Share
Beitragsbild zu 5G-Quellcodes zu überprüfen, schafft mehr Cybersicherheit

5G-Quellcodes zu überprüfen, schafft mehr Cybersicherheit

Im Zeitalter von 5G ist Sicherheit im Mobilfunknetz wichtiger denn je und Unternehmen betreiben immer mehr Aufwand, um ihre Netzwerktechnik so transparent wie möglich zu gestalten. Nur so ist ein effektiver Schutz vor Risiken der Cybersicherheit beim Ausbau der 5G-Infrastruktur zu erreichen.

Zu den Sicherheitsrisiken gehören unter anderem Schwachstellen bei der Kodierung und Fehler in der Programmierlogik von Quellcodes. Erkennen lassen sie sich durch mehrstufige Überprüfungen, sogenannte Source Code Reviews. Entwickler benötigen Quellcodes als Grundlage für die Erstellung von Computerprogrammen, da sie unterschiedliche Befehle, Variablen, Schleifen, Kommentare und weitere Zusätze enthalten, die dem Entwickler Aufschluss über die Funktionsweise des Programms geben. Grundsätzlich gibt es zwei Arten von Quellcodes – proprietäre und offene – die sich häufig durch ihre Lizenzvereinbarungen unterscheiden.

Wie wird ein Source Code Review genau durchgeführt und was ist bei dem Verfahren zu beachten?

Grundsätzlich besteht ein Source Code Review aus einer Reihe von manuellen und automatischen Überprüfungen. Automatische Tools für die Überprüfung können bereits im Entwicklungsprozess eingesetzt werden, um Schwachstellen oder Fehler zu identifizieren. Wichtige Schritte hierbei sind der Code-Walkthrough, die Abnahme und Systemtests. Vor der Fertigstellung des Quellcodes sollte außerdem ein manueller Code-Walkthrough durchgeführt werden, bei dem der Code noch einmal ausgeführt und dabei im Detail analysiert wird. Dadurch können positive und negative Falschmeldungen identifiziert werden.

Unternehmen lassen ihre Quellcodes in der Regel mehrfach von unabhängigen Dritten überprüfen. Die Ergebnisse der internen Überprüfungen und der Bewertungen unabhängiger Dritter nutzen sie, um die eigenen Entwicklungsverfahren kontinuierlich zu verbessern. Ein Source Code Review von ZTE setzt sich zum Beispiel aus verschiedenen Analysen zusammen. Im ersten Schritt wird überprüft, ob die Kontinuität des Codes gewährlistet ist und die Grundsätze des Ansatzes „Security by Design and Default“ eingehalten werden. Dadurch wird sichergestellt, dass der allgemeine Teil des Codes die Kriterien erfüllt, die für das Projekt festgelegt und für Entwickler bei der Programmierung maßgeblich waren.

Im zweiten Schritt wird die Qualität des Codes manuell vom „Second Line Team“ überprüft, das sich aus der Sicherheitsabteilung von ZTE und dem hauseigenen Cybersecurity Lab zusammensetzt. Bei dieser zusätzlichen Sicherheitsmaßnahme wird der Quellcode ein weiteres Mal Zeile für Zeile kontrolliert und darüber hinaus durch automatische Tools überprüft. Die Entwickler versetzen sich außerdem in die Lage von potenziellen Angreifern und testen die Widerstandsfähigkeit der Codes. Dafür fügen sie beispielsweise beliebige Werte ein, um mögliche Fehler auszuschließen, die Angreifer sonst wahrscheinlich nutzen würden.

Mehr Cybersicherheit

Die Überprüfung des Quellcodes ist ein branchenweit anerkanntes Verfahren, um Cybersicherheit zu gewährleisten. Gerade bei Trendtechnologien wie 5G ist sie von großer Bedeutung. Software Defined Networks (SDN), Network Function Virtualization (NFV), Network Slicing und viele weitere Innovationen aus dem Bereich 5G sind das Ergebnis von Quellcodes, die von Programmierern entwickelt wurden. In Bezug auf 5G-Technologie ist ein umfassender Ansatz für die Überprüfung von Quellcodes empfehlenswert, der einen besonderen Fokus auf Auffälligkeiten und Fehler in den Codes legt. In diesem Bereich sind Software-Tests wie die Black-Box- oder Grey-Box-Testmethode oft nur schwer anzuwenden oder sie versagen, da sie im Gegensatz zur White-Box-Testmethode nicht genau am Code prüfen und somit Schwachstellen wie unsichere Kodierungsverfahren, mögliche Anwenderlogikprobleme oder unsichere Fehlerbehebungen nicht identifizieren können. Beim Source Code Review dagegen liegt der Schwerpunkt der Überprüfung auf den Details der Code-Implementierung und den Prinzipien bei der Umsetzung innerhalb des Programms. In Kombination mit Penetrationstests kann durch diese Testmethode ein Großteil der Schwachstellen in den Anwendungen erkannt werden.

