Das BMVIT fördert das Vertrauen in IT-Systeme

Die jährliche "Black Hat" Konferenz in Las Vegas ist der größte Informationssicherheits-Event der Welt. Wer sich dort keine Karte kaufen oder ordentlich Sponsorgeld locker machen muss, um Einlass zu bekommen, sondern eingeladen wird, der gehört zum inneren Kreis der weltbesten IT-Sicherheitsexperten. Der Wiener Security-Spezialist SEC Consult, der Kunden wie die Österreichische Nationalbank, die Europäische Zentralbank oder die Österreichischen Lotterien in Sicherheitsfragen berät, ist heuer schon zum zweiten Mal zu Gast. Letztes Jahr gewann ein SEC Consult-Experte den begehrten "Pwnie-Award", den Oscar der Security-Branche. Er hatte eine gefährliche Schwachstelle im Betriebssystem von Nokia-Smartphones entdeckt.

Heuer präsentierten die Österreicher ein Sicherheitsprodukt, das in einem gemeinsamen Forschungsprojekt mit der TU-Wien entwickelt wurde. Die Finanzierung erfolgte zum Großteil über das erfolgreiche Förderprogramm FIT-IT des Bundesministeriums für Verkehr, Innovation und Technologie (BMVIT). Das Ziel des Projekts "SECoverer" war die Entwicklung eines Werkzeugs, das logische Sicherheitsfehler im Quellcode, dem Herzstück jeder Software, verlässlich aufspüren kann.

"Solche Schwachstellen sind mit herkömmlichen automatisierten Analyseverfahren kaum zu finden, weil derartige Programmierfehler meist Unikate sind und kein typisches Muster aufweisen", erklärt SEC-Consult-Geschäftsführer Markus Robin. "Das Einzigartige an unserer Lösung ist, dass es mehrere Analyseverfahren integrativ vereint. Das neue Verfahren hat sich besonders im Bereich von Webapplikationen bewährt. Diese haben sich in den letzten Jahren sowohl im Wirtschafts- als auch im Privatleben rasant verbreitet. Gute Beispiele dafür sind Webshops, soziale Netzwerke wie Facebook, aber auch besonders sicherheitskritische Anwendungen wie Internet Banking."

Leider werden Internet-Programme oft unter hohem Zeitdruck entwickelt. Die Grundregeln des "sicheren Programmierens" werden dabei gerne vernachlässigt. Die Folge: Zahl und Gefährlichkeit der Schwachstellen in Webapplikationen haben sich massiv erhöht. "Mit unserem Verfahren können wir Softwareentwicklern helfen, sicherheitskritische Programmierfehler schon im Entwicklungsprozess aufzuspüren und auszumerzen", ist Robin überzeugt.

SECoverer ist keine Software im eigentlichen Sinn, sondern eine auf der Entwicklungsumgebung Eclipse basierende Sammlung von Hilfsprogrammen, mit denen man Quellcode-spezifische Sicherheitsanalyse-Prozeduren zusammenstellen kann. Die verschiedenen Module in diesem Analyseframework sind in der Lage, verschiedenste Klassen von Schwachstellen zu identifizieren. Im Gegensatz zu den bisher bekannten Verfahren kann man damit auch komplexe logische Fehler ausspüren.

Der SECoverer wird auch mit großen Code-Mengen fertig, und das ohne reihenweise "falsche Positve" zu produzieren, was ebenfalls ein großes Manko herkömmlicher Analysetechniken ist. Allerdings ist die Anwendung des neuen Verfahrens keine triviale Sache. Robin betont, dass der SECoverer kein Werkzeug für jedermann ist, sondern nur in den Händen von erfahrenen Sicherheitsspezialisten Sinn macht. Seine Feuertaufe hat das Softwarewerkzeug bereits hinter sich. Viele kritische und sehr große Software-Anwendungen wurden damit bereits analysiert.

Das Gemeinschaftsprojekt von SEC-Consult und der TU-Wien, aus dem der SECoverer hervorgegangen ist, kostete 756.000 Euro. Davon wurden 493.000 Euro aus den Mitteln des vom BMVIT initiierten Förderprogramms FIT-IT finanziert. Die Förderabwicklung erfolgt über die Forschungsförderungs-Gesellschaft (FFG).

"Trust in IT Systems"

Die Programmlinie "Trust in IT Systems" zielt darauf ab, die konzentrierte Zusammenarbeit zwischen Spitzenwissenschaft und innovativer Wirtschaft auf dem Gebiet der IT-Sicherheit zu fördern. Die Schaffung dieser Programmlinie basiert auf der Erkenntnis, dass bei der fortschreitenden Durchdringung aller Lebensbereiche mit Informationstechnologie die Vertrauenswürdigkeit von IT-Systemen immer zentralere Bedeutung bekommt und sich daher in den nächsten zehn Jahren große wirtschaftliche Potenziale in diesem Bereich eröffnen werden. Potenziale, von denen Österreich stark profitieren kann, zum Beispiel in den Bereichen rund um Chip- und SIM-Karten, die bei eingeschränkten Energieressourcen geeignete Sicherungsverfahren benötigen.

