Im Auswahlverfahren um den 9. Deutschen IT-Sicherheitspreis haben es drei Teams mit HGI/CASA-Wissenschaftler*innen unter die zehn Finalist*innen geschafft:
David Knichel, Amir Moradi, Nicolai Müller und Pascal Sasdrich haben ihr Konzept „Einfach sicher: Ein Werkzeugkasten zur automatisierten Erstellung geschützter Hardware“ eingereicht. Thorsten Holz (gemeinsam mit Sergej Schumilo und Cornelius Aschermann) hat die Jury mit seinem „Nyx: High Performance Fuzz Testing for Complex Systems, from Browsers to Hypervisors” überzeugen können und das Projekt „CoCoS: Secure Development of Smart Contracts” von den HGI/CASA-Wissenschaftlern Michael Rodler, Ghassan Karame and Lucas Davi (zusammen mit Jens-Rene Giesen und Sebastien Andreina) hat es ebenfalls unter die besten zehn Projekte geschafft.
Preisverleihung an der Ruhr-Universität Bochum am 10. November
Für die Teams wird es nun besonders spannend: Am 10. November werden die drei Gewinner*innen im Rahmen der Preisverleihung im Veranstaltungszentrum der Ruhr-Universität ausgezeichnet. Der 1. Preis ist mit 100.000 Euro dotiert, der 2. Preis mit 40.000 Euro und der 3. Preis mit 20.000 Euro. Schirmherrin der Veranstaltung ist die Bundesministerin des Innern und für Heimat, Nancy Faeser.
Eine Anmeldung zu der Preisverleihung ist noch bis Anfang November möglich. Anlässlich der Vergabe veranstalten Bitkom, das Fraunhofer SIT, ATHENE, das Horst-Görtz-Institut, Cube 5 sowie der ATHENE Digital Hub Cybersecurity die 2. Innovationskonferenz Cybersicherheit, die digital stattfindet. Hier sprechen hochrangige Speaker*innen über Themen wie Hardware und Software Security oder Artificial Intelligence. Das Nachmittagsprogramm und die Verleihung des Awards werden anschließend im Veranstaltungszentrum in Bochum sowie Online stattfinden. Hier präsentieren die zehn Finalist*innen in einer Poster-Ausstellung ihre Projekte, bevor es zur Preisübergabe geht.
Hier geht es zur Anmeldung und zum detaillierten Programm.
Insgesamt 54 Projekte eingereicht
Die Horst-Görtz-Stiftung vergibt seit 2006 alle zwei Jahre den Deutschen IT-Sicherheitspreis. Mit der Auszeichnung möchte die Stiftung dazu beitragen, die Position der IT-Sicherheit in Deutschland zu festigen und zu fördern – und auf diese Weise einen Beitrag zur Stärkung der Innovationskraft der deutschen Wirtschaft zu leisten.
In diesem Jahr haben Wissenschaftler*innen und IT-Sicherheits-Expert*innen aus ganz Deutschland insgesamt 54 Projekte für das mehrstufige Verfahren eingereicht. Aus diesen hat die unabhängige Fachjury nun in der finalen Runde zehn Konzepte und Lösungen für die IT-Sicherheit ausgewählt, aus denen drei Gewinner*innen hervorgehen.
Die Jury
Die Jury setzt sich aus Expert*innen aus den Bereichen IT-Sicherheit, Kryptografie, System- und Netzsicherheit sowie Abwehr von Cyberangriffen unter dem Vorsitz von Prof. Dr. Michael Waidner (Nationales Forschungszentrum für angewandte Cybersicherheit Athene) zusammen. Neben ihm sind in diesem Jahr dabei: Julia Hermann (Giesecke+Devrient München), Prof. Dr. Konrad Rieck (TU Braunschweig), Dr. Rainer Baumgart (ehm. Secunet Security Networks AG), Prof. Dr. Angela Sasse (Ruhr-Universität Bochum), Susanne Dehmel (Bitkom e.V.), Dr. Thomas Wollinger (Etas GmbH), Thomas Caspers (Bundesamt für Sicherheit in der Informationstechnik), Dr. Daniela Gerd tom Markotten (Deutsche Bahn AG) und Beate Hofer (Volkswagen AG).
