Sicherheits-Check in Minuten statt Jahren

24.10.2014

Sicherheits-Check in Minuten statt Jahren

Darmstädter Forscher beim 5. IT-Sicherheitspreis ausgezeichnet

Informatiker der TU Darmstadt und des Fraunhofer-Instituts für Sichere Informationstechnologie SIT haben mit „SPLlift“ ein Verfahren entwickelt, mit dem sich erstmals ganze Software-Produktlinien gleichzeitig und deutlich schneller als bisher auf Schwachstellen und Sicherheitslücken untersuchen lassen. Das Team wurde hierfür beim 5. IT-Sicherheitspreis am 23. Oktober mit dem zweiten Preis, dotiert mit 60.000 Euro, ausgezeichnet.

Professor Eric Bodden und Kollegen erhielten beim 5. IT-Sicherheitspreis den zweiten Preis. Bild: Sandrowski / RUB
Professor Eric Bodden und Kollegen erhielten beim 5. IT-Sicherheitspreis den zweiten Preis. Bild: Sandrowski / RUB

„SPLlift“ entstand aus einer strategischen Kooperation der Technischen Universität Darmstadt und des Fraunhofer SIT. Die beiden Institutionen pflegen durch die beiden Zentren für Cybersicherheitsforschung CASED (finanziert durch das hessische Forschungsförderprogramm LOEWE) und EC SPRIDE (finanziert vom Bundesministerium für Bildung und Forschung) seit Jahren eine enge Zusammenarbeit. Eric Bodden, Kooperationsprofessor für Secure Software Engineering an der TU Darmstadt und am Fraunhofer SIT, initiierte und leitete das Projekt. Wichtige Beiträge leisteten Professorin Mira Mezini (TU Darmstadt) sowie Forscher aus Dänemark und Brasilien.

Heutige Softwareprodukte werden oft nicht von Grund auf neu entwickelt, sondern entstehen durch Erweiterung und Konfiguration bestehender Softwarebausteine. Dadurch teilen sich viele der Softwareprodukte einen Großteil des Programmcodes. Bisherige Sicherheitsanalysen nutzen diesen Umstand jedoch nicht aus: Statt gemeinsame Bestandteile nur einmal auf Schwachstellen zu untersuchen, werden sie bei der Analyse jedes Produkts erneut betrachtet – ein teurer Prozess.

SPLlift ist ein automatisiertes Analyseverfahren, das es erstmals ermöglicht, Bausteine, die in mehreren Produkten vorkommen, zu erkennen, und das diese Bausteine nur ein einziges Mal untersucht. Wird eine Schwachstelle erkannt, lassen sich Rückschlüsse ziehen, welche der analysierten Softwareprodukte diese Schwachstelle enthalten und welche nicht. So lassen sich auch passgenaue Patches entwickeln.

„Security by Design“

Professorin Mira Mezini und Professor Eric Bodden. Bild: Andreas Renz
Professorin Mira Mezini und Professor Eric Bodden. Bild: Andreas Renz

Dadurch unterstützt SPLlift direkt den Gedanken von „Security by Design“: Variabler Programmcode kann nunmehr hocheffizient auf Schwachstellen untersucht werden, bevor er an Kunden ausgeliefert wird, die dann aus dem Code eine für sie passende Variante generieren. Von SPLlift profitieren nicht nur Softwareentwickler. Das Verfahren bietet indirekt auch Vorteile für Endnutzer: Die Sicherheitsüberprüfung großer Softwarelinien, die gegenwärtig teuer ist und Jahre in Anspruch nimmt, kann durch den Einsatz des Verfahrens auf Minuten reduziert werden. Die Entwicklung sichererer und qualitativ hochwertiger Software konnten die Forscher so nachhaltig vereinfachen und auch kostengünstiger gestalten.

Mit der Auszeichnung würdigt die Jury zum einen den hochinnovativen Charakter des Forschungsvorhabens, zum anderen jedoch auch die konkreten Marktchancen der Technologie. „SPLlift ist ein Musterbeispiel für den gelungenen Transfer von Theorie zu Praxis“, so Bodden. „Wir haben ein Verfahren entwickelt, das nicht nur sehr interessante algorithmische Eigenschaften aufweist, sondern einen direkten großen Nutzen in Anwendungen verspricht. Hierbei macht sich die Zusammenarbeit der TU Darmstadt mit Fraunhofer bezahlt.“

Hintergrund-Informationen

Professor Eric Bodden bekleidet eine Kooperationsprofessur am Fachbereich Informatik der TU Darmstadt und leitet gleichzeitig die Abteilung „Secure Software Engineering“ am Fraunhofer-Institut für Sichere Informationstechnologie.

Professorin Mira Mezini leitet das Fachgebiet Softwaretechnik am Fachbereich Informatik der TU Darmstadt und ist derzeit gleichzeitig Vizepräsidentin für Wissens- und Technologietransfer.

Die Darmstädter Zentren, das European Center for Security and Privacy by Design (EC SPRIDE) und das LOEWE Center for Advanced Security Research Darmstadt (CASED) bilden zusammen den größten Cluster für Cybersicherheits-Forschung in Deutschland. Prof. Bodden und Prof. Mezini arbeiten in dem Cluster im Bereich der Softwaresicherheit eng zusammen.

Der Deutsche IT-Sicherheitspreis wird von der Horst Görtz Stiftung vergeben. Mit dem Preis möchte die Stiftung dazu beitragen, die Position von IT-Sicherheit „Made in Germany“ zu festigen und zu fördern und so einen Beitrag leisten, die Innovationskraft der deutschen Wirtschaft zu stärken. In diesem Jahr hatten sich 66 Teams um den Preis beworben, elf Gruppen wurden für die Auszeichnung nominiert. Eine unabhängige Jury wählte die besten marktrelevanten Innovationen aus den Bereichen IT-Sicherheit, Kryptografie, System- und Netzsicherheit sowie Abwehr von Cyberangriffen aus. Mitglieder der Jury sind IT-Sicherheitsexperten aus Wissenschaft und Wirtschaft.

zur Liste