Forschungsbereich Softwaretechnik und IT-Sicherheit

Zwei Männer, die einer Frau etwas an einem Whiteboard erklären.
© Fraunhofer IEM
Der Forschungsbereich Softwaretechnik und IT-Sicherheit wird geleitet von Prof. Dr. Eric Bodden und Dr. Matthias Meyer (v.l.).

Softwareentwicklung von Ostwestfalen-Lippe bis ins Silicon Valley

Interview vom 24. Januar 2020

Die Erarbeitung von Prozessen, Methoden und Werkzeugen zur Entwicklung sicherer softwareintensiver Systeme ist das Ziel des Forschungsbereichs Softwaretechnik und IT-Sicherheit. Die zunehmende Vernetzung von intelligenten technischen Systemen und Informationssystemen führt zu einer steigenden Komplexität, auf die Unternehmen reagieren müssen. Prof. Dr. Eric Bodden, Direktor des Forschungsbereichs, und Abteilungsleiter Dr. Matthias Meyer erklären im Gespräch, wie Unternehmen sich dieser Entwicklung stellen können, welche Unterstützung der Forschungsbereich bieten kann und welche Projekte im Jahr 2020 anstehen.
 

Softwaresysteme werden komplexer und zu IoT-Services vernetzt. Wie wirkt sich das auf die Arbeit der Unternehmen aus?

Eric Bodden: Unternehmen müssen sich auf diese Entwicklungen einstellen. Software ist nicht mehr das kleine Add-on. Sehr deutlich wird das am Beispiel der Automobilindustrie. Die Fahrzeuge und ihre Komponenten sind vernetzt, kommunizieren untereinander und werden mit digitalen, cloudbasierten Services und mobilen Applikationen verbunden. Das ist sehr komplex. Die Automobilbauer müssen Engineering-Methoden für ihre Software beherrschen lernen und die Prozesse aufbauen.

Matthias Meyer: Der Stellenwert der Software ist heute ein anderer. Innovationen stecken verstärkt in Software und ihr Anteil an der Wertschöpfung nimmt zu. Immer mehr Unternehmen streben danach, ihre Kompetenzen in der Softwareerstellung auszuweiten. Und beim Software-Engineering muss man das richtige Zusammenspiel hinbekommen. Gerade bei Fahrzeugen hat man das Thema Safety – die Betriebssicherheit – im Kopf. Gleichzeitig wird das Thema Security – die Angriffssicherheit – wichtiger. Das ist der spannende Punkt. In den technischen Systemen von heute gibt es keine Safety mehr ohne Security.

Eric Bodden: Die Idee hinter unserer Methode Safety und Security by Design ist, frühzeitig in der Entwicklung Maßnahmen an den richtigen Stellen umzusetzen. Viele Unternehmen betrachten dies zu spät, was hohe Kosten verursacht. Viel sinnvoller ist, schon früh im Prozess damit zu beginnen.
 

Wie unterstützen Sie Unternehmen dabei?

Eric Bodden: Wir befähigen Unternehmen, indem wir Methoden und Technologien vermitteln, die die Softwareentwicklung absichern und es Entwicklern erleichtern, hochwertige Software zu erstellen. Wir schauen uns die Entwicklungsprozesse der Unternehmen an, geben konkrete Verbesserungsvorschläge, empfehlen und entwickeln Werkzeuge.

Matthias Meyer: Wir haben gute Erfahrungen mit Coaching on the Job gemacht, als Teil des Entwicklungsteams. Wenn ein Unternehmen z. B. noch keine Erfahrung mit agiler Softwareentwicklung hat, arbeiten unsere Experten in dem Team mit, bringen den Mitarbeitern agile Entwicklung bei und helfen bei der Entstehung der Software. Diese Kombination aus Beratung und Befähigung funktioniert sehr gut.
 

Welche Projekte stehen im Jahr 2020 an?

