ITES: Innovative Trustworthy End-Point Security

Welt­weit hat die An­zahl mit Schad­soft­ware in­fi­zier­ter Rech­ner­sys­te­me im pri­va­ten und wirt­schaft­li­chen Be­reich ein hohes Aus­maß er­reicht. Hoch tech­ni­sier­te Län­der wie Deutsch­land ma­chen hier kei­nen Un­ter­schied, je­doch sind die durch Schad­soft­ware ent­ste­hen­den Schä­den in tech­nisch weit ent­wi­ckel­ten Län­dern weit­aus gra­vie­ren­der. Um sol­che An­grif­fe prä­ven­tiv zu ver­hin­dern, muss es das Ziel sein, Rech­ner­sys­te­me mög­lichst um­fang­reich gegen Schad­soft­ware zu schüt­zen. Ak­tu­el­le Si­cher­heits­lö­sun­gen bie­ten hier be­reits um­fang­rei­che Maß­nah­men, sind aber sel­ber der Ge­fahr der Ma­ni­pu­la­ti­on durch Schad­soft­ware aus­ge­setzt. Es be­steht hier­bei die Ge­fahr eines „Lying End-Point“, bei dem eine manipu­lier­te Si­cher­heits­soft­ware vor­gibt, dass das Rech­ner­sys­tem sau­ber sei. Es gilt daher eine neue Ar­chi­tek­tur zu schaf­fen, die die Vertrau­ens­wür­dig­keit eines Si­cher­heits­sys­tems an­hand einer be­weis­ba­ren In­te­gri­tät ge­währ­leis­tet und somit An­grif­fe im Kern ver­hin­dert.

Im Rah­men des Teil­pro­jekts „Er­ken­nung, Ana­ly­se und Re­ak­ti­on auf Schad­sof­wa­re in vir­tu­el­len Ma­schi­nen“ des Pro­jekts „In­no­va­ti­ve Trust­wor­thy End­point Se­cu­ri­ty“ (iTES) wird er­forscht, mit wel­chen Me­tho­den und Tech­ni­ken vir­tu­el­le Ma­schi­nen ef­fek­ti­ver vor ver­schie­de­nen Arten von Schad­soft­ware ge­schützt wer­den kön­nen. Dazu wird in einem ers­ten Schritt ge­mein­sam mit den Pro­jekt­part­nern ein Re­fe­renz­sys­tem spe­zi­fi­ziert, auf des­sen Basis in den spä­te­ren Ar­beits­pa­ke­ten ein Pro­to­typ ent­wi­ckelt wird, der die Erkennungs­- und Re­ak­ti­ons­me­tho­dik um­setzt. Der Schwer­punkt der Ar­beit liegt auf zwei As­pek­ten: Ei­ner­seits wird er­forscht, mit wel­chen Me­tho­den ef­fi­zi­ent Ano­ma­li­en (ins­be­son­de­re Schad­soft­ware) in vir­tu­el­len Ma­schi­nen er­kannt wer­den kön­nen und auf wel­che Art und Weise eine Re­ak­ti­on auf einen Schadsoftware-­Befall erfol­gen kann. Um Schad­soft­ware gründ­li­cher ana­ly­sie­ren zu kön­nen wird an­de­rer­seits eine Schnitt­stel­le zu einem Hy­per­vi­sor ent­wi­ckelt, um zur Lauf­zeit In­for­ma­tio­nen über den Sys­tem­zu­stand sam­meln zu kön­nen.