Vom Softwaretest zu sicheren Cyber-Physical Systems: Herausforderungen und Lösungsansätze

Transkript

1 Vom Softwaretest zu sicheren Cyber-Physical Systems: Herausforderungen und Lösungsansätze Prof. Dr.-Ing. Peter Liggesmeyer Lehrstuhl Software Dependability, Technische Universität Kaiserslautern Geschäftsführender Direktor, Fraunhofer-Institut für Experimentelles Software Engineering Präsident Gesellschaft für Informatik

2 Testen: Theorie Testen:! Viele alte Techniken, die für viele Softwareentwickler immer wieder neu sind! Wenige grundsätzlich neue Theorien in den letzten Jahren! Leistungsfähigkeit der Techniken schon theoretisch unklar (praktisch erst recht)! Theoretisch klar ist die Schwäche, dass Fehler durchschlüpfen können! Wird von vielen universitären Forschern als unergiebiges Arbeitsfeld gesehen => wenig Forschung, wenig Lehre dazu => siehe erster Punkt Formale Techniken:! Theoretisch ziemlich leistungsfähig, praktisch eingeschränkt! In der Praxis nur punktuell verwendbar 2

3 Testen: Theorie Analysetechniken:! Datenflussanomalienanalysen, Checken von Konventionen sinnvoll und umsetzbar! Viele Werkzeuge! Erstaunliche Ignoranz in der Praxis Quintessenz Theorie:! Testen ist theoretisch schwer zugänglich! Formales Verifizieren ist theoretisch interesssant, solange stark idealisierte Annahmen über die Rahmenbedingungen gemacht werden! Analysieren ist theoretisch trivial 3

4 Testen: Praxis Absolut notwendig entspr. aller maßgeblichen Standards:! Funktionsorientierte Testplanung für alle Testphasen! Reproduzierbarkeit von Testergebnissen => automatische Regressionstests nach Software-Modifikationen Weitgehender Konsens:! Ergänzende strukturorientierte Abdeckung (mindestens Zweigüberdeckungstest)! In sicherheitskritischen Fällen werden darüber hinaus durch Standards explizit gründlichere strukturorientierte Tests gefordert (z.b. MC/DC)! Durchführung möglichst in der ersten Testphase nach Fertigstellung des Codes (Modultest)! Zusätzlich Leistungs- und Stresstests insbesondere in technischen Anwendungsbereichen 4

5 Stand der Dinge: Modellbasierung! Modellbasierte Entwicklung und modellbasierter Test: Beherrschung von Komplexität, Variantenreichtum und Interdisziplinarität durch Modellierung auf einem höheren Niveau, Test auf Basis von Modellen! Quantitatives Qualitätsmanagement: Explizite Modellierung und Quantifizierung von Qualitätseigenschaften und deren Wechselwirkungen, d.h. Antizipierung von Qualitätsproblemen und apriori- Bewertung von Alternativen; hoher Automatisierungsgrad, gezielte Ungleichverteilung von Testfällen 5

6 Die neuen Systeme: Smart Ecosystems special Data Analy)cs 6

7 Von der Manufaktur zu Industrie 4.0 Industrie 2.0: Massenproduktion, Vereinheitlichte, preiswerte Produkte, Fließbandfertigung Manufaktur: Teure individuelle Einzelstücke für wenige Wohlhabende, kaum Maschineneinsatz Industrie 1.0: Effizienz, Geschwindigkeit, Maschineneinsatz Industrie 4.0: Individuelle Einzelstücke für Jeden zu geringen Kosten, autonome, selbstorganisierende Fertigung Industrie 3.0: Produktvarianten bis Einzelstücke, CNC-Fertigung, hohe Qualität 7

8 Industrie 4.0 Vor Industrie 4.0: " Hohe Stückzahlen " Takt und Band " Produktionsplanung vor Produktionsbeginn " Weitgehend statische Struktur der Produktion Industrie 4.0: " Massenindividualisierte Produkte " Flexibilität und Selbstoptimierung " Adaptionsfähigkeit (z.b. bei Maschinenausfällen) " Datengetrieben 8

9 Forschungsthemen zu Smart Ecosystems Big Data Echtzeit Daten- Analyse Diversität Integrierte Entwicklungsmethoden Selbst- Adaption Zertifizierung zur Laufzeit UnbekannteB enutzer Funktionalität? Garantierte Qualität offener Systeme Sicherheit Autonomie Selbstdiagnose 9

10 Einige Herausforderungen zu Smart Ecosystems! Diversität: Wie können heterogene Systeme geprüft werden?! Selbstadaption und Autonomie: Wie kann die Qualitätssicherung von Systemen geschehen, die sich selbstständig verändern?! Garantierte Qualität und Offenheit: Wie können Qualitätseigenschaften und deren Wechselwirkungen berücksichtigt werden (z.b. Safety / Security)?! Benutzer unbekannt: Wie kann die Qualitätszielbestimmung von Systemen durchgeführt werden, deren letztendliche Benutzer nicht bekannt sind?! Big Data: Wie können Sachverhalte, die zur Entwicklungszeit noch unbekannt sind, bedacht werden? 10

11 Sicherheit: Vereinfachte Definitionen! Datensicherheit: Schutz von Systemen vor Personen! Schutz vor Spionage, unbefugtem Abhören, Modifizieren, Löschen von Daten,! Betriebssicherheit: Schutz von Personen vor Systemen! Nachweis, dass von Systemen keine unakzeptabel hohen Risiken ausgehen! Zivile und militärische Sicherheit: Schutz von Personen und Systemen vor Personen! Schutz vor Anschlägen,! Sicherheits-Integrität: Schutz von Systemen vor Systemen! Schutz vor gefälschten Ersatzteilen, 11

