicherten computergestützten Fernzugang. Zentrale Anforderung an diesen Fernzugang ist es, dass kleinräumig erhobene, sozialwissenschaftliche Forschungsdaten nicht Einzelpersonen zugeordnet oder anderweitig missbraucht werden können. GESIS möchte während der Softwareentwicklung die damit verbundenen Sicherheitsanforderungen erfassen, und anschließend die technischen und organisatorischen Rahmenbedingungen für den Fernzugang entsprechend schaffen. Die Mitarbeiter des Fraunhofer SIT beraten GESIS zur sicherheitstechnischen Ausgestaltung der Software.
Die Entwicklung eines sicheren Fernzugangs für das SDC ist für die Fraunhofer-Experten und die Sozialwissenschaftler von GESIS jedoch nur ein Projektziel. „Wir wollen nicht nur dafür sorgen, dass die bei GESIS archivierten sensiblen Daten beim Fernzugang geschützt sind, sondern wir wollen insbesondere auch herausfinden, ob und wie es die Software- und Datenexperten bei GESIS schaffen, die dafür notwendigen Entscheidungen im Projekt selbst zu treffen”, sagt Andreas Poller vom Fraunhofer SIT. Dazu untersuchen die Forscher erstmals wissenschaftlich, ob Softwareentwickler mit Methoden zur sicheren Softwareentwicklung in der Praxis tatsächlich umgehen können. Das insbesondere Sicherheitsanalyseverfahren abseits wissenschaftlicher Theorie viele Stolperfallen bereithalten, weiß Andreas Poller bereits aus seiner Arbeit im Testlabor des Fraunhofer SIT: „So kann beispielsweise ein stringent nach der Microsoft-SDL-Methode erarbeitetes Bedrohungsmodell in der Praxis schnell unübersichtlich werden, wenn ein Softwareentwickler zu viele Details beachtet. Zudem haben die verschiedenen Beteiligten eines Entwicklungsprojektes, wie Software-Architekten, Manager, Entwickler und Tester ganz unterschiedliche Perspektiven auf IT-Sicherheit und Datenschutz. Diese Sichtweisen lassen sich nicht alle mit einem Modell bzw. einer Analysemethode berücksichtigen. Trotzdem müssen alle Beteiligten letztendlich fundierte, gemeinsame Entscheidungen fällen, wie sie ihre Software sicherer machen wollen.“
GESIS betrachtet das Erarbeiten einer Sicherheitsstrategie für den Fernzugang durch das SDC-Entwicklungsteam aus sozialwissenschaftlicher Perspektive und beobachtet das Entwicklerteam mit empirischen Methoden: „Die Kooperation mit Fraunhofer SIT erlaubt uns, unsere Kompetenz und Erfahrung in der Durchführung qualitativer, empirischer Forschung in die Untersuchung einzubringen. Stärken und Schwächen verschiedener Verfahren zur Modellierung und Analyse von Sicherheitsproblemen sind abhängig davon, ob die unterschiedlichen Interessen innerhalb eines Softwareentwicklungsteams abgebildet und Kommunikationsprozesse produktiv unterstützt werden können“, sagt Katharina Kinder-Kurlanda von GESIS.
Im Projekt unterziehen die Forscher bestehende Sicherheitsanalyseverfahren einem Praxistest und versuchen neue Wege zu finden, um die Kooperation in Software-Entwicklungsprojekten zu verbessern. Andreas Poller erläutert: „Die Zusammenarbeit von Menschen in Entwicklungsteams zur Lösung von Sicherheitsproblemen wird unterschätzt. Als Akademiker sind wir noch zu sehr darauf fixiert, einzelne Methoden in der Theorie zu perfektionieren. Wir laufen dabei Gefahr, die praktischen Herausforderungen zu vernachlässigen. Für Fraunhofer SIT ist das Projekt deshalb ein echter Glücksfall: GESIS bringt ein echtes Entwicklungsprojekt mit, in welchem uns die Entwickler erlauben, ihnen bei der Arbeit auf die Finger zu schauen und sie mit Fragen zu löchern.“, so Poller.
