Eine Forschergruppe unter Beteiligung zweier Informatiker der Technischen Universität Darmstadt und des Fraunhofer-Instituts für Sichere Informationstechnologie SIT ist beim 5. IT-Sicherheitspreis für ein hochinnovatives Verfahren zur automatisierten Sicherheitsanalyse von Programmcode ausgezeichnet worden. Das von ihnen entwickelte Verfahren „SPLlift" erlaubt es erstmals, ganze Software-Produktlinien gleichzeitig, automatisiert, effizient und deutlich schneller als bisher auf Schwachstellen und Sicherheitslücken zu untersuchen. Das Team erhält den zweiten Preis, dotiert mit 60.000 Euro.

Heutige Softwareprodukte werden oft nicht von Grund auf neu entwickelt, sondern entstehen durch Erweiterung und Konfiguration bestehender Softwarebausteine. Dadurch teilen sich viele der Softwareprodukte einen Großteil des Programmcodes. Bisherige Sicherheitsanalysen nutzen diesen Umstand jedoch nicht aus: Statt gemeinsame Bestandteile nur einmal auf Schwachstellen zu untersuchen, werden sie bei der Analyse jedes Produkts erneut betrachtet - ein teurer Prozess.

Das automatisierte Analyseverfahren ermöglicht es erstmals, Bausteine, die in mehreren Produkten vorkommen, zu erkennen und diese nur ein einziges Mal zu untersuchen. Wird eine Schwachstelle erkannt, lassen sich Rückschlüsse ziehen, welche der analysierten Softwareprodukte diese Schwachstelle enthalten und welche nicht. So lassen sich auch passgenaue Patches entwickeln.

SPLlift unterstützt direkt den Gedanken von „Security by Design": Variabler Programmcode kann nunmehr hocheffizient auf Schwachstellen untersucht werden, bevor er an Kunden ausgeliefert wird, die dann aus dem Code eine für sie passende Variante generieren. Davon profitieren nicht nur Softwareentwickler. Das Verfahren bietet indirekt auch Vorteile für Endnutzer: Die Sicherheitsüberprüfung großer Softwarelinien, die gegenwärtig teuer ist und Jahre in Anspruch nimmt, kann durch den Einsatz des Verfahrens auf Minuten reduziert werden.