...einschätzen, wo Fuzzing den größten Effekt hat (APIs, Protokolle, Formate, Services).

...eigene Fuzzing‑Tests aufsetzen, ausführen und ergebnisorientiert priorisieren.

...Crashs und Findings analysieren, reproduzieren (False Positives vs. echte Schwachstellen).

...Abbruchkriterien (Wann ist „genug“ getestet?) definieren und begründen.

...Fuzzing mit bestehenden Tests kombinieren (Unit, Integration, E2E) und in CI/CD‑Pipelines integrieren.

...Ergebnisse regulatorisch verwertbar dokumentieren (z. B. für den Cyber Resilience Act, inkl. Open-Source-Software/Drittkomponenten).

• Testmethoden: statisch und dynamisch
• Einführung in Fuzzing
• Fuzzing-Ansätze und -Techniken (Black Box, White Box, Gray Box, Generation, Mutation, Coverage-Guided, Generator-basiert, Model-based, Directed)
• Abbruchbedingungen
• Kombination mit statischer Analyse
• Einsatz selbst-entwickelter Fuzzing-Werkzeuge
• Such-basiertes Fuzzing
• Fuzzing verschiedener Programmiersprachen
• Fuzzing für Zertifizierungszwecke

Martin Schneider ist Leiter der Gruppe Testen im Geschäftsbereich Quality Engineering des Fraunhofer Instituts FOKUS. Er ist Experte für Qualitätssicherung und Sicherheitstests im Bereich vernetzter Softwaresysteme. Er hat sein Diplom in Informatik an der TU Berlin 2012 erworben und mehr als 10 Jahre Erfahrung in der angewandten Forschung und Lehre, Koordination, Konzeption und Durchführung kunden-individueller Schulungen, u.a. Security Testing Basic. Er ist Ko-Autor des Fachbuchs „Basiswissen Sicherheitstests“ (dpunkt-Verlag) und Ko-Autor eines Fuzzing-Leitfadens für das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Ramon Barakat schloss sein Studium der Informatik an der Technischen Universität Berlin mit einem Master ab. Er arbeitet am Fraunhofer-Institut für Offene Kommunikationssysteme (FOKUS), wo er an mehreren Industrie- und Forschungsprojekten in den Bereichen Software-Qualitätssicherung, Sicherheitstesten, NG112 und Künstliche Intelligenz beteiligt ist.

Was ist Fuzzing im Software‑Testing und wofür wird es eingesetzt?

Fuzzing ist eine automatisierte Testmethode, mit der Software gezielt mit ungewöhnlichen oder fehlerhaften Eingaben getestet wird.
Ziel ist es, Sicherheitslücken und Stabilitätsprobleme zu finden, die durch klassische Tests oft nicht entdeckt werden. Fuzzing gilt als besonders effektiv für APIs, Parser, Protokolle und komplexe Eingabeformate.

Warum brauche ich Fuzzing, wenn ich bereits Unit‑ und Integrationstests habe?

Weil klassische Tests erwartete Eingaben prüfen – Fuzzing hingegen unerwartete.
Fuzzing deckt Randfälle, fehlerhafte Payloads und ungewöhnliche Zustände ab, die häufig zu Crashes, Denial‑of‑Service oder Sicherheitslücken führen. Damit ergänzt Fuzzing bestehende Testmethoden sinnvoll.

Für wen ist eine Fuzzing‑Schulung sinnvoll?

Für Entwicklerinnen, Testerinnen und QA‑Verantwortliche mit Grundkenntnissen in Softwaretests.
Die Schulung richtet sich ausdrücklich auch an Personen ohne Vorerfahrung im Security Testing, die Fuzzing praxisnah einsetzen oder regulatorische Anforderungen erfüllen müssen.

Wie kann ich mit Fuzzing starten, wenn ich keine Erfahrung habe?

Mit einem klaren Testziel, einem geeigneten Tool und festen Abbruchkriterien.
In der Schulung lernen Teilnehmende Schritt für Schritt, wie Fuzzing‑Tests aufgesetzt, ausgeführt und ausgewertet werden – inklusive typischer Fehler und bewährter Best Practices aus der Praxis.

Welche Sicherheitslücken kann man mit Fuzzing finden?

Typische Findings sind Speicherfehler, Parser‑Bugs, Abstürze und Denial‑of‑Service‑Probleme.
Fuzzing ist besonders effektiv beim Aufdecken von sogenannten Zero‑Day‑Schwachstellen, fehlerhafter Eingabevalidierung und Protokoll‑Randfällen, auch in Dritt‑ und Open‑Source‑Komponenten.

Wie integriere ich Fuzzing sinnvoll in CI/CD‑Pipelines?

