Frank Büchner wird am 18. Oktober um 15:05 Uhr einen Vortrag zu diesem Thema halten. Weitere Informationen finden Sie auf der CySecMed Website.
*****
Zwei Standards/Richtlinien zielen darauf ab, Software speziell „secure“ zu machen: ISO/IEC TS 17961 („C secure“) und der SEI CERT C Coding Standard der Carnegie-Mellon-Universität. Die Vorgaben von beiden Standards beziehen sich auf die Programmiersprache C und sind natürlich auch für Medizintechnik-Software anwendbar, sofern sie in C geschrieben ist. Beide Standards werden vorgestellt und auch kurz die Nummerierungssysteme Common Vulnerabilities and Exposures (CVE) und Common Weakness Enumeration (CWE). Die Gegenüberstellung der beiden Standards für Security mit den mit Safety assoziierten Vorgaben aus MISRA zeigt, dass es nur geringe Unterschiede zwischen Safety und Security gibt. Abschließend wird anhand einiger Beispiele (Pufferüberlauf, verschmutzte Daten, festes Passwort) diskutiert, welche Security-Schwachstellen durch statische Analyse-Werkzeuge gefunden werden können (und welche eher nicht) und ob es sich bei den Schwachstellen mehr um ein Security- oder um ein Safety-Problem handelt.