Mit Programmanalyse auf der Spur von Terroristen

„IT-Sicherheit ist eine nationale Aufgabe“, erklärte vor kurzem der bisherige Bundesinnenminister Otto Schily. Spektakuläre Szenarien handeln von Terroristen, die sich in die Software eines Flugzeugs einhacken und dieses dann zum Absturz bringen. Im Alltag viel bedeutsamer sind aber Viren, Würmer, Phishing, Spyware und andere Formen von Computersabotage, die immer mehr Schaden verursachen. Für eine Software muss deshalb sichergestellt sein, dass vertrauliche Daten nicht nach außen gelangen können, und dass kritische Berechnungen nicht von außen manipuliert werden können.

„Information Flow Control“ nennt man die letzten beiden, lebenswichtigen Bedingungen. Sie können für realistische Programme nur automatisch geprüft werden, denn eine manuelle Inspektion des Programmtextes ist sehr fehleranfällig. Weltweit werden erhebliche Anstrengungen unternommen, mit automatischen Analyseverfahren Sicherheitslücken zu erkennen. Die Forschungsergebnisse haben Software viel sicherer gemacht, auch wenn nicht alle großen Hersteller diese Ergebnisse umsetzen. Am Lehrstuhl Softwaresysteme der Universität Passau finanziert die Deutsche Forschungsgemeinschaft seit mehreren Jahren ein Forschungsprojekt zur „Information Flow Control“. Lehrstuhlinhaber Prof. Dr.-Ing. Gregor Snelting erläutert: „Unser Analyseverfahren ist zwar aufwändiger als Standard-Prüfmethoden. Dafür entgeht uns garantiert kein Sicherheitsloch, wir können genaue Bedingungen für illegalen Informationsfluss bestimmen, und es gibt keine falschen Alarme.“ Dies wird durch eine Kombination von sogenannten „Programmabhängigkeitsgraphen“ mit algebraischen Verfahren erreicht. „Wir sind mit unserem Projekt international eingebunden und können heute reale C- oder Java-Programme mittlerer Größe analysieren“, sagt Snelting.

Universität Passau plant Interdisziplinäres Zentrum für IT-Sicherheit

Prof. Snelting hat auch den Vorschlag gemacht, an der Universität ein interdisziplinäres Zentrum für IT-Sicherheit einzurichten. Denn auch die Juristische Fakultät beschäftigt sich mit den Konsequenzen von Computersabotage und illegalem Informationsfluss. Der Lehrstuhl von Prof. Dr. Dirk Heckmann (Lehrstuhl für Öffentliches Recht, insbesondere Sicherheitsrecht und Internetrecht) untersucht Haftungsfragen und erstellt Sicherheitskonzepte, die die gesetzlichen Obliegenheiten mit dem technisch Machbaren verbinden. Prof. Heckmann ist nicht nur Mitglied des Bayerischen Verfassungsgerichtshofs, sondern hat auch den Begriff „IT-Sicherheitsrecht“ in die juristische Forschung eingeführt. Zusammen mit Wirtschaftsinformatikern aus Passau und Regensburg soll so ein Forschungszentrum entstehen, das durch seine interdisziplinäre Ausrichtung bundesweit einmalig ist. Die Universität hofft, dafür einen zusätzlichen Informatik-Lehrstuhl zu bekommen. „Nicht zuletzt damit wird wieder einmal das Vorurteil widerlegt, dass in Passau angeblich nicht geforscht wird“, so Snelting.