Geförderte  PROJEKTE & kooperationen

Traditionally, cybersecurity has been viewed as a technical problem, for which software and hardware solutions were key. However, in recent years, the focus has moved from the technical to the human aspect of cyber security. People are more and more considered ‘the weakest link’, or light-heartedly referred to as PEBCAK (problem exists between chair and keyboard). With human error and cyber-attacks aimed at individuals rather than machines becoming every-day occurrences, there is a strong need to solve cybersecurity issues on this level. Coming from a programming background, computer scientists usually aim to solve these weaknesses in the architecture of software. However, a piece of software can ask for a strong password, but if the employee who needs to create the strong password, writes it down on a post-it that is left on his desk, the ‘improved’ software security is easily becoming obsolete. Instead of trying to solve human problems with technological solutions, or reinventing the wheel, a better solution is to look at existing scientific knowledge and work with experts on human behaviour. Knowledge in the field of psychology can create more effective awareness campaigns, improve compliance with security policies through tried and tested behavioural change interventions, and train people in detecting social cyber-attacks through the use of existing knowledge in the cognitive psychology domain. These collaborations lead to improved individual cybersecurity, safer organisations, and a better functioning (international) society. To achieve this, working with psychologists is key as they are trained to describe, understand and solve human behaviour issues. By bringing psychologists into the cybersecurity field, they can apply existing psychological theories and best practices to cybersecurity problems, as well as develop new psychological theories on the specifics of cyberattacks and cyber resilience.

Fördergeber

Fördergeber

European Commission

Partner

Partner

Universität des Saarlandes

Universität des Saarlandes

Partner

Tallinn University of Technology

Tallinn University of Technology

Partner

Leiden University

Leiden University

Das Internet hat sich von einem bloßen Kommunikationsnetzwerk, das vor zwei Jahrzehnten von zig Millionen Menschen genutzt wurde, zu einer globalen Multimedia-Plattform für Kommunikation, soziale Netzwerke, Unterhaltung, Bildung, Handel und politischen Aktivismus entwickelt, die von mehr als zwei Milliarden Menschen genutzt wird. Dieser Wandel hat der Gesellschaft enorme Vorteile gebracht, aber auch völlig neue Bedrohungen für die Privatsphäre, die Sicherheit, die Strafverfolgung, die Informationsfreiheit und die Redefreiheit geschaffen. Im heutigen Internet sind die Prinzipien amorph, die Identitäten können fließend sein, die Benutzer nehmen teil und tauschen Informationen als Peers aus, und die Daten werden auf globalen Plattformen Dritter verarbeitet. Die bestehenden Modelle und Techniken für Sicherheit und Datenschutz, die eine vertrauenswürdige Infrastruktur und klar definierte Richtlinien, Prinzipien und Rollen voraussetzen, werden dieser Herausforderung nicht in vollem Umfang gerecht.
Das Projekt imPACT befasst sich mit der Herausforderung, Datenschutz, Rechenschaftspflicht, Konformität und Vertrauen (PACT) im Internet von morgen zu gewährleisten, wobei ein interdisziplinärer und synergetischer Ansatz zum Verständnis und zur Bewältigung der verschiedenen Rollen, Interaktionen und Beziehungen der Benutzer und ihrer gemeinsamen Auswirkungen auf die vier PACT-Eigenschaften verwendet wird. Der Schwerpunkt liegt auf Prinzipien und Methoden, die für die Bedürfnisse der einzelnen Internet-Nutzer relevant sind und die ein starkes Potential haben, zu praktischen Lösungen zu führen, und die die langfristigen Bedürfnisse des zukünftigen Internets abdecken. Wir stellen uns dieser Herausforderung mit einem Team von Forschern aus relevanten Teildisziplinen der Informatik und mit Beiträgen von externen Experten aus den Bereichen Recht, Sozialwissenschaften, Wirtschaft und Business. Das Team der PIs besteht aus international führenden Persönlichkeiten aus den Bereichen Datenschutz und Sicherheit, experimentelle verteilte Systeme, formale Methoden, Programmanalyse und -verifizierung sowie Datenbanksysteme. Indem wir uns zusammenschließen und uns für diese gemeinsame Forschung engagieren, befinden wir uns in einer einzigartigen Position, um die große Herausforderung der Vereinheitlichung der PACT-Eigenschaften zu bewältigen und eine neue Grundlage für ihre ganzheitliche Behandlung zu schaffen.

Fördergeber

Fördergeber

European Research Council

Fördergeber

European Commission

European Commission

Partner

Projektpartner

Prof. Dr. Peter Druschel (MPI SWS)

Prof. Dr. Peter Druschel (MPI SWS)

Projektpartner

Prof. Dr. Gerhard Weikum (MPI Inf)

Prof. Dr. Gerhard Weikum (MPI Inf)

Projektpartner

Prof. Dr. Rupak Majumdar (MPI SWS)

Prof. Dr. Rupak Majumdar (MPI SWS)

Die Forschungsthemen des CISPA beinhalten ein enormes Potenzial für den Technologietransfer in die industrielle Anwendung. Diesbezüglich steht das CISPA bereits seit einigen Jahren in regem Austausch mit Partnern aus Industrie und Wirtschaft, so dass ein Transfer stattfindet. Unter der Annahme, dass die Verwertung in neugegründeten Unternehmen die direkteste Form des Wissens- und Technologie-transfers darstellt, gibt der Ausbau des Gründungsinkubators die Möglichkeit, spezialisierte Strukturen zur expliziten Unterstützung von Ausgründungen fortzuschreiben.

