Zusammen mit dem Institut für Datenwissenschaften in Jena und der TU Ilmenau, arbeitet die Einrichtung für Simulations- und Softwaretechnik (Abteilung Intelligente und verteilte Systeme) an einem Projekt für mehr Sicherheit in der Softwareentwicklung. Das Ziel der Initiative ‚Secure Software Engineering‘: qualitativ hochwertige und sichere Software.
Das Deutsche Zentrum für Luft- und Raumfahrt (DLR) steht als Forschungsorganisation zunehmend vor der Aufgabe, seine selbst entwickelte Software mit Partnern zu teilen oder sie als Open-Source-Software zu veröffentlichen. Daher ist es wichtig, Software vor schädlichen Einflüssen zu schützen. Gemeinsam gründeten diese drei Partner eine Initiative für ‚Secure Software Engineering‘. Diese Initiative arbeitet an einem Projekt, das die Softwareentwicklungsprozesse verbessern soll. Die Idee dahinter: Prozesseigenschaften mit Ansätzen der Datenwissenschaft optimieren.
„Fühlt sich wie ein großes Team an"
Das DLR ist für seine Expertise bekannt und steht in Kooperation mit Partnern auf der ganzen Welt. Ein Kooperationspartner ist Prof. Dr.-Ing. Patrick Mäder. Er ist Fachgebietsleiter der Fakultät für Informatik und Automatisierung im Bereich der Softwaretechnik für sicherheitskritische Systeme an der Technischen Universität Ilmenau. Dort entwickelt er sichere Softwaresysteme, forscht im Bereich des maschinellen Lernens und analysiert Entwicklungsdaten zur Unterstützung von Projektbeteiligten. Durch gut vernetzte Kollegen an der TU Ilmenau kam Mäder in Kontakt mit vielen Wissenschaftlern des DLR. Auf Grund seiner Expertise wurde er schnell in die Planung zum neuen DLR-Institut für Datenwissenschaften in Jena einbezogen. Über DLR-Kollegen hat Andreas Schreiber, Leiter der Abteilung Intelligente und Verteilte Systeme, von Prof. Mäder erfahren und kontaktierte ihn. Bereits nach einem ersten Gespräch bemerkten sie schnell, dass ähnliche Forschungsinteressen bestehen und haben eine folgende Zusammenarbeit vereinbart. Ein weiterer Kooperationspartner ist Rohan Krishnamurthy vom DLR-Institut für Datenwissenschaften. Dort analysiert er modernste Methoden des maschinellen Lernens und die Nutzung vorhandener Technologien und Werkzeuge, die sich auf Softwaresicherheit konzentrieren. Letztlich sind nun Kolleginnen und Kollegen aus drei DLR-Standorten beteiligt: Jena, Berlin und Köln sowie die TU Ilmenau. „Die Kommunikation klappt erstaunlich gut“, so Mäder. „Wir treffen uns regelmäßig an den verschiedenen Standorten zu Kooperationstreffen“. Ein weiterer Vorteil: Durch das Interesse an ähnlichen Themen, begegnen sich alle Beteiligten auch oft auf gleichen Tagungen. „Die Zusammenarbeit fühlt sich wie ein großes Team an“ berichtet Mäder.
Wie kann die Sicherheit in Softwareentwicklungen verbessert werden?
Prof. Mäder erklärt, dass während der Entwicklung und dem Betrieb von Software vielfältige Informationen gesammelt werden. Diese werden heutzutage häufig nicht oder nur unzureichend ausgewertet. Mäder sieht dort einen wesentlichen Ansatzpunkt um Anomalien aufzudecken und ‚Best Practice‘- Erfahrungen zu machen. Es ist wichtig, sichere Software zu entwickeln. „Wir möchten Analyseverfahren entwickeln, mit denen wir Sicherheitsschwachstellen oder Anzeichen dafür, in routinemäßig erfassten Entwicklungsdaten (Spezifikationen, Designs, Quellcode, Tests, gefundene Fehler - Bugs) automatisch erkennen und dem Entwickelnden Vorschläge zur Behebung machen“, so Mäder. Er weist daraufhin, wie wichtig sichere Software auch im Alltag ist. Da unsere Welt weitgehend vernetzt ist, sind die meisten Lebensbereiche ohne Softwaresysteme nicht mehr denkbar. „Dieser Trend wird sich aus heutiger Sicht weiter fortsetzen“, so Mäder. „Damit werden aber auch immer mehr Lebensbereiche durch Software-Schwachstellen angreifbar. Es ist unabdingbar und in vielen Bereichen lebensnotwendig, sichere Software zu entwickeln.“ Aus den gewonnenen Erkenntnissen der Analysen sollen Werkzeuge und Methoden gebaut werden, die auch intuitiv von Personen ohne spezielle Softwareentwicklerkenntnisse benutzt werden können. Ziel ist es, frühzeitig auf Sicherheitsprobleme aufmerksam zu machen und damit die Entwicklungen zukünftig in eine „sichere Richtung“ zu beeinflussen. „In Form von Assistenzsystemen sollen die Funktionen auch einen didaktischen Wert haben und die Nutzer für sichere Softwarekonzepte sensibilisieren“ erklärt Mäder.