Das Forschungsprojekt steht langfristig weiteren interessierten Firmen offen, welche selbst Software im größeren Stil entwickeln. Diese können im Rahmen des Projektes in Zusammenarbeit mit Fraunhofer SIT und GESIS herausfinden, an welchen Stellen sie ihre Entwicklungsprozesse verbessern könnten und welche Verfahren zur Entwicklung sicherer Software zur hiesigen Entwicklungskultur passen. Mit der Teilnahme am Projekt gewähren sie Fraunhofer SIT und GESIS Zugang zu den Entwicklungsteams und liefern damit den Forschern weitere Einblicke in reale Entwicklungsprozesse für die Studie.
Ansprechpartner in den Instituten:
GESIS – Leibniz-Institut für Sozialwissenschaften:
Dr. Katharina E. Kinder-Kurlanda
Email: katharina.kinder-kurlanda@gesis.org
SDC-Webseite: www.gesis.org/sdc
Dr. Sophie Zervos
GESIS - Leibniz-Institut für Sozialwissenschaften
Stabsstelle Kommunikation
Unter Sachsenhausen 6-8,
50667 Köln
Tel: + 49 (0) 221-47694-136
sophie.zervos@gesis.org
Fraunhofer Institut für Sichere Informationstechnologie (SIT):
Andreas Poller
E-Mail: andreas.poller@sit.fraunhofer.de
Oliver Küch
Fraunhofer Institut für Sichere Informationstechnologie (SIT):
Informations- und Marketingmanagement
Rheinstraße 75
64295 Darmstadt
Tel.: +49 (0)6151 869-213
oliver.kuech@sit.fraunhofer.de
Beschreibung GESIS:
Als die größte deutsche Infrastruktureinrichtung für die Sozialwissenschaften steht das GESIS - Leibniz-Institut für Sozialwissenschaften Forscherinnen und Forschern auf allen Ebene ihrer Forschungsvorhaben mit seiner Expertise und seinen Dienstleistungen beratend zur Seite, so dass gesellschaftlich relevante Fragen auf der Basis neuester wissenschaftlicher Methoden, qualitativ hochwertiger Daten und Forschungsinformationen beantwortet werden können. GESIS ist Mitglied der Leibniz-Gemeinschaft und unterhält institutionelle und projektbezogene Kooperationen mit diversen Universitäten. GESIS ist an wichtigen europäischen und internationalen Studien und Projekten wie u.a. dem European Social Survey (ESS) und der European Value Study (EVS), dem europäischen Archivverbund CESSDA und dem OECD-Projekt Programme for the International Assessment of Adult Competencies (PIAAC) beteiligt.
Beschreibung SIT:
Das Fraunhofer-Institut für Sichere Informationstechnologie SIT ist Spezialist für IT-Sicherheit und entwickelt Systeme und unmittelbar einsetzbare Lösungen. Die Ergebnisse sind vollständig auf die Bedürfnisse der Auftraggeber ausgerichtet und bieten hohe Sicherheit und große Benutzerfreundlichkeit.
Möglich werden diese maßgeschneiderten Dienste durch über einhundertsechzig hochqualifizierte Mitarbeiter, die alle Bereiche der IT-Sicherheit abdecken. Sie bilden die breite Kompetenzbasis für technologieübergreifende Leistungen auf höchstem Niveau. Das Fraunhofer-Institut SIT ist für Unternehmen aller Branchen tätig. Viele erfolgreiche Projekte mit internationalen Partnern sind eindrucksvoller Beweis für eine vertrauensvolle und zuverlässige Zusammenarbeit.
http://www.gesis.org
http://www.sit.fraunhofer.de
Criteria of this press release:
Business and commerce, Journalists, Scientists and scholars
Economics / business administration, Information technology, Politics, Psychology, Social studies
transregional, national
Cooperation agreements
German
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).
