Wer Software entwickelt, kümmert sich in der Regel erst einmal darum, dass sie effizient funktioniert. Sicherheit steht nicht an vorderster Stelle. Woran das liegt und wie man Software sicherer machen könnte, erforscht Prof. Dr. Alena Naiakshina an der Fakultät für Informatik. Sie ist neu ernannte Professorin für Developer-Centred Security.
„In der Branche sind viele Leute tätig, die sich Softwareentwicklung selbst beigebracht haben“, weiß Alena Naiakshina. Sicherheitskomponenten bauen sie in ihre Programme häufig über Programmierschnittstellen oder Kryptografie-Bibliotheken ein, die zum Beispiel die Verschlüsselung von vertraulichen Daten gewährleisten sollen. Allerdings müssten auch hier bestimmte Parameter gewählt werden – und von deren richtiger Wahl hängt das resultierende Sicherheitslevel ab. „Oft wird einfach nach den Parametern gegoogelt – aber so findet man nicht immer das sicherste Ergebnis“, sagt die Forscherin.
Mehr Unterstützung für Softwareentwicklerinnen und Softwareentwickler
Mit ihrem Team erforscht Alena Naiakshina beispielsweise, ob man die Auswahl solcher Parameter automatisieren kann, um Softwareentwickler*innen zu unterstützen. „Die Entwicklerinnen und Entwickler sind oft sich selbst überlassen“, sagt sie. „Wenn Fehler auftreten, werden sie aber dafür verantwortlich gemacht.“
Die Entwickler*innen wiederum würden dann darauf verweisen, dass die Sicherheitsanforderungen nicht klar definiert gewesen seien. „Auch die Leute, die die Anforderungen stellen, kennen sich in der Regel mit Sicherheit nicht aus“, schildert Naiakshina ein weiteres Problem. Umso wichtiger sei es, Lösungsansätze mit sicheren Standardvorgaben bereitzustellen, die ohne Vorwissen verwendet werden können.
Wie wird KI die Branche ändern?
Naiakshinas Gruppe nimmt auch Künstliche Intelligenz (KI) in den Blick. Fragen Entwickler*innen inzwischen die KI statt Google, wie sie Sicherheitsparameter wählen sollen? Wie sind die Anfragen formuliert? Wie beeinflusst KI den letztendlich verwendeten Code? Diese und weitere Themen gehen die Forschenden derzeit an. Ebenso wie die Frage, wie man Softwareentwickler*innen überhaupt zur Teilnahme an Studien motivieren kann.
Dass der Mensch im Mittelpunkt ihrer IT-Sicherheitsforschung steht, fasziniert Alena Naiakshina. „Ich habe mich schon früh für Naturwissenschaften interessiert“, erzählt sie. „Als ich während meines Masterstudiums gemerkt habe, dass ich in dem Bereich Studien mit Menschen durchführen kann, dachte ich: Wow! Da habe ich meine Berufung gefunden.“
Einen großen Anteil an ihrer Entscheidung, eine Laufbahn in der IT-Sicherheit einzuschlagen, haben auch die Besuche beim Girls’ Day und Tag der Offenen Tür an Universitäten gehabt. „Ich kann nur allen empfehlen, solche Angebote anzunehmen“, rät Alena Naiakshina. „Man trifft immer noch wenig Frauen im Informatik-Studium. Aber es gibt keinen Grund, Angst davor zu haben! Wir müssen Frauen die Angst vor den technischen Berufen nehmen. Nichts, was man dafür braucht, ist Zauberei – und es geht auch nicht darum, den ganzen Tag Code zu programmieren.“ Die Forscherin würde sich jedenfalls freuen, künftig mehr Frauen in ihrer Disziplin zu treffen, die helfen, Software sicherer zu machen.
Zur Person
- 2010 bis 2016: Studium der Informatik, Rheinische Friedrich-Wilhelms-Universität Bonn
- 2017 bis 2021: Wissenschaftliche Mitarbeiterin, Rheinische Friedrich-Wilhelms-Universität Bonn
- 2020: Promotion, Rheinische Friedrich-Wilhelms-Universität Bonn
- 2021: John Karat Usable Privacy and Security Student Research Award
- 2021 bis 2023: Juniorprofessur Developer-Centred Security, Ruhr-Universität Bochum
- Seit 2023: Universitätsprofessur für Developer-Centred Security (W2), Ruhr-Universität Bochum
Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.
