VUSC: Tool soll jedermann beim Finden von Sicherheitslücken helfen

Ein neuer Software-Scanner soll die Suche nach Sicherheits-Problemen in Anwendungen deutlich verbessern. Dieser soll nicht nur Entwicklern und Security-Experten helfen, sondern auch normalen Anwendern, die nur bedingt zu Code-Audits in der Lage wären. Entwickelt wurde das Werkzeug mit der Bezeichnung VUSC vom Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt. Mit der Anwendung soll es ziemlich einfach sein, gekaufte oder selbst entwickelte Software auf Schwachstellen zu durchsuchen, auch wenn man nicht einmal den Quellcode vorliegen hat. Es soll genügen, die jeweiligen Dateien per Drag-and-Drop in die VUSC-Umgebung zu ziehen.

Die Software soll dann Sicherheitslücken ausfindig machen und kann diese auch klassifizieren. Anhand der ausgegebenen Informationen wird es dann möglich, dass der Nutzer eine Einschätzung trifft, ob hier dringend Nachbesserungen angeraten sind oder man die fragliche Applikation erst einmal ohne größere Risiken verwenden kann.

Wohin gehen meine Daten?

Die Entwickler von Fraunhofer weisen darauf hin, dass VUSC als lokales Werkzeug eingesetzt werden kann. Es läuft dann innerhalb des Firmennetzes, wodurch verhindert wird, dass eventuell interne Informationen unkontrolliert in Datenzentren externer Betreiber gelangen. Im Zuge der Fehleranalyse soll VUSC dabei auch nicht nur generell über Schwachstellen informieren, sondern auch konkret aufzeigen, welche Daten von der Schwachstelle betroffen sein könnten und wohin diese eventuell abfließen.

Die jährlichen Verluste durch Softwarefehler und Sicherheitslücken werden von Experten allein in Deutschland auf rund 84 Milliarden Euro geschätzt. Neben dem volkswirtschaftlichen gibt es aber auch ein den jeweiligen Betrieb treffendes Risiko. Im schlimmsten Fall kommt es zu einem großen Datenleck, durch das das Vertrauen der Kunden schwindet und die Firma ihre Geschäftsgrundlage verliert.

Download Visual Studio Code - Plattformübergreifender Code-Editor