Bonner Start-up testet Corona-Warn-App auf Schwachstellen [Code Intelligence GmbH]

Code Intelligence, ein Bonner Start-up mit drei jungen Gründern betreibt automatisiertes Software Testing und hilft weltweit führenden Unternehmen wie Bosch, Deutsche Börse und Deutsche Telekom, ihre Software sicherer und zuverlässiger zu machen. Nun stehen die nächste Finanzierungsrunde und die Corona-Warn-App im Fokus.

Die klugen Köpfe hinter Code Intelligence

Bereits während ihrer Doktorarbeit beschäftigen sich Sergej Dechand, Henning Perl und Khaled Yakdan mit der Frage, wie man Software möglichst sicher, benutzerfreundlich und für jeden zugänglich gestalten kann. Sie stellen zwar fest, dass bereits einige „Security Testing Tools“ existieren,  diese aber in der Regel von Sicherheitsexperten für andere Sicherheitsexperten konzipiert sind und die eigentlichen User, die Entwickler*innen, komplett vergessen werden.

Somit gründen die drei Promotionsstudenten zusammen mit  Professor Matthew Smith (Lehrstuhl ‘Usable Security’ an der Universität Bonn) im Jahre 2017 das Start-up Code Intelligence mit der Mission, Security Testing für jeden zugänglich zu machen und Entwicklern dabei zu helfen, Softwareprogramme ohne Sicherheitslücken zu entwickeln.

„Software Testing/Software Test“

Ein Softwaretest prüft und bewertet Software auf Erfüllung der für ihren
Einsatz definierten Anforderungen und misst ihre Qualität. Die gewonnenen
Erkenntnisse werden zur Erkennung und Behebung von Softwarefehlern genutzt.
Tests während der Softwareentwicklung dienen dazu, die Software möglichst
fehlerfrei in Betrieb zu nehmen. –Quelle–

Code Intelligence: Automatisierte Schwachstellenerkennung

In der IT-Sicherheit ist Softwaretesting ein relativ großes Gebiet. Code Intelligence benutzt im Kern des Produktes die technologische Komponente „Fuzzing“, eine dynamische Testtechnik, die zufällige Eingaben zur Erkennung von Fehlern und Schwachstellen verwendet. Code Intelligence verwendet eine hochmoderne, aber einfach zu verwendende Form des modernen Fuzzings, um relevante Testfälle zu berechnen, die zu einer höheren Testabdeckung führen. Dies bedeutet, dass Bugs und Schwachstellen frühzeitig und automatisch im Entwicklungsprozess erkannt werden, was die Entwicklungskosten reduziert.

Tech-Unternehmen, wie Google oder Microsoft, nutzen diese Techniken bereits für automatisierte Tests ihrer Software. Google hat so beispielsweise über 27.000 Sicherheitslücken in Google Chrome und Open-Source-Projekten gefunden.

Die bisherigen Werkzeuge sind bisher sehr komplex und benötigten viel Expertenwissen für einen effektiven Einsatz. Aus diesem Grund wird es – abgesehen von den großen Tech-Unternehmen – nur selten eingesetzt. Die Testing-Plattform von Code Intelligence, die auf Benutzbarkeit und Kosteneffektivität setzt, ermöglicht es jedem Unternehmen von Fuzzing zu profitieren. So können Unternehmen, unabhängig von Ihrer Größe, kosteneffektiv die Qualität und Sicherheit ihrer Software verbessern.

Code Intelligence ist europaweit das einzige Unternehmen, dass aktuell an dieser Technologie arbeitet. Bisher hat Code Intelligence über 2 Millionen € an Forschungsgeldern und Venture Capital eingesammelt und steht nun vor dem Abschluss einer weiteren Finanzierungsrunde, welche für noch schnelleres Unternehmenswachstum eingesetzt werden soll. Als Bonner Seed-Investor und Antreiber der digitalen Gründerszene der Region beteiligt sich DIGITALHUB.DE weiterhin an Code Intelligence.

„Fuzzing“

Fuzzing wird sehr erfolgreich eingesetzt, um kritische Schwachstellen in verschiedenartiger Software zu finden. Beim Fuzzing wird die Software tausendfach mit Eingaben, die von einer künstlichen Intelligenz (KI) generiert werden, automatisch ausgeführt, um so fehlerhaftes Verhalten des Programms zu entdecken.

