Der Informatiker Sebastian Schrittwieser macht Hackerattacken schneller erkennbar. Der Tathergang des virtuellen Angriffs soll offensichtlich werden, der Schaden abschätzbar.
Das Erkennen von Computerviren gehört zum Alltag jedes Internetnutzers. Doch Antivirusprogramme finden nur das, was irgendwer zuvor schon als Böse erkannt hat. Jeder entdeckten Schadsoftware wird eine Signatur zugewiesen, diese wird an Virenscanner weltweit verteilt. „Bei gezielten Angriffen auf einzelne Unternehmen funktioniert das nicht. Solche Hackerattacken kennt man nicht, bevor sie passieren“, sagt Sebastian Schrittwieser. Der Niederösterreicher leitet das Josef-Ressel-Zentrum für konsolidierte Erkennung gezielter Angriffe, das an der FH St. Pölten beheimatet und von der Christian-Doppler-Forschungsgesellschaft und Unternehmenspartnern finanziert ist. Sein Team sucht Wege, gezielte Angriffe auf Netzwerke schneller zu erkennen und die Analyse des virtuellen Tathergangs zu erleichtern.
„Ich habe mich immer schon für Computer und Technik interessiert“, sagt Schrittwieser. Den ersten Computer, einen Intel 486er in den 1990er-Jahren, zerlegte er oft, um Neues auszuprobieren und „zu schauen, was man damit alles machen kann“. Das Studium an der TU Wien war eine logische Folge, das Fach Wirtschaftsinformatik begeistert ihn bis heute. Nach der Masterarbeit forschte Schrittwieser nahtlos im Kompetenzzentrum SBA Research weiter: Das größte außeruniversitäre Forschungszentrum Österreichs für IT-Sicherheit, gefördert vom Wissenschafts- und Technologieministerium, liegt direkt neben der TU Wien.
Zu kompliziert für Angreifer
Sein Team konzentrierte sich darauf, Programmcodes von Rechnern so kompliziert zu gestalten, dass ein Angreifer den Durchblick verliert und keinen Ansatzpunkt findet, um ein Programm zu manipulieren. „Ein einfacher Kopierschutz wird von Angreifern schnell erkannt und kann gelöscht werden“, so Schrittwieser. Doch hochkomplexe Programmcodes sind schwierig zu knacken.
Sein Ziel war, nicht nur Software-Eigenschaften als Schutz zu nutzen, sondern auch Eigenschaften der Hardware, das sind alle Dinge in einem Computer, die man zerlegen kann. „Jeder Computer wird mit charakteristischen Eigenschaften geliefert: Geringe Schwankungen in der Produktion verleihen dem Gerät einen eindeutigen Fingerabdruck“, sagt Schrittwieser. Ein Ringoszillator schwingt zum Beispiel nicht mit exakt 50 Megahertz, sondern vielleicht mit 49,995 MHz oder 50,005 MHz. „Nimmt man die Summe dieser kleinen Abweichungen in vielen Teilen des Computers, wird das Gerät unverwechselbar“, erklärt der Informatiker. Sichere Software kann nur mit diesem Fingerabdruck funktionieren – Angreifer, die den Fingerabdruck nicht kennen, verstehen den Programmcode nicht und können so zum Beispiel einen Kopierschutz nicht einfach entfernen.
Einen Teil des Doktorats wollte Schrittwieser in Tokio verbringen: Am japanischen National Institute of Informatics (NII) sitzen seine engsten Forschungspartner. „Doch nach zwei Wochen, gerade als wir beim Mittagessen waren, ging das Fukushima-Erdbeben los.“ Die chaotischen Umstände nach der Katastrophe und unabschätzbare Strahlung aus dem zerstörten Atomkraftwerk nur 240 Kilometer nördlich von Tokio ließen ihn den Forschungsaufenthalt abbrechen.
500.000 neue Schadsoftware pro Tag
2013 begann Schrittwieser schon während der Dissertation an der FH St. Pölten zu unterrichten. „Hier hat Forschung einen hohen Stellenwert, und im Jahr meiner Promotion haben wir das Josef-Ressel-Zentrum beantragt, das 2015 starten konnte“, berichtet der 34-Jährige.
„Täglich kommen 400.000 bis 500.000 neue Schadsoftware-Versionen dazu, in dieser Masse kann ein neuer Angriff leicht untergehen“, sagt er. Sein Team entwickelt nun Methoden, die für Unternehmen mehr Sicherheit schaffen. So kann zum Beispiel ein Echtzeitscanner abbilden, wie sich das System verhält, und aus Änderungen im Verhalten erkennen, ob gerade etwas Bösartiges passiert. „Wir wollen Analysten ein Werkzeug mitgeben, das die Spurensuche bei gezielten Angriffen leichter macht: Sie sollen durch unsere Methoden frühzeitig wissen, ob ein Angriff passiert und was durch diesen alles verändert wird im eigenen System.“
ZUR PERSON
Sebastian Schrittwieser wurde 1983 in Wien geboren und studierte an der TU Wien Wirtschaftsinformatik. Nach der Dissertation am Kompetenzzentrum SBA Research in Wien ging er an die FH St. Pölten, wo er nun das Josef-Ressel-Zentrum für konsolidierte Erkennung gezielter Angriffe leitet. In seiner Freizeit geht Schrittwieser gern in die Berge klettern oder wandern – seit der Geburt seiner Tochter voriges Jahr etwas weniger oft.
Alle Beiträge unter: diepresse.com/jungeforschung
("Die Presse", Print-Ausgabe, 09.12.2017)