Das Ziel des Vorhabens ist es deshalb, diese Initiativen konzeptionell auszubauen und strukturell zu verankern, um ein hoch kreatives Umfeld in unmittelbarer Nähe des CISPA und im Umfeld des Saarland Informatics Campus zu schaffen.

Die Förderung von Maßnahmen durch das BMBF sieht in erster Linie folgende Bereiche vor: Sensibilisierung, Projektinitiierung, Projektförderung, Skalierung sowie das übergeordnete Management des Inkubators.

Fördergeber

Fördergeber

Federal Ministry of Education and Research (BMBF)

The goal of this project is to develop programming abstractions for CPS applications, together with reasoning and verification techniques for correctness, synthesis techniques across continuous and discrete phenomena, and visualisation and immersive interaction tools for better programmer productivity. The basis for the project will be Language integrated transduction (LinT), a programming model for CPS. We shall develop an implementation and runtime system, and use it to develop sample CPS applications in home automation and cyber-physical production case studies. Our long-term vision is an integrated development environment for programming, verifying, and understanding high-performance and scalable applications involving perception of, planning for, and acting on the physical world, and to significantly raise the state of the art in development effort and quality of such systems. Abstractions and algorithmic analysis techniques developed in this project should form the core of a provably correct design methodology for complex CPS applications. 

Fördergeber

Deutsche Forschungsgemeinschaft

We propose to bring together two historically disjoint lines of research: the epistemic analysis of distributed systems on the one hand, which aims at understanding the evolution of the knowledge of the components of a distributed system; and reactive synthesis, which aims at constructing such systems automatically from a formal specification given as a formula of a temporal logic. 

Reactive synthesis has the potential to revolutionize the development of distributed systems. From a given logical specification, the synthesis algorithm automatically constructs an implementation that is correct-by-design. This allows the developer to focus on “what” the system should do instead of “how” it should be done. There has been a lot of success in the last years in synthesizing individual components of a distributed system. However, the complete synthesis of distributed protocols is, with currently available methods, far too expensive for practical applications. 

Recent advances in the study of knowledge in distributed systems, such as the Knowledge of Preconditions principle, offer a path to significantly improve the situation. Our vision is a new class of synthesis algorithms that gainfully use this potential by constructing the distributed protocol in terms of the evolving knowledge of the components rather than the low-level evolution of the states. 

We bring to the project complementing skills and expertise in the two respective fields. The proposed project will begin by carrying out a study on epistemic arguments for the correctness of existing distributed protocols. The goal is to develop a formalization of these arguments in the form of a diagrammatic proof that can be verified automatically. We will then develop systematic methods for the construction of such proofs, based on insights like the Knowledge of Preconditions principle. Finally, we will integrate our formalization of epistemic proofs into a synthesis algorithm that automatically constructs such a proof for a given specification, and then translates the proof into an actual implementation. 

Fördergeber

Funding Body

GIF Research Grant Regular Program

Die reaktive Synthese hat das Potenzial, die Entwicklung von verteilten eingebetteten Systemen zu revolutionieren. Aus einer gegebenen logischen Spezifikation konstruiert der Synthese-Algorithmus automatisch eine Implementierung, die "correct-by-design" ist. Die Zielsetzung besteht darin, dass ein Designer die Entwurfsziele mit einem Synthese-Tool analysiert, automatisch konkurrierende oder widersprüchliche Anforderungen identifiziert und eine fehlerfreie Prototyp-Implementierung erhält. Die Programmierung und das Testen, die teuersten Phasen der Entwicklung, werden somit aus dem Entwicklungsprozess eliminiert. Jüngste Fallstudien aus der Robotersteuerung und dem Hardware-Design, wie z.B. die automatische Synthese des AMBA-AHB-Bus-Controllers, zeigen, dass diese Vorstellung prinzipiell realisierbar ist. Bislang lässt sich die Synthese jedoch nicht auf große Systeme skalieren. Selbst wenn sie erfolgreich ist, erzeugt sie Code, der viel größer und viel komplizierter ist als der Code, der von menschlichen Programmierern für die gleiche Spezifikation produziert wird. Unser Ziel ist es, diese beiden grundlegenden Mängel gleichzeitig zu beheben. Wir werden ausgabeabhängige Synthese-Algorithmen entwickeln, d.h. Algorithmen, die neben der optimalen Leistung in der Größe der Spezifikation auch in der Größe und strukturellen Komplexität der Implementierung optimal funktionieren. Zielanwendungen für unsere Algorithmen kommen sowohl aus den klassischen Bereichen der reaktiven Synthese, wie z.B. Hardwareschaltungen, als auch aus neuen und weitaus anspruchsvolleren Anwendungsgebieten, wie z.B. der verteilten Steuerung und Koordination von autonomen Fahrzeugen und Fertigungsrobotern, die weit außerhalb der Reichweite der derzeit verfügbaren Synthesealgorithmen liegen.

