Jeder Anbieter möchte am Internet der Dinge (ioT) mitverdienen. So spannend diese Entwicklung für Endkunden sein mag, das Rennen um die Vorherrschaft im IoT-Markt birgt auch eine Schattenseite.
Bild 1: Durch die automatisch laufende Prüfung von Code-Kompilierungen mithilfe von ausgereiften statischen Analysetools können Fehler schnell aufgedeckt und behoben werden.
(Bilder: Grammatech)
Derzeit entwickeln Hersteller ihre Produkt noch nach alten, fest verwurzelten Supply Chain-, Engineering- und Qualitätssicherungs-Prozessen, die nicht für die komplexen, hochgradig vernetzten smarten Geräte von heute konzipiert sind. Ebenso arbeiten Engineering-Teams mit immer mehr unterschiedlichen Zulieferern und verlassen sich, wo es geht, auf Fremdsoftware, um kostbare Entwickler-Zeit zu sparen; ständig mit dem Ziel, die Forderungen des Geschäfts und des Marktes nach diesen neuen Fähigkeiten zu erfüllen. Die Datensicherheit wird dabei von vielen Entwicklungsteams leider stiefmütterlich behandelt; Basic Checks finden – wenn überhaupt – nur während der Qualitätssicherung statt.
Fehlende Entwicklungsphilosophie mit oberster Priorität auf Datensicherheit, zunehmender Einsatz von Fremdsoftware, und ständig wachsender Druck zur schnellen Markteinführung durch Geschäftsführer mit sorgloser Einstellung zur Datensicherheit im IoT – das Zusammentreffen dieser Faktoren bringt Unternehmen in eine zunehmend verletzliche Position, offen für Angriffe durch Cyber-Kriminalität und Nationalstaaten, um sich bei diesen vernetzten Geräten und Netzwerken zu bedienen.
Schon heute gefährden diese Software-Schwachstellen die Sicherheit und den Datenschutz von Endkunden, steigern die Unternehmenshaftung, untergraben das Vertrauen der Verbraucher und haben in Einzelfällen zum Ausfall kritischer Dienstleistungen für Öffentlichkeit und Industrie geführt.
Tatsächlich sind die Smart-Geräte von heute ganz und gar nicht smart. Sondern nach einer aktuellen HP-Studie sind 70 Prozent der 10 gebräuchlichsten IoT-Devices angreifbar für Datendiebstahl. Täglich gibt es in den Nachrichten Meldungen von Hacking-Angriffen auf Geräte, Anlagen und Systeme, darunter auch höchst besorgniserregende Vorfälle wie etwa Hacker, die sich über die drahtlose Hot Spot-Verbindung der Steuerung eines Fahrzeugs bemächtigten und Bremsen sowie andere kritische Systeme beeinflussen konnten.
Statische Analyse für die IoT-Ära
Die Codeanalyse-Software CodeSonar eignet sich für Embedded-Umgebungen mit Null-Fehler-Toleranz. Das Werkzeug prüft sowohl Quell- als auch Binärcode, um ernste Sicherheits- und Qualitätsfaktoren zu identifizieren, die zu Systemabstürzen, Speicherfehlern, Data Races und anderen Schwachstellen führen.
Die Version 4.1 von CodeSonar zielt auf die IoT-Ära ab – mit verteilten Analysefähigkeiten, einer noch tiefer gehenden Tainted-Data-Analyse und Binäranalyse-Support für x64-Prozessoren.
Diese Neuerungen helfen Entwickler beim Programmieren von stabilerem und sichererem Code für die IoT-Ära, in der immer mehr Softwaresysteme auf oft unsichere Art vernetzbar sind.
Zu den neuen Features in CodeSonar 4.1 gehören:
Tiefergehende Analyse von Tainted Data – Für größere Gründlichkeit hat GrammaTech seine Taint-Analyse um Checker für Tainted-Buffer-Access und Indirect-Function-Aufrufe erweitert. Die präzisere Untersuchung von Indirect-Function-Calls bietet einen erheblichen Vorteil beim Aufspüren von ernsten Sicherheitsfehlern wie etwa den Heartbleed-Bug.
