Fraunhofer-Gesellschaft
Fraunhofer-Gesellschaft

Technologische Souveränität

Sicherheit von Softwaresystemen

Prof. Claudia Eckert
»Die Kunst besteht darin,mit nicht fälschbaren, informationstechnischen Mitteln nachvollziehbar zumachen, dass das Systemvertrauenswürdig ist.« Prof. Claudia Eckert, Fraunhofer AISEC

Prof. Claudia Eckert leitet das Fraunhofer-Institut für Angewandte und Integrierte Sicher­heit AISEC in Garching und hat den Lehrstuhl für »Sicherheit in der Informatik« an der Technischen Universität München (TUM) inne. »Wichtig ist zu­nächst, dass man die Sicherheit von Softwaresystemen beurteilt, versteht, wo mögliche Schwachstellen und Sicherheitslücken bestehen, um diese dann zu schlie­ßen; die Software zu härten«, sagt sie. Oftmals sei es zu aufwendig, unsichere Softwaresysteme ganz neu zu designen, damit sie eine ausreichend hohe Sicher­heit böten. »Dann gilt es, die Schwachstelle durch zu­sätzliche Maßnahmen so abzuschirmen, dass niemand sie ausnutzen kann.« Ein aktuelles Beispiel sind Dash­cams für Autos. Bei einem Unfall liefern sie Versiche­rern und der Polizei wichtige Informationen zum Her­gang. Wie viele andere Kameras können die Dashcams aber leicht gehackt und Daten manipuliert werden. »Eine unsichere Datenquelle wird dann für Rechts­streitigkeiten genutzt, bei denen es um viel Geld gehen kann«, warnt Eckert. Mit ihrem Team hat sie deshalb ein Sicherheitskonzept entwickelt und in die Kamera integriert, sodass eine Datenverschlüsselung direkt auf dem Gerät erfolgt, unzulässige Datenzugriffe ver­lässlich verhindert werden und auch Angriffsversuche auf das System erkannt und abgewehrt werden; An­griffe laufen damit ins Leere. Eine Technologie, die sich auf viele andere Sensorsysteme in der Industrie und im Internet of Things übertragen lässt.

Die Informatikerin befasst sich auch mit ganz neu­en Ansätzen für die sichere Übertragung, Speicherung und Verarbeitung von Daten – von vertraulichen Ent­wicklungs- und Produktionsdaten, Patientendaten und vielem mehr. Alle diese Informationen werden heutzutage auf Servern, in der Cloud, gespeichert. »In vielen Fällen muss der Nutzer dem Cloud-Provider blind vertrauen, der die Daten speichert. Er erfährt meist nicht, wie gut sie geschützt sind, wo sie verarbei­tet werden oder wer im Einzelnen darauf Zugriff hat«, sagt Eckert. Um das zu ändern, arbeitet sie an Sicher­heitslösungen, die unter dem Begriff Confidential Computing zusammengefasst werden. Damit werden auf Speicherplattformen kontrollierbare Bereiche ge­schaffen, in denen die Daten geschützt vor unberech­tigten Zugriffen verarbeitet werden. Das System kon­trolliert und garantiert zudem, dass die Regeln zur Datennutzung und Weitergabe eingehalten werden, die den zu verarbeitenden Daten vom Daten-Eigen­tümer mitgegeben werden. Confidential Computing kann das Vertrauen der Kunden erhöhen, wenn es darum geht, Daten aus der Hand zu geben. »Die Kunst besteht darin, mit nicht fälschbaren, informations­technischen Mitteln nachvollziehbar nachzuweisen, dass das System vertrauenswürdig ist«, so Eckert.