Fördergeber

Fördergeber

European Research Council

Im Mittelpunkt des Vorhabens steht die Entwicklung eines Überwachungssystems für den hochkritischene VTOL Betrieb. Fortschritte in der Elektromobilität und der Automatisierungstechnik ermöglichen die kommerzielle Nutzung von hochautomatisierten Luftfahrzeugen mit verteilten elektrischen Antrieben.

Die Sicherheit ist für solche Luftfahrzeuge ein wichtiger Erfolgsfaktor. Dafür muss die inhärente Komplexität des Gesamtsystems in Form präziser Anforderungen erfasst und während des Betriebes konsequent überwacht werden. Zusätzlich müssen für einen ökonomischen Betrieb der zunehmend automatisierten Luftfahrzeuge die Entwicklungs-, Betriebs- und Wartungskosten niedrig gehalten werden. Ziel des Projekts ist die automatische Überwachung der für den sicheren kommerziellen Betrieb eines autonomen Systemswichtigen Parameter. Um die Konfidenz in die Sicherheitsüberwachung zu erhöhen, wird der ausführbare Monitor automatisch aus einer formalen Spezifikation des gewünschten Verhaltens generiert. Die dadurch gewonnene Nachvollziehbarkeit verspricht Vorteile für die Zertifizierung und einen ökonomischen Betrieb. Analyse der Rückwirkung für die Zertifizierung durch sichere, unabhängige Überwachungskomponente ist ein essenzielles Thema.

Die formale Spezifikation ist getrennt vom Kontrollcode und leichter verständlich, womit Entwicklungs- und Wartungskosten eingespart werden. Darüber hinaus setzen herkömmliche zentrale Monitorverfahren die Verfügbarkeit aller relevanten Daten voraus. In einer hochgradig verteilten Avionik wie der des Volocopter ist es nötig, den Überwachungsprozess an verschiedenen Systemknoten auszuführen, wofür Algorithmen für die Überwachung entwickelt werden müssen. Im Projekt wird der Systemüberwachungsansatz auf Basis einer formalen Spezifikation auf einen Volocopter integriert. Dies verspricht substanzielle Verbesserungen sowohl im Hinblick auf die Sicherheit als auch aus ökonomischen Gesichtspunkten.

Fördergeber

Fördergeber

Bundesministerium für Wirtschaft und Energie

Partner

Parter

Volocopter

Partner

Deutsches Zentrum für Luft- und Raumfahrt

Genetische Daten sind hochgradig vertrauliche Informationen und werden daher durch strenge gesetzliche Bestimmungen geschützt, was ihre gemeinsame Nutzung aufwändig macht. Die Nutzung genetischer Informationen birgt jedoch ein großes Potenzial für die Diagnose und Behandlung von Krankheiten und ist für die Verwirklichung von personalisierter Medizin unerlässlich. Zwar wurden Mechanismen zur Wahrung der Privatsphäre geschaffen, doch sind diese entweder mit erheblichen Kosten verbunden oder schützen die Privatsphäre sensibler Patientendaten nicht vollständig. Dadurch wird die Möglichkeit des Datenaustauschs mit der Forschungsgemeinschaft eingeschränkt, was sowohl die wissenschaftliche Erkenntnisfindung als auch die Reproduzierbarkeit der Ergebnisse behindert. Daher schlagen wir einen anderen Ansatz vor, bei dem synthetische Datensätze verwendet werden, die die Eigenschaften von Patientendatensätzen teilen und gleichzeitig die Privatsphäre respektieren. Wir erreichen dies, indem wir die neuesten Fortschritte in der generativen Modellierung nutzen, um virtuelle Kohorten zu synthetisieren. Solche synthetischen Daten können mit etablierten Werkzeugketten analysiert werden, der wiederholte Zugriff hat keine Auswirkungen auf das Budget für den Datenschutz und kann sogar offen mit der Forschungsgemeinschaft geteilt werden. Während die generative Modellierung von hochdimensionalen Daten wie genetischen Daten bisher unerschwinglich war, haben die jüngsten Entwicklungen in tiefen generativen Modellen eine Reihe von Erfolgsgeschichten in einer Vielzahl von Bereichen gezeigt. Das Projekt wird sowohl Werkzeuge für die generative Modellierung genetischer Daten als auch Einblicke in die langfristige Perspektive dieser Technologie zur Lösung von Problemen in offenen Bereichen liefern. Die Ansätze werden gegen bestehende Analysen, die nicht die Privatsphäre wahren, validiert werden. Wir werden eng mit der wissenschaftlichen Gemeinschaft zusammenarbeiten und Richtlinien vorschlagen, wie Ansätze, die im Gesamtprozess der wissenschaftlichen Entdeckung praktikabel sind, eingesetzt und experimentell angewendet werden können. Dieses einzigartige Projekt wird das erste sein, das die Generierung synthetischer hochdimensionaler genomischer Informationen ermöglicht, um den datenschutzkonformen Datenaustausch in der medizinischen Gemeinschaft zu fördern.