Durch automatisierte Fuzz‑Runs mit definierten Zeit‑ und Ressourcenbudgets.
Kurze Fuzzing‑Jobs können bei jedem Build laufen, tiefere Tests zeitgesteuert. Die Schulung zeigt, wie Ergebnisse reproduzierbar gesichert, dedupliziert und weiterverarbeitet werden.

Wann weiß ich, dass „genug“ gefuzzt wurde?

Wenn definierte Abbruchkriterien wie Zeitbudget, Code Coverage oder Crash‑Stagnation erreicht worden sind.
Ohne klare Kriterien wird Fuzzing schnell ineffizient. In der Schulung lernen Teilnehmende, wann Tests sinnvoll beendet werden und wie Ergebnisse priorisiert werden.

Hilft Fuzzing bei der Erfüllung des Cyber Resilience Act (CRA)?

Ja, Fuzzing ist ein zentraler Baustein für nachweisbare Security Tests.
Der CRA verlangt regelmäßige Sicherheitsprüfungen auch für Dritt‑ und Open‑Source‑Software. Fuzzing liefert reproduzierbare Ergebnisse und lässt sich audit‑fähig.

Warum sollten wir uns als Unternehmen überhaupt mit Fuzzing beschäftigen?

Weil klassische Softwaretests sicherheitsrelevante Schwachstellen nicht zuverlässig abdecken.
Fuzzing findet Fehler durch ungewöhnliche oder fehlerhafte Eingaben – genau die Art von Auslösern, die reale Angriffe nutzen. Unternehmen reduzieren damit Sicherheitsrisiken vor dem Produktivbetrieb und vermeiden spätere, deutlich teurere Vorfälle.

Welches geschäftliche Risiko reduziert Fuzzing konkret?

Fuzzing senkt das Risiko von Sicherheitsvorfällen, Haftungsfällen und Reputationsschäden.
Unentdeckte Schwachstellen in Schnittstellen, Protokollen oder Open‑Source‑Komponenten gehören zu den häufigsten Ursachen sicherheitskritischer Incidents. Frühzeitiges Fuzzing wirkt hier präventiv und messbar.

Ist Fuzzing regulatorisch relevant, z. B. für den Cyber Resilience Act?

Ja. Fuzzing ist ein wirksamer Bestandteil nachweisbarer Security‑Tests im Sinne des CRA.
Der Cyber Resilience Act fordert regelmäßige und dokumentierte Sicherheitsprüfungen – auch für Dritt‑ und Open‑Source‑Software. Fuzzing erzeugt zuverlässige Ergebnisse, die sich strukturiert dokumentieren lassen.

Reicht Fuzzing allein aus, um regulatorische Anforderungen zu erfüllen?

Nein, aber es ist ein zentraler Baustein einer belastbaren Security‑Teststrategie.
Fuzzing ergänzt bestehende Entwicklungs‑ und Testprozesse und erhöht deren Aussagekraft. Entscheidend ist die sinnvolle Kombination mit weiteren Maßnahmen – genau das wird in der Schulung vermittelt.

Wie hoch ist der Aufwand für Einführung und Betrieb von Fuzzing?

Der Einstieg ist überschaubar, der Nutzen skaliert mit dem Reifegrad.
Bereits zeitlich begrenzte Testläufe liefern verwertbare Ergebnisse. Mit klaren Abbruchkriterien und der Integration in CI/CD-Build Pipelines bleibt der laufende Aufwand planbar und kontrollierbar – ohne neue Großprojekte.

Brauchen wir dafür Security‑Spezialist*innen oder zusätzliche Rollen?

Nein. Fuzzing kann von bestehenden Entwickler‑ und Testteams umgesetzt werden.
Nach der Schulung sind Teams in der Lage, Fuzzing selbstständig anzuwenden, Ergebnisse einzuordnen und sinnvoll weiterzugeben. Spezialist*innen werden nur für sehr spezifische Sonderfälle benötigt.

Wie schnell erzielen wir mit Fuzzing einen messbaren Nutzen?

Sehr schnell – häufig bereits in den ersten Testläufen.
Fuzzing identifiziert oft früh Crashes oder Schwachstellen. Diese Ergebnisse lassen sich direkt priorisieren und beheben, was den Return on Investment früh sichtbar macht.

Was bringt die Schulung konkret für das Unternehmen?

Sie ermöglicht einen kontrollierten, effizienten und nachvollziehbaren Einsatz von Fuzzing.
Teilnehmende lernen, Fuzzing gezielt einzusetzen, Ergebnisse korrekt zu bewerten und audit‑fähig zu dokumentieren. Das reduziert Risiko, erhöht Testqualität und schafft regulatorische Sicherheit ohne unnötige Mehrkosten.