Matthias Meyer: Wir werden weiter an Verfahren für effiziente Softwareentwicklung, z. B. mit modellbasierten Methoden, arbeiten und Unternehmen helfen, ihre Kompetenzen auszubauen. Intern arbeiten wir an einem Werkzeug, mit dem man Software weitgehend automatisch auf Schwachstellen überprüfen kann. Dafür bringen wir die Expertise von vier Fraunhofer-Instituten zusammen.

Eric Bodden: Wir werden mit einem großen US-Cloudhersteller kooperieren, um Ausfälle beim Betrieb der Clouddienste zu vermeiden. Hierfür haben wir effektive Analysewerkzeuge, die frühzeitig, schon während der Programmcode formuliert wird, Fehler in Software finden. Wir schulen die Mitarbeitenden des Unternehmens in der Nutzung dieser Werkzeuge.

Matthias Meyer: Wir freuen uns, all das im Secure Engineering Lab und im IoT Xperience Center erlebbar zu machen. Und wir stehen vor der ersten Ausgründung aus unserem Forschungsbereich – der zweiten des IEM insgesamt.

Eric Bodden: Mit mehreren Partnern gründe ich das Unternehmen CodeShield. Wir arbeiten an einem Codeanalysewerkzeug, das die gesamte Softwarelieferkette absichert. Heute bindet man in seine Software zu 90% Code von Drittanbietern ein. Nur 10% werden selber geschrieben. Es müssen aber alle Code-Schwachstellen bekannt sein, um eine sichere Software zu entwickeln. Hier führen wir die Forschungsleistung des Instituts weiter – und überführen sie direkt in ein Produkt.

Abteilung Softwaretechnik und IT-Sicherheit

Die Abteilung Softwaretechnik und IT-Sicherheit erarbeitet Prozesse, Methoden und Werkzeuge für die effiziente Entwicklung sicherer software-intensiver Systeme. Innovative Funktionen von intelligenten Produkten und Dienstleistungen basieren zunehmend auf Software und werden maßgeblich von deren Qualität abhängen. Die zunehmende Vernetzung von Systemen führt zu Herausforderungen für den Schutz von Know-how und Daten sowie die Absicherung gegenüber Angriffen. Umso entscheidender ist die effiziente Entwicklung zuverlässiger und sicherer Software (im Sinne von Safety und Security). Besonderen Wert legen wir darauf, die Sicherheit der Software sowie des Gesamtsystems von vornherein konstruktiv zu berücksichtigen (Security by Design).

Forschungsgruppen

Gruppe von Personen, die über ein Flipchart gebeugt steht und dieses diskutiert.
© Fraunhofer IEM

Softwarelebenszyklus

Die Gruppe Softwarelebenszyklus erarbeitet Prozesse und Werkzeuge für die effiziente Entwicklung von hochqualitativen softwareintensiven Systemen. Die Sicherheit der Software sowie des Gesamtsystems wird dabei von vornherein berücksichtigt. Durch die bedarfsgerechte Integration von agilen, formalen sowie (teil-)automatisierten Methoden, führen wir zudem Effizienz- und Qualitätssteigerungen im gesamten Softwarelebenszyklus herbei.

Aufgeklappter Laptop, auf dessen Bildschirm verschiedene farbige Diagramme zu sehen sind.
© Fraunhofer IEM

Digitale Services & Apps

Die Gruppe Digitale Services & Apps unterstützt Unternehmen bei der Digitalisierung ihrer Produktion, Produkte und Dienstleistungen. Wir begleiten z.B. die Konzipierung und Umsetzung von Services für die datengestützte Überwachung von Prozessen, von Apps für das Smart Home oder von Cloud-Plattformen. Wir erforschen und entwickeln Methoden und Werkzeuge für die Entwicklung von Services und Apps. Unser Fokus liegt dabei auf der Sicherheit der Services und Apps gegenüber Angriffen von innen und außen (Security) sowie benutzungsfreundlichen Bedienkonzepten.

