:quality(80)/p7i.vogel.de/wcms/8f/a0/8fa038067940f4f5c49215cbb247b622/0112519526.jpeg "Auch Mendix 10 bekam ordentlich KI unter die Haube: Ein anpassbarer Best Practice Bot, ein Data Validation Bot sowie ein Schritt in Richtung generativer KI mit Mendix Chat sollen das Assist-Portfolio an KI-gestützten Entwicklungstools ergänzen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a9/06/a906f028f922064597c90a762c130001/0111161743.jpeg "Einer aus dem Dreierteam: Der vierrädrige Roboter Husky im Einsatz auf dem „Mond“. (Bild: FZ Forschungszentrum Informatik)")
:quality(80)/p7i.vogel.de/wcms/c3/e2/c3e2817babb15c4588d3a86955065788/0110467380.jpeg "Deutschlands Leitkongress für Embedded Software Engineering findet vom 4. bis 8. Dezember 2023 in der Stadthalle in Sindelfingen statt. Reichen Sie jetzt Ihren Beitrag ein und werden Sie Speaker auf Deutschlands Leitmesse für Embedded Software Engineering! (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/bb/ee/bbee87c9f6e1cd8f7c0585245912e408/0109800544.jpeg "Zielbild: Modulare Intelligenz und Technologien für zukünftige Mobilitätssysteme (Bild: Institut für Kraftfahrzeuge, RWTH Aachen University)")
:quality(80)/p7i.vogel.de/wcms/27/b9/27b9cfbb678630047f85e1adc55f7df7/0114455762.jpeg "Bild 1. Unterschiedliche Verarbeitungszeiten und Garantien für eine bestimmte Echtzeit-Task (Bild: LDRA)")
:quality(80)/p7i.vogel.de/wcms/ac/c6/acc6dd1a0d33df772c9c921d3dd557de/0113763472.jpeg "Melden Sie sich jetzt zum ESE 2023 an und profitieren Sie vom Frühbucherrabatt, der bis zum 31. Oktober gilt. (Bild: VCG )")
:quality(80)/p7i.vogel.de/wcms/96/cf/96cf8ee3ce89479620a24efd9239f673/0111389170.jpeg "Neil Puthuff, RTI (Bild: RTI)")
:quality(80)/p7i.vogel.de/wcms/fa/fb/fafb91c7affa621e7d4ef2a657ca58d7/0115383398.jpeg "Neue Trends kennenlernen, Wissen austauschen, Kontakte knüpfen oder die Kenntnisse erweitern – der ESE Kongress bietet für jeden etwas. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/92/a3/92a329ed3731c287e1a0d82c12d8a80d/0112796671.jpeg "Die Revolution durch Künstliche Intelligenz: Eine Betrachtung des Potenzials (Bild: Copyright (c) 2022 Blue Planet Studio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/86/91/8691ac20a6b0d28da930e3e9f783a294/0115104202.jpeg "Sicherheitsnormen: Software, die Teil sicherheitskritischer Systeme ist, muss angemessen verifiziert werden. (Bild: Gerd Altmann, Pixabay)")
:quality(80)/p7i.vogel.de/wcms/5a/a5/5aa55e03a0f2dbae2dc60f836d2e03a2/0114431110.jpeg "Michael Plagge ist Vice President Ecosystem Development der Eclipse Foundation. (Bild: Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/d9/ce/d9cec568cf2bf464153d2c308f7641f6/0112255816.jpeg "(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9c/e1/9ce1e5a9cd2b5c6dda9cf817e2ea7bc1/0111860365.jpeg "Ein Arbeitgeber muss die Ausbildung und Fortbildung als wertvolles Gut betrachten und seine Mitarbeiter entsprechend unterstützen. Mitarbeiter sind das wichtigste Kapital des Arbeitgebers und der Schlüssel zu anhaltendem Geschäftserfolg (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/f5/51/f551f5778d5bd171b3f17d73ff593723/72055891.jpeg "(Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/3e/6d/3e6df867e075bbd32be8a440e80c9f95/0112830296.jpeg "Android als Betriebssystem: Sowohl in der industrielle Automation oder Automobil setzt sich Android durch. Ein Vorteil des Betriebssystems ist die schnelle Java-Programmierung von Anwendungen auf Basis von Android APIs. (Bild: andrekheren )")