Viele Software-Anbieter setzen Verfahren der Source Code Review um und orientieren sich dabei an sicheren Kodierungsstandards wie der CERT Specification und der Common Weakness Enumeration (CWE). Die von ZTE entwickelte und angewandte Praxis bei der Überprüfung von Quellcodes ist noch strenger und anspruchsvoller als übliche Verfahren, denn bei ZTE hat Cybersicherheit für die Forschung und Entwicklung neuer Produkte und Services höchste Priorität. Gemeinsam mit Kunden und Regulierungsbehörden setzt sich ZTE für eine bessere Zusammenarbeit und Kommunikation aller Akteure im Telekommunikations-Ökosystem ein. Ziel ist es, den Stellenwert von Cybersicherheit insgesamt zu erhöhen und eine bessere digitale Zukunft zu schaffen.

Autor: Alessandro Bassano, Director of Cybersecurity Lab und Head of Cybersecurity Italien bei ZTE, einem international führenden Anbieter von Lösungen für die Telekommunikationsbranche sowie für Unternehmens- und Privatkunden im Bereich mobiles Internet

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Fachartikel

Featured image for “Strategien für eine fortgeschrittene digitale Hygiene”

Strategien für eine fortgeschrittene digitale Hygiene

Featured image for “Mit LogRhythm 7.16 können Sie das Dashboard-Rauschen reduzieren und Log-Quellen leicht zurückziehen”

Mit LogRhythm 7.16 können Sie das Dashboard-Rauschen reduzieren und Log-Quellen leicht zurückziehen

Featured image for “Wie man RMM-Software mit einer Firewall absichert”

Wie man RMM-Software mit einer Firewall absichert

Featured image for “Red Sifts vierteljährliche Produktveröffentlichung vom Frühjahr 2024”

Red Sifts vierteljährliche Produktveröffentlichung vom Frühjahr 2024

Featured image for “Konvergiert vs. Einheitlich: Was ist der Unterschied?”

Konvergiert vs. Einheitlich: Was ist der Unterschied?

Studien

Featured image for “Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen”

Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen

Featured image for “Zunahme von „Evasive Malware“ verstärkt Bedrohungswelle”

Zunahme von „Evasive Malware“ verstärkt Bedrohungswelle

Featured image for “Neuer Report bestätigt: Die Zukunft KI-gestützter Content Creation ist längst Gegenwart”

Neuer Report bestätigt: Die Zukunft KI-gestützter Content Creation ist längst Gegenwart

Featured image for “Neue Erkenntnisse: Trend-Report zu Bankbetrug und Finanzdelikten in Europa veröffentlicht”

Neue Erkenntnisse: Trend-Report zu Bankbetrug und Finanzdelikten in Europa veröffentlicht

Featured image for “Studie: Rasantes API-Wachstum schafft Cybersicherheitsrisiken für Unternehmen”

Studie: Rasantes API-Wachstum schafft Cybersicherheitsrisiken für Unternehmen

Whitepaper

Featured image for “Netskope Threat Labs: IoT-Botnets und Infostealer haben den Einzelhandel verstärkt im Visier”

Netskope Threat Labs: IoT-Botnets und Infostealer haben den Einzelhandel verstärkt im Visier

Featured image for “Schutz von SAP im Zeitalter der Cyber-Gesetzgebung”

Schutz von SAP im Zeitalter der Cyber-Gesetzgebung

Featured image for “Aktive Cyberattacken auf geschäftskritische SAP-Anwendungen”

Aktive Cyberattacken auf geschäftskritische SAP-Anwendungen

Featured image for “IT-Sicherheit in 5G-Campusnetzen”

IT-Sicherheit in 5G-Campusnetzen

Featured image for “Sechs Vordenker in Sachen Cybersicherheit”

Sechs Vordenker in Sachen Cybersicherheit

Unter4Ohren

Featured image for “Datenklassifizierung: Sicherheit, Konformität und Kontrolle”

Datenklassifizierung: Sicherheit, Konformität und Kontrolle

Featured image for “Die Rolle der KI in der IT-Sicherheit”

Die Rolle der KI in der IT-Sicherheit

Featured image for “CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft”

CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft

Featured image for “WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand”

WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand

Featured image for “KI und Compliance: Die Notwendigkeit von Regulierung und Compliance im Bereich der KI”

KI und Compliance: Die Notwendigkeit von Regulierung und Compliance im Bereich der KI