Neue verteilte Analyse – In der Version 4.1 erlaubt CodeSonar die Verteilung der statischen Analyse über viele heterogene Rechner (etwa Linux, Windows und Unix zeitgleich). Dadurch kann die Analysephase im Verhältnis zur Prozessoranzahl im Analysepool beschleunigt werden.
Zugleich können Entwickler die Gründlichkeit ihrer Analysen flexibel steigern, um mehr kritische Fehler aufzudecken.
Binärcodeanalyse – Die schnelle Zunahme von Fremdcode macht die rigorose Prüfung von Third-Party-Binaries notwendig, um Sicherheits- und Qualitätsstandards zu erfüllen.
Als derzeit einziges kommerziell verfügbares Analyse-Werkzeug bietet CodeSonar 4.1 die Binärcodeanalyse. Weil sowohl der Druck als auch die Verpflichtungen des Software-Supply-Chain-Management (SSCM) weiterhin steigen, müssen Embedded-Teams gleichermaßen den Quellcode sowie den Binärcode untersuchen, um die Kundensicherheit zu gewährleisten. www.grammatech.com
Software-Qualitätssicherung für IoT-Applikationen
Wie müssen unsere Fertigungsprozesse verändert werden, damit die IoT-Devices der nächsten Generation besser geschützt sind? Zunächst ist eine fundierte Planung notwendig, mit einer Qualitätssicherung für die Software der nächsten Generation und einer Methodik, die der Datensicherheit oberste Priorität einräumt. Die Teams müssen neue Wege zur schnellen Auslieferung ihrer Software finden – und dabei Daten- und Produktsicherheit sowie Qualität vom Konzept bis zur Übergabe garantieren. Für eine erfolgreiche Umsetzung brauchen sie neue Tools, um ihre Software einschließlich Quell- und Binärcode effizienter zu analysieren.
Nächsthöhere Level der Software-Integrität sind nur erreichbar, wenn Teams versehentliche Codingfehler und absichtlich eingebaute Schwachstellen eliminieren können. Dazu benötigen sie effiziente Analysetechniken, die auf die komplexen Anwendungen von heute abgestimmt sind.
Im ersten Schritt können die Teams:
den Einsatz von Quellcode-Analyse in all ihren Entwicklungsteams vorschreiben, und zwar während der Entwicklung, Qualitätssicherung und Datensicherheitsaudits,
Binäranalyse für die Analyse von Drittanbieter-Code anwenden,
der Datensicherheit in der Entwicklungsphase höchste Priorität einräumen.
(ID:43728361)
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
:quality(80)/p7i.vogel.de/wcms/13/1c/131cc3457132b7b6605a0664dcaf2bf8/0108507117.jpeg "Externe Big-Data-Consultants helfen in Zeiten des Fachkräftemangels. Die Consultants sind darauf spezialisiert, Unternehmen bei der Anpassung von Systemen und Abläufen an aktuelle Geschäftsanforderungen zu unterstützen. (Bild: © successphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/cf/33cf7368b5233db9a844f81f39712aff/0108298330.jpeg "Big-Data-as-a-Service-Plattformen (BDaaS) ersparen Unternehmenskunden hohe Einstiegsinvestitionen für die nötige Technik vor Ort. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/8d/eb8de8b6eacbb2f327e0c0a0f464e367/0107848271.jpeg "Das sind die Gewinner der BigData-Insider Readers' Choice Awards 2022. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/40/22/4022ae599e7342948df8e75a6717775a/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/a8/79a897e6a2b1371bc92e9152a13ad7d3/0114285277.jpeg "Die Ergebnisse des Projekts sollen anhand von Demonstratoren aus dem Bereich der Gebäudetechnik veranschaulicht werden. Blick in die mit intelligenten, vernetzten Technologien ausgestattete Wohnumgebung im Bremen Ambient Assisted Living Lab (BAALL) des DFKI-Forschungsbereichs Cyber-Physical Systems. (Bild: Annemarie Popp - DFKI)")
