Suche nach Schwachstellen

Software-Schwachstellen gehören weiterhin zu den häufigsten Ursachen für erfolgreiche Cyberangriffe. Ob in Webanwendungen, industriellen Systemen oder alltäglicher Unternehmenssoftware: Sicherheitslücken entstehen oft durch komplexe Codebasen, unerwartete Eingabekombinationen oder fehlerhafte Konfigurationen. Umso wichtiger ist es, Schwachstellen nicht erst nach einem Vorfall zu entdecken, sondern sie proaktiv und systematisch aufzuspüren.

Am Technologietransferzentrum Würzburg (TTZ-WUE) beschäftigen wir uns daher intensiv mit der aktiven Schwachstellensuche und entwickeln moderne Methoden, um Sicherheitslücken frühzeitig zu erkennen und geeignete Gegenmaßnahmen abzuleiten. Dabei verfolgen wir zwei komplementäre Strategien, die sowohl klassische als auch KI-gestützte Verfahren kombinieren.

Ein Schwerpunkt unserer Forschung liegt im Bereich Fuzzing. Beim Fuzzing werden Programme automatisiert mit einer Vielzahl zufällig erzeugter oder gezielt mutierter Eingaben getestet, um unerwartete Zustände, Abstürze oder sicherheitskritische Fehler aufzudecken. Besonders interessant ist dabei der Einsatz von KI-unterstütztem Fuzzing, bei dem intelligente Modelle helfen, vielversprechende Testfälle zu generieren und die Effizienz der Suche deutlich zu steigern. Für diese rechenintensiven Analysen nutzen wir spezialisierte Hardware und leistungsfähige Testumgebungen, um auch komplexe Software systematisch untersuchen zu können.

Parallel dazu erforschen wir agentenbasierte Schwachstellen-Scans für Webanwendungen. Moderne Websites und digitale Dienste bestehen aus dynamischen Komponenten, APIs und interaktiven Benutzeroberflächen, die sich mit klassischen Scannern oft nur unzureichend erfassen lassen. Unsere agentenbasierten Ansätze ermöglichen es, Webseiten automatisiert zu erkunden, typische Angriffspfade nachzustellen und Sicherheitslücken wie Fehlkonfigurationen oder unsichere Eingaben gezielt zu identifizieren.

Ein besonderes Praxisprojekt in diesem Bereich realisieren wir gemeinsam mit einer Stifterorganisation, um innovative Methoden zur Schwachstellenanalyse in realen Anwendungskontexten zu erproben und weiterzuentwickeln. So verbinden wir wissenschaftliche Forschung mit konkretem Transfer in die Praxis.

Kontakt: ttz-wue@thws.de