Fördergeber

Fördergeber

Helmholtz-Gemeinschaft e.V.; Impuls- und Vernetzungsfonds

Partner

Projektpartner

Deutsches Zentrum für Neurodegenerative Erkrankungen (DZNE)

Um die großen Herausforderungen der Zukunft zu lösen, müssen Daten, Rechenleistung und Analysekompetenz in einem noch nie dagewesenen Ausmaß zusammengeführt werden. Der Bedarf an Daten ist im Zusammenhang mit den jüngsten Fortschritten im Bereich des maschinellen Lernens noch größer geworden. Daher weisen datenzentrierte digitale Systeme häufig eine starke Tendenz zu zentralisierten Strukturen auf. Die Datenzentralisierung kann zwar die Datenanalyse erheblich erleichtern, sie bringt jedoch auch einige inhärente Nachteile und Gefahren mit sich, nicht nur aus technischer, sondern vor allem auch aus rechtlicher, politischer und ethischer Sicht. Die Bewältigung dieser Probleme ist mühsam und zeitaufwendig, da sie in anspruchsvollen Sicherheits- oder Vertrauensanforderungen wurzelt. Infolgedessen werden viele Forschungsprojekte erheblich behindert, scheitern oder werden einfach nicht in Angriff genommen. In diesem interdisziplinären Projekt wollen wir die Umsetzung dezentraler, kooperativer Datenanalysearchitekturen innerhalb und außerhalb von Helmholtz erleichtern, indem wir die wichtigsten Fragen in solchen Szenarien angehen.

Trustworthy Federated Data Analytics (TFDA) wird es erleichtern, die Algorithmen auf vertrauenswürdige und gesetzeskonforme Weise zu den Daten zu bringen, anstatt einen datenzentrierten Weg zu gehen. Die TFDA wird sich mit den technischen, methodischen und rechtlichen Aspekten befassen, wenn es darum geht, die Vertrauenswürdigkeit der Analyse und die Transparenz hinsichtlich der Analyse-Ein- und Ausgaben zu gewährleisten, ohne die Datenschutzbestimmungen zu verletzen. Um die Anwendbarkeit zu demonstrieren und die Anpassungsfähigkeit der methodischen Konzepte sicherzustellen, werden wir unsere Entwicklungen im Anwendungsfall "Föderierte Strahlentherapiestudie" (Gesundheit) validieren, bevor wir die Ergebnisse verbreiten.

Fördergeber

Fördergeber

Helmholtz-Gemeinschaft e.V. Impuls- und Vernetzungsfonds

Partner

Projektpartner

Deutsches Krebsforschungszentrum (DKFZ)

In KMU-Fuzz werden neue Konzepte erforscht und umgesetzt, um Fuzz-Testing - eine besonders vielversprechende Form von automatischem Softwaretesting - entscheidend zu verbessern. Dabei Iiegt der Fokus vor allem auf dem effizienten Testen von Netzwerkschnittstellen von Applikationen, da existierende Fuzzing-Tools in diesem Bereich momentan noch eine unzureichende Testabdeckung bieten. Durch die Erforschung von neuartigen Methoden, z.B. zustandsbasiertes Netzwerkfuzzing, Fuzz-Testingbasierend auf effizienten Checkpunktmechanismen und effizientes Protokollfuzzing, werden neuartigen Methoden entwickelt, umkomplexe Softwaresysteme automatisiert und effizient testen zu können. Der Fokus dieses Teilprojekts liegt auf der effizientenVerwendung von verschiedenen Methoden aus dem Bereich der Programmanalyse, um Fuzzing effizienter durchführen zu können.

Fördergeber

Fördergeber

Partner

Partner

Code Intelligence GmbH

Code Intelligence GmbH

Die Vision von GAIA-X ist die Schaffung einer sicheren, vernetzten, föderierten Dateninfrastruktur, um in Datenökosystemen Datensouveränität herzustellen. Das TELLUS-Vorhaben erweitert diese Dateninfrastruktur der verschiedenen Cloud-Ökosysteme um eine leistungsfähige Anbindung und Integration von heterogener Netzwerkinfrastruktur. Es existieren verschiedene Use Cases, die nicht nur hohe Anforderungen an Cloud-Dienste stellen, sondern insbesondere auch an Netzwerke in Bezug auf Latenz, Bandbreite, Sicherheit, Resilienz und Dynamik.

TELLUS entwickelt basierend auf solchen Use Cases ein Overlay über Kaskaden von Cloud-Anbietern, Vernetzungsdienstleistern und Cloud-Anwendern, um unter Berücksichtigung kritischer Anforderungen eine Ende-zu-Ende Vernetzung mit Garantien für Hybrid-Cloud-Szenarien zu ermöglichen. Dem GAIA-X Gedanken folgend werden durch Integration auf Basis von Standards/Schnittstellen und Systemen, Domänengrenzen überbrückt, Interoperabilität und Portabilität sichergestellt und somit dynamische Netzwerke mit variablen Bandbreiten, geringeren Latenzen, erhöhter Sicherheit und Kontrolle über den Datenfluss im Netzwerk geschaffen.