:quality(80)/p7i.vogel.de/wcms/67/df/67dfa540f84cb08d5f3f4b4ce273b9d7/0114194906.jpeg "Das Motto der Teradata-Konferenz lautete „Fuel the Future“. (Bild: © Josh Caius Photographer https://www.joshcaiusphotography.com/)")
:quality(80)/p7i.vogel.de/wcms/94/5f/945f050c43431520ca5fbdf548cde25b/0114213051.jpeg "Zwei richtig nette Milliardäre: Satya Nadella (links), Chairman und CEO von Microsoft, und Larry Ellison, Chairman und CTO von Oracle. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/cd/56/cd5615931e927fa3ed7d04ff36903047/0112857924.jpeg "Der Autor: Christopher Keller ist Director Big Data Analytics & IoT bei IT-Novum (Bild: IT-Novum)")
:quality(80)/p7i.vogel.de/wcms/d3/a5/d3a52c6bcaf08b7b1fe1c503ccbd0baf/0113966083.jpeg "Ordnung ist das halbe Leben – dieser Grundsatz gilt auch beim Datenmanagement. (Bild: © – Marco Martins – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1a/6c/1a6c2273aa71a82babd1fad8f2a44462/0113940781.jpeg "Paul Codding, Executive Vice President of Product Management von Cloudera (Bild: Cloudera)")
:quality(80)/p7i.vogel.de/wcms/84/21/8421958f12c21fd54f3f4d42206565aa/0113953229.jpeg "Obwohl viele Geräte, Anlagen und Maschinen schon ab Werk mit Sensoren ausgestattet sind, die Zustands-, Nutzungs- und Funktionsdaten erfassen, dürfen oder können sie oft nicht in das Unternehmensnetzwerk des Herstellers oder Anwenders eingebunden werden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9f/39/9f39a3fdc327a4666968706cc7d5134e/0113892497.jpeg "Qliks DPM-Dashboard liiefert den WHO-Mitgliedsländern Informationen zu ihrer Krisenfestigkeit. (Bild: Qlik)")
:quality(80)/p7i.vogel.de/wcms/95/07/9507ac07f8caab380cd877baf234db08/0112787398.jpeg "Der Autor: Christian Steiger ist Geschäftsführer von Lexware & Gründer von Lexoffice (Bild: Lexware)")
:quality(80)/p7i.vogel.de/wcms/85/85/8585c461cf1932d7360dddcea6978060/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/c8/a2/c8a2ebaafd42f2ebbdd7290aa32b117e/0113113482.jpeg "Feifei Li ist President of Database Products Business bei Alibaba Cloud Intelligence. (Bild: Alibaba Cloud)")
:quality(80)/p7i.vogel.de/wcms/07/5a/075a208a63907f0b442dcc700e09d010/0114285596.jpeg "Eine simple Slideshow samt Vollbildmodus? Kein Problem für Bard und GPT-4. (Bild: Rentrop)")
:quality(80)/p7i.vogel.de/wcms/d7/aa/d7aa000da6197fb08b0cda53919e6874/0112797046.jpeg "Neo4j bietet gemeinsam mit O'Reilly einen Leitfaden zu Knowledge Graphen als kostenloses E-Book an. (Bild: O'Reilly)")
:quality(80)/p7i.vogel.de/wcms/bf/0c/bf0cff653a5037f45a297ec0fa76edca/0112465984.jpeg "Der Autor: Dr. Michael Zimmer ist Chief Data Officer der Zurich Gruppe Deutschland (Bild: Zurich Gruppe Deutschland)")
:quality(80)/p7i.vogel.de/wcms/a9/7b/a97b8e0b28387c7a423ea44bff36d627/0112724937.jpeg "Oracle hat ein kostenloses Schulungs- und Zertifizierungsprogramm gestartet. (Bild: frei lizenziert © PublicDomainPictures / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/5d/855dde5f0f6d58ea36fe1a3c7eb2dbad/0114345250.jpeg "PAC hat Siemens außerdem als „Best-in-Class“-Plattformanbieter in den Kategorien „Industrielle Cloud-Anwendungen“ und „Industrial-Edge-Management“ sowie als „Leading Edge“ für Nachhaltigkeitsplattformen ausgezeichnet. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/45/3345970c919f431e4d1e54f82516678b/0114243832.jpeg "Mithilfe von Nvidia Omniverse und KI entwickelt Mercedes-Benz einen vernetzten, digitalen Ansatz zur Optimierung seiner Fertigungsprozesse, um die Konstruktionszeit und die Produktionskosten zu reduzieren. (Bild: Mercedes-Benz)")
