Millionenf?rderung der EU für sichere Softwaresysteme
Für seine Forschung zu sicheren Softwaresystemen erh?lt Prof. Dr. Eric Bodden, Informatiker an der Universit?t Paderborn und Direktor des Fraunhofer IEM, den ?ERC Advanced Grant“ in H?he von 2,5 Millionen Euro vom Europ?ischen Forschungsrat (ERC, European Research Council). Die Grants bilden die bedeutendsten Auszeichnungen der europ?ischen Forschungsf?rderung und werden in einem kompetitiven Verfahren an Spitzenforscher*innen mit herausragenden wissenschaftlichen Leistungen vergeben.
Die n?chste Generation der automatischen Schwachstellenanalyse
?Software durchdringt unser Leben – aber ihre Unsicherheit ist eine ernstzunehmende Bedrohung. Um zu gew?hrleisten, dass Softwaresysteme zuverl?ssig sind, muss man ihren Programmcode überprüfen“, sagt Bodden. Der Informatiker ist führender Experte auf dem Gebiet der sicheren Softwareentwicklung mit besonderem Fokus auf Werkzeugen zur automatischen Schwachstellenanalyse. Hier setzt sein ERC-Vorhaben an: Bodden entwickelt eine Technologie, die Werkzeuge zur Schwachstellenanalysen so produziert, dass sie für die jeweilige Software im jeweiligen Unternehmen optimal funktionieren – und das vollst?ndig automatisiert.
Verbindliche Sicherheitsanforderungen gesetzlich vorgeschrieben
Das Thema k?nnte kaum aktueller sein: Da die Anzahl der erfolgreichen Angriffe stetig steigt, hat die EU 2023 einen erweiterten Entwurf für den sogenannten ?Cyber Resilience Act“ (CRA) vorgelegt. Dieser zielt darauf ab, Verbraucher*innen und Unternehmen zu schützen, die Produkte mit digitalen Komponenten kaufen. Durch das Gesetz werden verbindliche Cybersicherheitsanforderungen eingeführt; ein unzureichender Software-Angriffsschutz soll dadurch der Vergangenheit angeh?ren. ?Mit dem CRA wird eine sichere Software-Engineering-Methode für jedes in der EU verkaufte softwaref?hige Produkt unumg?nglich. Für viele Unternehmen, die Software entwickeln, wird das allerdings einen radikalen Wandel bedeuten. Um diesen Wandel bew?ltigen zu k?nnen, ben?tigen sie m?glichst automatisierte Werkzeuge“, so Bodden weiter.
Statische Programmanalysen: Bislang kaum genutztes Potenzial
Die statische Programmanalyse, also die automatisierte Prüfung des Programmcodes, ist die wichtigste Technik, um diese Sicherheit zu garantieren. Denn sie ist in der Lage, ein Programm in Bezug auf alle m?glichen Eingaben – auch solche von Hackern – zu analysieren, und zeigt Fehler und Schwachstellen wie etwa Datenlecks auf. Bodden: ?Obwohl die statische Programmanalyse ein extrem leistungsf?higes Werkzeug ist, hat sie jahrzehntelang um eine breite Anwendung gek?mpft. Aber da die EU es Unternehmen nun vorschreibt, Software sicher zu entwickeln, k?nnen wir auf diese Technologie nicht mehr verzichten.“ Aktuelle Systeme seien laut Bodden allerdings unzureichend an Entwicklungskontexte angepasst, sodass sie beispielsweise h?ufig falsche Warnungen ausgeben und somit die Entwickler*innen von den tats?chlichen Schwachstellen ablenken. Schwierig sei das vor allem für wenig erfahrene Softwareingenieur*innen, die statische Analysen in Folge des CRA nun aber künftig durchführen müssen.
Technologie analysiert sich selbst
Die Technologie, die Bodden in seinem ERC-Projekt ?Self-Optimizing Static Program Analysis“ in seiner Fachgruppe erforschen m?chte, soll Abhilfe durch Automatisierung leisten. Denn sie versetzt Nutzer*innen in die Lage, Analysen für jeden gegebenen Anwendungskontext durchzuführen. Relevante Warnungen werden binnen kürzester Zeit gemeldet, ohne dass die Anwender*innen manuell eingreifen müssen. 365体育_足球比分网¥投注直播官网 erhalten pr?zise Berichte für die von ihnen bereitgestellten Programme. ?Kein vorheriges Projekt hat sich mit der Idee befasst, diese optimalen Analysen vollautomatisch zu produzieren. Um das zu erm?glichen, werden wir erstmalig statische Analysen entwickeln müssen, die nicht nur Programme, sondern auch sich selbst analysieren und optimieren.“
Sicherheit für Millionen von Programmen
Im Ergebnis soll sein Vorhaben dazu führen, dass Software-Ingenieur*innen diese Art der Fehlerdetektion eigenst?ndig nutzen und alle erforderlichen Anpassungen der Analyse automatisch durchgeführt werden k?nnen. ?Und es soll dazu beitragen, die Millionen von Softwaresystemen zu sichern, auf die wir uns alle zu verlassen gelernt haben“, fasst der Wissenschaftler zusammen.
Eric Bodden ist Professor für Secure Software Engineering und Vorstandvorsitzender am Heinz Nixdorf Institut der Universit?t Paderborn, Leiter des Instituts für Informatik der Universit?t und Direktor für Softwaretechnik und IT-Sicherheit am Fraunhofer-Institut für Entwurfstechnik Mechatronik. Zudem ist er Mitglied der ?Working Group 2.4 Software Implementation Technology“ der ?International Federation for Information Processing“ (IFIP), Teil des DFG-Fachkollegiums ?Informatik“ und acatech-Mitglied.
