E-mail senden E-Mail Adresse kopieren
Tobias Ebelshäuser | © Tobias Ebelshäuser

Tobias Ebelshäuser

2023-10-13
Felix Koltermann

Unsere neue Faculty: JavaScript-Analyse-Expertin Aurore Fass

Die vergangenen zwei Jahre war Dr. Aurore Fass in den USA am CISPA-Stanford Center for Cybersecurity, ein gemeinsames Zentrum für Cybersicherheitsforschung zwischen dem CISPA und der Stanford University. Seit dem 1. September ist sie Faculty im Tenure-Track-Programm am CISPA. Ihre Forschung konzentriert sich auf Sicherheitslücken bei der Programmiersprache JavaScript. Was genau sie daran interessiert und worauf ihre Forschungsschwerpunkte liegen, erzählte sie uns im Gespräch.

Als Aurore Fass sich vor zwei Jahren entschied, als Visiting Assistant Professor an die amerikanische Elite-Universität Stanford zu gehen, hatte sie im Kopf schon den Plan, im Anschluss nach Deutschland zurückzukehren. „Mein Wunsch war, zurück ans CISPA zu kommen und als Faculty anzufangen, was glücklicherweise auch geklappt hat. Ich wollte nach Stanford gehen, dort viel forschen, eine Menge lernen, viele Kontakte knüpfen und all das zurück ans CISPA zu bringen“, erzählt sie. Gefallen hat ihr an Stanford der enge Kontakt zu Studierenden, die durch ihre Themen Fass‘ Forschungshorizont erweitert haben, sowie das exzellente Netzwerk der Uni. „Es gibt dort viele tolle Kontakte zur Industrie. Wir haben zum Beispiel ein Paper in Zusammenarbeit mit Google verfasst und Zugang zu einem erstaunlichen Datensatz erhalten. Diese Forschung wäre ohne den Kontakt und den Zugang zu den Daten nicht möglich gewesen“, führt sie weiter aus.

Die Website-Infrastruktur im Hintergrund: JavaScript

Treu geblieben ist Fass ihrem Forschungsschwerpunkt JavaScript (JS), einer der am weitesten verbreiteten Programmiersprachen für Websites. „JS unterstützt die Art und Weise, wie Websites erstellt werden. Inzwischen verwenden über 95 % der Websites JS. Damit können Websites dynamischer gestaltet werden und sehen schicker aus.“ Warum die Beschäftigung mit JS aus Perspektive der Websicherheit und des Datenschutzes interessant ist, erklärt sie folgendermaßen: „Es gibt verschiedene Szenarien. Die erste Variante ist bösartiger JS-Code. In diesem Fall versucht der Code, die Sicherheit oder die Privatsphäre der Webnutzer:innen zu beeinträchtigen. Es kann zum Beispiel bösartiger JS-Code vorhanden sein, der versucht, Schwachstellen einer Website auszunutzen. Die zweite Möglichkeit ist verwundbarer JS-Code. Dabei geht es um eine normale Website, bei der die Entwickler:innen zwar gute Absichten hatten, die aber einige Schwachstellen im Code aufweist. Das bedeutet, dass Angreifer:innen versuchen könnten, diese Schwachstellen auszunutzen, um bösartige Aktivitäten durchzuführen.“

Kleine Helfer mit großen Problemen: Browser-Erweiterungen

Ein zweites Standbein ihrer Forschung, das sich aus der Beschäftigung mit JS entwickelt hat, sind sogenannte Browser-Erweiterungen. „In einer Studie haben wir über Hunderttausend Browser-Erweiterungen untersucht“, erzählt Fass. Dabei kam heraus, dass es dort massive Sicherheitslücken gibt. In einem zweiten Schritt wandte sie sich an die Entwickler:innen. „Wir haben dann 48 Entwickler:innen kontaktiert, aber es haben weniger als 10% geantwortet“.  Dieses Desinteresse der Entwickler:innen hat Folgen für die Behebung von Schwachstellen in Browser-Erweiterungen: „Es scheint niemanden wirklich zu interessieren, und vielleicht haben Entwickler:innen auch keine Anreize, die Schwachstellen zu beheben“, erzählt Aurore. Darüber kann die Behebung von Schwachstellen auch aus Programmierperspektive herausfordernd sein, was laut Fass eine weitere Hürde darstellt.

Die User:innen-Perspektive und Bias in der Forschung

Zuletzt hat Fass in ihrer Forschung den Blick auf die User:innen gericht. „Wir haben analysiert, wie die Nutzer:innen ihre Zeit im Internet verbringen, welche Websites sie besuchen“, erklärt sie. Dahinter stand die Vermutung, dass der in der Cybersicherheitsforschung weit verbreitete Ansatz, mit einer Top 1000-Liste der global am meisten besuchten Websites zu arbeiten, Schwachstellen aufweist. „Es gibt nur eine globale Liste, die für Nutzer:innen auf der ganzen Welt repräsentativ sein soll. In der Praxis gibt es jedoch einige Verzerrungen. Der Offensichtlichste ist zum Beispiel, dass diese globalen Listen nicht die beliebten Websites einzelner Länder beinhalten“, so Fass weiter. Sie hat herausgefunden, dass es nicht nur zwischen dem Surfverhalten in verschiedenen Ländern große Unterschiede gibt, sondern auch was die unterschiedliche Nutzung auf verschiedenen Geräten, etwa Windows-Desktop und dem Android-Handy angeht. „Da die Nutzer:innen auf den Geräten unterschiedliche Dinge tun, verpassen wir alles, was auf den Smartphones passiert, wenn wir nur nach Websites suchen, die die Leute auf ihrem Laptop besuchen“, so ihre Schlussfolgerung.

Bewusstes Surfen im Netz und ein Auftrag

Gefragt danach, inwiefern ihre Arbeit ihr eigenes Surfverhalten beeinflusst hat, gibt sie eine klare Antwort: „Ich denke oft, dass ich angesichts all der Probleme mit der Internetsicherheit und dem Datenschutz den Computer gar nicht benutzen möchte, weil so viele schlimme Dinge passieren können. Grundsätzlich bin wahrscheinlich etwas vorsichtiger, weil ich einige der Risiken kenne.“ So versucht sie, etwa bei der Eingabe von Kreditkarteninformationen oder sensiblen Daten zu prüfen, ob sie eine Website wirklich kennt. „Außerdem versuche ich aufgrund meiner Forschung zu Browsererweiterungen, diese komplett zu vermeiden“, ergänzt Fass. Ihr Antrieb für die Forschung ist dabei, der Gesellschaft etwas Gutes zu tun. „Ich denke ich trage dazu bei, die Welt oder das Internet sicherer zu machen“, erzählt sie. „Mir gefällt die praktische Auswirkung meiner Forschung und die Möglichkeit, die Forschungsergebnisse zu nutzen, um das Internet sicherer zu machen. Das passiert oft über Startups oder Unternehmenskooperationen. Durch solche Verbindungen bringt das CISPA Forschungsergebnisse in die Anwendung.“