Detailansicht

Software kostengünstig zertifizieren lassen

Erfolgreicher Technologietransfer: Experten der Universität Bremen entwickeln gemeinsam mit mittelständischem Unternehmen ein teilautomatisiertes Zertifizierungsverfahren für Softwarelösungen

Nr. 172 / 08. Juni 2016 SC

Wissenschaftler vom Technologiezentrum Informatik und Informationstechnik der Universität Bremen (TZI) entwickeln zurzeit ein Zertifizierungsverfahren, das die Überprüfung der Sicherheit von Software deutlich vereinfachen soll. Damit wollen sie ermöglichen, dass wesentlich mehr Anwendungen zu vertretbaren Kosten mit einem Gütesiegel ausgestattet werden können – dies würde vor allem kleinen und mittleren Unternehmen helfen, das Sicherheitsniveau ihrer Software zu erhöhen.

Aus der Wirtschaft beteiligt sich die datenschutz cert GmbH (Bremen) als Partner an dem Vorhaben. Sie plant nach Abschluss der Arbeiten die Weiterentwicklung der Ergebnisse zu einem marktreifen Produkt. Gefördert wird das Projekt „Certified Applications“, das auf zwei Jahre angelegt ist und im April 2018 endet, vom Bundesministerium für Wirtschaft und Energie im Rahmen des Zentralen Innovationsprogramms Mittelstand (ZIM).

Software testet Software

Die Projektpartner haben in den vergangenen Jahren bereits gemeinsam ein Zertifizierungsverfahren für Android-Apps entwickelt. Dieses Mal geht es in erster Linie um Software, die auf der Java-Technologie basiert. Dabei handelt es sich beispielsweise oft um dynamische Internetseiten mit vielfältigen Funktionalitäten. Als assoziierter Partner wirkt daher auch die Polyas GmbH mit – das Berliner Unternehmen bietet Software für elektronische Wahlen an.

Auf Seiten des TZI ist die Arbeitsgruppe Softwaretechnik von Professor Rainer Koschke beteiligt. Die Vereinfachung des Zertifizierungsprozesses gelingt ihr in erster Linie durch die Automatisierung einzelner Arbeitsschritte – Software testet Software. Auf Basis einer solchen Analyse erhalten die Mitarbeiter einer Zertifizierungseinrichtung beispielsweise schnell einen Eindruck von der Struktur der Softwarelösung und von den integrierten Sicherheitsmaßnahmen.

Anbieter sollen Sicherheit leichter nachweisen können

Die Zertifizierung von Anwendungen dauert heute manchmal mehrere Jahre“, erklärt Bernhard Berger, der das Projekt federführend für das TZI betreut. „Das lohnt sich nur für sehr wenige Anwendungen, die nachweislich extrem sicher sein müssen, zum Beispiel im Bereich E-Government. Aber für normale Software ist das nicht machbar, obwohl der Hersteller dem Endnutzer vielleicht gerne mit einer Zertifizierung zeigen möchte, dass er großen Wert auf Sicherheit legt.“

Eine Herausforderung des Projekts besteht darin, die Ergebnisse für ein breites Spektrum an Softwarelösungen nutzbar zu machen. „Viele Anwendungen haben sehr unterschiedliche Anforderungen an die Sicherheit“, so Berger. „Ein elektronisches Wahlsystem erfordert zum Beispiel höhere Standards als ein Programm, mit dem jemand die eigenen Fitnessdaten speichert.“ Als beispielhaftes Anwendungsfeld der Zertifizierung sieht er auch Zollanwendungen für den Import und Export von Waren. Automobilhersteller und Banken könnten ebenfalls Interesse an den entwickelten Lösungen haben. Grundsätzlich soll die Zertifizierung aber in allen Bereichen einsetzbar sein.

Weitere Informationen:

Universität Bremen
Technologiezentrum Informatik und Informationstechnik
Bernhard Berger
Tel. 0421 218-64472
E-Mail berberprotect me ?!tziprotect me ?!.de