Software findet heutzutage nahezu überall Gebrauch, nicht nur in Computern oder Smartphones, sondern auch in Autos und in der Industrie. Doch wo Software steckt, verstecken sich auch Programmierfehler, die zu massiven Fehlern führen können und sogar ein gesamtes System zu Fall bringen können. Dr. Johannes Späth hat sich in seiner Dissertation mit der Entwicklung effektiver Datenflussalgorithmen und Security beschäftigt. Initiale Demos der Technologie wurden im Rahmen der Dissertation im Open-Source Codeanalyse Tool CogniCrypt umgesetzt, welche sicherheitsrelevante Schwachstellen in Programmcodes innerhalb von Sekunden aufdecken können. Seit dem Abschluss der Dissertation wurden die Algorithmen in einem Industrieprojekt in ein kommerzielles statisches Codeanalysewerkzeug integriert. Im Interview berichtet Dr. Johannes Späth von seiner Zeit bei Fraunhofer, seiner erfolgreichen Promotionsprüfung und gibt Einblicke in seinen beruflichen Alltag.

Hallo und herzlich willkommen Johannes, danke, dass du dir heute Zeit genommen hast und auch noch einmal herzlichen Glückwunsch zur Auszeichnung mit dem ICT Dissertation Award. Ich freue mich, mit dir heute ein bisschen über deine Dissertation und über deinen Werdegang bei Fraunhofer zu sprechen. Deine Arbeit beschäftigt sich hauptsächlich mit dem Thema Softwareentwicklung und der Entwicklung von Datenflussalgorithmen, was genau interessiert dich an diesem Thema?

Das Thema an dem ich geforscht habe befindet sich im Spannungsfeld von Software-Engineering und tiefer Algorithmik. Bevor ich bei Fraunhofer angefangen habe, habe ich Mathematik studiert und mich nebenbei mit dem Thema Softwareentwicklung befasst. Die Algorithmik in der Informatik ist sehr verwandt mit der Mathematik, das hat mich schnell besonders gereizt. 

Und wie kamst du dann auf genau dieses Thema bzw. den expliziten Themenbereich, den du in deiner Dissertation aufdeckst?

Das hat sich so tatsächlich erst nach einiger Zeit entwickelt. Initial kam das durch die Arbeit am Fraunhofer Institut für Sichere Informationstechnologie SIT und später dann am Fraunhofer Institut für Entwurfstechnik und Mechatronik IEM im Bereich IT-Sicherheit und Softwareentwicklung und auch durch das Mitwirken in verschiedenen Projekten. Dort wurden Werkzeuge und Technologien angewandt und eingesetzt, die ich später auch mitentwickelt habe. Ich habe dann aber gemerkt, dass sowohl die Ergebnisse dieser Werkzeuge, beispielsweise beim Aufdecken von Sicherheitslücken in Anwendungen, als auch die Qualität dieser Werkzeuge nicht ausreichend sind. Das hat mich dann sehr motiviert dort tiefer in die Forschung einzusteigen und ich habe begonnen, mich mit dieser Forschungsperspektive intensiv zu beschäftigen. Und so hat es sich ergeben, dass ich durch diverse Projekte, in denen ich damals mitgewirkt habe, auf dieses Thema gekommen bin und damit arbeiten wollte.

Du hast jetzt gerade kurz von Projekten berichtet, die du in deiner Zeit am Fraunhofer IEM begleiten durftest. Mit welchen Projekten bzw. in welchen Projekten hast du dein Forschungsthema besonders gut vorantreiben können? 

Am Fraunhofer IEM hatten wir zu den Zeitpunkt ein Forschungprojekt der Fraunhofer-Gesellschaft, das Fraunhofer-Förderprogramm Attract. Ziel des Projekts war die Weiterentwicklung von Technologien für Code-Analysen. Zusätzlich konnten wir später einen Grant von Oracle gewinnen, der es uns ermöglichte weiter an dem Thema zu forschen. Zusätzlich habe ich aber auch stets in kleineren und größeren Industrieprojekten gearbeitet. Häufig wurden Softwareprojekte analysiert und bewertet. Dabei nutzen wir anfangs häufig zunächst Drittanbieterwerkzeuge. Später, als die Technologie reifer war, haben sich auch größere Projekte mit CogniCrypt ergeben. 