Grafik mit verschiedenen verbundenen Icons in Kreisen, eine Hand tippt auf das Icon in der Mitte.
© 24Novembers / Adobe Stock

IoT-Systeme

Die Gruppe IoT-Systeme erforscht Methoden und Werkzeuge für die Softwareentwicklung für vernetzte technische Systeme insbesondere aus den Bereichen Maschinen- und Anlagenbau, Automatisierungstechnik, Automotive und Smart Home. Wir kombinieren z.B. modellbasierte und modellgetriebene Softwareentwicklung mit agilen Vorgehensweisen, um in kurzer Zeit zuverlässige Systeme zu realisieren. Zudem unterstützen wir bei der sicheren, zukunftsfähigen Vernetzung von Systemen und führen Sicherheitsanalysen von Konzepten sowie von fertigen Geräten und Systemen durch.  

Fachgruppe und Labor

 

Fachgruppe IT-Security im IoT

Nutzen Sie den Erfahrungsaustausch, um Software sicher zu entwickeln und Fragen der IT-Sicherheit zu diskutieren.  
 

Secure Engineering Lab

Denken Sie Safety und Security neu und sichern Sie Ihre software-intensiven Systeme ab.

Werkzeuge

Die Forscherinnen und Forscher des Fraunhofer IEM haben bereits einige weltweit führende Softwarewerkzeuge entwickelt, von denen wir hier die wichtigsten aufführen.

CogniCrypt

Im Rahmen des Sonderforschungsbereichs CROSSING der Technischen Universität Darmstadt und in Zusammenarbeit mit dem Heinz Nixdorf Institut der Universität Paderborn wurde das Werkzeug CogniCrypt entwickelt. CogniCrypt hilft Entwicklerinnen und Entwicklern, sicherheitskritische Fehlbenutzungen kryptografischer Bibliotheken schnell und zuverlässig zu identifizieren und zu beheben. Das Fraunhofer IEM hat dieses Werkzeug nun zur Marktreife weiterentwickelt und stellt es als quelloffenes Eclipse-Projekt zur Verfügung.   

Tablet, auf dem das Werkzeug CogniCrypt zu sehen ist.
© Fraunhofer IEM

Soot Ökosystem

Soot ist das weltweit führende Rahmenwerk zur statischen und dynamischen Analyse von Java- und Android Applikationen. Als generisches Rahmenwerk bildet es die Grundlage für viele andere Werkzeuge des Fraunhofer IEM und für mehr als 1.500 andere Forschungsgruppen weltweit.

Boomerang und IDEal sind Erweiterungen des Soot Rahmenwerks für hocheffiziente und -präzise Pointer-Analyse und eine drauf aufbauende Datenflussanalyse. Eine auf Soot, Boomerang und IDEal aufbauende Analyse ist so konzipiert, dass »nachfragegetrieben« nur diejenigen Teile des Programmcodes analysiert werden, für die dies notwendig ist. Durch dieses Vorgehen sowie durch am Fraunhofer IEM entwickelte Algorithmen und Programmabstraktionen werden Datenflussanalysen deutlich schneller ohne an Präzision zu verlieren.

FlowDroid

FlowDroid ist das weltweit führende Werkzeug zur statischen Datenfluss-Analyse für Java- und Android-Applikationen. Es basiert im Kern auf Soot, erweitert es jedoch um eine leistungsfähige  und präzise Datenflussanalyse und unterstützt die Analyse von Android Apps. FlowDroid kommt bei hunderten Forschungsgruppen weltweit zum Einsatz und wird auch kommerziell genutzt, zum Beispiel als Basis für Sicherheitsanalysen in einem der weltweit größten App-Stores. Wie Soot ist auch FlowDroid als Open Source verfügbar.  

Phasar

Phasar ist das erste quelloffene Rahmenwerk zur statischen Programmanalyse auf Basis des Compiler-Frameworks LLVM. Mittels Phasar lässt sich vor allem C/C++-Quelltext analysieren, jedoch auch andere Programmiersprachen und Binärformate, die LLVM unterstützen. Im Gegensatz zu LLVM selbst umfasst Phasar Call-Graph- und Pointer-Analysen sowie ein Rahmenwerk für die effiziente Implementierung von inter-prozeduralen Datenflussanalysen. Phasar ist als Open-Source verfügbar.