:quality(80)/p7i.vogel.de/wcms/09/f4/09f4cd13cfa544c5ba7464c32917666a/0111368304.jpeg "VW arbeitet an einer eigenen Software, die sich plattform- und markenübergreifend skalieren lässt. Dieses Vorhaben ist offenbar komplexer als zunächst angenommen. (Bild: Volkswagen AG)")
:quality(80)/p7i.vogel.de/wcms/87/52/8752b159480d8cf75f7f58f702aa0ce7/0112816316.jpeg "Softwaretests: Mithilfe von künstilcher Intelligenz können sensible und gleichzeitig hochbeanspruchte Komponenten für den Einsatz im Weltraum getestet werden. (Bild: Keysight)")
:quality(80)/p7i.vogel.de/wcms/0f/56/0f56440b91620ecab4063bd807884227/0111334152.jpeg "Bestätigt: dSpace-Tools dürfen in sicherheitsrelevanten Entwicklungsprojekten nach ISO 26262:2018 für alle Automotive Safety Integrity Levels (ASIL) eingesetzt werden. (Bild: dSPACE GmbH)")
:quality(80)/p7i.vogel.de/wcms/0c/78/0c782ecd788c9280b7e94ad34f23442d/0115220517.jpeg "Viacheslav Gromov: Gründer und Geschäftsführer vom Embedded-KI-Anbieter AITAD. (Bild: AITAD)")
:quality(80)/p7i.vogel.de/wcms/38/99/3899201d40c29970f598747c22c937c8/0115220396.jpeg "Planen eine enge Zusammenarbeit: Jensen Huang von Nvida (links) zusammen mit Youg Liu von Foxconn. Mithilfe von Nvidia will Auftragsfertiger Foxconn KI-basierte Fabriken und Rechenzentren aufbauen. (Bild: Nvidia)")
:quality(80)/p7i.vogel.de/wcms/b7/63/b7639e9da1ca1d887531838f45b5c853/0114878507.jpeg "Einzigartig: Das Urheberrecht für Firmware und Mikrocode hat sich in mehreren Fällen als wirksames Mittel zum Schutz von Innovationen in der Rechnerarchitektur erwiesen. Eingebettete KI-Modelle machen die Situation jedoch komplexer. (Bild: © Martina Berg – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/18/d91836c6b6ab6c0718dd3834dd8fc1ab/0114546230.jpeg "Trotz steigender Hardware-Fähigkeiten ist es immer noch die Software, die bestimmt, wie der Datenfluss gesteuert wird. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/e2/4b/e24b52dba628d199853fb606a97f9334/0108601399.jpeg "Wie eine bessere Absicherung der vernetzten Systeme gelingen kann, können Sie auf dem diesejährigen ESE-Kongress erfahren. (Bild: Perforce )")
:quality(80)/p7i.vogel.de/wcms/a7/67/a7677d18c5dcb651b31dc1e66460f1f2/0107504500.jpeg "SSV stellt ein adaptives Bausteinkonzept mit einer Hardware-agnostischen Firmware für Edge-Gateways vor. Die Firmware ist individuell anpassbar und läuft sowohl auf verschiede-nen Embedded-Plattformen als auch in Docker-Containern. (Bild: SSV)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/5d/06/5d06c990c23f740700e79851e71ac6ba/0109150162.jpeg "Nadine Riederer, Avision: „Die Wahl der Programmiersprache ist und bleibt eine Wette. Etablierte Sprachen haben dabei eindeutig die besseren Quoten, wenn es um die langfristige und sichere Planung geht.“ (Bild: TWX Photography)")
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
28.07.2023
Cybersecurity für die Software von medizinischen Geräten
Die Digitalisierung zieht sich heute durch alle Märkte. So können in modernen medizinischen Gesundheitssystemen mit Sensoren ausgestattete Geräte die kritischen Parameter der Gesundheit des Patienten überwachen und diese Informationen an ein System in der Cloud senden, um eine automatische Analyse durchzuführen, Warnungen auszugeben oder die Medikamentenverabreichung zu ändern. Allerdings entstehen durch die Konnektivität von leistungsstarken IoT-Geräten viele Sicherheitsbedrohungen, Unternehmen müssen sich also vor Cyberangriffen wappnen.
