Die Security-Norm IEC 62443 fordert in ihrem Teil 3-3 für das Foundational Requirement „System integrity“ das System Requirement „Input validation“ (in Abschnitt 7.7). Beispielsweise soll die Einhaltung von Wertebereichen für Datenfelder oder die Wohlgeformtheit von Datenpaketen geprüft werden. Wie kann man dynamisch testen, ob solche Prüfungen implementiert sind und ob sie funktionieren? Eine geeignete Testmethode ist „Fuzz Testing“ bzw. „Fuzzing“. Durch Fuzz Testing werden mehr oder weniger zufällige Eingangsdaten an das zu testende System übertragen und dann beobachtet, ob eine Fehlfunktion ausgelöst wurde. Fuzz Testing wird auch explizit in Teil 4-1 der IEC 62443 genannt, und zwar in Abschnitt 9.4 „Vulnerability testing“. Fuzz Testing kann Zero-Day-Vulnerabilities aufdecken, also Security-Schwachstellen, die bis dato noch niemandem bekannt waren. Fuzz Testing ist ein Black-Box-Test und benötigt keinen Quellcode. Der Bezug von Fuzz Testing zum Robustheitstest und zum Fault-Injection-Test wird hergestellt.

Was lernen die Zuhörer in dem Vortrag?

Die Zuhörer lernen, was Fuzzing bzw. Fuzz Testing ist und wie es funktioniert, welche Fehler Fuzzing findet (und welche nicht). Die Zuhörer lernen, wie man Anforderungen von Security-Normen in Bezug auf „Input Validation“ und „Vulnerability Testing“ erfüllen kann. Die Zuhörer erfahren, wie Fuzzing in Bezug zu Robustheitstest und Fault Injection steht.