"Daten sind das Öl der Wissensgesellschaft"

Quantenkryptographie - was ist denn das eigentlich? Die Informatikerin Claudia Eckert erklärt, wie man Soft- und Hardware sicher macht gegen Cyberangriffe. Ein Interview mit bmbf.de


Frau Eckert, in Ihrem Labor testen Sie Software auf ihre Sicherheit. Um welche Software handelt es sich da?

Wir testen hier ein ganzes Spektrum an Software-Produkten, angefangen bei Apps, über Anwendungssoftware, wie Bezahllösungen oder Lösungen für einen sicheren Fernwartungszugriff auf Maschinen und Anlagen, bis hin zu komplexen Web-Anwendungen. Wir testen aber auch eingebettete Software, beispielsweise in elektronischen Steuergeräten von Automobilen oder in sicherheitskritischen Komponenten von Industrieanlagen. In unseren Laboren gehen wir bis auf die Chip-Ebene hinunter, um zu prüfen, ob beispielsweise Verschlüsselungsverfahren in Smartcards oder anderen Zugangstoken sicher und vertrauenswürdig umgesetzt sind, oder ob es möglich ist, sensitive Daten aus den Chips auszulesen. Das heißt, wir sind sogar in der Lage, die Hardware-Chips, auf denen die Software ausgeführt wird, zu prüfen. In eingebetteten Systemen ist es immens wichtig, sowohl die Software als auch die Hardware zu prüfen, da Sicherheitslücken in der Hardware allein durch Software kaum mehr behoben werden können.

Wie muss man sich als Außenstehender einen solchen Sicherheitstest vorstellen?

Wir identifizieren unter Anwendung unserer Analysemethoden systematisch vorhandene Schwachstellen und zeigen dann mögliche Wege auf, wie diese Schwachstellen durch gezielte Attacken ausgenutzt werden können. Dazu nutzen wir natürlich vorhandenes Wissen über Angriffsmöglichkeiten, ergänzen dieses Wissen jedoch um die neuesten Forschungsergebnisse zu neuen, zum Teil komplexen Angriffstechniken. Dabei greifen wir auf die an unserem Institut entwickelten, fortschrittlichen Analyse- und Testwerkzeuge zurück. Angefangen bei Test-Werkzeugen zur Testautomatisierung, über spezielle Laborumgebungen wie unser Mobilfunk- oder Hardware-Labor, bis hin zu komplexen Verfahren für statische und dynamische Blackbox-Analysen. Das heißt, dass wir Sicherheitstests natürlich auch ganz praktisch durchführen, um die tatsächliche Verwundbarkeit der getesteten Systeme zu verdeutlichen.

Für wen machen Sie diese Tests?

Unsere Kunden sind Hersteller, Zulieferer und Anwender unter anderem aus den Bereichen der Chipkartensysteme, Telekommunikation, der Finanzbranche, des Automobilbaus und dessen Zulieferindustrie, Logistik und Luftfahrt, mittelständische Unternehmen aus dem Maschinenbau und der Automatisierungstechnik, aus dem Gesundheitswesen ebenso wie aus der der Software-Industrie und dem öffentlichen Sektor.

Welches Ziel verfolgen Sie bei ihrer Arbeit?

Unser Ziel ist es, Unternehmen darin zu unterstützen, ihre Infrastrukturen wie Büro-Umgebungen, Produktionsanlagen, Geschäftsprozesse, Vertriebsnetze, sowie ihre Anwendungen und Diensteplattformen sicher und verlässlich zu betreiben. Gemeinsam mit dem Kunden entwickeln wir einen wirksamen Schutz vor Wirtschaftskriminalität, Wirtschaftsspionage und ungewolltem Datenverlust.

Warum ist die Förderung des IT-Sicherheitsforschungsprogramms durch die Bundesregierung so wichtig?

Durch die zunehmende IKT-Durchdringung und die digitale Transformation aller gesellschaftlichen und wirtschaftlichen Systeme und Prozesse – Gesundheit, Mobilität, Produktion, Energieversorgung – entsteht eine immense Abhängigkeit von der Zuverlässigkeit und Vertrauenswürdigkeit der IKT-Systeme. Daten sind quasi das Öl der Wissensgesellschaft. Wer die Daten kontrolliert, beherrscht die Systeme und Innovationen.

Und was heißt das konkret?

IT-Sicherheit ist essentiell, um Daten vor Missbrauch und Diebstahl zu schützen, und um zu verhindern, dass Daten und Systeme gezielt manipuliert und in ihrer Funktionalität beeinträchtigt werden. Forschung in dem Bereich ist dringend erforderlich, um robuste und zukunftssichere Sicherheitslösungen zu entwickeln, diese in komplexen Szenarien zu erproben und hohe Qualitätsstandards zu setzen.

Welchen Beitrag kann die Forschung leisten?

Deutschland ist bei eingebetteten Systemen und bei Hardware-Sicherheit weltweit führend. Diese Stärke sollte man ausbauen. Um das Know-how insbesondere der innovativen mittelständischen Unternehmen zu schützen, wird modernste Sicherheitstechnologie benötigt, sonst ist unsere Stellung am Weltmarkt gefährdet. Forschung muss deshalb jetzt ansetzen, um mit neuen Ansätzen zukünftige Entwicklungen sicher zu gestalten. Besonders vielversprechend ist auch die Forschung zur Quantenkryptographie. Sie ist in der Lage, einen Kommunikationskanal abhörsicher zu machen. Rein physikalisch kann durch Quantentechnik festgestellt werden, wenn sich ein Dritter in eine Leitung einklinkt.