Code Intelligence: Software Testing im frühen Entwicklungsprozess

Unternehmen bekommen mit Code Intelligence die Chance, Technologien einzusetzen, die sonst nur großen Tech-Unternehmen vorenthalten sind. Nicht nur Großkonzerne, sondern auch kleine oder mittelständische Unternehmen kriegen letztendlich die Möglichkeit, dieselben Technologien in Software-Security-Testing zu benutzen, wie Tech-Riese Google. Dadurch lässt sich zum einen eine erheblich höhere Softwarequalität und -sicherheit realisieren, sondern auch eine große Kosteneinsparung, in dem Bugs möglichst früh im Entwicklungsprozess gefunden werden.

„Bugs = Programmfehler“

Bugs sind logische Fehler innerhalb von Programmen, die nicht bei der Prüfung der Syntax durch den Compiler gefunden werden können. Sie tauchen erst während der Ausführung auf, wenn das Programm einen bestimmten Zustand erreicht oder bestimmte Datenkonstellationen verarbeiten soll. –Quelle–

Code Intelligence testet Corona-Warn-App mit

Aufgrund der aktuellen COVID-19 Pandemie lässt die Bundesregierung aktuell eine Corona-Warn-App entwickeln, welche voraussichtlich Mitte Juni in einer ersten Version zu Verfügung gestellt werden soll. Die App soll dazu dienen, mögliche Infektionsketten umfassender zu erkennen und dementsprechend rechtzeitig zu handeln.

Aktuell wird die App durch ein Konsortium aus diversen Forschungsinstitutionen und Unternehmen aus ganz Europa entwickelt. Auch Code Intelligence unterstützt das Projekt und hat bereits das DP-3T Backend getestet, welches eine Grundlage für die neue Tracking-App darstellt. Hierbei wurden bereits mehrere Softwarefehler gefunden, die im Anwendungsfall zu Sicherheitslücken hätten führen können. Derzeit laufen unter anderem Gespräche mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) über das weitere Vorgehen beim Testing. Weitere Informationen folgen hierzu in Kürze.

Code Intelligence: Schlüsselprinzipien eines erfolgreichen Start-ups

Wir haben bei Code Intelligence nachgefragt und wollten wissen, was ihre Schlüsselprinzipien für ein erfolgreiches Start-up sind. Hier ist die Antwort:

Ein Schlüsselprinzip für ein erfolgreiches Start-up ist auf jeden Fall das Team. Dabei ist es eine große Herausforderung wirklich gute Mitarbeiter*innen für das Team zu gewinnen, diese auf Dauer motiviert zu halten und ein allgemeines „Wir-Gefühl“ zu kreieren. Wir glauben, dass wir das bei Code Intelligence ganz gut hinbekommen haben. Jeder Mitarbeiter bzw. jede Mitarbeiterin ist für sich selber motiviert und möchte das Ganze vorantreiben.

Ein weiteres Learning für Gründer*innen ist, dass man sich intensiv mit dem Thema Firmenkultur und Teamkultur beschäftigen sollte. Wer ein gut funktionierendes Team aufbauen möchte, sollte hier nicht mit seiner Zeit sparen.

Code Intelligence: Neue SaaS-Cloud-Lösung ab Juni

Code Intelligence plant demnächst eine cloudbasierte Lösung anzubieten. Bisher wurden Lösungen „on premise“ eingesetzt. Das heißt, dass Kunden die jeweiligen Installationen jedes Mal bei sich vor Ort durchführen mussten. Doch mit der neuen SaaS-Lösung ist die Lösung auf den Servern installiert und der Kunde bzw. die Kundin kann seine Software vor Ort testen. Aktuell gibt es eine Closed Beta für Bestandskunden. Im Anschluss wird die Cloudbasierte Lösung live gehen.

„SaaS-Lösung“

SaaS-Lösungen („Software-as-a-Service”) sind cloudbasierte Anwendungen, die in vielen Anwendungsfeldern Lösungen bereitstellen. Ein SaaS-Anbieter hostet eine Software, auf die der Anwender über den Internet-Browser Zugriff erhält. Der Nutzer muss keine Installation oder Aktualisierung durchführen, sondern erhält eine zur Inbetriebnahme bereitstehende Anwendungsoberfläche. –Quelle–

Ein markanter Vorteil dieser innovationstreibenden Technologie ist die schnelle Implementation bzw. die schnelle Integration. Dadurch ist die Einstiegsbarriere für Entwickler, die einfach was ausprobieren wollen, deutlich geringer geworden. Auch Testprojekte können mit dem Tool gemacht werden!

Aussagen des Autors geben nicht unbedingt die Meinung der Redaktion wieder.