Software ist zu einem elementaren Bestandteil unseres Alltags geworden. Nutzer:innen nehmen meist nur die Programme wahr, mit denen sie über grafische Oberflächen interagieren. Damit diese einwandfrei funktionieren, sind im Hintergrund jedoch zahlreiche weitere Komponenten aktiv, etwa die JavaScript-Engine eines Webbrowsers. Diese Art von Software interessiert Dr. Moritz Schloegel und zwar insbesondere deren Schwachstellen. Sein Forschungsgebiet ist die Softwaresicherheit und Programmanalyse. „Mein Schwerpunkt liegt auf der Automatisierung der Programmanalyse, insbesondere beim Auffinden von Bugs und Sicherheitslücken“, erläutert Schloegel. „Mein Ziel ist, Software sicherer zu machen.“
Das CISPA kannte er bereits aus seiner Promotionszeit, als sein Doktorvater Prof. Dr. Thorsten Holz an das Zentrum wechselte. Schloegel schloss seine Promotion an der Ruhr-Universität Bochum ab und ging anschließend als Postdoc an die Arizona State University in den USA. „Eine völlig neue Erfahrung, war die Größe des Labors: Wir hatten rund vierzig PhD-Studierende, dazu mehrere Postdocs und Professor:innen. Interessant war, wie stark dort alles über externe Förderung und Projekte organisiert wird“, erzählt er. Am CISPA hat ihn besonders beeindruckt, wie viel gemeinschaftlicher Einsatz in die Forschung fließt. „Es gibt hier einen sehr hohen Anspruch an exzellente Forschung und ein tolles Team“, betont er. „Diese Kombination macht das CISPA für mich besonders attraktiv.“
Wie aus einer Bachelorarbeit eine wissenschaftliche Karriere wurde
Für eine wissenschaftliche Laufbahn entschied sich Dr. Moritz Schloegel erst relativ spät im Studium. „Am Anfang meines Studiums wollte ich auf keinen Fall promovieren. Mein Plan war eher: Bachelor, Master, dann arbeiten“, erzählt er. „Mein Bachelorarbeitsbetreuer hat mir dann vorgeschlagen, aus meiner Bachelorarbeit ein Paper zu machen. Das hat mir überraschend viel Spaß gemacht.“ Diese positive Erfahrung motivierte ihn zur Promotion. Dort erfuhr er, wie viel Freude ihm die Forschung macht. „Neues zu lernen und Themen zu erkunden, ohne das Ziel genau zu kennen, ist unglaublich spannend“, sagt der Forscher. „Besonders erfüllend ist es, Wissen weiterzugeben und Studierende auf ihrem Weg zu begleiten.“ Diese Erfahrungen haben ihn überzeugt, sein Leben der Forschung zu widmen.
Spezialisierung auf automatisierte Programmanalyse
Bugs zu finden vergleicht Schloegel mit einer Schatzsuche: „Man findet etwas, das so nicht vorgesehen war und das selbst die Entwickler:innen übersehen haben. Es ist ein gutes Gefühl Probleme zu beseitigen, bevor sie ausgenutzt werden können. Denn gerade bei Browsern hätte das direkte Auswirkungen auf sehr viele Menschen.“ Ein zentraler Ansatz, um Schwachstellen zu finden, ist das sogenannte Fuzzing. Dabei erzeugen spezielle Programme automatisiert sehr viele Eingaben, führen das Programm aus und analysieren sein Verhalten. Führt eine Eingabe zu einem Absturz oder zu unerwartetem Verhalten, untersuchen Forschende sie genauer. So entsteht ein automatisierter Kreislauf, mit dem Forschende große Mengen an Code effizient testen können.
Ohne Automatisierung muss Code manuell analysiert werden. „Es gibt Menschen, die das extrem gut können. Das Problem ist jedoch, dass sich das nicht gut auf große Mengen Code skalieren lässt“, erklärt Schloegel. „Heute werden Millionen Zeilen Code geschrieben, zunehmend auch automatisiert durch KI-Systeme. Das alles manuell zu prüfen, ist schlicht nicht möglich. Deswegen ist Fuzzing ein so wichtiger Baustein.“ Noch nicht vollständig automatisiert sind jedoch Prozesse wie die Bewertung gefundener Schwachstellen oder das automatische Beheben von Fehlern. Genau hier sieht Schloegel großes Potenzial für zukünftige Forschung.
Reproduzierbarkeit in der Forschung
Ein weiteres Thema, mit dem sich Schloegel beschäftigt, ist die Reproduzierbarkeit wissenschaftlicher Ergebnisse. „Uns ist aufgefallen, dass im Fuzzing-Bereich Ergebnisse oft nur schwer reproduziert werden können. Das liegt an der starken Abhängigkeit von Zufall und kleinen Details“, so der Forscher. In diesem Zusammenhang kritisiert er auch das System der CVE-Identifiers, ein Standard zur Dokumentation von öffentlich bekannten Sicherheitslücken. Seiner Ansicht nach fehlt es dort teilweise an sorgfältiger Prüfung der gemeldeten Sicherheitslücken. „Dadurch entstehen Fehlanreize, CVEs zu sammeln, um Forschungsergebnisse besser aussehen zu lassen. Das wirft ethische und wissenschaftliche Fragen auf“, erklärt Schloegel. Diese Themen seien zwar nicht sein Hauptfokus, aber sehr wichtig zur Weiterentwicklung seines Forschungsfeldes: „Sie betreffen die Qualität und Glaubwürdigkeit unserer Forschung. Deshalb engagiere ich mich auch in Workshops und Diskussionen zu diesen Fragen.“
Tenure-Track und der Aufbau einer Forschungsgruppe
Eine der größten Herausforderungen für ihn ist momentan der Aufbau seiner Forschungsgruppe. „Passende Leute zu finden, ist echt schwer“, so der CISPA-Forscher. „Mein Forschungsbereich ist sehr tief in den technischen Grundlagen von Software angesiedelt, und dieses Wissen wird im Studium oft nur angerissen. Das erfordert viel Eigeninitiative und Übung. Deswegen ist der Pool an Interessierten national wie international sehr klein.“ Langfristig möchte er über die Lehre gezielt Nachwuchs fördern: „Ich plane eine Vorlesung zu Reverse Engineering und Exploitation, in der Studierende die Grundlagen praktisch anwenden können“, sagt Schloegel. „Durch Übung und Wiederholung lassen sich diese Fähigkeiten entwickeln.“ So möchte er nicht nur seine eigene Forschungsgruppe aufbauen, sondern langfristig das gesamte Forschungsfeld der automatisierten Programmanalyse mitgestalten.
