Definitionen Was ist MedFUZZ?

Von Natalie Ziebolz

MedFUZZ ist eine im Rahmen des Projekts MITSicherheit.NRW entwickelte quelloffene Fuzzing-Plattform. Mit dieser sollen Hersteller ihre Medizin­software­produkten ihre auf Sicherheitslücken und Instabilität testen.

Anbieter zum Thema

MedFUZZ ist eine quelloffene Fuzzing-Plattform, mit der Medizinsoftwareprodukte auch Sicherheitslücken überprüft werden können
MedFUZZ ist eine quelloffene Fuzzing-Plattform, mit der Medizinsoftwareprodukte auch Sicherheitslücken überprüft werden können
(© aga7ta – stock.adobe.com)

Hinter MedFUZZ versteckt sich eine Fuzzing-Plattform zur Untersuchung von DICOM- und HL7-Implementierungen, mit der die Medizin-IT-Industrie ihre Software auf Sicherheitslücken und Instabilitäten testen kann.

Hintergründe zur Plattform

DICOM und HL7 spielen bei der Verarbeitung medizinischer Daten eine wichtige Rolle. Bei der Implementierung müssen Medizinsoftwareanbieter diese doch komplexen Standards einerseits korrekt und nutzerfreundlich in die Software einbinden und andererseits die Sicherheit der Patientendaten gewährleisten. Daher kommen zusätzlich kryptographische Verfahren wie das Transport Layer Security Protokoll (TLS) zum Einsatz – was häufig Fehler nach sich zieht.

Um diese aufzudecken hat sich das sogenannte Fuzzing bewährt. Bei diesem automatisierten Softwaretestverfahren werden an eine oder mehrere Eingabeschnittstellen immer wieder Zufallsdaten geschickt. Bei unplausiblen Daten können die Programme abstürzen und somit Sicherheitslücken offenbaren.

Entsprechende Testumgebungen sind jedoch für Medizin­software­produkte rar und teils nur zusammen mit Medizingeräten erhältlich. Im Rahmen des Projektes MITSicherheit.NRW wurde daher die Fuzzing-Plattform MedFUZZ entwickelt. Daran beteiligt waren MedEcon Ruhr, die Ruhr-Universität Bochum, die FH Münster, G DATA Advanced Analytics, Radprax Gesellschaft für Medizinische Versorgungszentren, VISUS Health IT sowie die Krankenhausgesellschaft Nordrhein-Westfalen und 14 assoziierten Partner aus Versorgung und Wirtschaft. Gefördert wurde das Projekt mit rund 1,7 Millionen Euro von der Landesregierung NRW und der EU.

Das kann MedFUZZ

Die Fuzzingplattform zielt darauf ab, DICOM- und HL7-Implementierungen zu testen. Dafür übernimmt sie die Netzwerkkommunikation mit der zu prüfenden Software und bindet dabei sowohl American Fuzzy Lop (AFL) – ein freier Software-Fuzzer, der mithilfe genetischer Algorithmen die Codeabdeckung der Testfälle erhöht – als auch SharpFuzz, ein Tool, das die Leistungsfähigkeit von AFL-Fuzz auf die .NET-Plattform bringt, als Engine ein. Die Plattform unterstützt Nutzer zudem bei der Konfiguration der Fuzzing-Umgebung, bei der Instrumentalisierung des Codes sowie der Deduplizierung und Normalisierung der generierten Daten in Vorbereitung auf die Analyse der Ergebnisse.

Testumgebung für jeden nutzbar

Die Projektbeteiligten stellen MedFUZZ über Github zur Verfügung, damit Medizinsoftwareanbieter sie in ihre Testprozesse integrieren können. So soll die Sicherheit von Medizinsoftwareprodukten kontinuierlich untersucht und verbessert werden.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung im Gesundheitswesen

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48317502)