„Keine Software schützt so wirksam wie ein gut ausgebildeter Mensch“

Mit Softwaresicherheit befasst sich Professor Johannes Kinder auch auf Ebene des Heim-PCs. „Auch Rechner, die nur für Spiele und YouTube-Videos genutzt werden, müssen geschützt werden. Bankgeschäfte sind keineswegs sicher, nur weil sie auf einem separaten Gerät laufen“, so der Informatiker. „Ist Malware erst mal auf einem Computer in meinem Haushalt, kann sie leicht auch auf andere Geräte übergreifen – etwa durch ein geteiltes Netzlaufwerk. Denn damit eröffne ich prinzipiell schon einen Datenkanal.“

Seit April vergangenen Jahres hat Johannes Kinder den Lehrstuhl für Programmiersprachen und Künstliche Intelligenz an der LMU inne und sagt: „Man muss das Gesamtsystem schützen, nicht nur eine einzelne Hardware.“ Er hatte an der Technischen Universität (TU) München Informatik studiert und seinen Doktortitel im selben Fach an der TU Darmstadt erworben, bevor er an der École Polytechnique Fédérale de Lausanne als Postdoktorand arbeitete. Als Professor wirkte er zunächst an der Royal Holloway University of London und anschließend am Forschungsinstitut CODE der Universität der Bundeswehr München.

„Mein Forschungsschwerpunkt liegt auf der Absicherung von Software durch automatisierte Methoden“, erklärt der Informatiker. „Wir entwickeln Systeme, um Software zu analysieren, ihre Eigenschaften und ihren Zweck zu verstehen und sie gegen Angriffe zu schützen.“ Dabei befasst er sich einerseits mit Software, die unbeabsichtigt Sicherheitslücken aufweist, andererseits mit sogenannter Malware, die gezielt dafür entwickelt wurde, Angreifern die Kontrolle fremder Systeme zu erlauben.

Verräterische Diät-Apps

Die Programme, Methoden und Algorithmen, die das Verhalten solcher Software bewerten sollen, schreibt sein Team einerseits selbst. „Dies geschieht in statischen Analysen, aber auch dynamischen Laufzeitüberwachungen. Der Mensch gibt dem Programm eine Art Richtlinie vor mit Spezifikationen, was verboten ist – etwa bestimmte Daten zu verschicken.“

In jüngerer Zeit versuchen die Forschenden parallel dazu, das Verhalten von Programmen auch mithilfe Maschinellen Lernens zu bewerten. Dazu trainiert man die KI, die Charakteristika harmloser und schädlicher Software vollautomatisch zu erkennen. „An meinem Lehrstuhl betreiben wir dazu Grundlagenforschung mit Anwendungsbezug. Wir entwickeln also Methoden, auf denen spätere Tools basieren können.“

Derzeit prüft man zum Beispiel Smart-Home-Geräte, JavaScript-Pakete für Web-Infrastrukturen oder gängige Android-Apps auf Schwachstellen. „Eine Shopping-Liste zum Beispiel kann von praktisch jeder anderen App ausgelesen werden – mit harmlosen Items, aber auch Positionsdaten.“ Im Blick seiner Forschung sind zudem Diät-Apps, die Gewicht und Gesundheit tracken und Angreifern über unbeabsichtigte Fehlkonfigurationen Zugriff auf sensible Daten geben könnten.

Ein derzeit „heißes Thema“ in seinem Forschungsgebiet sei es, wie Programme in Bezug auf Malware automatisch dazulernen und sich auf dem neuesten Stand halten könnten. „Das ist gar nicht so leicht, denn Malware verändert sich schnell und macht mit jedem neuen Betriebssystem auf dem Markt andere Dinge.“ Nicht immer genüge es da, nur die Trainingsdaten anzupassen; stattdessen müsse man oft die gesamte Architektur des Systems verändern.

KI in Antiviren-Programmen

Noch sei auch die Frage nicht gelöst, ob hauptsächlich der Mensch oder die Maschine diesen Prozess steuern sollte. Denn obschon KI heute vieles selbstständig leisten könne und viele Antiviren-Programme für den PC schon Elemente Maschinellen Lernens enthielten: „Keine Software wird einen so schützen wie gut ausgebildete menschliche Experten, weil diese auf unvorhergesehene sicherheitskritische Situationen flexibler reagieren können“, so Kinder. „Das gilt gerade im Sicherheitsbereich etwa des Militärs oder des öffentlichen Gesundheitswesens mit ihren sehr unterschiedlichen, hochdynamischen Angriffsszenarien.“

In der Forschung hofft Johannes Kinder auf Kooperationen mit den zahlreichen KI-Initiativen im breiten fachlichen Spektrum der LMU. Aber auch in der Lehre gewinne das Thema Datensicherheit immer mehr an Bedeutung. „In meinem Informatikstudium gab es damals nur eine Vorlesung dazu.“ Das habe sich sehr stark ausgeweitet – und müsse in der Zukunft in allen relevanten Bereichen mitgedacht werden. „Denn Sicherheit schon in Programmiervorlesungen einzubauen“, so Kinder, „kostet sehr viel weniger, als sie später irgendwie auf die Programme aufzupfropfen."