Softwareschutz messbar machen

Die FH St. Pölten entwickelt gemeinsam mit der belgischen Universität Gent Modelle, um die Stärke von Softwareschutztechniken quantifizierbar zu machen. [...]

Außenansicht der FH St. Pölten.
Außenansicht der FH St. Pölten. (c) Katarina Balgavy

Softwareschutztechniken wie Code Obfuscation („Code-Verschleierung“) sollen Software schützen, indem sie die Programmcodes absichtlich komplizierter und deren Analyse für Angreifer schwieriger machen. Obwohl diese Techniken bereits seit mehr als zwei Jahrzehnten erforscht und in der Praxis vielfach verwendet werden, gibt es bis jetzt keine belastbaren Modelle, die die Stärke der Schutzmechanismen ermitteln können.

„Das Fehlen solcher Modelle ist höchst problematisch – zum einen für Softwareanbieter, denen automatisierte Entscheidungssysteme für die Wahl der optimalen Schutzstrategie für ihre Software fehlt, und zum anderen für Schadsoftware-Analystinnen und –Analysten, die je nach eingesetzter Schutztechnik die passende Analysestrategie festlegen müssen“, erklärt Sebastian Schrittwieser, Projektleiter und Leiter des Josef Ressel Zentrums TARGET an der FH St. Pölten.

Messfaktoren „Resilience“ und „Stealth“

Im Projekt EMRESS (Evaluation Models for the Resilience and Stealth of Software Protections and Malware), das vom Österreichischen Wissenschaftsfonds FWF im Rahmen der Linie „Joint Projects“ gefördert wird und das von Juli 2018 bis Juli 2022 läuft, entwickelt Schrittwieser mit seinem Team quantitative Prädiktionsmodelle, die die Stärke von Softwareschutztechniken in Bezug auf die beiden Eigenschaften „Resilience“ (Stärke des Schutzes gegenüber verschiedenen Analysestrategien) und „Stealth“ (Verdecktheit des Schutzes) ermitteln sollen. Die Quantifizierbarkeit der „Resilience“ soll durch die Entwicklung neuartiger Modelle und Metriken geschehen, die prognostizieren können, inwieweit ein Softwareanalyst bestehende Schutzmechanismen durch die Verwendung von State-of-the-art-Tools und Software-Analysetechniken rückgängig machen kann. Die Tarnung bzw. „Stealth“ von Softwareschutzmechanismen soll durch die Entwicklung von neuartigen Techniken zur Identifikation von Codebereichen in Software quantifizierbar gemacht werden. Projektpartner bei EMRESS ist die belgische Universität Gent.

Theoretische Grundlagen als Basis

In beiden Forschungsbereichen bilden umfangreiche Literaturstudien die Grundlage, mit denen der Wissensstand der Forschung über das Wettrüsten zwischen Softwareschutz und Programmanalyse in der Theorie beschrieben wird. Daraus sollen Eigenschaften von Programmcodes abgeleitet werden, welche zur Quantifizierung der Stärke der eingesetzten Schutzmechanismen – und im Kontext von Schadsoftware zur Bestimmung der Art der eingesetzten Schutzmechanismen – genutzt werden können. Die gewonnenen Erkenntnisse liefern die Grundlage der Modellbildung.

Wissensstand nachhaltig verbessern

Um die Hypothesen der Modellbildung zu überprüfen, werden im Anschluss prototypische Implementierungen von Software-Schutzkonzepten und Analysemethoden praktischen Tests unterzogen.

„Die Ergebnisse des Projekts sollen den wissenschaftlichen Wissensstand im Bereich der Quantifizierung von Softwareschutzmechanismen sowohl in der Theorie als auch in der Praxis signifikant verbessern. Weiters werden positive Effekte für die Forschungsfelder des Software-Testens und der Software-Assurance erwartet“, erklärt Schrittwieser.


Mehr Artikel

News

Intelligentes Tool für präzise Paketprognosen

Im Rahmen eines Projekts mit der Post AG entwickelte das Center for Digital Production ein maßgeschneidertes Prognosemodell auf Basis von Machine Learning, das saisonale Schwankungen, unregelmäßige Datenmuster und feiertagsbedingte Nachfrageverschiebungen des Paketvolumen präzise berücksichtigt. […]

News

Sechs Bausteine für KI-Readiness 

Künstliche Intelligenz hat das Potenzial, Prozesse in nahezu allen Branchen zu revolutionieren. Doch der Erfolg jeder KI-Anwendung steht und fällt mit der Qualität der zugrunde liegenden Daten und der richtigen Vorbereitung. […]

Die Optimierung operativer Prozesse gilt als größter Vorteil von KI-Anwendungen. (c) Pexels
News

Agentische KI auf dem Vormarsch – Unternehmen rüsten für den Wandel

Die weltweite Umfrage „The Global Enterprise AI Survey 2025“ von SS&C Blue Prism beleuchtet die wachsende Verbreitung und Bedeutung agentischer künstlicher Intelligenz (KI) in Unternehmen. Der Report zeigt, dass Organisationen zunehmend auf autonome Automatisierung setzen, sich jedoch auch mit erheblichen Herausforderungen konfrontiert sehen – von unzureichender Datenqualität bis hin zu mangelndem Vertrauen in die Technologie. ITWelt.at hat sich die Studie angesehen. […]

Kevin Vollrath, Sales Leader Corporate & Thomas Schmitz, IT Campus Leader Presales, bei SoftwareOne. (c) SoftwareOne
Kommentar

Bewusst zur KI-Compliance

Der EU AI Act etabliert als weltweit erste umfassende KI-Regulierung ein risikobasiertes Klassifizierungssystem für künstliche Intelligenz. Seit August 2024 gelten erste Bestimmungen dieser Verordnung – im Februar 2025 kam die Schulungspflicht hinzu. Wie lassen sich sie regulatorischen Anforderungen umsetzen, ohne die technologische Weiterentwicklung auszubremsen? […]

News

Lohnende IT-Jobs

Die rasante Digitalisierung, stetig wachsende Datenmengen und künstliche Intelligenz (KI): Diese Entwicklungen verschärfen den ohnehin bestehenden Fachkräftemangel in der hiesigen IT-Branche. Die folgenden fünf IT-Jobs sind deshalb besonders gefragt. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*