Auf diesen Gebieten sind heimische Firmen bereits heute führend. Weitere österreichische Stärkefelder sind die Bereiche sicheres E-Government und sichere eingebettete Systeme (dependable embedded systems). Weitere technologische Herausforderungen bestehen zum Beispiel in den Themenfeldern Netzwerkprotokolle und Betriebssysteme; Security Engineering - Implementierung korrekter Systeme; Architekturen, Middleware und Entwurfsmethoden für zuverlässige komplexe, lose gekoppelte Systeme, Kryptologie, Mikrochip-Design, Technologien für Privacy und Identity Management sowie Digital Rights Management.

Ein Pfad durch den Virendschungel

Ein weiteres Beispiel für den Nutzen der Programmlinie Trust in IT Systems ist das Projekt "Pathfinder", das bereits im Jahr 2009 erfolgreich abgeschlossen wurde und in dem neue Wege der Bekämpfung von Computerviren erforscht wurden. Schadprogramme (Malware) wie Viren, Würmer oder Spyware werden von marktüblichen Virenscan-Programmen anhand von syntaktischen Signaturen erkannt, die eine Beschreibung des formalen Aufbaus bestimmter Schadsoftwares enthalten. Das Problem dieses Ansatzes ist, dass es Malware gibt, die bei ihrer selbsttätigen Vermehrung und Ausbreitung über die Netzwerke Mutationen von sich selbst produziert, und die werden aufgrund ihrer veränderten Form nicht aufgespürt. Im Projekt Pathfinder wurden Möglichkeiten erforscht, generellere und damit verlässlichere Beschreibungen des Wesens von Schadcodes zu generieren, die sich von syntaktischen Veränderungen nicht täuschen lassen.

Im Endeffekt sollen die Ergebnisse des Gemeinschaftsprojekts von Ikarus Software, dem Verein Secure Business Austria und dem Institut für Rechnergestützte Automation der TU-Wien als wissenschaftlicher Partner zur Entwicklung eines neuartigen Virenscan-Produkts führen, das Schadprogramme anhand typischer Verhaltensprofile erkennt - zum Beispiel wie sie mit bestimmten Dateninputs umgehen - und nicht anhand von statischen Signaturen. Ein solches Tool würde die Arbeit der Antivirus-Anbieter deutlich effizienter machen, denn derzeit müssen noch täglich Hunderte neue Viren oder Virenvarianten manuell analysiert werden - eine mühsame und zeitraubende Angelegenheit. Von den 614.000 Euro Projektkosten wurden 460.000 Euro über das FIT-IT-Programm finanziert.

Sicheres Web 2.0

Eine wichtige "Vertrauens"-Frage besteht darin, die sich rasant entwickelnde Vernetzung von IT-Systemen sicherer zu gestalten. Schließlich soll das viel beschworene "Internet der Dinge" nicht zur Schlangengrube werden. Das FIT-IT-Projekt "Secure 2.0" hat sich zum Ziel gesetzt, das Web 2.0, das die Zusammenarbeit, den Informationsaustausch und viele Geschäftsprozesse auf eine höhere Ebene der Effizienz gehoben hat, von einem erheblichen Sicherheitsrisiko zu befreien. So genannte "Rich Internet Applications" (RIAs), die entweder im Browser oder als eigene Desktop-Anwendungen laufen, sind ein wesentliches Element des Web 2.0. Ihre Benutzerfreundlichkeit, Funktionsvielfalt und ihre Interaktionsmöglichkeiten sind aus dem Internet von heute nicht mehr wegzudenken. Allerdings macht sie die Art, wie sie Informationen über das Internet austauschen, anfällig für Angriffe.

In Secure 2.0 sollen nun wiederverwendbare Grundkomponenten für Abhör- und manipulationssichere Informationsaustausch-Techniken entwickelt werden, die auch in schon existierende RIAs eingebaut werden können. Der Projektpartner Mindmeister Labs möchte die neuen Komponenten gleich auch in sein Produkt Mindmeister, ein Werkzeug für Mind Mapping, integrieren. Das Projekt läuft noch bis Ende Jänner 2011. Ist der Praxiseinsatz bei Mindmeister erfolgreich, kann er auch gleich als proof-of-concept verwendet werden. Die weiteren Projektpartner sind Tectrans Network, Secure Business Austria und das Institut für Softwaretechnik und Interaktive Systeme der TU-Wien. FIT-IT übernimmt 372.000 der 490.700 Euro Projektkosten.

Die gezeigten Beispiele verdeutlichen, dass es dem BMVIT mit der FIT-IT-Programmlinie Trust in IT Systems gelungen ist, in der Entwicklung kommerziell einsetzbarer Sicherheitstechnologien neue Impulse zu setzen. Security spielt in vielen weiteren Prozessen und Systemen aus vielfältigen Bereichen eine wichtige Rolle - etwa bei E-Government, E-Health, Kommunikationsinfrastrukturen oder Leit- und Fertigungssystemen. Innovative Sicherheitsprojekte aus all diesen Bereichen haben gute Aussicht auf Förderung.

Die redaktionell unabhängige Druckstrecke "Trust in IT Systems" wurde mit freundlicher Unterstützung des Bundesministeriums für Verkehr, Innovation und Technologie (BMVIT) erstellt.