Attacken auf die Anwendungssicherheit sind die häufigste Form der externen Bedrohung. Das macht das Testen der Anwendungssicherheit (AST Application Security Testing) zu einer Schlüsselaufgabe der Sicherheitsverantwortlichen.
Was sind Anwendungssicherheitstests?
Bei ASTs kommen verschiedene Techniken zum Einsatz wie u.a. statische Sicherheitstests von Anwendungen, Penetrationstests, verschiedene Testtools. Um Qualität und Sicherheit von Softwareanwendungen zu verbessern, werden Schwachstellen und Sicherheitslücken in allen Phasen des Softwareentwicklungsprozesses identifiziert, behoben und letztlich verhindert. Der Prozess des Identifizierens und Behebens von Anwendungsschwachstellen funktioniert am besten, wenn er als Teil der funktionalen Tests integriert werden kann. Innovative AST-Tools erweitern das automatisierte Testen der Anwendungssicherheit auf den gesamten Softwareentwicklungszyklus (SDLC Software Development Life Cycle) und helfen dabei, Sicherheits- und Qualitätsprobleme aufzudecken, die Schwachstellen in Softwareanwendungen darstellen könnten.
Ihre Stärken spielen ASTs aus, wenn sie frühzeitig und oft durchgeführt werden. Dabei spielt in der modernen Softwareentwicklung die Automatisierung eine Schlüsselrolle, denn sie ermöglicht es, Softwareanwendungen schnell bereitzustellen, ohne die Sicherheit und Qualität zu beeinträchtigen.
Frühzeitig testen – Um Sicherheitsprobleme in Echtzeit anzugehen, empfiehlt sich die nahtlose Integration von Sicherheit in die Entwicklungspipeline. Das frühzeitige Erkennen von Problemen ermöglicht:
- die schnellere Bereitstellung von Software,
- das Senken der Risiken in Softwareanwendungen,
- das Reduzieren der Kosten für das Beheben von Problemen,
- die Steigerung des Sicherheitsbewusstseins der Entwickler.
Häufig testen – Die Integration von ASTs in die CI/CP-Pipeline und Toolketten gewährleistet kontinuierliche Tests, um Risiken als Folge von Codeänderungen aufzudecken. Die Automatisierung dieser Strategien ermöglicht:
- das Durchsetzen von Sicherheit und Konformität bei jeder Übertragung,
- eine höhere Transparenz in Bezug auf Anwendungssicherheit und Unternehmensrisiken,
- die Vereinfachung von Workflows zur Fehlerbehebung und Problemlösung,
- die Beschleunigung und Skalierung von Sicherheitstests, um Fehler besser zu erkennen.
Zuverlässig liefern - Die Strategie "do it early and do it often" bietet die Gewissheit, dass Softwareanwendungen frei von bekannten Anwendungsschwachstellen sind, und Entwicklungsteams ihre Software zuverlässig liefern und einsetzen können.
Garantierte Softwaresicherheit in kürzester Zeit wird erzielt durch:
- das Einbinden von Sicherheits- und Konformitätsphasen in die Entwicklungsabläufe.
- Das Bewerten der Risiken von Softwareanwendungen in Echtzeit als Grundlage für die Entscheidungsfindung.
- Das Automatisieren und Kodifizieren von Sicherheits- und Konformitätsprüfungen in Toolchains.
- Die vereinfachte Problembehebung und Triage, um sich auf das Wesentliche zu konzentrieren.
Arten von Anwendungssicherheitstests
Statische Anwendungssicherheitstests (SAST)
SAST nutzt statische Analysetechniken, um Quellcode, Bytecode und Binärdateien auf Codeverletzungen und Softwareschwächen zu untersuchen. SAST-Tools verschaffen Entwicklern Kenntnis und Feedback über die Auswirkungen ihrer Programmier- und Refactoring-Aktivitäten auf die Entstehung von Sicherheitslücken in der Software.
- Sie unterstützen bei der Durchsetzung sicherer Programmierpraktiken (CERT, CWE, OWASP).
- Sie verwenden White-Box-Tests, bei denen die Tester nicht kompilierten Code auf Fehler untersuchen.
