Im Zeitalter von 5G ist Sicherheit im Mobilfunknetz wichtiger denn je und Unternehmen betreiben immer mehr Aufwand, um ihre Netzwerktechnik so transparent wie möglich zu gestalten. Nur so ist ein effektiver Schutz vor Risiken der Cybersicherheit beim Ausbau der 5G-Infrastruktur zu erreichen.
Zu den Sicherheitsrisiken gehören unter anderem Schwachstellen bei der Kodierung und Fehler in der Programmierlogik von Quellcodes. Erkennen lassen sie sich durch mehrstufige Überprüfungen, sogenannte Source Code Reviews. Entwickler benötigen Quellcodes als Grundlage für die Erstellung von Computerprogrammen, da sie unterschiedliche Befehle, Variablen, Schleifen, Kommentare und weitere Zusätze enthalten, die dem Entwickler Aufschluss über die Funktionsweise des Programms geben. Grundsätzlich gibt es zwei Arten von Quellcodes – proprietäre und offene – die sich häufig durch ihre Lizenzvereinbarungen unterscheiden.
Wie wird ein Source Code Review genau durchgeführt und was ist bei dem Verfahren zu beachten?
Grundsätzlich besteht ein Source Code Review aus einer Reihe von manuellen und automatischen Überprüfungen. Automatische Tools für die Überprüfung können bereits im Entwicklungsprozess eingesetzt werden, um Schwachstellen oder Fehler zu identifizieren. Wichtige Schritte hierbei sind der Code-Walkthrough, die Abnahme und Systemtests. Vor der Fertigstellung des Quellcodes sollte außerdem ein manueller Code-Walkthrough durchgeführt werden, bei dem der Code noch einmal ausgeführt und dabei im Detail analysiert wird. Dadurch können positive und negative Falschmeldungen identifiziert werden.
Unternehmen lassen ihre Quellcodes in der Regel mehrfach von unabhängigen Dritten überprüfen. Die Ergebnisse der internen Überprüfungen und der Bewertungen unabhängiger Dritter nutzen sie, um die eigenen Entwicklungsverfahren kontinuierlich zu verbessern. Ein Source Code Review von ZTE setzt sich zum Beispiel aus verschiedenen Analysen zusammen. Im ersten Schritt wird überprüft, ob die Kontinuität des Codes gewährlistet ist und die Grundsätze des Ansatzes „Security by Design and Default“ eingehalten werden. Dadurch wird sichergestellt, dass der allgemeine Teil des Codes die Kriterien erfüllt, die für das Projekt festgelegt und für Entwickler bei der Programmierung maßgeblich waren.
Im zweiten Schritt wird die Qualität des Codes manuell vom „Second Line Team“ überprüft, das sich aus der Sicherheitsabteilung von ZTE und dem hauseigenen Cybersecurity Lab zusammensetzt. Bei dieser zusätzlichen Sicherheitsmaßnahme wird der Quellcode ein weiteres Mal Zeile für Zeile kontrolliert und darüber hinaus durch automatische Tools überprüft. Die Entwickler versetzen sich außerdem in die Lage von potenziellen Angreifern und testen die Widerstandsfähigkeit der Codes. Dafür fügen sie beispielsweise beliebige Werte ein, um mögliche Fehler auszuschließen, die Angreifer sonst wahrscheinlich nutzen würden.
Mehr Cybersicherheit
Die Überprüfung des Quellcodes ist ein branchenweit anerkanntes Verfahren, um Cybersicherheit zu gewährleisten. Gerade bei Trendtechnologien wie 5G ist sie von großer Bedeutung. Software Defined Networks (SDN), Network Function Virtualization (NFV), Network Slicing und viele weitere Innovationen aus dem Bereich 5G sind das Ergebnis von Quellcodes, die von Programmierern entwickelt wurden. In Bezug auf 5G-Technologie ist ein umfassender Ansatz für die Überprüfung von Quellcodes empfehlenswert, der einen besonderen Fokus auf Auffälligkeiten und Fehler in den Codes legt. In diesem Bereich sind Software-Tests wie die Black-Box- oder Grey-Box-Testmethode oft nur schwer anzuwenden oder sie versagen, da sie im Gegensatz zur White-Box-Testmethode nicht genau am Code prüfen und somit Schwachstellen wie unsichere Kodierungsverfahren, mögliche Anwenderlogikprobleme oder unsichere Fehlerbehebungen nicht identifizieren können. Beim Source Code Review dagegen liegt der Schwerpunkt der Überprüfung auf den Details der Code-Implementierung und den Prinzipien bei der Umsetzung innerhalb des Programms. In Kombination mit Penetrationstests kann durch diese Testmethode ein Großteil der Schwachstellen in den Anwendungen erkannt werden.
Viele Software-Anbieter setzen Verfahren der Source Code Review um und orientieren sich dabei an sicheren Kodierungsstandards wie der CERT Specification und der Common Weakness Enumeration (CWE). Die von ZTE entwickelte und angewandte Praxis bei der Überprüfung von Quellcodes ist noch strenger und anspruchsvoller als übliche Verfahren, denn bei ZTE hat Cybersicherheit für die Forschung und Entwicklung neuer Produkte und Services höchste Priorität. Gemeinsam mit Kunden und Regulierungsbehörden setzt sich ZTE für eine bessere Zusammenarbeit und Kommunikation aller Akteure im Telekommunikations-Ökosystem ein. Ziel ist es, den Stellenwert von Cybersicherheit insgesamt zu erhöhen und eine bessere digitale Zukunft zu schaffen.
Autor: Alessandro Bassano, Director of Cybersecurity Lab und Head of Cybersecurity Italien bei ZTE, einem international führenden Anbieter von Lösungen für die Telekommunikationsbranche sowie für Unternehmens- und Privatkunden im Bereich mobiles Internet