Fraunhofer-Institut für Offene Kommunikationssysteme
Fraunhofer-Institut für Offene Kommunikationssysteme

VESSEDIA

Verification Engineering of Safety and Security Critical Industrial Applications

VW, Gläserne Manufaktur in Dresden, Herstellung des E-Golfs
© Philipp Plum / Fraunhofer FOKUS

Durch das Internet der Dinge (Internet of Things, IoT) wächst das durch Ausführungsfehler verursachte Risiko von Angriffen auf die Software von Systemen. Dies stellt neue Anforderungen an die Softwaresicherheit. Im Projekt »Verification Engineering of Safety and Security Critical Industrial Applications« (VESSEDIA), das am 31. Dezember 2019 endete, wurden Verifikationswerkzeuge und -Methoden, die ursprünglich für sicherheitskritische Anwendungen entwickelt wurden, für die kostengünstige Zertifizierung von IoT-Geräten angepasst.

Werkzeuge zur Softwareanalyse können einen bedeutenden Beitrag leisten, die Sicherheit und Zuverlässigkeit digitaler Technologien zu gewährleisten. In kritischen Domänen wie Luft- und Raumfahrt, Schienenverkehr oder Finanzwirtschaft werden hohe Investitionen getätigt, um die in den jeweiligen Systemen eingesetzte Software zu testen und mittels statischer Analyse zu prüfen. Im IoT-Bereich hingegen liegt der Fokus auf einer kurzen Entwicklungszeit und niedrigen Entwicklungskosten. Dies steht im Konflikt zum Einsatz bisheriger Methoden der statischen Analyse, da deren Anwendung sowohl komplex als auch kostenintensiv ist. Dadurch wird eine umfassende Sicherheitsprüfung von IoT-Systemen erschwert.

Ziel von VESSEDIA

Ziel des VESSEDIA-Projektes ist es, die Einsatzmöglichkeiten von Softwareanalyse-Werkzeugen zu erweitern. Die Nutzung der Werkzeuge soll für hochdynamische Systeme in Domänen mit weniger kritischen Anwendungen erleichtert werden. Darüber hinaus sollen die entwickelten Analyseverfahren geringe zusätzliche Kosten verursachen.

Die Ziele des VESSEDIA-Projekts werden sowohl in Form von Grundlagenforschung als auch in praktischer Anwendung verfolgt. Schwerpunkte des Projekts sind:

  • die Entwicklung einer Methodik, um Werkzeuge zur Softwareanalyse wirksam einzusetzen,
  • die Standardisierung von Werkzeugen zur statischen Analyse, um deren Einsatzmöglichkeiten zu erweitern,
  • der Nachweis der verbesserten Analysemethoden auf dem für die Entwicklung von IoT-Anwendungen weit verbreiteten Betriebssystem Contiki OS,
  • die Entwicklung eines »Security Certification Levels« (SCL) für IoT-Anwendungen, für die eine Common Criteria-Zertifizierung zu kostenintensiv ist.

Safety und Security

Fraunhofer FOKUS war im Projekt für den Bereich »Safety and Security Verification Methodologies«, in dem unter anderem die Qualitätssicherung der weiterentwickelten statischen Analyse-Werkzeuge stattfand, verantwortlich. Weiterhin wurde eine cloud-basierte Lösung implementiert, mit deren Hilfe statische Analysen mittels des Frama-C Werkzeugs beschleunigt ausgeführt werden können. Darüber hinaus entstand eine Leitlinie für eine kosteneffiziente Kombination von statischer Analyse und Testen für IoT-Anwendungen.

Projektpartner von VESSEDIA

Im VESSEDIA-Projekt arbeiten zehn Partner aus Wirtschaft und Forschung über einen Zeitraum von drei Jahren zusammen. Die Projektpartner kommen aus Belgien, Deutschland, Finnland, Frankreich, Österreich, Spanien und Ungarn. Die Europäische Union fördert VESSEDIA über das Förderprogramm für Forschung und Innovation »Horizon 2020«.

Trademark Verified in Europe
VESSEDIA D4.2 approach for security evaluation

Projektergebnisse

Ein großer Teil der im Projekt entstandenen Werkzeuge, zum Beispiel die Frama-C Analyse Plattform, steht unter Open Source Lizenzen kostenlos zur Verfügung, was eine breite Nutzbarkeit über verschiedene Domänen hinweg gewährleistet. Die Ergebnisse des Projekts wurden in einer Reihe von wissenschaftlichen Artikeln veröffentlicht. Darüber hinaus wurde im Projekt die neue ISO-Norm 23643 »Software and systems engineering – Capabilities of security and safety verification tools« vorbereitet, die voraussichtlich 2020 verabschiedet wird. Mittels des im Projekt eingeführten Markenzeichens »Verified in Europe«, welches nach einer erfolgreichen Zertifizierung verliehen wird, sind die Ergebnisse von VESSEDIA auch in Zukunft nutzbar.

Das VESSEDIA Projekt wurde von der europäischen Kommission im Rahmen des HORIZON 2020 Förderprogramms finanziert. Es brachte zehn europäische Partner aus Industrie und Wissenschaft zusammen.