Thu, 11. Feb. 2021   Kremer, Birgit

Großer Erfolg beim 8. Deutschen IT-Sicherheitspreis

Alle zwei Jahre zeichnet die Horst Görtz Stiftung mit insgesamt 200.000 Euro die besten zukunfts-relevanten Innovationen der IT-Sicherheit aus. Für ihr neuartiges Werkzeug TeeRex zur Schwachstellenanalyse von Trusted Execution Environments, kurz TEEs, hat unsere Gruppe mit Tobias Cloosters, Michael Rodler und Prof. Lucas Davi dabei den 3. Preis (40.000 Euro) erhalten. Der deutsche IT-Sicherheitspreis ist der renommierteste und höchstdotierte Award der Branche.

TEEs sind extra geschützte Speicherbereiche und eigentlich der ideale Ort für besonders sensible Daten oder Programme. Weil ihre Hardware vom Rest des Systems isoliert ist, können in TEEs Programme auf nicht-vertrauenswürdigen und sogar kompromittierten, also bereits gehackten, Rechnern, sicher ausgeführt werden. Im Cloud-Bereich nutzen immer mehr Anbieter diese Technologie, damit Kunden sensible Daten sicher in der Cloud verwalten können. Auch in Laptops und Smartphones werden TEEs eingesetzt, um Daten zu schützen, die z.B. für Fingerabdrucksensoren oder kontaktlose Bezahldienste wie Apple Pay benötigt werden.

Erstmals automatische Verwundbarkeitsanalyse von TEEs

Allerdings greift der Schutz nicht, wenn die Programme, die innerhalb eines TEE ausgeführt werden, Programmierfehler aufweisen. Um dem entgegenzuwirken, haben Tobias Cloosters, Michael Rodler und Prof. Lucas Davi von Softwaretechnik-Institut paluno an der Universität Duisburg-Essen TeeRex entwickelt – das erste Werkzeug zur automatischen Verwundbarkeitsanalyse von TEE-Anwendungen. TeeRex überprüft automatisch TEE-Anwendungen auf Sicherheitsprobleme und hilft Entwicklern mit Warnungen und Programmierhinweisen, Fehler im Code zu korrigieren.

Aktuell ist TeeRex noch ein Prototyp; seine Wirksamkeit hat das Tool allerdings schon unter Beweis gestellt: In mehreren öffentlichen SGX-Enklaven – so nennt Intel seine TEEs – konnte TeeRex gravierende Sicherheitslücken aufdecken; darunter Schwachstellen in Software für Fingerabdrucksensoren, die auf Dell-, Lenovo- und HP-Laptops eingesetzt werden (siehe Meldung vom 15.7.2020: „Gefahr für sensible Daten“). Die Hersteller haben die Lücken mithilfe der Essener Sicherheitsforscher inzwischen geschlossen. Und auch die Weiterentwicklung von TeeRex läuft auf Hochtouren. So soll das Tool in Zukunft automatische Analysen für sicherheitskritische Software auf eingebetteten Systemen und aufstrebenden Architekturen wie RISC-V unterstützen.

Hoher Nutzen für die digitale Gesellschaft

Die Preisverleihung des 8. deutschen IT-Sicherheitspreises der Horst Görtz-Stiftung fand am 11.02.2021 im Anschluss an die Innovationskonferenz Cybersicherheit statt, die gemeinsam von Bitkom, Fraunhofer SIT, ATHENE sowie dem Digital Hub Cybersecurity ausgerichtet wurde. Ausschlaggebend für die Jury waren der hohe Nutzen und der Neuigkeitswert von TeeRex. Laudator Prof. Michael Waidner betonte, dass Tobias Cloosters und seine Kollegen mit ihrer Arbeit eine wichtige und nahezu übersehene Problematik der Softwaresicherheit adressieren. Das kann Prof. Lucas Davi bestätigen: „Softwaresicherheit und der Einsatz von TEEs rücken immer stärker in den Fokus der Industrie. Umso wichtiger ist es, dass wir Vertrauen in diese Technologie schaffen, denn jede TEE steht und fällt mit der Sicherheit der Software, welche in der TEE eingesetzt wird. Unser TeeRex-Ansatz leistet einen entscheidenden Beitrag, damit Entwickler und Sicherheitsanalysten schnell, automatisiert und umfassend eine Sicherheitsüberprüfung vornehmen können.“

Mehr Infos zum IT-Sicherheitspreis: https://www.deutscher-it-sicherheitspreis.de/

Mehr Infos zur Forschung der Analyse von TEE-Software