Dieses Tutorium stellt wichtige Grundregeln vor, um Sicherheitsschwachstellen beim Entwurf und bei der Implementierung von Software zu vermeiden. Dabei wird keine spezifische Technologie behandelt, sondern allgemeine Prinzipien guten Security Engineerings, angewandt auf Software. Wir beginnen mit einer kurzen Auffrischung von Softwaresicherheit im allgemeinen. Der Hauptteil des Tutoriums stellt dann 20 "Faustregeln" zur Entwicklung sicherer Software vor, z.B. "Bilde Komponenten mit unterschiedlichen Rechten" oder "Prüfe alle Daten aus Quellen mit weniger Rechten". Neun dieser Regeln werden im Detail behandelt, für den Rest wird aus Zeitgründen auf die Unterlagen verwiesen. Jede Regel wird durch Positiv- und Negativbeispiele aus der Praxis erläutert.

Nach einer kurzen Betrachtung von Nutzen und Grenzen solcher Regeln werden die Regeln dann an einem detaillierten Beispiel angewandt. Es handelt sich dabei um ein Java-Applet zum Login, das verschiedene Schwachstellen aufweist; ein Angriff auf diese Anwendung wird Schritt für Schritt im Detail entwickelt. Die Teilnehmer werden dann aufgefordert, die Anwendung im Licht ihres neu erworbenen Wissens zu bewerten und Verbesserungsvorschläge zu machen. Das Tutorium schließt mit Hinweisen auf weitere Entwicklungen.

Dr. Holger Peine

Holger Peine arbeitet am Fraunhofer-Institut Experimentelles Software-Engineering (IESE) in Kaiserslautern in der Abteilung Security and Safety, wo Werkzeuge für Sicherheitsüberprüfungen von IT-Systemen entwickelt und Sicherheitsevaluationen von Software, Systemen und Prozessen durchgeführt werden. Er leitet dort eine Forschungsgruppe zu Techniken und Werkzeugen für die Entwicklung sicherer Software.