12 Sicherheit: Zusammenhänge! Sicherheits-Integrität und Betriebssicherheit Partnair Flight 394 was a chartered flight which crashed on 8 September 1989 off the coast of Denmark 18 km north of Hirtshals. All 50 passengers and 5 crew members on board the aircraft perished, making it the deadliest civilian aviation accident involving an all-norwegian airline company. It was also the highest death toll of any aviation accident involving a Convair 580. It was caused by fraudulent aircraft parts. 12

13 Sicherheit: Zusammenhänge! Datensicherheit und Betriebssicherheit! Reifendruckwarnsystem konnte von außen per Funk so beeinflusst werden, dass falsche Drücke und fehlerhafte Warnungen angezeigt wurden Security and Privacy Vulnerabilities of In-Car Wireless Networks: A Tire Pressure Monitoring System Case Study. Rouf et al. USENIX Security

14 Herausforderung: Umfassende Sicherheit! Security (Datensicherheit) und Safety (Funktionssicherheit) werden in Zukunft nicht mehr getrennt voneinander behandelt werden können! Derzeit finden Safety-Analysen getrennt von Security-Analysen und mit zueinander inkompatiblen Verfahren statt! Für Deutschland und Europa insgesamt ist die Fähigkeit zur Herstellung umfassender Sicherheit volkswirtschaftlich entscheidend! Industrie 4.0! Big Data! Smart Grid! Autonomes Fahren!! Im Bereich Security muss Datenzugriffsschutz durch Datennutzungskontrolle ergänzt werden 14

15 Modulare Analyse der Betriebssicherheit: Component-integrated Component Fault Trees (C 2 FTs) 15

16 Modulare Analyse der Betriebssicherheit: Gesamtbild Logical Structure Analysis: C²FT Realization in Logical Structure Addressed Cause Inclusion of Measure Measure Safety requirement Pattern HW-Platform Safety Concept Trees Realization in Platform 16

17 Automatisierte Laufzeit-Zertifizierung: Safety Concept Trees (SCTs)! Formalere Dokumentation von Annahmen, die sonst bestenfalls textuell niedergelegt sind 17

18 Datensicherheit: Datennutzungskontrolle Provision Zugriffskontrolle Vergangenheit + Gegenwart Obligation Auflagen Nutzung in der Zukunft Usage Control Access Control Datensparsamkeit verhindert Innovation!! Zugriffskontrolle reicht nicht aus! Nutzungskontrolle erweitert reine Zugriffskontrolle! Richtlinien zur Spezifikation der Datennutzung, auch nachdem der Zugriff gewährt wurde Geben Sie Informationen aus der Hand, kontrollieren Sie aber deren Nutzung! 18

19 Datennutzungskontrolle Kontext Bausteine für Datennutzungskontrolle Richtlinien Datenfluss! Ausdrucksstarke Richtlinien (Kardinalitäten, Temporallogik)! Technologie-unabhängige Entscheidungen mit Hilfe dieser Richtlinien, welche die Nutzung von Informationen regelt! Technologie-abhängige Kontrollpunkte! Daten- und Informationsflusskontrolle! Kontextsensitivität (Wer Wo Wie Was Warum)! Balance zwischen Nutzen und Kontrolle (Security vs. Usability)! Systemübergreifende Verwaltung 19

20 Datennutzungskontrolle! Framework zur Durchsetzung von Richtlinien durch Integration von Kontrollpunkten in bestehende Systeme 20

21 Die Herausforderung Big Data Big Data! 23% of the information in the digital universe.. would be useful for Big Data... only 3% of the potentially useful data is tagged, and even less is analyzed. (IDC Report: The Digital Universe in 2020, 2012)! Es ist davon auszugehen, dass das weltweite Datenvolumen in den nächsten Jahren schneller wachsen wird als die Kapazitäten zur Datenverarbeitung, die sich seit einigen Jahrzehnten entsprechend dem Mooreschen Gesetz etwa alle 18 Monate verdoppeln. (BITKOM Studie Big Data im Praxiseinsatz, 2012) 21

22 Moore s Law (nach Gordon Moore: Intel; 1965) Intel 4004 (1971)! Erste CPU! 2300 Transistoren auf 12 mm 2! 100 khz Taktfrequenz Intel Core i7 (2011)! Transistoren auf 216 mm 2! 4 Kerne! Bis 2,7 GHz Intel Pentium II (1997)! Transistoren auf 131 mm 2! Bis 333 MHz Taktfrequenz Intel Pentium 4 Prescott (2004)! Transistoren auf 112 mm 2! Bis 3,8 GHz 22

23 Schlussfolgerungen " Die Qualitätssicherung wird in der Lage sein müssen, mit Smart Ecosystems umzugehen (Autonomie, Heterogenität, Datengetriebenheit, ) " Viele Tätigkeiten, die bisher durch Menschen zur Entwicklungszeit mit statischen, geschlossenen Systemen erfolgen, werden in Zukunft durch die Systeme selbst zur Laufzeit unter Beachtung ihrer Offenheit und Veränderlichkeit erfolgen müssen. " Autonomie bietet Chancen, bringt aber auch Risiken " Zum Teil existiert noch erheblicher Forschungsbedarf (z.b. Umfassende Sicherheit in offenen Systemen) " Daten sind der zentrale Rohstoff : Datennutzungskontrolle! 23