Bei dem Projekt ‚Secure Software Engineering‘ geht es Krishnamurthy besonders um das Verständnis von Angriffsvektoren, induzierten Risiken, Bedrohungen und Verletzlichkeiten. Diese entstehen während des Entwicklungsprozesses. Es ist wichtig zu wissen, wie man mit diesen Risiken umgeht: „Die Entwicklung von Software in der heutigen Welt erfordert eine zwingende Notwendigkeit, den Entwicklungsprozess zu sichern. Im DLR beflügelt diese Transparenz die Verbesserung der entwickelten Software und sichert den Prozess der Softwareentwicklung“ berichtet Krishnamurthy. Ziel der neu gegründeten Gruppe SSE im DLR ist es, Themen rund um die IT-Sicherheit umfassend zu berücksichtigen. Rohan Krishnamurthy betont, dass das Hauptaugenmerk auf der Verbesserung von Prozessen und Werkzeugen liegt. „Wir möchten einen Katalog und Tools erstellen, der die sichere Softwareentwicklung unterstützt“, erklärt er. Dazu werden Methoden aus der Datenwissenschaft angewendet, um Prozesse sowie die daraus resultierende Software zu analysieren. „Durch die Korrelation der Ergebnisse beider Analysen ziehen wir Schlussfolgerungen, wie Softwareentwicklungsprozesse verbessert werden können, um sicherere Software zu erzeugen.“ Das DLR bietet dem Institut für Datenwissenschaften eine breite Palette an Software-Repositories, die wie ein Daten-Archiv fungieren. Diese ermöglichen es, spezielle Experimente einzurichten und sie in Bezug auf die Sicherung von Software-Entwicklungsprozessen und der angewandten Standards zu gestalten und zu testen.
Ein großes Team
Der Vorteil einer Kooperation mit mehreren Parteien? Die Expertise der verschiedenen Beteiligten vereinigt sich und es bilden sich schöpferische Synergien. „Das aktuelle Team hat extrem weitreichende Erfahrungen und Kenntnisse, dass wirkt sich sehr motivierend auf das Arbeitsklima aus“ beschreibt Mäder. Weitere Vorteile: es kann effektive an dem Projekt gearbeitet und geforscht werden. Dazu kommen ein spannendes Umfeld mit vielen praktischen Herausforderungen und interessante Einblicke in die Welt der Luft- und Raumfahrt, besonders in die Entwicklung dieser Systeme. Im Speziellen unterstützt die TU Ilmenau das Projekt SSE, indem sie ihre wissenschaftliche Expertise im Bereich der Entwicklung sicherer Software einbringt. Dabei entstehen neben gemeinsamen Publikationen und Bearbeitungen von Forschungsthemen auch die Möglichkeit, die persönliche Weiterentwicklung der Mitarbeiter zu unterstützen. So werden derzeit sowohl eine kooperative Promotion sowie die Betreuung von Abschlussarbeiten von Studierenden der Universität in Ilmenau geplant. Ab Herbst 2018 werden zwei weitere Mitarbeiter der TU an gemeinsamen Themen mit der Gruppe ‚Secure Software Engineering‘ am DLR arbeiten. „Der derzeit bereits involvierte Mitarbeiter hat ca. zehnjährige Industrieerfahrung in der Entwicklung unterschiedlichster Software-Systeme und mehrjährige Erfahrung in der Analyse von Software-Entwicklungsdaten, welche er in das Projekt einbringt. Die zweite Person wird sich ab Herbst insbesondere mit hochaktuellen Methoden des maschinellen Lernens im Bereich der SW-Analyse beschäftigen“, gibt Mäder bekannt. Das Institut für Datenwissenschaften ergänzt das Team durch zwei Forscher in Jena und zwei weitere aus Berlin. Und auch in der Abteilung für Intelligente und Verteilte Systeme wächst das Team um drei weitere Wissenschaftler an.
Durch die Zusammenarbeit profitieren alle Beteiligten. Über Jahrzehnte hinweg ist Softwaresicherheit ein wichtiges Thema, die Gruppe SSE hat aber gerade erst begonnen. Mit vielen Kooperationen auf der ganzen Welt teilen DLR-Projekte die Ergebnisse auf unterschiedliche Weise. Sie legen beispielsweise den Quellcode oder Binärdateien offen, um anhand dieser Informationen Sicherheitslücken aufzudecken. Krishnamurthy: „An diesem Punkt erleben wir den Zustand, dass der Müll des einen, der Schatz eines anderen sein könnte“. Das Ziel, sichere Software zu entwickeln, rückt jedenfalls immer näher. Zudem bereichert dieses Projekt auch alle Institute des DLR, die dank dieser Organisation sicherere Software für ihre Forschung nutzen können - denn sichere Software bildet den Grundstein für die Forschung von Morgen.