Sicherheits-Check in Minuten statt Jahren
Darmstädter Forscher beim 5. IT-Sicherheitspreis ausgezeichnet
24.10.2014 von sip
Informatiker der TU Darmstadt und des Fraunhofer-Instituts für Sichere Informationstechnologie SIT haben mit „SPLlift“ ein Verfahren entwickelt, mit dem sich erstmals ganze Software-Produktlinien gleichzeitig und deutlich schneller als bisher auf Schwachstellen und Sicherheitslücken untersuchen lassen. Das Team wurde hierfür beim 5. IT-Sicherheitspreis am 23. Oktober mit dem zweiten Preis, dotiert mit 60.000 Euro, ausgezeichnet.
entstand aus einer strategischen Kooperation der Technischen Universität Darmstadt und des „SPLlift“. Die beiden Institutionen pflegen durch die beiden Zentren für Fraunhofer SIT (finanziert durch das hessische Forschungsförderprogramm LOEWE) und Cybersicherheitsforschung CASED (finanziert vom Bundesministerium für Bildung und Forschung) seit Jahren eine enge Zusammenarbeit. EC SPRIDE, initiierte und leitete das Projekt. Wichtige Beiträge leisteten Eric Bodden, Kooperationsprofessor für Secure Software Engineering an der TU Darmstadt und am Fraunhofer SIT sowie Forscher aus Dänemark und Brasilien. Professorin Mira Mezini (TU Darmstadt)
Heutige Softwareprodukte werden oft nicht von Grund auf neu entwickelt, sondern entstehen durch Erweiterung und Konfiguration bestehender Softwarebausteine. Dadurch teilen sich viele der Softwareprodukte einen Großteil des Programmcodes. Bisherige Sicherheitsanalysen nutzen diesen Umstand jedoch nicht aus: Statt gemeinsame Bestandteile nur einmal auf Schwachstellen zu untersuchen, werden sie bei der Analyse jedes Produkts erneut betrachtet – ein teurer Prozess.
SPLlift ist ein automatisiertes Analyseverfahren, das es erstmals ermöglicht, Bausteine, die in mehreren Produkten vorkommen, zu erkennen, und das diese Bausteine nur ein einziges Mal untersucht. Wird eine Schwachstelle erkannt, lassen sich Rückschlüsse ziehen, welche der analysierten Softwareprodukte diese Schwachstelle enthalten und welche nicht. So lassen sich auch passgenaue Patches entwickeln.
„Security by Design“
Dadurch unterstützt SPLlift direkt den Gedanken von „Security by Design“: Variabler Programmcode kann nunmehr hocheffizient auf Schwachstellen untersucht werden, bevor er an Kunden ausgeliefert wird, die dann aus dem Code eine für sie passende Variante generieren. Von SPLlift profitieren nicht nur Softwareentwickler. Das Verfahren bietet indirekt auch Vorteile für Endnutzer: Die Sicherheitsüberprüfung großer Softwarelinien, die gegenwärtig teuer ist und Jahre in Anspruch nimmt, kann durch den Einsatz des Verfahrens auf Minuten reduziert werden. Die Entwicklung sichererer und qualitativ hochwertiger Software konnten die Forscher so nachhaltig vereinfachen und auch kostengünstiger gestalten.
Mit der Auszeichnung würdigt die Jury zum einen den hochinnovativen Charakter des Forschungsvorhabens, zum anderen jedoch auch die konkreten Marktchancen der Technologie. „SPLlift ist ein Musterbeispiel für den gelungenen Transfer von Theorie zu Praxis“, so Bodden. „Wir haben ein Verfahren entwickelt, das nicht nur sehr interessante algorithmische Eigenschaften aufweist, sondern einen direkten großen Nutzen in Anwendungen verspricht. Hierbei macht sich die Zusammenarbeit der TU Darmstadt mit Fraunhofer bezahlt.“
Hintergrund-Informationen
bekleidet eine Kooperationsprofessur am Fachbereich Informatik der TU Darmstadt und leitet gleichzeitig die Abteilung „Secure Software Engineering“ am Fraunhofer-Institut für Sichere Informationstechnologie. Professor Eric Bodden
leitet das Fachgebiet Softwaretechnik am Fachbereich Informatik der TU Darmstadt und ist derzeit gleichzeitig Vizepräsidentin für Wissens- und Technologietransfer. Professorin Mira Mezini
Die Darmstädter Zentren, das und das European Center for Security and Privacy by Design (EC SPRIDE) bilden zusammen den größten Cluster für Cybersicherheits-Forschung in Deutschland. Prof. Bodden und Prof. Mezini arbeiten in dem Cluster im Bereich der Softwaresicherheit eng zusammen. LOEWE Center for Advanced Security Research Darmstadt (CASED)
Der vergeben. Mit dem Preis möchte die Stiftung dazu beitragen, die Position von IT-Sicherheit „Made in Germany“ zu festigen und zu fördern und so einen Beitrag leisten, die Innovationskraft der deutschen Wirtschaft zu stärken. In diesem Jahr hatten sich 66 Teams um den Preis beworben, elf Gruppen wurden für die Auszeichnung nominiert. Eine unabhängige Jury wählte die besten marktrelevanten Innovationen aus den Bereichen IT-Sicherheit, Kryptografie, System- und Netzsicherheit sowie Abwehr von Cyberangriffen aus. Mitglieder der Jury sind IT-Sicherheitsexperten aus Wissenschaft und Wirtschaft. Deutsche IT-Sicherheitspreis wird von der Horst Görtz Stiftung