E-mail senden E-Mail Adresse kopieren

2022-07-27
Annabelle Theobald

„Ich habe mich für die Wissenschaft entschieden – wegen der Freiheit“

Im Oktober hat Prof. Dr. Thorsten Holz seine Arbeit am CISPA aufgenommen. Der neue Tenured Faculty ist von der Ruhr-Universität Bochum zu uns gekommen, wo er in den vergangenen 11,5 Jahren geforscht und gelehrt hat. Seine alte Wirkungsstätte zu verlassen, ist dem 40-Jährigen sicher nicht leichtgefallen. Im Interview verrät er uns, warum er den Sprung dennoch gewagt hat, und wie seine Karriere ihren Anfang nahm.

In Saarbrücken eilt dir der Ruf eines exzellenten Forschers auf seinem Gebiet voraus. Was hat dich an der Forschung im Bereich IT-Sicherheit gereizt?

Das kommt wohl ein bisschen der Spieltrieb in mir durch. Als Forscher versucht man ja meist, an irgendwelchen Schutzmechanismen vorbeizukommen und so Zugriff auf Dinge zu bekommen, auf die man eigentlich keinen Zugriff haben sollte. Das hat mich schon in der Jugend gereizt. Ich habe in meinen Anfängen vielleicht auch das ein oder andere Mal versucht, den Kopierschutz von Videospielen zu umgehen oder aus einer Demo- die Vollversion zu machen. Weil ich das alles spannend fand, habe ich dann auch Informatik als Studienfach gewählt. Während meines Studiums in Aachen bin ich dann in Kontakt mit dem Chaos Computer Club in Köln gekommen und hab dort viel Zeit verbracht. Zusammen mit Freunden habe ich dann zum Beispiel angefangen, mich mit der Sicherheit von Funknetzen zu beschäftigen. Dann wurden Honeypots mein Thema – das sind Computersysteme, mit denen Angreifer:innen angelockt werden sollen – und ich habe dazu meine Diplomarbeit geschrieben. Im Laufe der Zeit habe ich mich mehr und mehr auf IT-Sicherheit spezialisiert.

Hast du heute noch Spaß an dem, was du tust?

Ja, absolut! Nach der Promotion hatte ich auch interessant Angebote aus der Wirtschaft. Aber ich habe mich dann doch für die Wissenschaft entschieden, vor allem wegen der Freiheit, die man in der Forschung hat. Und die IT-Sicherheit ist und bleibt einfach ein spannendes und vielfältiges Thema. Was ich vor fünf Jahren gemacht habe, ist etwas ganz anders als das, was ich heute mache oder was es in 10 Jahren sein wird. Forschung in diesem Bereich ist nicht monoton, sondern sie entwickelt sich immer weiter. In den vergangenen drei, vier Jahren war ich allerdings auch viel mit administrativen Aufgaben betraut. Ich hoffe, dass ich am CISPA wieder mehr Zeit für die Forschung finden werde.

Woran forschst du gerade?

Wir beschäftigen uns derzeit vor allem mit Themen aus drei Bereichen. Der erste ist Software-Sicherheit. Da befassen wir uns vor allem mit dem sogenanten Fuzzing, also dem automatischen Aufspüren von Schwachstellen, und entsprechenden Schutzmechanismen, um Softwaresysteme robuster gegen Angriffe zu machen. Ein wichtiger Aspekt dabei ist Reverse Engineering. Diese Technik wird genutzt, wenn man keinen Zugriff auf den Source Code hat – also auf das, was ein Programmierer implementiert hat –, sondern nur den Binärcode anschauen kann, also das, was die Maschine letztlich ausführt. Der zweite Bereich ist die Schnittstellen von IT-Sicherheit und maschinellem Lernen. Wir haben zum Beispiel sogenannte "Adversarial Examples" untersucht, die die ML-Algorithmen zur Spracherkennung austricksen können. Dazu haben wir Smart Speaker wie Siri oder Alexa studiert und wir wollten herausfinden, ob und wie oft sie „aufwachen“ und mithören, obwohl ihre Nutzer:innen sie gar nicht angesprochen haben. Der dritte Bereich ist die Sicherheit von Mobilfunksystemen, insbesondere LTE. In diesem Bereich haben wir verschiedene Arten von Sicherheitslücken gefunden und praktisch demonstriert.

Kannst du mir ein Beispiel für ein Projekt nennen, bei dem die Binärcode-Analyse zum Einsatz kam?

Eines der spannendsten Projekte in den vergangenen Jahren war, dass wir uns im Kontext des Dieselskandals die Software von Motorsteuergeräten angeschaut haben. Die Automobilkonzerne haben uns dafür natürlich keinen Zugriff auf ihren Source Code gegeben. Anhand des Binärcodes konnten wir aber herausfinden, unter welchen Bedingungen eine Abgasnachbehandlung – also eine Filterung der Abgase stattfindet – und ob und an welchem Punkt diese Nachbehandlung verändert oder sogar abgeschaltet wird. Wir haben auch ein Tool entwickelt, mit dem sich innerhalb von wenigen Minuten eine solche Analyse automatisiert durchgeführt werden kann.

