Rob Joyce leitet für den US-amerikanischen Geheimdienst NSA die wahrscheinlich am besten ausgestattete Angriffsgruppe von Hackern. Wenn er sich zu Wort meldet, horchen nicht nur Journalisten auf, sondern auch Experten. Daher machte es schnell die Runde, als Joyce Ende Januar dieses Jahres auf einer Konferenz in San Francisco verkündete, dass ihm die Sicherheitslücken in cyberphysikalischen Systemen wie dem Internet der Dinge oder Industrie 4.0 schlaflose Nächte bereiten. In Deutschland hat das Bundesministerium für Informationssicherheit einen solchen Vorfall bereits für 2014 dokumentiert: Ein Angreifer erlangte Zugriff auf das Intranet eines Stahlwerkes. Von dort aus sorgte er für Ausfälle in der Produktion und beschädigte die Hochofen-Anlage massiv. Der Hacker-Chef fordert daher neue, fundamentale Ideen, um diese Angriffe in der Praxis zu verhindern.
Einen solchen neuartigen Ansatz haben nun Andreas Zeller, Informatik-Professor an der Universität des Saarlandes und Forscher am Kompetenzzentrum für IT-Sicherheit (CISPA), zusammen mit Konrad Jamrozik und Philipp von Styp-Rekowsky, beides Doktoranden an der Saarbrücker Graduiertenschule für Informatik, entwickelt. Ihr Software-System namens „Boxmate“ soll IT-Systeme nicht nur gegen aktuelle und bis dato unbekannte Angriffe verteidigen, sondern auch versteckten Hintertüren einen Riegel vorschieben. „Egal, wie wir aktuelle Techniken für die Analyse und das Testen von Programmen verbessern, es wird immer Wege geben, sie zu überlisten”, erklärt Zeller. Das Hauptproblem bestehender Schutzmaßnahmen sei, dass der jeweilige Angriff wenigstens einmal beobachtet sein muss, um ihn wieder zu erkennen. „Die Angreifer sind den Verteidigern immer einen Schritt voraus. Dabei werden die Programme ohnehin größer und komplexer, und jeder Programmierfehler ist eine potenzielle Sicherheitslücke“, erklärt Zeller.
Das von ihm entwickelte Softwaresystem „Boxmate“ lässt daher nicht zu, dass Programme unbemerkt ihr Verhalten ändern, da dies Teil oder die Folge einer heimlichen Attacke sein könnte. „Wir generieren systematisch Programmeingaben, um so das legitime Verhalten des jeweiligen Programms zu erforschen. Dabei merken wir uns, auf welche kritischen Daten – Orte, Kontakte – und kritischen Ressourcen – Mikrofon, Internet – das Programm zugreift, um seine Aufgabe zu erledigen“, so Zeller. Im übertragenen Sinne bedeutet dies: Die Forscher stecken ein Gehege ab, das groß genug ist. Ändert das Objekt der Beobachtung sein Verhalten und langt durch die Gitterstäbe, dann schrillt der Alarm. Bei Boxmate ist das Gehege eine sogenannte Sandbox, die während des Einsatzes des jeweiligen Programmes darauf achtet, dass es nicht als Folge eines Angriffs oder Zugangs durch eine Hintertür Daten ausspioniert.
Ändert ein Programm sein Verhalten, erhält der Benutzer eine Warnmeldung und muss diese bestätigen. „Unsere Evaluation hat gezeigt, dass dies mit Boxmate seltener vorkommt, als es Betriebssysteme ohnehin verlangen“, berichtet Zeller, der mit seinen Kollegen Boxmate bereits an über hundert Apps getestet hat. Das System macht jedoch auch Programme unschädlich, die von Anfang an bösartig sind und deren Angriffsmethode bisher noch unentdeckt ist. „Will ein Programm später Daten nutzen, muss es bereits während des Testens durch Boxmate auf diese Daten zugreifen – und zeigen, was es tut. Bösartige Programme können sich so nicht mehr verstecken“, so Zeller.
Die für Boxmate grundlegenden Techniken hat Zeller bereits weltweit zum Patent anmelden lassen, die Lizensierung ist damit schon jetzt möglich. Um Boxmate dauerhaft als umfassendes Schutz-Werkzeug in Industrie und Wirtschaft zu etablieren, arbeitet Zellers Forschergruppe nun Hand in Hand mit dem Unternehmen „Backes SRT“ zusammen. Die Ausgründung der Universität des Saarlandes hat bereits die App „SRT Appguard“ entwickelt, die als frei verfügbare App bereits über eine Million Mal heruntergeladen wurde. Die erweiterte, kommerzielle Variante „Boxify“ kommt in „Boxmate“ zum Einsatz und wird ebenfalls auf der Cebit vorgestellt.