Im Rahmen dieses Teilprojekts untersucht CISPA vorrangig Sicherheits- und Compliance-Aspekte des Gesamtsystems. Dazu wird eine umfassende Risiko- und Bedrohungsanalyse durchgeführt und basierend auf den Ergebnissen werden entsprechende Schutzkonzepte entwickelt und umgesetzt. Darüber hinaus ist CISPA an einigen anderen Arbeitspaketen beteiligt und bringt dort vor allem ebenfalls Expertise im Bereiche Security mit ein.

Partner: DE-CIX (Verbundkoordinator); PlusServer; SpaceNet; Cloud&Heat; DE-CIX; IONOS; WOBCOM; KAEMI; TRUMPF; Mimetik
 

Fördergeber

Fördergeber

Bundesministerium für Wirtschaft und Klimaschutz

Die Kryptologie ist eine Grundlage der Informationssicherheit in der digitalen Welt. Das heutige Internet wird durch eine Form der Kryptographie geschützt, die auf komplexitätstheoretischen Härteannahmen beruht. Idealerweise sollten sie stark sein, um die Sicherheit zu gewährleisten, und vielseitig, um eine breite Palette von Funktionalitäten anzubieten und effiziente Implementierungen zu ermöglichen. Diese Annahmen sind jedoch weitgehend unerprobt, und die Internetsicherheit könnte auf Sand gebaut sein. Das Hauptziel von Almacrypt ist es, dieses Problem zu beheben, indem die Annahmen durch eine fortgeschrittene algorithmische Analyse in Frage gestellt werden.

Insbesondere stellt dieser Vorschlag die beiden Säulen der Public-Key-Verschlüsselung in Frage: Faktorisierung und diskrete Logarithmen. Kürzlich hat die PI dazu beigetragen, zu zeigen, dass das Problem der diskreten Logarithmen in einigen Fällen erheblich schwächer ist als bisher angenommen. Ein Hauptziel ist es, über die Sicherheit anderer Fälle des diskreten Logarithmusproblems, einschließlich elliptischer Kurven, und der Faktorisierung nachzudenken. Wir werden die Verallgemeinerung der neueren Techniken untersuchen und nach neuen algorithmischen Optionen mit vergleichbarer oder besserer Effizienz suchen. Wir werden auch Härteannahmen auf der Grundlage von Codes und Untermengensummen untersuchen, zwei Kandidaten für die Post-Quantenkryptographie. Wir werden die Anwendbarkeit neuerer algorithmischer und mathematischer Techniken auf die Lösung der entsprechenden vermeintlich schwierigen Problemstellungen untersuchen, die Analyse der Algorithmen verfeinern und neue Algorithmuswerkzeuge entwerfen.Die Kryptologie beschränkt sich nicht nur auf die oben genannten Annahmen: es wurden auch andere harte Probleme vorgeschlagen, die auf Post-Quantum-Sicherheit abzielen und/oder zusätzliche Funktionalitäten bieten sollen.  Sollte die Sicherheit dieser anderen Annahmen von entscheidender Bedeutung sein, würden sie dem Anwendungsbereich von Almacrypt hinzugefügt werden.Sie könnten auch dazu dienen, andere Anwendungen unseres algorithmischen Fortschritts zu demonstrieren.  Zusätzlich zu seinem wissenschaftlichen Ziel strebt Almacrypt auch die Gründung einer verstärkten Forschungsgemeinschaft an, die sich der algorithmischen und mathematischen Kryptologie widmet. 

Fördergeber

Fördergeber

European Research Council

Fördergeber

European Commission

European Commission

Partner

Projektpartner

Sorbonne University

Projektpartner

Grenoble Alpes University

Ziel des SYSTEMATICGRAPH-Projekts ist es, die Suche nach traktionsfähigen algorithmischen Graphen-Problemstellungen in einen systematischen und methodischen Rahmen zu stellen: Statt sich auf spezifische sporadische Problemstellungen zu konzentrieren, wollen wir ein einheitliches algorithmisches Verständnis erreichen, indem wir die gesamte Komplexitätslandschaft einer bestimmten Problemdomäne abbilden. Ein Dichotomiesatz ist ein vollständiges Klassifikationsergebnis, das die Komplexität jedes Mitglieds einer Problemfamilie charakterisiert: Es identifiziert alle Fälle, die effiziente Algorithmen zulassen, und beweist, dass alle anderen Fälle rechenintensiv sind. Das Projekt wird zeigen, dass eine solche vollständige Klassifikation für ein breites Spektrum von Graphenproblemen aus Bereichen wie dem Finden von Mustern, Routing und überlebensfähigem Netzwerkdesign durchführbar ist und dass selbst für klassische und gut untersuchte Probleme neuartige algorithmische Ergebnisse und neue Ebenen des algorithmischen Verständnisses erreicht werden können.

Fördergeber

Fördergeber

European Research Council

Fördergeber

European Commission

European Commission

Das Erkennen von Schwachstellen in Webanwendungen ist ein schwieriges Problem, für das es noch keine allgemeine Lösung gibt. Bestehende Ad-hoc-Lösungen können nur einfache Formen von Schwachstellen identifizieren, die auf der Oberfläche von Webanwendungen vorhanden sind. In diesem Projekt schlagen wir Yuri vor, einen zielorientierten Sicherheitstest-Agenten, der semantische Modelle und Programmrepräsentationen synthetisieren kann, die der menschlichen Wahrnehmung und dem Verständnis des Programmverhaltens näher kommen. Yuri kann diese Modelle nutzen, um die Erkundung der Angriffsoberfläche voranzutreiben und Sicherheitstests durchzuführen, wodurch die Abdeckung moderner webbasierter Anwendungssoftware erheblich erweitert wird.

