Sicherheits-Check in Minuten statt Jahren – Darmstädter Forscher beim 5. IT-Sicherheitspreis ausgezeichnet

Teilen

TU DarmstadtEine Forschergruppe unter Beteiligung zweier Informatiker der Technischen Universität Darmstadt und des Fraunhofer-Instituts für Sichere Informationstechnologie SIT ist beim 5. IT-Sicherheitspreis für ein hochinnovatives Verfahren zur automatisierten Sicherheitsanalyse von Programmcode ausgezeichnet worden. Das von ihnen entwickelte Verfahren „SPLlift“ erlaubt es erstmals, ganze Software-Produktlinien gleichzeitig, automatisiert, effizient und deutlich schneller als bisher auf Schwachstellen und Sicherheitslücken zu untersuchen. Das Team erhält den zweiten Preis, dotiert mit 60.000 Euro.

„SPLlift“ entstand aus einer strategischen Kooperation der Technischen Universität Darmstadt und des Fraunhofer SIT. Die beiden Institutionen pflegen durch die beiden Zentren für Cybersicherheitsforschung CASED (finanziert durch das hessische Forschungsförderprogramm LOEWE) und EC SPRIDE (finanziert vom Bundesministerium für Bildung und Forschung) seit Jahren eine enge Zusammenarbeit. Eric Bodden, Kooperationsprofessor für Secure Software Engineering an der TU Darmstadt und am Fraunhofer SIT, initiierte und leitete das Projekt. Wichtige Beiträge leisteten Professorin Mira Mezini (TU Darmstadt) sowie Forscher aus Dänemark und Brasilien.

Heutige Softwareprodukte werden oft nicht von Grund auf neu entwickelt, sondern entstehen durch Erweiterung und Konfiguration bestehender Softwarebausteine. Dadurch teilen sich viele der Softwareprodukte einen Großteil des Programmcodes. Bisherige Sicherheitsanalysen nutzen diesen Umstand jedoch nicht aus: Statt gemeinsame Bestandteile nur einmal auf Schwachstellen zu untersuchen, werden sie bei der Analyse jedes Produkts erneut betrachtet – ein teurer Prozess. SPLlift ist ein automatisiertes Analyseverfahren, das es erstmals ermöglicht, Bausteine, die in mehreren Produkten vorkommen, zu erkennen, und das diese Bausteine nur ein einziges Mal untersucht. Wird eine Schwachstelle erkannt, lassen sich Rückschlüsse ziehen, welche der analysierten Softwareprodukte diese Schwachstelle enthalten und welche nicht. So lassen sich auch passgenaue Patches entwickeln.

Dadurch unterstützt SPLlift direkt den Gedanken von „Security by Design“: Variabler Programmcode kann nunmehr hocheffizient auf Schwachstellen untersucht werden, bevor er an Kunden ausgeliefert wird, die dann aus dem Code eine für sie passende Variante generieren. Von SPLlift profitieren nicht nur Softwareentwickler. Das Verfahren bietet indirekt auch Vorteile für Endnutzer: Die Sicherheitsüberprüfung großer Softwarelinien, die gegenwärtig teuer ist und Jahre in Anspruch nimmt, kann durch den Einsatz des Verfahrens auf Minuten reduziert werden. Die Entwicklung sichererer und qualitativ hochwertiger Software konnten die Forscher so nachhaltig vereinfachen und auch kostengünstiger gestalten.

Mit der Auszeichnung würdigt die Jury zum einen den hochinnovativen Charakter des Forschungsvorhabens, zum anderen jedoch auch die konkreten Marktchancen der Technologie. „SPLlift ist ein Musterbeispiel für den gelungenen Transfer von Theorie zu Praxis“, so Bodden. „Wir haben ein Verfahren entwickelt, das nicht nur sehr interessante algorithmische Eigenschaften aufweist, sondern einen direkten großen Nutzen in Anwendungen verspricht. Hierbei macht sich die Zusammenarbeit der TU Darmstadt mit Fraunhofer bezahlt.“

Quelle: TU Darmstadt


Teilen