Auch das Projekt BASTION, für das du einen ERC Starting Grant erhalten hast, bewegte sich im Bereich Binärcode-Analyse. Die Förderung ist im Februar 2020 ausgelaufen. Um was ging es und was habt ihr herausgefunden?

Wir haben in diesem Projekt die Binärcode-Analyse deutlich vorangetrieben, insbesondere haben wir auf der Binärebene die Analysemethoden verbessert. Dabei haben wir sowohl offensiv gearbeitet, also Methoden zum Finden von Schwachstellen entwickelt, als auch auf der defensiven Seite neue Schutzmechanismen konzipiert. Wir wollten uns ursprünglich vor allem mit eingebetteten Systemen beschäftigen, denen man nicht immer gleich ansieht, dass sie Computer sind. Zum Beispiel Mikrocontroller in Autoschlüsseln. Letztlich haben wir dann aber doch viel mit Linux- und Windows-Systemen gearbeitet. Die Schwierigkeit bei der Binärcode-Analyse ist, dass die Befehle für verschiedene Prozessoren unterschiedlich aussehen. Um eine Analysemethode zu entwickeln, die für einen Intel-Prozessor genauso funktioniert wie beispielsweise für einen von ARM, mussten wir eine sogenannte „Intermediate Language“, also eine Art Mittlersprache, finden. Ein kleiner Übersetzer bringt die Daten von der Binärebene in die Zwischensprache und dann funktioniert die Analyse für alle Prozessoren. Wir haben im Projekt auch die Arbeit mit solchen Intermediate Languages ein gutes Stück weitergetrieben.

Im März hast du vom European Research Council Bescheid bekommen, dass du erneut gefördert wirst. Du und dein Team erhaltet einen Consolidator Grant und damit rund 2 Millionen Euro für das Projekt „Resilient and Sustainable Software Security", kurz RS3. Um was geht es in dem Projekt?

RS3 ist ein Forschungsprogramm, mit dem wir die Sicherheit von Softwaresystemen grundlegend verbessern wollen. Dafür entwickeln wir Gegenmaßnahmen auf verschiedenen Ebenen der Systeme. Wir haben dabei zwei konkrete Ziele: Einerseits muss das System gegen ganze Klassen von Angriffsvektoren widerstandsfähig sein. Andererseits muss es in der Lage sein, seine Sicherheit über die gesamte Lebensdauer aufrechtzuerhalten und sich möglicherweise sogar im Laufe der Zeit anzupassen. Unser Projekt geht das Problem auf vier Arten an: Erstens entwickeln wir neuartige Softwareteststrategien, die eine genaue und effiziente Entdeckung von Schwachstellen ermöglichen. Zweites entwerfen wir sichere Compilerketten, die schon während der Kompilierungsphase – also während Programmiersprache in Maschinensprache übersetzt wird – Sicherheitseigenschaften einbettet, die dann zur Laufzeit durchgesetzt werden können. Drittens entwickeln wir robuste Mechanismen, die fortgeschrittene Angriffe abschwächen und patchen. Viertens untersuchen wir, wie Hardwareänderungen für Open-Source-Hardware – das können zum Beispiel bestimmte Prozessoren sein – die Effizienz und Genauigkeit all dieser Maßnahmen verbessern können.


Warum hast du dich für den Wechsel ans CISPA entschieden und bei welchen Themen siehst du Anknüpfungspunkte zu den Forscher:innen hier?

Überzeugt hat mich letztlich, dass das CISPA ein sehr großes Zentrum werden soll, das IT-Sicherheit ganzheitlich mit vielen Facetten sieht. Aber natürlich freue ich mich vor allem auch auf das andere Umfeld und die neuen Kolleg:innen. Es gibt in meiner Forschung ja auch einige Überschneidungen mit anderen CISPA-Forscher:innen. So beschäftigt sich zum Beispiel Andreas Zeller mit Softwaretests, viele Personen arbeiten im Bereich Systemsicherheit, und Mario Fritz ist wie ich im Bereich Machine Learning aktiv. Aber auch in den Bereichen Usable Security und Web Security gibt es sicher Anknüpfungspunkte mit Katharina Krombholz oder Ben Stock. Viele der CISPA-Forscher:innen kenne ich  auch schon von Konferenzen. Darüber hinaus haben auch persönliche Gründe eine Rolle gespielt, meine Familie und Freunde werde ich in Zukunft öfter sehen können.

Gibt es im Bereich IT-Sicherheit ein Problem, das du gerne noch in deiner aktiven Forscherzeit gelöst sehen möchtest oder unbedingt selbst noch lösen möchtest? Was ist für dich der Endgegner?

Ohje, da gibt es viele! Ich glaube mittlerweile haben wir ein relativ gutes Verständnis dafür, wie man Algorithmen sicher designen kann, das Hauptproblem sind die praktische Umsetzungen. Komplexe Softwaresysteme auch sicher zu implementieren ist vielleicht die größte Herausforderung der nächsten zehn oder 20 Jahre. Es gibt aber unheimlich viele Bausteine auf dem Weg zu robusten Systemen, die gegen alle Arten von Schwachstellen abgesichert sind. Ich glaube arbeitslos, werden wir alle so schnell nicht.