:quality(80)/p7i.vogel.de/wcms/6c/5a/6c5ab0b866efc2e63d9ce8806c6059f1/0113185034.jpeg "Der Autor: Frank Föge ist Head of Sales bei Nitrobox (Bild: Nitrobox)")
:quality(80)/p7i.vogel.de/wcms/a0/50/a050c02fd6e1f614e651f287b9662783/0113774593.jpeg "Neue Sensorplattform für IoT-Anwendungen soll Netzwerke sicherer machen! Blick in die mit „intelligenten“, vernetzten Systemen ausgestattete Wohnumgebung im Bremen Ambient Assisted Living Lab (BAALL) des DFKI-Forschungsbereichs Cyber-Physical Systems. (Bild: DFKI / A. Popp)")
:quality(80)/p7i.vogel.de/wcms/48/c6/48c664ec54992042dae44ff3d6ac7bc6/0113831365.jpeg "In der Europäischen Union gelten kontinuierlich lernende KI-Systeme nicht als Medizinprodukt. Das sei Innovationshemmend, sagt die Deutsche Gesellschaft für Biomedizinische Technik im VDE. (Bild: Vicki Hamilton)")
:quality(80)/p7i.vogel.de/wcms/69/eb/69eb3097d3b076d2485935a1d8b25c61/0113831356.jpeg "KI spiegelt Vorurteile und fehlerhafte oder unvoollständige Trainingsdaten wider und sollte deshalb stetig getestet werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/69/c7/69c79b6e08c387a55f1671b14d533477/0114346770.jpeg "Eine Koordinatendarstellung der Herzkammer. Mit Methoden des maschinellen Lernens lässt sich der Ursprungsort eines sogenannten Herzstolperns lokalisieren. (Bild: Dr. Axel Loewe, KIT)")
:quality(80)/p7i.vogel.de/wcms/49/fa/49fa0955e56fcfbdc67ef0d8237d1dc3/0113924409.jpeg "Der Autor: Ryan Chaves ist Data Science & ML Engineering Manager bei Mollie, einem Finanzdienstleister für B2C- und B2B-Unternehmen in Europa. (Bild: Mollie)")
:quality(80)/p7i.vogel.de/wcms/a7/ae/a7aee2a930aefdc6889e94e8139e9984/0113977910.jpeg "Der Druck zum Einsatz generativer KI ist deutlich spürbar. (Bild: Teradata)")
:quality(80)/p7i.vogel.de/wcms/e4/8f/e48fab778d734c3ea7b6a9bed562abc4/0113989265.jpeg "Der Einsatz von KI spart kleinen und mittleren Unternehmen Arbeitszeit ein, vor allem im Marketing. Das fand eine Umfrage von Constant Contact heraus. (Bild: DailyAI.com)")
:quality(80)/p7i.vogel.de/wcms/32/a9/32a9fe6fb0019c400b3193b792b18b6d/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/bd/8dbdac43fa5fecd7b4cbc962c3e9ea9d/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/57/87573e67b278e90c00928403cbdf9300/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c7/d8/c7d80f1f73d72c9ae6413b3f2e71860c/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/62/02/6202166241f67/logo-light-png-kopie.jpeg "logo-light-png-kopie (www.sinequa.com)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/2c/602cdcaa1f5bc/fivetran-logo-blue.png "Fivetran_logo-blue.png (Fivetran)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/11/9c/119c3df8a61156164f99e201552288ee/0105088232.jpeg "Beispiel eines Dashboards zur Darstellung der Konformität mit Cert C. Die Einhaltung aktuell gängiger Programmierstandards ist ein guter, grundlegender Schritt, um auf einfachem Weg sicherzustellen, dass ihr Gerät und ihr Code auch zukünftigen Anforderungen standhalten wird. (Bild: Parasoft)")
:quality(80)/p7i.vogel.de/wcms/bc/7d/bc7d65e15fdf06cd174bc25fb6f21f69/0104353900.jpeg "Geräte und Maschinen wie Gabelstabler können sich über IoT-Services monetarisieren lassen. (Bild: gemeinfrei)")