Das Center for IT-Security, Privacy and Accountability, kurz Cispa, ist eines von drei Kompetenzzentren für IT-Sicherheit in Deutschland. Es genießt national wie international einen guten Ruf. Zu Recht, wie die jüngste Auszeichnung untermauert.
Ich traue dem System, ich traue ihm nicht, ich traue dem System, ich traue ihm nicht, ich traue dem System ... Wenn es um das Vertrauen in ein Computersystem geht und damit um das hochsensible Thema Datensicherheit, dann ist guter Rat teuer. Weiß letztlich der "ahnungslose" Nutzer, was das gerade benutzte Computerprogramm mit seinen Daten so alles anstellen kann? Ob es im digitalen Zeitalter der weltumspannenden Cyberattacken überhaupt sicher ist oder ob nicht ein böser Programmierer irgendeinen Trojaner infiltriert hat, der erst nach einigen Wochen aktiv wird und seine sensiblen Daten inklusive Adressdateien ausspäht? Im Land der Ideen alias Deutschland boomen nicht nur die gutgemeinten Vorschläge zur Verbesserung der Welt, sondern auch die bösen Absichten, Computerdaten zu stehlen, zu verändern oder gar zu vernichten.
Milliarden Euro- oder Dollarbeträge sind im Spiel, wenn Hacker versuchen, in das Datenherz eines Unternehmens oder einer Institution zu kommen und Schäden im großen Stil anzurichten.
Es mag futuristisch klingen, wenn Computerprogramme ihren Schöpfern im wahrsten Sinne des Wortes über den Kopf wachsen und selbstständig entscheiden, was richtig oder falsch ist, wie kürzlich im "Tatort" aus Stuttgart. Doch für Fachleute wie Prof. Dr. Andreas Zeller vom Cispa, Center for IT-Security, Privacy and Accountability, aus Saarbrücken ist das gar nicht so weit hergeholt und kann in der digitalen Datenwelt von morgen ein realistisches Bedrohungsszenario darstellen. Wohl dem, der seine Daten gut geschützt weiß und seinen Computerprogrammen volles Vertrauen schenken kann.
"Vertrauen ist eines der größten Probleme der IT-Sicherheit", erklärt Prof. Zeller. Es sei überhaupt kein Problem, beispielsweise ein Programm mit schädlicher Software auf einem Smartphone in einer App getarnt zu installieren, die ohne Wissen des Nutzers in seinen Daten herumschnüffelt und einfach Dinge tue, die es besser nicht machen sollte. Dabei geht es hier noch nicht einmal um das sogenannte Social Engineering, das Ausspähen von Mensch zu Mensch, sondern um rein technische Dinge. Und das Schlimme daran ist, dass es derzeit im Prinzip keine effiziente Technik gibt, die die schädliche Software vorher erkennt und daran hindern könnte.
Eine Herausforderung, die dem Team um Prof. Zeller vom Cispa auf den Leib geschneidert schien. In einer rund dreijährigen Forschungsarbeit hat es ein Schutzprogramm entwickelt und getestet, das sicherstellt, dass ein Softwareprogramm nur das tut, was es soll oder eben nicht soll.
"Das Programm kommt in eine Art Käfig, eine sogenannte Sandbox, wird vollautomatisiert gecheckt und Angriffen ausgesetzt, mit dem Ergebnis, dass sich das Programm nach erfolgreich durchlaufenem Test nicht verwandeln kann", erklärt Zeller. Die derzeit am Markt verfügbaren Schutzprogramme wirken allesamt rückwirkend. Das bedeutet, sie wurden entwickelt aufgrund der Schäden, die Schadsoftware bereits angerichtet hat. "Wir drehen den Spieß um, blicken in die Zukunft und schauen dabei, dass sich Programme nicht verändern können."
Diese Laborlösung, oder salopp Käfigtechnik genannt, heißt Boxmate und basiert unter anderem auf dem vom Cispa bereits entwickelten Schutz für Apps, dem sogenannten Boxify. Das ist eine Art Glocke, die die App auf dem Android-Smartphone vor unzulässigen Zugriffen von außen schützt. Die erfolgreiche Entwicklung und Implementierung von Boxmate hat sich für das Team um Prof. Zeller bereits ausgezahlt.
Das Cispa wurde im Rahmen des bundesweiten Innovationswettbewerbs "Ausgezeichnete Orte im Land der Ideen", der von der Deutschen Bank unterstützt wird, ausgezeichnet. Eine Expertenjury aus Wissenschaftlern, Wirtschaftsmanagern, Journalisten und Politikern wählte das Projekt gemeinsam mit einem fünfköpfigen Fachbeirat aus mehr als 1.000 Bewerbungen aus.
Der gute Ruf
macht sich bezahlt
Einmal mehr hat das Cispa als eines von drei Kompetenzzentren für IT-Sicherheit in Deutschland somit sein exzellentes IT-Sicherheits-Know-how unter Beweis gestellt. Zeller selbst bezeichnet das vor Ort gebündelte Wissen von mehr als 200 IT-Experten jeglicher Fachrichtung über Kryptologie bis hin zur Abwehr von Cyberattacken als ungewöhnliche kritische Masse von Experten, die hierzulande ihresgleichen sucht. Das Cispa hat inzwischen ein internationales Patent auf Boxmate. Zurzeit untersucht Zellers Team, wie das Schutzprogramm auch für andere Anwendungen außerhalb von Android-Smartphones genutzt werden kann zum Beispiel für Server oder eingebettete Computersysteme. Verläuft das Projekt weiterhin erfolgreich, können marktfähige Produkte entwickelt und über ein Startup-Unternehmen des CISPA an den Markt gebracht werden. "Das kann durchaus weitere zwei bis drei Jahre in Anspruch nehmen."
Mittlerweile sind bereits mehr als zehn Start-up-Unternehmen aus Projekten des Cispa entstanden. Ein Ziel, das auch vom Saarland verfolgt und gern gesehen wird. Denn das sorgt dafür, dass das Land in der Szene seinen guten Ruf in der IT behält und hochqualifizierte Arbeitsplätze entstehen lässt. Nachwuchsprobleme, wie sie viele andere Branchen kennen, sind für das Cispa fremd. Zu gut und nachhaltig scheint der Ruf im In- und Ausland von Prof. Dr. Michael Backes, dem Leiter des Cispa, zu sein. "Boxmate zeigt eindrucksvoll, dass Wissenschaft und Wirtschaft gemeinsam ein Ziel erreichen können, wenn sie eng interdisziplinär zusammenarbeiten", betont Prof. Zeller.
Zurzeit entwickeln die IT-Fachleute um Prof. Zeller bereits Schutzprogramme, die Schwachstellen in anderen Computerprogrammen finden und daraufhin testen. "Wenn es gut läuft, können wir vielleicht auf der Cebit im kommenden Jahr etwas mehr vorstellen", verrät Zeller mit Blick auf die Zukunft.
Armin Neidhardt