Auf der einen Seite hast du also in großen Industrieprojekten mitgearbeitet, auf der anderen Seite auch kleinere Forschungsprojekte betreut? 

Genau, zum einen Industrieprojekte, zum anderen aber auch kleinere und größere Forschungsprojekte, die es mir auch ermöglicht haben, diese Spannbreite zwischen Grundlagenforschung und angewandter Forschung in meiner Dissertation abzudecken. Diese Möglichkeit hat mir definitiv auch die Mitarbeit im Fraunhofer-Attract Programm geboten.

Der Prozess der Dissertation läuft bestimmt nicht immer reibungslos ab. Welche Schwierigkeiten haben sich denn währenddessen für dich ergeben bzw. auf welche Hürden bist du gestoßen?

Eine große Herausforderung ist der Publikationsprozess, das muss man ganz klar sagen. Bei den ersten Veröffentlichungen, die ich geschrieben habe, waren drei bis vier Iterationen nötig. Ersteinreichungen werden häufig abgelehnt, oft ergibt sich allerdings aus dem Reviewprozess konstruktive Kritik. In dem gesamten Prozess muss man an einer Veröffentlichung dadurch schon mal effektiv ein bis zwei Jahre arbeiten. So etwas zerrt natürlich an der Motivation. Umgekehrt ist allerdings auch der Spagat zwischen den Projekten und der Forschung herausfordernd, da ist es ganz wichtig, eine gute Balance zu finden. Am Fraunhofer IEM hat das wirklich gut funktioniert und ich war sehr zufrieden.

Welchen entscheidenden Beitrag leistet deine Arbeit zur Forschung? Wie würdest du das selbst einschätzen? 

Der größte Beitrag ist eigentlich, dass Software Security Analysen deutlich effizienter geworden sind: Effizienz ist hier zweischneidig. Zum einen ermöglichen die neuen Algorithmen kürzere Laufzeiten, so dass Ergebnisse schneller berechneter werden können. Früher musste man hier acht bis zehn Stunden einplanen, bis die Ergebnisse überhaupt vorlagen. Wir haben es geschaft, dass die Algorithmen nur wenige Sekunden bis Minuten benötigen und somit effektiv als „Rechtschreibprüfung“ in der Entwicklungsumgebung mitlaufen können. Zusätzlich liefern die Algorithmen deutlich präzisere Ergebnisse, also mit nur wenigen falsch Positiven, hierdurch ist der manuelle Prozess beim Bewerten der Ergebnisse deutlich effizienter. 

Du hast im Frühjahr 2020 ein eigenes Unternehmen gegründet, nämlich CodeShield. Das Thema deiner Dissertation spiegelt sich also in deinem beruflichen Alltag wider und wird dich sicherlich in Zukunft noch begleiten? Was genau macht CodeShield und was für ein Zusammenhang besteht zwischen dem Thema deiner Dissertation und deinem Beruf? 

Das Thema Security beschäftigt mich noch, das Thema Codeanalyse oder Programmanalyse hingegen weniger. CodeShield ist eine Cloud Security Lösung und analysiert Cloudumgebungen auf Sicherheitslücken und detektiert Fehlkonfigurationen. Aktuell fokussieren wir uns auf sogenannte „Privilege Escalation“, also Rechteerweiterungen. Oftmals genügt einem Angreifer als Einfallstor in die Cloud schon eine falsch konfigurierte Cloudresource oder ein alter Benutzeraccount. Unternehmen, die einen Cloud-Provider nutzen, z.B. Amazon Web Services, können also ihre Cloudumgebung von uns scannen lassen und erhalten eine Security-Einschätzung der gesamten Cloud-Umgebung. Das ist für gerade alle Unternehmen wichtig, die Cloud-Anwendungen selbst entwickeln oder betreiben. 

(lva)

Keine Kommentare vorhanden

Das Kommentarfeld darf nicht leer sein
Bitte einen Namen angeben
Bitte valide E-Mail-Adresse angeben
Sicherheits-Check:
Zwei + = 2
Bitte Zahl eintragen!
image description