24.10.2014

Sicherheits-Check in Minuten statt Jahren

Darmstädter Forscher beim 5. IT-Sicherheitspreis ausgezeichnet

Eine Forschergruppe unter Beteiligung zweier Informatiker der Technischen Universität Darmstadt und des Fraunhofer-Instituts für Sichere Informationstechnologie SIT ist beim 5. IT-Sicherheitspreis für ein hochinnovatives Verfahren zur automatisierten Sicherheitsanalyse von Programmcode ausgezeichnet worden. Das von ihnen entwickelte Verfahren SPLlift erlaubt es erstmals, ganze Software-Produktlinien gleichzeitig, automatisiert, effizient und deutlich schneller als bisher auf Schwachstellen und Sicherheitslücken zu untersuchen. Das Team erhält den zweiten Preis, dotiert mit 60.000 Euro.

SPLlift entstand aus einer strategischen Kooperation der Technischen Universität Darmstadt und des Fraunhofer SIT. Die beiden Institutionen pflegen durch die beiden Zentren für Cybersicherheitsforschung CASED (finanziert von LOEWE) und EC SPRIDE (finanziert vom BMBF) seit Jahren eine enge Zusammenarbeit. Eric Bodden, Kooperationsprofessor für Secure Software Engineering an der TU Darmstadt und am Fraunhofer SIT, initiierte und leitete das Projekt. Wichtige Beiträge leisteten Professorin Mira Mezini (TU Darmstadt) sowie Forscher aus Dänemark und Brasilien.

Heutige Softwareprodukte werden oft nicht von Grund auf neu entwickelt, sondern entstehen durch Erweiterung und Konfiguration bestehender Softwarebausteine. Dadurch teilen sich viele der Softwareprodukte einen Großteil des Programmcodes. Bisherige Sicherheitsanalysen nutzen diesen Umstand jedoch nicht aus: Statt gemeinsame Bestandteile nur einmal auf Schwachstellen zu untersuchen, werden sie bei der Analyse jedes Produkts erneut betrachtet – ein teurer Prozess. SPLlift ist ein automatisiertes Analyseverfahren, das es erstmals ermöglicht, Bausteine, die in mehreren Produkten vorkommen, zu erkennen, und das diese Bausteine nur ein einziges Mal untersucht. Wird eine Schwachstelle erkannt, lassen sich Rückschlüsse ziehen, welche der analysierten Softwareprodukte diese Schwachstelle enthalten und welche nicht. So lassen sich auch passgenaue Patches entwickeln.

Dadurch unterstützt SPLlift direkt den Gedanken von „Security by Design“: Variabler Programmcode kann nunmehr hocheffizient auf Schwachstellen untersucht werden, bevor er an Kunden ausgeliefert wird, die dann aus dem Code eine für sie passende Variante generieren. Von SPLlift profitieren nicht nur Softwareentwickler. Das Verfahren bietet indirekt auch Vorteile für Endnutzer: Die Sicherheitsüberprüfung großer Softwarelinien, die gegenwärtig teuer ist und Jahre in Anspruch nimmt, kann durch den Einsatz des Verfahrens auf Minuten reduziert werden. Die Entwicklung sichererer und qualitativ hochwertiger Software konnten die Forscher so nachhaltig vereinfachen und auch kostengünstiger gestalten.

Mit der Auszeichnung würdigt die Jury zum einen den hochinnovativen Charakter des Forschungsvorhabens, zum anderen jedoch auch die konkreten Marktchancen der Technologie. „SPLlift ist ein Musterbeispiel für den gelungenen Transfer von Theorie zu Praxis“, so Bodden. „Wir haben ein Verfahren entwickelt, das nicht nur sehr interessante algorithmische Eigenschaften aufweist, sondern einen direkten großen Nutzen in Anwendungen verspricht. Hierbei macht sich die Zusammenarbeit der TU Darmstadt mit Fraunhofer bezahlt.“

Weitere Informationen:

Professor Eric Bodden bekleidet eine Kooperationsprofessur am Fachbereich Informatik der TU Darmstadt und leitet gleichzeitig die Abteilung „Secure Software Engineering“ am Fraunhofer SIT. Professorin Mira Mezini leitet das Fachgebiet Softwaretechnik am Fachbereich Informatik der TU Darmstadt und ist derzeit gleichzeitig Vizepräsidentin für Wissens- und Technologietransfer.

Die Darmstädter Zentren, das European Center for Security and Privacy by Design (EC SPRIDE) und das LOEWE Center for Advanced Security Research Darmstadt (CASED) bilden zusammen den größten Cluster für Cybersicherheitsforschung in Deutschland. Prof. Bodden und Prof. Mezini arbeiten in dem Cluster im Bereich der Softwaresicherheit eng zusammen.

Der Deutsche IT-Sicherheitspreis, der in diesem Jahr zum fünften Mal verliehen wird, wird von der Horst Görtz Stiftung vergeben. Mit dem Preis möchte die Stiftung dazu beitragen, die Position von IT-Sicherheit „Made in Germany“ zu festigen und zu fördern und so einen Beitrag leisten, die Innovationskraft der deutschen Wirtschaft zu stärken. In diesem Jahr hatten sich 66 Teams um den Preis beworben, elf Gruppen wurden für die Auszeichnung nominiert. Eine unabhängige Jury wählte die besten marktrelevanten Innovationen aus den Bereichen IT-Sicherheit, Kryptografie, System- und Netzsicherheit sowie Abwehr von Cyberangriffen aus. Mitglieder der Jury sind IT-Sicherheitsexperten aus Wissenschaft und Wirtschaft.

Zurück