- Sie erzwingen gute Programmierpraktiken als Präventivmaßnahme, die dazu beiträgt, die Sicherheit von der Projektkonzeption an einzubauen.
Dynamische Anwendungssicherheitstests (DAST)
Im Gegensatz dazu nutzt die DAST-Technologie Black-Box-Tests, bei denen der Code ausgeführt und dann auf Schwachstellen untersucht wird. Diese Tools können oft umfangreichere Überprüfungen durchführen, indem sie schlecht durchdachte Testfälle und unerwartete Vorfälle simulieren.
Interaktive Prüfung der Anwendungssicherheit (IAST)
IAST kombiniert sowohl DAST- als auch SAST-Werkzeuge, um eine umfassendere Liste von Sicherheitsschwachstellen zu erstellen. Diese Tools überprüfen Software dynamisch während der Laufzeit, arbeiten aber auf einem Anwendungsserver. Dadurch können sie kompilierten Code überprüfen. IAST-Tools eignen sich hervorragend für API-Tests sowie für die Überprüfung von Komponenten Dritter und des Datenflusses.
API-Sicherheitstests
Schlecht entwickelte und durchlässige APIs sind kontraproduktiv für den Schutz des Unternehmens, des Auftrags und der Kunden. Das macht das Aufdecken eines Fehlgebrauchs und Missbrauchs von API-Funktionen entscheidend für API-Sicherheitstests. Um Sicherheitsbedrohungen aufzuspüren, die in APIs eingebettete sensible Daten preisgeben, und einen API-Angriff zu verhindern, kommen DAST und Penetrationstests zum Einsatz
Best Practices
Die Softwaresicherheit von Medizintechnik ist in den letzten Jahren zusehends in den Fokus gerückt. So konnten inzwischen Erfahrungen gesammelt und in einer Liste an Empfehlungen gebündelt werden:
Automatisieren – Mithilfe von automatisierten Tools in den Entwicklungsprozessen den Lebenszyklus der Softwareentwicklung (SDLC) verbessern.
Überprüfen - Komponenten und des Code von Drittanbietern oder Open Source sollten immer überprüft werden.
Robustheit – Verwendung von robusten Testfällen, die bösartige Angriffe einschließen.
Interface-Tests - Nicht nur Benutzeroberflächen und APIs testen, sondern auch Schnittstellen.
Umfassende Tests - Mithilfe von statischer und dynamischer Analyse (IAST) die Grundlagen für umfassende Softwaretests schaffen.
Linksverschiebung - Anwendung einer DevSecOps- oder "Shift Left" (Vor-Verlegen im Entwicklungszyklus)-Strategie.
CI/CD-Arbeitsablauf - Integration von AST in die CI/CD Pipeline.
Simulationen – Überprüfen der Prozesse zur Risikobewältigung mit Simulationen, um zukünftige Datenschutzverletzungen zu verhindern.
Einblicke zum Handeln - Geduldig sein, wenn die Teams Sicherheitsrisikodaten in umsetzbare Erkenntnisse umwandeln, die in zukünftigen Code einfließen können.
Einstieg in das Testen der Anwendungssicherheit
Es gibt viele Möglichkeiten, AST-Tools in den Softwareentwicklungszyklus von Medizingeräten einzubinden. Die Grafik unten zeigt die empfohlenen Tools für das Testen der Anwendungssicherheit, die in jeder Phase eingesetzt werden sollten. Ein wichtiger Teil der optimalen Nutzung dieser Tools ist das Automatisieren von Prozessen, um zeit- und kostenintensive manuelle Tests zu ersetzen. Es ist eine logische Ergänzung zur ‚Shift Left‘-Strategie der Vorverlegung von Tests in einen früheren Entwicklungszyklus, wo sich Fehler noch einfacher beheben lassen bzw. Schwachstellen in der Software leichter korrigiert werden können. Die Automatisierung unterstützt das Entwicklungsteam, indem sie die Effizienz und Produktivität steigert und zugleich Fehler reduziert. Wie man die CI/CD-Pipeline automatisiert bzw. wie dies für das eigene Team funktionieren kann, oder wie ein DevSecOps-Ansatz und Continous Testing Sicherheitsprobleme entschärfen kann, lässt sich mithilfe von Demos innovativer Lösungsanbieter feststellen.
Autor: Riccardo Camacho, Parasoft