Videos

Warum IT-Sicherheitsforschung?

Unsere Experten sind nicht nur führend in der Forschung, sondern werden auch regelmäßig gebeten, Forschungsthemen zu verschiedenen Anlässen zielgruppengerecht aufzubereiten. In den hier gezeigten Videos erklärt Prof. Eric Bodden einige wichtige Zusammenhänge in der IT-Sicherheit.

In unserer Reihe »Experten im Gespräch« erklärt Prof. Eric Bodden, wieso auch nach Jahren der Forschung weiterhin innovative IT-Lösungen für softwareintensive Systeme entwickelt werden müssen und welche Maßnahmen Cyberangriffe erschweren.  

IT-Sicherheit im Mittelstand

Unsere Experten sind nicht nur führend in der Forschung, sondern werden auch regelmäßig gebeten, Forschungsthemen zu verschiedenen Anlässen zielgruppengerecht aufzubereiten. In den hier gezeigten Videos erklärt Prof. Eric Bodden einige wichtige Zusammenhänge in der IT-Sicherheit.

Hacker-Angriffe auf Produktionsprozesse, Diebstahl von sensiblen Kundendaten, digitales Ausspähen von Betriebsgeheimnissen – oft genügt ein Einfallstor und die IT-Sicherheit ist gefährdet. In unserer Reihe »Experten im Gespräch« erklärt Prof. Eric Bodden, wie sich mittelständische Unternehmen gegen IT-Angriffe wappnen, welche Punkte ein wirksames Schutzkonzept beinhaltet und welche Rolle Prüfsiegel spielen.

Automatisierung für sichere Software

Unsere Experten sind nicht nur führend in der Forschung, sondern werden auch regelmäßig gebeten, Forschungsthemen zu verschiedenen Anlässen zielgruppengerecht aufzubereiten. In den hier gezeigten Videos erklärt Prof. Eric Bodden einige wichtige Zusammenhänge in der IT-Sicherheit.

Eine Rechtschreibprüfung für Entwickler? Prof. Eric Bodden erklärt in der Reihe »Experten im Gespräch«, wie automatisierte Programmanalyse hilft Sicherheitslücken schon während der Entwicklung zu erkennen und Programmierer bei der Arbeit zu unterstützen.

Tutorial: State of the Systems Security

Die ACM/IEEE International Conference on Software Engineering ist die weltweit führende Konferenz im Software Engineering. Auch angesehene Wissenschaftlerinnen und Wissenschaftler bewerben sich darum, auf dieser Konferenz Beiträge vorstellen zu dürfen. 2018 wurde Prof. Bodden eingeladen, ein 90-minütiges Tutorial zum Thema IT-Sicherheit anzubieten.

In diesem Tutorial erklärt Prof. Bodden, warum IT-Sicherheit ein Problem ist, das in erster Linie nicht von Kryptographen oder Netzwerktechnikern, sondern von Softwaretechnikern gelöst werden muss. Thema ist weiterhin, wie Softwaretechniker das Problem angehen können.

Publikationen im Kontext Softwaretechnik und IT-Sicherheit

  

