Komplexe Systeme vertrauenswürdiger machen: System-Sicherheitsexperte Thorsten Holz wird wissenschaftlicher Direktor am MPI-SP
Der Experte für Systemsicherheit Thorsten Holz tritt im Juli in das Max-Planck-Institut für Sicherheit und Privatsphäre ein. Seine Forschung konzentriert sich auf die Verbesserung der Widerstandsfähigkeit komplexer Softwaresysteme gegen neue Bedrohungen, um die Entwicklung robuster und sicherer Architekturen zu ermöglichen, die für den Aufbau vertrauenswürdiger digitaler Systeme unerlässlich sind. Holz ist nicht nur für seine Arbeit im Bereich der Softwaresicherheit bekannt, sondern auch für die Anwendung seiner Forschungsergebnisse zur Lösung realer Probleme, wie beispielsweise die Verbesserung der Speichersicherheit oder das Verständnis der Interaktion zwischen Mensch und System.
Holz und sein Team sind auf Systemsicherheit spezialisiert und befassen sich mit einer Vielzahl von Herausforderungen, darunter die Analyse, Modellierung, Konzeption, Implementierung und gründliche Validierung komplexer Softwaresysteme. Ein vorrangiges Ziel seiner Arbeit ist die Entwicklung innovativer Methoden, die Softwareentwicklern und Sicherheitsanalysten helfen, vertrauenswürdige Systeme auf effiziente und skalierbare Weise zu testen und aufzubauen. Da fortschrittliche ML-basierte Systeme aus vielfältigen Anwendungen nicht mehr wegzudenken sind, ist die Gewährleistung ihrer Sicherheit und Privatsphäre zu einer kritischen und komplexen Herausforderung geworden, der er sich ebenfalls stellt.
Eines der aktuellen Forschungsthemen ist Fuzzing, eine automatisierte Methode zum Testen von Software, bei der ein Programm mit großen Mengen zufälliger Eingabedaten versorgt wird, um Schwachstellen aufzudecken. Stürzt das Programm ab oder verhält es sich unerwartet, deutet dies auf eine Sicherheitslücke hin. Diese Methode ist besonders effektiv, um subtile Fehler zu entdecken, die mit herkömmlichen Testverfahren nur schwer zu finden sind. Durch den großflächigen Einsatz von Fuzzing ist es dem Team gelungen, Hunderte von sicherheitskritischen Fehlern in weit verbreiteter Software wie Webbrowsern und Betriebssystemen zu identifizieren. „Ein wichtiges Ziel meiner Arbeit ist es, die Lücke zwischen theoretischen Sicherheitsmodellen und ihrer praktischen Anwendung in realen Systemen zu schließen“, sagt Holz. Die daraus resultierenden Tools werden unter Open-Source-Lizenzen veröffentlicht und stehen der Forschungsgemeinschaft und der Industrie frei zur Verfügung. Das Team arbeitet auch eng mit Unternehmen zusammen, um die praktischen Auswirkungen seiner Arbeit zu bewerten. So nutzen beispielsweise große Technologieunternehmen wie Google, Mozilla und Intel die Testverfahren des Teams, um Schwachstellen in ihrer Software zu identifizieren und zu beheben, was zu mehr Sicherheit beim Surfen im Internet und bei der Computernutzung für Milliarden von Nutzern beiträgt.
Die praktische Anwendbarkeit von Holz' Forschung zeigt sich auch im Weltraum. Zusammen mit Kolleg*innen der Ruhr-Universität Bochum führte Holz und sein Team eine experimentelle Sicherheitsbewertung der Firmware von drei realen Satelliten in der erdnahen Umlaufbahn durch. Sie identifizierten mehrere Sicherheitslücken, darunter ungeschützte Befehlsschnittstellen und fehlende Zugriffskontrollen, die es ihnen ermöglichten, zwei der drei untersuchten Satelliten vollständig zu kompromittieren. Basierend auf einer anonymen Umfrage unter 19 Mitarbeiter*innen aus der Satellitenindustrie und Raumfahrtbehörden stellte das Team eine weit verbreitete Abhängigkeit von „Sicherheit durch Verschleierung“ fest, wobei den meisten Systemen grundlegende Schutzmaßnahmen wie Verschlüsselung und Authentifizierung fehlten. Das Team warnt vor den Risiken dieses Ansatzes und möchte alle Beteiligten zusammenbringen, um bessere Sicherheitsstandards für den Weltraumsektor zu entwickeln.
Neben technischen Aspekten interessiert sich Holz auch dafür, wie Menschen mit Systemen interagieren und welche Gefahren künstlich generierte Medien bergen. So konzentrierte sich seine Arbeit beispielsweise auf die algorithmische Erkennung von Medien, die durch maschinelles Lernen generiert wurden, und die menschliche Wahrnehmung solcher Inhalte. Im Rahmen dieser Forschung führte das Team eine groß angelegte, länderübergreifende Umfrage zur Fähigkeit des Menschen durch, künstlich generierte Audio-, Bild- und Textinhalte zu unterscheiden, an der etwa 3.000 Teilnehmer*innen aus den USA, Deutschland und China teilnahmen. Die Ergebnisse zeigen, dass modernste synthetische Medien von realen Inhalten kaum zu unterscheiden sind und die meisten Teilnehmer im Wesentlichen raten mussten, ob diese von Menschen oder Maschinen generiert wurden. Die Ergebnisse liefern wichtige Erkenntnisse über die Fähigkeit der Öffentlichkeit, authentische Medien von künstlich generierten Inhalten zu unterscheiden. Dieses Wissen dient als Grundlage für die Entwicklung effektiverer Erkennungswerkzeuge und Bildungsstrategien.
Thorsten Holz wird im Juli zum Max-Planck-Institut für Sicherheit und Privatsphäre wechseln, wo er die Abteilung für Systemsicherheit leiten wird. „Ich freue mich sehr, Teil des MPI-SP zu werden und zum lebendigen Forschungsumfeld in Bochum und der gesamten Max-Planck-Gesellschaft beizutragen“, sagt Holz. „Die Zusammenarbeit mit führenden Expert*innen für Sicherheit und Privatsphäre wird viele spannende Möglichkeiten eröffnen. Ich freue mich darauf, die Grundlagenforschung im Bereich Systemsicherheit voranzutreiben und zum Aufbau vertrauenswürdigerer Computersysteme beizutragen, die den komplexen Bedrohungen von heute und morgen standhalten können.“