Fördergeber

Fördergeber

Deutsche Forschungsgemeinschaft

Kamaeleon befasst sich mit der Anpassung von leichten Elektrofahrzeugen durch Software, so dass die Fahrzeuge in der Lage sind, sich automatisch an unterschiedlich befahrene Flächen oder Beförderungsmittel anzupassen. Verschiedene Anforderungen der derzeit noch fest vorgeschriebenen Zulassungsvoraussetzungen müssen durch Anpassung erfüllt werden. Die Sicherheit wird in erster Linie durch die gefahrene Geschwindigkeit bezogen auf die jeweilige Verkehrsfläche, aber auch durch die Nähe zu anderen Verkehrsteilnehmer*innen operationalisiert. Die Höchstgeschwindigkeit und Dauerleistung ist aber ebenso ein Kriterium für die Zulassung von Fahrzeugen für einen bestimmten Einsatzort (z.B. Pedelec-Bürgersteig, E-Bike-Straße). Technisch gesehen wird in erster Linie die maximal fahrbare Geschwindigkeit geregelt. Durch dieses Vorgehen entsteht eine völlig neue Klasse von Fahrzeugen, die nicht durch feste Merkmale wie Leistung, Höchstgeschwindigkeit, Ausstattung usw. definiert sind, sondern deren Funktionen durch Software regelbar sind.

Fördergeber

Fördergeber

Bundesministerium für Bildung und Forschung

Partner

Partner

HFC Human-Factors-Consult

HFC Human-Factors-Consult

Partner

Constin GmbH

Constin GmbH

Partner

Orange-BikeConcept GmbH

Orange-BikeConcept GmbH

Partner

TÜNKERS-Gruppe

TÜNKERS-Gruppe

Partner

Karlsruher Institut für Technologie

Karlsruher Institut für Technologie

Partner

Fachhochschule Aachen

Fachhochschule Aachen

Partner

TU Braunschweig

TU Braunschweig

Antimicrobial Resistance (AMR) is perhaps the most urgent threat to human health. Since their discovery over a century ago, antibiotics have greatly improved human life expectancy and quality: many diseases went from life-threatening to mild inconveniences. Miss- and over-usage of these drugs, however, has caused microbes to develop resistance to even the most advanced drugs; diseases once considered conquered are becoming devastating again. While individual resistance mutations are well-researched, knowing which new mutations can cause antimicrobial resistance is key to developing drugs that reliably sidestep microbial defenses. In this project we propose to gain this knowledge via explainable artificial intelligence, by developing and applying novel methods for discovering easily interpretable local patterns that are significant with regard to one or multiple classes of resistance. That is, we propose to learn a small set of easily interpretable models that together explain the resistance mechanisms in the data, using statistically robust methods for discovering significant subgroups, as well as information theoretic approaches to discovering succinct sets of noise-robust rules. Key to our success will be the tight integration of domain expertise into the development of the new algorithms, early evaluation on real-world data, and the potential available in the host institute to evaluate particularly promising results in the lab.

Fördergeber

Impuls- und Vernetzungsfonds – Helmholtz-Gemeinschaft

Partner

Projektpartner

HIPS, Olga Kalinina

HIPS, Olga Kalinina

Fuzzing - das Testen von Software durch zufällig generierte Eingaben - ist eine der führenden Methoden zur Entdeckung von Software-Schwachstellen. Fuzzing ist einfach zu implementieren; einmal eingerichtet, kann es tage- und wochenlang laufen gelassen werden, wobei das System kontinuierlich mit einer Eingabe nach der anderen getestet wird. Fuzzing hat auch keine falschen Positivmeldungen: Jede Eingabe, die das Programm zum Absturz bringt, löst eine echte Schwachstelle aus, die von Angreifern ausgenutzt werden kann, und sei es nur für einen Denial-of-Service-Angriff.

Fuzzing ist jedoch langsam. Die überwältigende Mehrheit der zufällig generierten Eingaben ist ungültig und wird daher von dem zu testenden Programm zurückgewiesen. Dadurch können immer noch Fehler erkannt werden, insbesondere in den Routinen zum Parsen und Zurückweisen von Eingaben. Um nach der Eingabeverarbeitung eine tiefere Funktionalität zu erreichen, sind jedoch Eingaben erforderlich, die syntaktisch gültig sind.

Das traditionelle Mittel, um gültige Eingaben zu erzeugen, ist die formale Spezifizierung der Eingabesprache durch formale Sprachen wie reguläre Ausdrücke und Grammatiken - gut etablierte und gut verstandene Formalismen mit einer soliden und detaillierten theoretischen Grundlage und einer Vielzahl von Anwendungen in der Praxis. Die Spezifizierung einer Eingabesprache ist jedoch mit einem enormen manuellen Aufwand verbunden, der von Tagen für einfache Datenformate bis zu Monaten für komplexe Eingabesprachen reicht.

