CISPA-Forscher Prof. Dr. Thorsten Holz wird vom European Research Council (ERC) mit einem Consolidator Grant in Höhe von rund 2 Millionen Euro für seine Forschung zum Thema Softwaresicherheit gefördert. Im Projekt „Resilient and Sustainable Software Security“, kurz RS3, will Holz innovative Methoden entwickeln, um Software langfristig robuster gegen Angriffe zu machen.
Dass Tausende Smartphones von Politiker:innen, Menschenrechtler:innen, Pressevertreter:innen und anderer Personen mithilfe der israelischen Spähsoftware Pegasus ausgeforscht wurden, schlug im vergangenen Sommer hohe Wellen. Unter anderem wurden die unwissenden Opfer über präparierte Nachrichten mit der Schadsoftware infiziert, ohne dass sie dafür irgendetwas machen mussten. Pegasus kann unter anderem Gespräche mitschneiden, Kameras aktivieren oder Standortdaten auslesen. „Das ist nur einer von vielen Fällen, in denen in den vergangenen Jahren Softwareschwachstellen ausgenutzt werden konnten. Gerade in komplexen Softwaresystemen gibt es derzeit noch viele Lücken“, sagt Thorsten Holz. Vorhandene Sicherheitslösungen, etwa auf Protokoll-Ebene, seien zwar theoretisch sicher, die eigentliche Softwareimplementierung von komplexen Systemen enthält laut dem CISPA-Forscher aber in der Praxis häufig Schwachstellen.
In dem von der EU geförderten Projekt RS3 will Thorsten Holz in den nächsten fünf Jahren zusammen mit einem sechsköpfigen Team die Herausforderung aus verschiedenen Perspektiven angehen. „Systeme müssen widerstandsfähig gegen ganze Klassen von Angriffen sein und zudem die Sicherheit über die gesamte Lebensdauer aufrechterhalten können. Das bedeutet, sie müssen sich im Laufe der Zeit immer wieder anpassen.“ In einem ersten Schritt will der CISPA-Forscher neue Strategien entwickeln, um auch komplexe Software effektiv und automatisiert zu testen, um so Fehler schnell zu finden und die entsprechenden Gegenmaßnahmen durch automatisiertes Patchen einzuleiten. Zudem soll im Projekt untersucht werden, wie durch die Entwicklung von neuartigen Compilermethoden, gewünschte Sicherheitseigenschaften auch bei der Generierung von Softwaresystemen eingebettet werden können. Zudem sollen im Projekt auf Hardwareebene robuste Mechanismen entwickelt werden, mit denen fortgeschrittene Angriffe entschärft und Testmethoden deutlich effizienter umgesetzt werden können.
Der neuerliche ERC Grant – Thorsten Holz wurde 2014 bereits mit einem Starting Grant gefördert – bringt für den Forscher nicht nur mehr Freiheit für seine Forschung. „Ein ERC Grant bringt auch europaweite Sichtbarkeit für meine Forschung und die Arbeit hier am CISPA. Das ist vor allem bei der Rekrutierung des Nachwuchses sehr hilfreich“, erklärt Holz. Der 40-Jährige forscht seit 2021 am CISPA und beschäftigt sich schwerpunktmäßig mit dem automatisierten Finden von Software-Schwachstellen, mit der Schnittstelle von IT-Sicherheit und Maschinellem Lernen sowie der Sicherheit von Mobilfunksystemen.
ERC-Präsidentin Prof. Maria Leptin sagt: „Selbst in Zeiten der Krise, des Konflikts und des Leids ist es unsere Pflicht, die Wissenschaft auf Kurs zu halten und unseren klügsten Köpfen freie Hand bei der Erforschung ihrer Ideen zu lassen. Wir wissen heute nicht, wie ihre Arbeit die Zukunft revolutionieren wird – wir wissen aber, dass sie neue Horizonte eröffnen, unsere Neugierde befriedigen und uns höchstwahrscheinlich dabei helfen wird, uns auf unvorhersehbare zukünftige Herausforderungen vorzubereiten. Ich freue mich daher sehr, dass eine neue Gruppe von ERC-Preisträgern auf ihrem wissenschaftlichen Weg unterstützt wird. Ich wünsche ihnen viel Glück auf ihrem Weg, die Grenzen unseres Wissens zu erweitern!"#
www.uni-saarland.de
