Rapid In-Depth Analysis Für Telematikanwendungen Im Gesundheitswesen - Identifizierung Nicht Erkannter Sicherheitslücken Mit Threat Modeling Und Fuzzing

Die Normen DIN EN 61508 und DIN EN 62304 beschreiben Sicherheitsanforderungen fur die Entwicklung von Software im medizinischen Umfeld. Diese beinhalten u.a. Vorschriften zur Verifikation und Diagnose (Kapitel C5, DIN EN 61508-7), zur Beurteilung der funktionalen Sicherheit (Kapitel C6, DIN EN 61508-7), zur Implementierung und Verifikation von Software-Einheiten (Kapitel 5.5, DIN EN 62304) und zur Prufung des Softwaresystems (Kapitel 5.7, DIN EN 62304). Durch die kosteneffektiven Verfahren Threat Modeling und Fuzzing wird diesen Forderungen entsprochen und insbesondere die Identifizierung unveroffentlichter Sicherheitslucken ermoglicht. In einem Forschungsprojekt1 werden Tools fur beide Verfahren analysiert und bewertet. Im Projekt werden mit beiden Verfahren sehr erfolgreich bislang nicht identifizierte (unveroffentlichte) Sicherheitslucken in Individual- und Standardsoftware identifiziert und auch behoben. Im Rahmen der Gesundheitstelematik konnen durch beide Verfahren die Anforderungen zur Softwareentwicklung und -Verifizierung erfullt und daruber hinaus kann ein weit hoheres Sicherheitsniveau erreicht werden.