01.07.2013

Neuer Kopf für Software-Sicherheit

Dr. Eric Bodden, Experte für die Entwicklung sicherer Software, ist neuer Professor an der Technischen Universität Darmstadt und arbeitet gleichzeitig am Fraunhofer-Institut für Sichere Informationstechnologie. Dort leitet er seit kurzem die neue Abteilung "Secure Software Engineering". Sie entwickelt Methoden und Werkzeuge zur Software-Analyse und unterstützt Unternehmen dabei, die Sicherheit von Software schnell und kostengünstig zu prüfen und zu verbessern. „Mit der neuen Professur baut Fraunhofer SIT seinen Vorsprung im Bereich Secure Engineering in Europa weiter aus“, sagt Professor Michael Waidner, Leiter des Fraunhofer SIT. Gleichzeitig ist Bodden am Fachbereich Informatik der Technischen Universität Darmstadt tätig, wo er das Zusammenspiel zwischen Grundlagenforschung und angewandter Wissenschaft verstärkt.

Die meisten Innovationen in nahezu allen Wirtschaftsbereichen entstehen durch IT und insbesondere Software. Längst hat die IT deshalb unseren Alltag durchdrungen, Tendenz steigend. Doch immer wieder sorgen IT-Sicherheitslücken für Schlagzeilen und gefährden Wirtschaft und Gesellschaft. Für die Hersteller einer Software bedeutet eine Sicherheitslücke zum Teil große Image-Verluste und verursacht oft hohe Aufwände bei der Fehlerbehebung. Deshalb haben Unternehmen in den vergangenen Jahren damit begonnen, die Sicherheit bereits in der Design-Phase zu berücksichtigen. Noch fehlt es aber vielerorts an geeigneten Hilfsmitteln. Eric Bodden und seine Mitarbeiter erforschen und entwickeln deshalb Prozesse und Werkzeuge, die IT-Unternehmen bei Entwurf und Programmierung sicherer Software unterstützen – selbst wenn die Programmierer keine Sicherheitsspezialisten sind. Als weltweit bekannte Forschungseinrichtung für IT-Sicherheit besitzt das Fraunhofer SIT langjährige Erfahrung beim Testen von Software. Mit der neuen Professur, neuen Mitarbeitern und neuen Projekten verstärkt das Institut jetzt seine Kompetenzen für sichere Anwendungssoftware nochmals erheblich.

Boddens Forschungsgruppe hat sich über die letzten Jahre vor allem im Bereich der automatisierten Codeanalyse eine weltweite Spitzenposition aufgebaut. So hat die Gruppe zum Beispiel bereits einen Ansatz entwickelt, mit dem sich ganze Softwareproduktlinien in Minuten statt bisher in Jahren analysieren lassen. „Diesen Wissensvorsprung wollen wir nun nutzen, um unseren industriellen Partnern einen Wettbewerbsvorteil zu verschaffen“, so Bodden. Am Fraunhofer SIT möchte Bodden in naher Zukunft automatisierte Codeanalysen zur Marktreife entwickeln. Durch neuartige Verfahren sollen die Analysewerkzeuge in kürzerer Zeit präzisere Ergebnisse liefern und Softwareentwickler somit aktiv darin unterstützen, Sicherheitslücken nicht nur zu erkennen sondern auch zu beheben.

Langfristig plant die Abteilung die Integration der Analyse direkt in Softwareentwicklungsumgebungen. Bodden: „Unser Ziel ist es, Softwareentwickler bereits zu warnen bevor sie sicherheitskritische Programmierfehler begehen.“

Namhafte deutsche und internationale Software-Entwicklungsfirmen haben bereits Interesse an den Testwerkzeugen und deren Einbettung in Entwicklungsumgebungen angekündigt. Bodden erhofft sich erhöhte Nachfrage gerade von deutscher Seite und insbesondere dem Mittelstand: „Die Zeit für Security by Design ist gekommen, denn auch in der deutschen Wirtschaft setzt sich mittlerweile die Erkenntnis durch, dass sich Investitionen in Softwaresicherheit mittel- bis langfristig mehr als auszahlen. Dies ist eine große Chance für Deutschland, seine Spitzenposition im Hochtechnologiesektor weiter auszubauen.“

Eric Bodden hat an der RWTH Aachen Informatik studiert und promovierte 2009 an der kanadischen McGill University in Montréal, Québec. Zurzeit leitet er als Claude-Shannon-Fellow die Secure Software Engineering Group in EC SPRIDE, dem größten vom Bundesministerium für Bildung und Forschung geförderten Kompetenzzentrum für IT-Sicherheit, sowie die Emmy Noether-Nachwuchsgruppe „RUNSECURE“ an der TU Darmstadt. Das Emmy Noether-Programm der DFG berücksichtigt nur Bewerbungen von besonders qualifizierten Wissenschaftlern mit mehrjähriger Auslandserfahrung. Seit 2010 ist Bodden außerdem Principal Investigator am Center for Advanced Security Research Darmstadt (CASED). Jüngst erhielt Bodden im Rahmen des Attract-Programms der Fraunhofer-Gesellschaft eine Förderung in Höhe von 2,5 Mio Euro.

Zurück