8. Deutscher IT-Sicherheitspreis

UDE-Forscher ausgezeichnet

win­ter­berg-total­lo­kal : Der Deut­sche IT-Sicher­heits­preis ist die renom­mier­tes­te und höchst­do­tier­te Aus­zeich­nung der Bran­che und wird alle zwei Jah­re von der Horst Görtz Stif­tung ver­ge­ben. Für ihr neu­ar­ti­ges Werk­zeug zur Schwach­stel­len­ana­ly­se von Trus­ted Exe­cu­ti­on Envi­ron­ments, kurz TEEs, haben drei Infor­ma­ti­ker der Uni­ver­si­tät Duis­burg-Essen (UDE) den drit­ten Preis erhalten.

TEEs sind extra geschütz­te Spei­cher­be­rei­che und eigent­lich der idea­le Ort für beson­ders sen­si­ble Daten oder Pro­gram­me. Weil ihre Hard­ware vom Rest des Sys­tems iso­liert ist, kön­nen in TEEs Pro­gram­me auf nicht-ver­trau­ens­wür­di­gen und sogar kom­pro­mit­tier­ten, also bereits gehack­ten, Rech­nern, sicher aus­ge­führt wer­den. Im Cloud-Bereich nut­zen immer mehr Anbie­ter die­se Tech­no­lo­gie, damit Kun­den sen­si­ble Daten sicher in der Cloud ver­wal­ten kön­nen. Auch in Lap­tops und Smart­phones wer­den TEEs ein­ge­setzt, um Daten zu schüt­zen, die z.B. für Fin­ger­ab­druck­sen­so­ren oder kon­takt­lo­se Bezahl­diens­te wie Apple Pay benö­tigt werden.

Erst­mals auto­ma­ti­sche Ver­wund­bar­keits­ana­ly­se von TEEs

Aller­dings greift der Schutz nicht, wenn die Pro­gram­me, die inner­halb eines TEE aus­ge­führt wer­den, Pro­gram­mier­feh­ler auf­wei­sen. Um dem ent­ge­gen­zu­wir­ken, haben Tobi­as Cloos­ters, Micha­el Rod­ler und Prof. Lucas Davi von Soft­ware­tech­nik-Insti­tut palu­no der UDE TeeRex ent­wi­ckelt. Es ist das ers­te Werk­zeug zur auto­ma­ti­schen Ver­wund­bar­keits­ana­ly­se von TEE-Anwen­dun­gen. Es hilft Ent­wick­lern mit War­nun­gen und Pro­gram­mier­hin­wei­sen, Feh­ler im Code zu korrigieren.

Aktu­ell ist TeeRex noch ein Pro­to­typ ; sei­ne Wirk­sam­keit hat das Tool aller­dings schon unter Beweis gestellt : In meh­re­ren öffent­li­chen SGX-Enkla­ven – so nennt Intel sei­ne TEEs – konn­te TeeRex gra­vie­ren­de Sicher­heits­lü­cken auf­de­cken ; dar­un­ter Schwach­stel­len in Soft­ware für Fin­ger­ab­druck­sen­so­ren, die auf Dell‑, Leno­vo- und HP-Lap­tops ein­ge­setzt wer­den (sie­he Mel­dung vom 15.7.2020 : „Gefahr für sen­si­ble Daten“). Die Her­stel­ler haben die Lücken mit­hil­fe der UDE-For­scher inzwi­schen geschlos­sen. Und auch die Wei­ter­ent­wick­lung von TeeRex läuft auf Hoch­tou­ren. So soll das Tool in Zukunft auto­ma­ti­sche Ana­ly­sen für sicher­heits­kri­ti­sche Soft­ware auf ein­ge­bet­te­ten Sys­te­men und auf­stre­ben­den Archi­tek­tu­ren wie RISC‑V unterstützen.

Foto­credits : palu­no The Ruhr Insti­tu­te for Soft­ware Technology

Quel­le : Uni­ver­si­tät Duisburg-Essen