»Dass der Forschungsstandort Deutschland über hervorragende Rahmenbedingungen für Spitzenforschung verfügt, verdeutlicht auch der Curious-Mind-Forscherpreis«, mit diesen Worten gratuliert Bundeskanzlerin Angela Merkel dem Preisträger und Fraunhofer-SIT-Alumnus Dr. Siegfried Rasthofer, der mit seiner Forschung für mehr Sicherheit in der IT bei Unternehmen und Privatpersonen sorgt.
Der Curious Mind Award würdigt bis zu 40 Jahre alte Forscher*innen in Deutschland. Der mit 7.500 Euro dotierte Preis wird seit 2018 gemeinsam von dem Technologie- und Forschungsunternehmen Merk und dem Manager-Magazin im Rahmen der Ehrungen zur »Hall of Fame der Deutschen Forschung« verliehen. In diesem Jahr wurde die Chemie-Nobelpreisträgerin Emmanuelle Charpentier in die »Hall« berufen, in der anderem auch der ehemalige Leiter des Fraunhofer IDMT Karlheinz Brandenburg für seine Leistungen bei dem Audiocodec MP3 vertreten ist.
Curious-Mind-Preisträger Dr. Siegfried Rasthofer hat sich auf die automatisierte Erkennung von Schwachstellen oder Bedrohungen in Programmen und Apps konzentriert. »Wir haben am Fraunhofer SIT Programme entwickelt, die Software auf sicherheitskritische Programmierfehler analysieren. Aber natürlich wird auch geprüft, ob maliziöser Code – etwa eine Hintertür – eingefügt wurde.« Die Idee zu diesem Analysewerkzeug entstand bereits bei den Arbeiten zu seiner Dissertation.
Der Curious Mind Award ist nicht die erste Auszeichnung für Rasthofer. Der junge Forscher kann den Hugo-Geiger-Preis 2018, den Software-Engineering Award 2018 der Ernst-Denert-Stiftung, den Fraunhofer ICT Dissertation Award 2017 und unter weiteren auch den Deutschen IT-Sicherheitspreis 2016 vorweisen. Daneben sorgte Rasthofer mit dem von ihm aufgebauten TeamSIK [https://team-sik.org/] am Fraunhofer SIT für einige aufsehenerregende Entdeckungen von Sicherheitslücken. Diese konnte er auch regelmäßig auf renommierten Hacking-Konferenzen vorstellen. »Für mich als Studenten war das natürlich sehr beeindruckend, auf einer Konferenz mit 30.000 Teilnehmenden Sicherheitsexperten und Hackern zu präsentieren.«
Am Fraunhofer SIT fand Rasthofer zunächst als Sicherheits-Forscher »viele wirkliche gute Expertinnen und Experten« als Kollegen. Von 2017 bis 2019 leitete er die Abteilung für Secure Software Engineering. In dieser Funktion war er für das SIT weltweiter Ansprechpartner bei IT-Sicherheitsbedrohungen für Unternehmenskunden. Am SIT entwickelt er im Team mit Fraunhofer-Expert*innen und Studenten*innen das Software-Tool CodeInspect, das bis heute über Fraunhofer SIT lizenziert und vertrieben wird.
Das Tool zu programmieren war eine Sache, eine andere, damit Software-Produkte auf Herz und Nieren zu untersuchen: »Mit der Ethical Hacking-Gruppe TeamSIK haben wir uns sehr intensiv mit verschiedenen Themen befasst und zum Beispiel unterschiedliche Anti-Viren-Software analysiert.« Die jungen Sicherheitsexpert*innen von Fraunhofer SIT haben dabei einige »interessante Dinge« entdeckt, wie zum Beispiel Sicherheitslecks in Software von Amazon oder bei Google, die von den betreffenden Unternehmen sehr ernst genommen wurden. Um diese Ergebnisse und Sicherheitslücken den Verantwortlichen vorzustellen, reiste Rasthofer mehrmals in die USA.
In einem anderen Fall stoppte Rasthofer einen Banking-Trojaner, der bereits 30.000 Nutzer in Korea infizierte hatte. Solche Entdeckungen und Erfolge blieben natürlich nicht unbemerkt und so profitierte auch das Fraunhofer SIT in Darmstadt von der Arbeit der jungen Forscher*innen. Rasthofer betont aber stets: »Das war immer eine Team-Leistung. Wir haben an diesen Projekten Wochen und teilweise über Monate hinweg gearbeitet.« Für Außenstehende sei die Motivation, an solchen Projekten teilzunehmen, nur schwer nachvollziehbar. Doch »wenn man dann in ein System eingedrungen ist, bedeutet das ein unbeschreibliches Glücksgefühl.«
Doch wie wird man zum IT-Sicherheitsexperten? Schon als Kind beschäftigt sich der gebürtige Bayer mit Computer und Internet. Nach der Schule folgt das Bachelor-Studium an der Hochschule Landshut. Den Schwerpunkt Computer-Sicherheit verfolgt er seit dem Master-Studiengang an der Universität Passau. Für seine Dissertation im Jahr 2016 wechselt er an die TU Darmstadt.
Als Software-Ingenieur für Siemens CERT wirkte er rund ein Jahr lang in Princeton in den USA. Während seiner Promotion arbeitete er 2014 auch ein Jahr als IT-Security Researcher bei Microsoft in Redmond. Wie er heute selbst sagt, war diese Station nicht nur fachlich sehr bereichernd. »An der IT-Sicherheit von Microsoft-Produkten wie Office oder Windows mitzuwirken – wenn auch nur in kleinen Ausschnitten – war wirklich beeindruckend.«
Heute berät der Fraunhofer-Alumnus bei dem Rückversicherer Munich Re Großkunden in IT-Sicherheitsfragen. Das Thema Cyber-Versicherungen ist ein boomender Markt. Immer mehr Unternehmen wollen oder müssen sich gegen Risiken, die mit dem Ausfall der IT zusammenhängen, absichern. In seiner jetzigen Tätigkeit analysiert Rasthofer Schadensfälle bei Unternehmen und unterstützt diese. Dennoch ist das Feld der Cyber-Versicherungen noch vergleichsweise jung. Rasthofer: »Es gibt da noch viele Herausforderungen und hier bin ich auch wieder in gewisser Weise als Forscher tätig.«