In den letzten Jahren hat die Gruppe von PI Zeller eine Reihe von Techniken entwickelt, die automatisch Grammatiken aus einem gegebenen Programm und einer Reihe von Beispieleingaben extrahieren können, und gezeigt, wie man aus diesen Grammatiken äußerst effiziente Fuzzer konstruiert. Diese Techniken sind so ausgereift, dass sie in einem kürzlich veröffentlichten Lehrbuch sogar als Open Source verfügbar sind. Dennoch sind die Lernenden der Grammatiken nach wie vor auf einen umfassenden Satz von Beispielen angewiesen, die jedes Merkmal des Eingabebereichs abdecken.

Daher ist es das Ziel des Projekts, Testgeneratoren zu schaffen, die speziell auf Eingabeprozessoren abzielen - d.h. sowohl auf Lexer (Werkzeuge, die Eingabezeichen zu Wörtern zusammensetzen) als auch auf Parser (Werkzeuge, die Wortfolgen zu syntaktischen Strukturen zusammensetzen, wie z.B. Sätze in natürlicher Sprache). Sein Ansatz besteht darin, einige triviale ungültige Eingaben (z.B. die Zeichenfolge "x") in ein Programm einzuspeisen und dann die Vergleiche, die dieses Programm durchführt, dynamisch zu verfolgen, bevor es die Eingabe als ungültig zurückweist.

All program behavior is triggered by some program input. Which parts of the input do trigger program behaviors, and how? In the EMPEROR project, we aim to automatically produce explanations for program behaviors—notably program failures. To this end, we (1) use grammars that separate inputs into individual elements; (2) learn statistical relations between features of input elements and program behavior; and (3) use systematic tests to strengthen or refute inferred associations, including internal features of the execution. As a result, we obtain an approach that (1) automatically infers the (input) conditions under which a specific behavior occurs: “The program fails whenever the mail address contains a quote character”; (2) automatically (re)produces behaviors of interest via generated test inputs: “andr'e@foo.com”; and (3) refines and produces cause-effect relationships via generated test cases, involving execution features: “The input ''''''''@bar.com” causes a recursion depth of more than 128, leading to a crash”. EMPEROR is the successor to EMPRESS, in which we showed that statistical relations between input elements and program behavior exist, and how prototypical implementations would exploit them for testing and debugging. EMPEROR takes the approaches from EMPRESS and unifies and extends them in a single modular approach, going way beyond simple statistical relations. By learning and refining predictive and generative models, EMPEROR will be able to infer and refine relationships involving arbitrary input features and thus boost our understanding of how and why software behaves as it does.

Fördergeber

Fördergeber

German Research Foundation (DFG)

Helmholtz-Forschungszentrum für medizinische Sicherheit, Datenschutz und KI (HMSP)

Das Helmholtz-Forschungszentrum für Medizinische Sicherheit, Datenschutz und KI (HMSP) ist eine gemeinsame Initiative von sechs Helmholtz-Zentren - CISPA, DZNE, DKFZ, HMGU, HZI und MDC -, die führende Experten aus den Bereichen IT-Sicherheit, Datenschutz und KI/Maschinelle Lernverfahren sowie aus dem medizinischen Bereich zusammenbringt, um eine sichere und datenschutzgerechte Verarbeitung medizinischer Daten mit Technologien der nächsten Generation zu ermöglichen. Ziel ist es, wissenschaftliche Durchbrüche im Schnittpunkt von Sicherheit, Datenschutz und KI/Maschinellem Lernen mit der Medizin zu erreichen und eine Technologie zu entwickeln, die neue Formen effizienter medizinischer Analytik ermöglicht und gleichzeitig den Patienten vertrauenswürdige Sicherheits- und Datenschutzgarantien sowie die Einhaltung heutiger und künftiger gesetzlicher Vorschriften bietet.

Partner

Partner

CISPA-Helmholtz-Zentrum für Informationssicherheit

Partner

Deutsches Zentrum für Neurodegenerative Erkrankungen (DZNE)

Partner

Deutsches Krebsforschungszentrum (DKFZ)

Partner

Helmholtz Zentrum München - Deutsches Forschungszentrum für Gesundheit und Umwelt (HMGU)

Partner

Helmholtz-Zentrum für Infektionsforschung (HZI)

Partner

Max-Delbrück-Centrum für Molekulare Medizin in der Helmholtz-Gemeinschaft (MDC)

Das CISPA-Stanford Center for Cybersecurity ist ein gemeinsames Zentrum für Cybersicherheitsforschung des CISPA und der Stanford University, das das hohe Potenzial einer für beide Seiten vorteilhaften Zusammenarbeit zwischen CISPA und Stanford auf dem Gebiet der Cybersicherheit erkennt und dem Wunsch der Wissenschaftler auf beiden Seiten nach gemeinsamer Forschung folgt.

Die Zusammenarbeit hat die folgenden zwei miteinander verflochtenen Ziele:

• Ein gemeinsames Forschungsprogramm im Schlüsselbereich der Informationstechnologie "Cybersicherheit" zu etablieren,
• eine starke Karriereentwicklungskomponente einzubauen, um den Mangel an qualifizierten Lehrkräften und Wissenschaftlern in der Informationstechnologie in Deutschland zu verringern.

