Nach gleich zwei Abstürzen von Boeing-737-Max-Maschinen ist zuletzt wieder ans Licht gekommen, dass auch in sicherheitskritischer Software fatale Fehler stecken können. Mit ähnlichen Problemen kämpft auch die Angriffssicherheit von Computersystemen: Die Software für die Infrastruktur des Internets, für die Geheimhaltung von privaten Daten und Finanzen erweist sich immer wieder als fehleranfällig.

Die Annahme, dass man Programmierer nur gut genug schulen müsse, um die Programme besser und die Sicherheitslücken kleiner zu machen, hat sich als Irrtum erwiesen, sagt der Cybersicherheitsexperte Adrian Dabrowski von SBA Research, einem Forschungszentrum in Wien, an dem die TUs Wien und Graz, die Uni Wien, die WU, die FH St. Pölten und das AIT beteiligt sind.

"Irgendwo gibt es erstens immer billigere Programmierer, und zweitens passieren den Programmierern einfach Fehler, denn der Druck der Wirtschaft etwas fertigzustellen ist enorm." Deshalb werde nun verstärkt an der Programmsicherheit gearbeitet, sagt Dabrowski, der 2018 seine Informatik-Doktorarbeit an der TU Wien mit Auszeichnung abgeschlossen hat.

Übersetzungsprogramme für den Prozessor

Können Programmiersprachen verhindern, dass bestimmte Arten von Fehlern überhaupt möglich sind? An dieser Fragestellung forscht Dabrowski ab sofort – mit Mai wechselte er als Postdoc an die University of California in Irvine (UCI). Nach Forschungsaufenthalten in Tokio (2013, 2015) wieder ein Sprung über den Ozean, diesmal als frischgebackener Vater. Konkret wird es an der UCI um die Compiler-Sicherheit gehen.

Ein Compiler ist ein Übersetzungsprogramm, das den Quellcode eines in einer höheren Programmiersprache abgefassten Quellprogramms mit seiner tiefgreifenden Semantik in eine "dumme" Maschinensprache aus einfachen Instruktionen für den Prozessor übersetzt. "Nur der Compiler kann den Programmierer zwingen, bestimmte Abläufe auf eine spezifische, sichere Weise zu lösen. So kann der Compiler auch besser verstehen, was eigentlich passieren soll und zusätzliche Vorkehrungen gegen unerwartete Probleme treffen."

Internationaler Hackerwettbewerb

Bisher im Fokus von Dabrowskis Arbeit: die Netzwerksicherheit, das heißt die Sicherheit von Mobilfunk- und Stromnetzen, von Browsern und Funksystemen, insbesondere bei der drahtlosen Kommunikation von Schlüsseln. Diese Themen beschäftigen den 39-Jährigen seit langem: Mit 13 gewann er seinen ersten Preis in einem Programmierwettbewerb (der Österreichischen Computer Gesellschaft). Später folgten weitere Preise wie 2006 – mit seinem Team – der Gewinn des internationalen Hackerwettbewerbs ICTF.

Wie Hollywood die Bilder geprägt hat, die die meisten Menschen, inklusive Verantwortungsträger, vor Augen haben, wenn von Hacking die Rede ist, hat Dabrowski (zusammen mit Kollegen der TU Wien) in "Hollywood Hacking" analysiert, einer Art Myth-Busters-Session der IT-Sicherheit.

Rund ein Dutzend Filme – unter anderem Knight Rider, Independence Day, Matrix Reloaded und Skyfall – hat Dabrowski unter die Lupe genommen und kürzlich beim zehnten IT-Businesstalk von Salzburg Research und Nic.at in Salzburg präsentiert. (Maria Mayer, 26.5.2019)