2020

Geismann, Johannes; Bodden, Eric: A systematic literature review of model-driven security engineering for cyber–physical systems. Journal of Systems and Software, 169, Nov. 2020 (Details)
Koch, Thorsten; Dziwok, Stefan; Holtmann, Jörg; Bodden, Eric: Scenario-based Specification of Security Protocols and Transformation to Security Model Checkers. In: ACM/IEEE 23rd International Conference on Model Driven Engineering Languages and Systems (MODELS ’20), 18. - 23. Okt. 2020, ACM (Details)
Holtmann, Jörg; Steghöfer, Jan-Philipp; Rath, Michael; Schmelter, David: Cutting through the Jungle: Disambiguating Model-based Traceability Terminology. In: Proceedings of the 28th IEEE International Requirements Engineering Conference, 31. Aug. - 4. Sep. 2020, IEEE (Details)
Fischer, Andreas; Fuhry, Benny; Kerschbaum, Florian; Bodden, Eric: Computation on Encrypted Data using Dataflow Authentication. In: Privacy Enhancing Technologies Symposium (PETS/PoPETS), Jul. 2020 (Details)
Benz, Manuel; Krogh Kristensen, Erik; Luo, Linghui; P. Borges Jr., Nataniel; Bodden, Eric; Zeller, Andreas: Heaps'n Leaks: How Heap Snapshots Improve Android Taint Analysis. In: International Conference for Software Engineering (ICSE), Mai 2020 (Details)
Krüger, Stefan; Ali, Karim; Bodden, Eric: CogniCrypt_GEN - Generating Code for the Secure Usage of Crypto APIs. In: International Symposium on Code Generation and Optimization (CGO), S. 185-198, Feb. 2020 (Details)
Nguyen, Lisa; Bodden, Eric: Explaining Static Analysis with Rule Graphs. IEEE Transactions on Software Engineering 2020 (Details)

2019

Piskachev, Goran; Nguyen, Lisa; Johnson, Oshando; Bodden, Eric: SWAN_ASSIST: Semi-Automated Detection of Code-Specific, Security-Relevant Methods. In: IEEE/ACM International Conference on Automated Software Engineering (ASE 2019), Tool Demo Track, Nov. 2019 (Details)
Fazal-Baqaie, Masud; Strüwer, Jan-Niclas; Schmelter, David; Dziwok, Stefan: Coaching on the Job bei Unternehmen des Maschinen- und Anlagenbaus - Wissenslücken schließen zur Weiterpflege modernisierter IT-Anwendungen. In: Mikusz, Martin (Hrsg.) Projektmanagement und Vorgehensmodelle 2019 (PVM 2019), 24. - 25. Okt. 2019 Gesellschaft für Informatik, Lecture Notes in Informatics (LNI) (Details)
Fockel, Markus; Merschjohann, Sven; Fazal-Baqaie, Masud; Förder, Torsten; Hausmann, Stefan; Waldeck, Boris: Designing and Integrating IEC 62443 Compliant Threat Analysis. In: Proceedings of the 26th European System, Software & Service Process Improvement & Innovation Conference (EuroSPI 2019), S. 57--69, Sep. 2019, Springer International Publishing (Details)
Holtmann, Jörg: Improvement of Software Requirements Quality based on Systems Engineering. Dissertation, Fakultät für Elektrotechnik, Informatik und Mathematik, Universität Paderborn, Jun. 2019 (Details)
Wohlers, Benedict; Dziwok, Stefan; Pasic, Faruk; Lipsmeier, Andre ; Becker, Matthias: Monitoring and Control of Production Processes based on Key Performance Indicators for Mechatronic Systems. International Journal of Production Economics 2019 (Details)
Späth, Johannes; Ali, Karim; Bodden, Eric: Context-, Flow-, and Field-sensitive Data-flow Analysis Using Synchronized Pushdown Systems. Proceedings of the ACM SIGPLAN Symposium on Principles of Programming Languages, 3(POPL): S. 48:1--48:29, Jan. 2019 (Details)
Schubert, David; Eikerling, Hendrik; Holtmann, Jörg: Application-aware Intrusion Detection: A Systematic Literature Review and Implications for Automotive Systems. In: 17th escar Europe : embedded security in cars Ruhr-University Bochum, University Library, 2019 (Details)

