Softwaresysteme "Sicher by Design"
Die Fachgruppe "Secure Software Engineering" erforscht, entwickelt und bewertet Methoden und Werkzeuge, um Softwaresysteme von Grund auf sicher zu gestalten. In vielen im Einsatz befindlichen Softwareentwicklungsprozessen wird die Sicherheit von Softwaresystemen leider immer noch als nebensächlich behandelt. In Folge dessen werden Sicherheitsaspekte oft erst zu spät berücksichtigt, zu einem Zeitpunkt, in dem eine korrekte Absicherung des Systems schnell teuer wird. Die Folgen sind oft desaströs und der Auslöser für die heute vielfach beobachteten Datenlecks und anderen Sicherheitsvorfälle. Solche Vorfälle kosten die betroffenen Unternehmen letztendlich ihren Ruf und einen signifikanten Teil ihres Erlöses, von den eigentlichen Problemen, die durch Datendiebstahl entstehen ganz abgesehen.
Das Hauptziel der Fachgruppe liegt darin, solche Sicherheitsprobleme von vorne herein zu vermeiden, indem softwarelastige Systeme so entwickelt werden, dass Sicherheit von Anfang an ein fester Bestandteil des Entwicklungsprozesses ist. So entwickeln wir Methoden, mit denen Softwareentwickler Sicherheitsanforderungen ganzheitlich erfassen können, um dann mit Angriffsmodellen und Bedrohungsniveaus abzugleichen. In einem zweiten Schritt werden diese Anforderungen dann gegen die konkrete Implementierung im Programmcode verglichen. Hier setzen wir vor allem auch auf Werkzeuge zur automatisierten Codeanalyse, die sich beispielsweise Techniken der statischen oder dynamischen Analyse bedienen, aber auch auf Werkzeuge zur Generierung beweisbar sicheren Programmcodes aus abstrakten, teils menschenlesbaren Spezifikationen.
Unsere Arbeit umfasst u.a. folgende Forschungsthemen:
- Statische und dynamische Programmanalyse
- Automatisierte Erkennung von Softwareschwachstellen und Schadprogrammen
- Sichere Softwareentwicklungsprozesse
- Modellbasierte Entwicklung mechatronischer und eingebetteter Systeme sowie betrieblicher Informationssysteme