Harvester gewinnt 6. Deutschen IT-Sicherheitspreis
Die Horst Görtz Stiftung vergibt zum sechsten Mal 200.000 Euro für zukunftsweisende umsetzbare Ideen. Erster Preisträger wird dieses Jahr Harvester, eine Software zur vollautomatischen Extraktion von Laufzeitwerten aus Android-Apps.
Schadcode ist in aktuellen Android-Anwendungen schwer zu entdecken, weil sich die Software aktiv davor schützt, analysiert zu werden, sei es durch Verschleierung (Obfuscation) des Programmcodes oder die Entdeckung einer Emulationsumgebung. Um eine Sicherheitsanalyse solcher Apps zu unterstützen, sucht das nun mit dem IT-Sicherheitspreis ausgezeichnete Werkzeug Harvester im Bytecode der Anwendung nach verdächtigen Kommunikationsmustern und extrahiert die Laufzeitwerte etwa von Funktions-Parametern, indem es Teile des Programmcodes extrahiert und in einer eigenen Laufzeitumgebung ausführt. Ohne die eigentliche App zu starten, kann Harvester entdecken, welche Internetverbindungen die Software aufbauen würde, oder welche SMS sie verschicken würde.
Das Team hinter Harvester, Siegfried Rasthofer, Steven Arzt und Marc Miltenberger, alle vom Fraunhofer Institut SIT und der TU Darmstadt, sowie Prof. Dr. Eric Bodden vom Heinz Nixdorff Institut an der Universität Paderborn, erhalten für ihre Arbeit den mit 100.000 Euro dotierten ersten Preis.
Der mit 60.000 Euro dotierte zweite Preis geht an das Projekt "Joern" um Prof. Dr. Konrad Rieck von der Universität Braunschweig. Joern vereint Maschinelles Lernen, Programmanalyse und Graph-Mining, um automatisiert Schwachstellen in komplexen Softwaresystemen aufspürt, die mit aktuellen Softwarewerkzeugen nicht entdeckt werden können.
Der dritte Preis wurde an Dr. Sebastian Pape von der Goethe-Universität Frankfurt und Dr. Kristian Beckers von der TU München vergeben. Sie nutzen "Serious Games" für die Abwehr von Social Engineering Attacken auf den Layer 8. Durch ein einfaches Kartenspiel sollen Menschen lernen, bestimmte Betrugsmaschen zu erkennen und sich gegen diese zu wappnen.
Kritik an Desinteresse der Politik
Stifter Horst Görtz kündigte bei der Verleihung der Preise am CRISP (Center for Research in Security and Privacy) in Darmstadt an, beim nächsten IT-Sicherheitspreis keinen Schirmherren mehr unter den Berliner Spitzenpolitikern zu benennen. In sechs Jahren hätten sich nur zwei Schirmherren auch zur Preisverleihung bemüht. Seine Wertung "Cybersecurity interessiert in Berlin offensichtlich niemanden" richtete sich wohl an die diesjährige Schirmherrin Prof. Dr. Johanna Wanka, Bundesministerin für Bildung und Forschung. (vowe)