Prof. Dr. Eric Bodden entwickelt Methoden, um Sicherheitslücken in Software aufzuspüren und zu beheben
Datenklau und Hackerangriffe: Warum sind heutige Softwaresysteme immer noch so unsicher wie sie sind – und wie kann man das ändern? Das ist die zentrale Fragestellung für Eric Bodden, neuer Professor für Softwaretechnik an der Fakultät für Elektrotechnik, Informatik und Mathematik. Er entwickelt unter anderem Programme für automatisierte Codeanalysen, um schnell und kostengünstig Schwachstellen in Softwareprogrammen aufzudecken.
„Heutige Programmiersprachen und –schnittstellen sind teilweise 30 bis 40 Jahre alt und sehr anfällig für Angriffe. Wir müssen diese also optimieren und an heutige Sicherheitsanforderungen anpassen“, erklärt Eric Bodden. Neben der technischen Anfälligkeit seien es auch ökonomische Mechanismen, die zu Sicherheitslücken beitragen. „Es gibt vor allem im Bereich der Apps heute einen unheimlichen Druck, schnell auf den Markt zu kommen. Da steht Sicherheit meist hinten an. Den Entwicklern fehlt das Bewusstsein dafür, zudem sind sie oft unzureichend geschult. Der Stand der Technik ist eigentlich schon viel weiter.“
Individueller Schutz durch mitverschlüsselte Passwörter
Die Konsequenz: Daten, die beispielsweise in Clouds gespeichert werden, sind einfach auslesbar. Eric Bodden hat mit seinem Team im großen Umfang Smartphone-Apps analysiert und konnte die Verschlüsselung der damit abgespeicherten Cloud-Daten erschreckend leicht knacken. „Wir haben beispielsweise Schadensberichte von Unfällen gefunden oder Babyfotos. Das alles lässt sich leicht herausfinden, von Datenschutz keine Spur.“
Um die Nutzer besser zu schützen, wollen die Informatiker unter anderem Verfahren entwickeln, mit denen Passwörter sicher auf dem Handy gespeichert werden können: „Um Cloud-Daten sicher zu speichern, muss man sie mit einem Kennwort verschlüsseln, das nur dem Endnutzer bekannt ist. Muss man jedoch bei jedem Zugriff dieses Kennwort eingeben, so schränkt dies die Nutzbarkeit stark ein. Wir benötigen daher sichere Kennwortspeicher auf Mobiltelefonen.“ Bei der Entwicklung dieser Verfahren haben die Wissenschaftler immer die Praxis im Auge: „Sie müssen von Programmierern leicht umsetzbar sein.“
So einfach wie die Rechtschreibprüfung in Word
Um solche Fehler bei der Umsetzung einfach aufzuspüren, hat sich Eric Bodden auch auf automatisierte Softwareanalyse spezialisiert. „Hier ist noch viel Entwicklungspotenzial: Große Anwendungen bestehen aus mehreren Millionen Zeilen Programmcode, die Analysen dauern oft Stunden bis Tage – ein zeitlicher Aufwand, den sich IT-Unternehmen oft nicht leisten können.“ Ziel sei daher, ein Werkzeug zu entwickeln, das „so einfach und schnell funktioniert wie die Rechtschreibprüfung in Word“ – und natürlich möglichst präzise ist: „Ein Programm, das zu viele Warnungen an falscher Stelle ausgibt, ist nicht praxistauglich.“
Eric Bodden hat sich zum Ziel gesetzt, ein Analysetool zu entwickeln, das besser ist als die bisherigen Produkte auf dem Markt. Dabei muss der Forscher findigen Hackern immer einen Schritt voraus sein: Diese haben inzwischen Tricks entwickelt, die Software-Analysen gezielt unbrauchbar machen: „Jetzt müssen wir wieder Verfahren finden, die auch solche Verschleierungstechniken erkennen und umgehen.“
Schutz vor Sabotage und Spionage in der Industrie
Ein bisschen klingt das wie kriminalistische Arbeit: Der Informatiker muss sich in Denken und Handeln der Angreifer hineinversetzen. Das gilt auch und vor allem für seinen neuen Schwerpunkt in Paderborn: die Sicherheit industrieller Softwarearchitekturen. In der Fraunhofer-Einrichtung Entwurfstechnik Mechatronik wird er daran forschen, wie man Produktionsanlagen vor Spionage und Sabotage schützen kann: „Wir müssen herausfinden, welche Angriffsflächen sich bieten, indem wir mit Computermodellen die Systemarchitektur abbilden und auf Schwachstellen überprüfen.“
Das ist ein ganz neues Forschungsgebiet. Eine besondere Herausforderung dabei sind die sogenannten Seitenkanäle: Das sind trickreiche Umwege, über die Angreifer zu Informationen kommen: „Nehmen wir das Beispiel von einem Hacker, der die Produktion in einer Raffinerie lahm legen will, indem er die Temperatur im Kessel erhöht. Vielleicht kann er die Temperatur im Kessel nicht direkt ablesen, kann aber über die Werte anderer Sensoren darauf schließen.“ Eric Bodden prüft also, welche Daten über die Softwaresysteme der Maschinen ausgetauscht werden und so über Umwege auslesbar und manipulierbar sind.
Ganz ähnlich untersucht der Softwaretechniker in einem neuen Forschungsprojekt, wie Smartphone-Apps in Android-Betriebssystemen untereinander Daten austauschen: „Auch hier gibt es große Sicherheitslücken: Wenn eine vermeintlich sichere App meine Daten an andere Anwendungen weiter gibt, habe ich als Verbraucher keinen Einfluss darauf. Wir wollen jetzt tausende von Apps in kürzester Zeit analysieren, um herauszufinden, wie sie miteinander kommunizieren.“ Eines ist sicher: Die Forschungsfragen und –objekte werden Eric Bodden nicht so schnell ausgehen, die Nachfrage nach seiner Expertise ist sowohl bei Forschungseinrichtungen als auch bei IT-Unternehmen groß.
Text: Frauke Döll