Um diese Ziele zu erreichen, gründeten CISPA und die Stanford University diese Zusammenarbeit zum CISPA-Stanford Center for Cybersecurity mit entsprechenden Forschungsaktivitäten am CISPA und an der Stanford University. Das Zentrum befasst sich mit den besonderen Karrierebedürfnissen junger deutscher Wissenschaftler im Bereich der Cybersicherheit. Es fördert die berufliche Entwicklung einer kleinen Anzahl ausgewählter, herausragender Persönlichkeiten, indem es ihnen die Möglichkeit bietet, zwei Jahre lang an der Stanford University als Visiting Assistant Professors im Bereich der Cybersicherheit zu arbeiten und dann nach Deutschland zurückzukehren, um ihre Forschung als Senior Researcher am CISPA und schliesslich als Professor an einer deutschen Universität oder als Forschungsleiter in der Industrie fortzusetzen.

Ziel dieser Initiative ist es, die Stärken zweier der größten und renommiertesten Institutionen zu bündeln: Das CISPA Helmholtzzentrum für Informationssicherheit und das INRIA/Loria in Nancy werden gemeinsam die Cybersicherheitsforschung und entsprechende Transfer- und Innovationsaktivitäten zwischen Frankreich und Deutschland stärken und entlang der starken deutsch-französischen Achse eine fokussierte Forschung zu disruptiven Innovationen für die digitale Souveränität ermöglichen. Zu den zentralen Themen gehören die Selbstbestimmung beim Data Profiling, europäische Internet- und Kryptographie-Standards, in Europa entwickelte und eingehend evaluierte Betriebssysteme zur Sicherung kritischer Infrastrukturen, der Schutz der Privatsphäre und Sicherheitsgarantien in automatisierten KI-Prozessen sowie Secure Networking in Industry 4.0 und autonome Systeme. Das Zentrum wird bilaterale deutsch-französische Forschungsgruppen aufbauen. Neben der transnationalen Zusammenarbeit wird die Förderung des wissenschaftlichen Nachwuchses ein Kernelement sein. Nachwuchswissenschaftler:innen sollen die Möglichkeit erhalten, ihre Forschungsinteressen durch individuelle Betreuung bereits in einem frühen Stadium ihrer wissenschaftlichen Laufbahn selbständig voranzutreiben.

Partner

Partner

loria

Partner

Université de Lorraine

Partner

cnrs

Partner

inria

Partner

Lorraine Université d'Excellence

CISPA, KAIST und KIST Europe MoU streben die Initiierung gemeinsamer Forschungsprojekte in den Bereichen der Cybersicherheits-Technologien an. Die Partner unterstützen die wissenschaftliche Zusammenarbeit und den Austausch zwischen den akademischen Mitgliedern der Institutionen. Die wichtigsten Bereiche der Zusammenarbeit sind: Systemsicherheit, Web-Sicherheit und Kryptographie. 

Die Partner haben bereits Drittmittel eingeworben, um sich auf spezifische Forschungsthemen von gemeinsamem Interesse konzentrieren zu können. In jährlichen Treffen diskutieren die Forscher aus Deutschland und Korea laufende Projekte untereinander und mit Forschern aus anderen deutschen oder koreanischen Institutionen. 

In der im Oktober 2018 unterzeichneten Absichtserklärung identifizieren Dcypher und CISPA den Bedarf für gemeinsame Forschungsprojekte und für das Eingehen von Synergien, insbesondere in den Bereichen: 

System- und Service-Security by Design

Verteidigung von neu entwickelten und älteren Systemen 

Entscheidungsfindung in sozio-ökonomischen Umgebungen 

Schutz vor Missbrauch und missbräuchlicher Verwendung persönlicher Daten 

Nach der Einstellung von DCYPHER im Oktober 2020 wird die Zusammenarbeit mit den Niederlanden in einem anderen Format fortgeführt werden.

Das CISPA- Helmholtz-Zentrum für Informationssicherheit (CISPA) und die Leibniz Universität Hanno-ver (LUH) haben sich zusammengetan, um die Forschung in den Bereichen Cybersicherheit und Da-tenschutz voranzutreiben. Die Initiative mit initialem Fokus auf Nutzerzentrierte Sicherheit, Daten-schutz und Sicherheit in der Industrie wird vom Land Niedersachsen finanziell gefördert. Die Koope-ration umfasst eine gemeinsame Berufung von CISPA und LUH, die Ansiedlung einer Nachwuchs-gruppe sowie einer unselbstständigen Betriebsstätte des CISPA in Hannover. Zur Weiterentwicklung der Zusammenarbeit wurde ein Kooperationsgremium eingerichtet, in dem auch Niedersachsens Wissenschaftsministerium und das Wirtschaftsministerium vertreten sind. Neben der Forschung spie-len auch der Transfer der Forschungsergebnisse, z.B. durch Industriekooperationen, und die Nach-wuchsförderung eine zentrale Rolle in der Kooperation. 

Fördergeber

Fördergeber

VolkswagenStiftung