2018

Fockel, Markus: Safety Requirements Engineering for Early SIL Tailoring. Dissertation, Fakultät für Elektrotechnik, Informatik und Mathematik, Universität Paderborn, Dez. 2018 (Details)
Pohlmann, Uwe; Hüwe, Marcus: Model-driven allocation engineering: specifying and solving constraints based on the example of automotive systems. Automated Software Engineering, Nov. 2018 (Details)
Fockel, Markus; Merschjohann, Sven; Fazal-Baqaie, Masud: Threat Analysis in Practice - Systematically Deriving Security Requirements. In: 19th International Conference on Product-Focused Software Process Improvement (PROFES 2018), LNCS 11271, Nov. 2018, Springer Nature Switzerland AG (Details)
Pohlmann, Uwe: A Model-driven Software Construction Approach for Cyber-physical Systems. Universität Paderborn, Heinz Nixdorf Institut, Softwaretechnik, 2018 (Details)
Pauck, Felix; Bodden, EricWehrheim, HeikeDo Android Taint Analysis Tools Keep their Promises?. In: ESEC/FSE 2018: Joint meeting of the European Software Engineering Conference and the ACM SIGSOFT Symposium on the Foundations of Software Engineering, 4. - 9. Nov. 2018 (Details)

2017

Gerking, Christopher; Bodden, Eric; Schäfer, Wilhelm: Industrial Security by Design - Nachverfolgbare Informationssicherheit für Cyber-Physische Produktionssysteme. In: Maier, Günter W.; Engels, Gregor; Steffen, Eckhard (Hrsg.) Handbuch Gestaltung digitaler und vernetzter Arbeitswelten, Springer Reference Psychologie Springer, Berlin/Heidelberg, Okt. 2017 (Details)
Dziwok, Stefan: Specification and Verification for Real-Time Coordination Protocols of Cyber-physical Systems. Paderborn University, Sep. 2017 (Details)
Nguyen, Lisa; Ali, Karim; Livshits, Benjamin; Bodden, Eric; Smith, Justin; Murphy-Hill, Emerson: Cheetah: Just-in-Time Taint Analysis for Android Apps. In: International Conference for Software Engineering (ICSE), Tool Demonstrations Track, Mai 2017 (Details)
Becker, Matthias: Engineering Self-Adaptive Systems with Simulation-Based Performance Prediction. Universität Paderborn, Heinz Nixdorf Institut, Softwaretechnik, 2017 (Details)
Frieben, Jens: Early Performance Analysis of Automation Systems Based on Systems Engineering Models. Universität Paderborn, Heinz Nixdorf Institut, Softwaretechnik, 2017 (Details)

2016

Platenius, Marie Christin; Becker, Matthias; Hüllermeier, Eyke; Schäfer, Wilhelm: Imprecise Matching of Requirements Specifications for Software Services using Fuzzy Logic. IEEE Transactions on Software Engineering, 43(8): S. 739-759, Dez. 2016 (Details)
Holzinger, Philipp; Triller, Stefan; Bartel, Alexandre; Bodden, Eric: An In-Depth Study of More Than Ten Years of Java Exploitation. In: Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security, CCS '16, S. 779-790, Vienna, Austria, 24. - 28. Okt. 2016 (Details)
Holtmann, Jörg; Fockel, Markus; Koch, Thorsten; Schmelter, David: Requirements Engineering - Zusatzaufgabe oder Kernkompetenz?. OBJEKTspektrum, (RE/2016), Jun. 2016 (Details)
Nadi, Sarah; Krüger, Stefan; Mezini, Mira; Bodden, Eric: Jumping Through Hoops: Why do Java Developers Struggle With Cryptography APIs?. In: International Conference for Software Engineering (ICSE), S. 935-946, Mai 2016 (Details)
Holtmann, Jörg; Bernijazov, Ruslan; Meyer, Matthias; Schmelter, David; Tschirner, Christian: Integrated and iterative systems engineering and software requirements engineering for technical systems. Journal of Software Evolution and Process, Mai 2016 (Details)

Ihre Ansprechpartner

Eric Bodden

Contact Press / Media

Prof. Dr. Eric Bodden

Direktor Forschungsbereich Softwaretechnik und IT-Sicherheit

Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM
Zukunftsmeile 1
33102 Paderborn

Telefon +49 5251 5465-150

Matthias Meyer

Contact Press / Media

Dr. Matthias Meyer

Abteilungsleiter Softwaretechnik und IT-Sicherheit

Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM
Zukunftsmeile 1
33102 Paderborn

Telefon +49 5251 5465-122