Auszeichnung von Künstler gestaltet
Die Horst Görtz Stiftung konnte den in Köln lebenden Künstler Reinhard Doubrawa eigens für die Gestaltung der Sieger-Auszeichnung gewinnen. Doubrawa, der in namenhaften Galerien und Museen Europas ausstellt, hat eine ästhetische Form für die Auszeichnung entwickelt, in der sich seine Assoziationen zum IT-Sicherheitsgedanken spiegeln. Seine aus Edelstahl gefertigte Scheibe zeigt ein homogenes, frei gestaltetes Muster von Strichen und Bögen, die den Betrachtenden viel Raum für eigene Assoziationen bieten.
Im Folgenden stellen wir Ihnen die Projekte aller Finalist*innen kurz vor.
„Jazzer: Vollautomatisierte Fuzz Tests für Memory-Safe Programmiersprachen“
Matthew Smith, Khaled Yakdan, Sergej Dechand, Norbert Schneider und Fabian Meumertzheim
Abstract: Fuzzing ist eine mächtige Testingmethode, mit der in memory-unsafe Sprachen wie C/C++ bereits zehntausende Bugs gefunden wurden. Mit Jazzer hat Code Intelligence einen vollautomatisierten Fuzzer für memory-safe Sprachen entwickelt. Google hat Jazzer nun in seine OSS-Fuzz Platform integriert, wo es seit 2021 als einziger Java Fuzzer einen wichtigen Beitrag für die Open-Source Community leistet.
„Carbyne Stack - Eine Open Source Secure Multiparty Computation Cloud Plattform”
Sven Trieflinger, Sebastian Becker, Vadim Raskin, Volker Suschke, Vincent Rieder, Jared Weinfurtner und Hanna Modica
Abstract: Carbyne Stack ist eine auf cloud-native Technologien aufbauende Open Source Plattform zum Speichern und Verarbeiten von verschlüsselten Daten über Secure Multiparty Computation. Als generische, skalierbare, ausfallsichere, und nach modernen Software Engineering Methoden entwickelte Lösung erschließt Carbyne Stack Secure Mutiparty Computation für den Einsatz in Unternehmen.
„SChaSA: Secure Charging Station Adapter“
Maria Zhdanova und Daniel Zelle
Abstract: Ladelösungen für Elektrofahrzeuge verfügen selten über intelligente Messsysteme, die in Deutschland vorgeschrieben sind. Um zwischen Ladestationen, Zählern und Smart-Meter-Gateways zu übersetzen, haben wir SchaSA entwickelt. SchaSA verwendet EAL4+-zertifizierte Hardware, um die Integrität zu gewährleisten, und ermöglicht Kund*innen die sichere Nutzung von Ladestationen,die nicht speziell für den deutschen Markt entwickelt wurden.
„Einfach sicher: Ein Werkzeugkasten zur automatisierten Erstellung geschützter Hardware“
David Knichel, Amir Moradi, Nicolai Müller und Pascal Sasdrich
Abstract: Unsere Werkzeuge unterstützen Entwickler*innen im Entwurf sicherer Hardwareschaltungen und ermöglichen sowohl unsichere Schaltungen vollautomatisiert gegen Seitenkanalangriffe zu schützen als auch die Seitenkanalresistenz beliebiger Schaltungen effizient zu überprüfen. Somit können kritische Schaltungen auch durch unerfahrene Entwickler*innen zuverlässig gegen Seitenkanalangriffe gesichert werden.
„SIMON - SIcherheitsMONitor für vernetzte Fahrzeuge“
Roland Rieke und Florian Fenzl
Abstract: Die neuen verbindlichen Regelungen der United Nations zeigen, wie wichtig Cybersecurity für eine zunehmend vernetzte, automatisierte Mobilität ist. Wir entwickeln hybride, leichtgewichtige Anomalie-Erkennungssysteme, deren Ergebnisse nachvollziehbar genug sind, um zuverlässig Schadenminderungsmaßnahmen einzuleiten, was bei Standardmethoden des maschinellen Lernens nicht der Fall ist.
„CodeShield - Cloud-Native Application Security“
Andreas Dann, Manuel Benz, Joahnnes Späth und Eric Bodden
Abstract: Die sichere Konfiguration von großen Cloud-Anwendungen ist praktisch unmöglich. Jedoch hängt das Risiko einer Schwachstelle zu einem Großteil von dieser Konfiguration ab, da sie bestimmt, welche Rechte ein Angreifer sich aneignen kann und auf welche Daten er zugreifen kann. CodeShield ermöglicht es Unternehmen, die Cloud-Sicherheit effizient zu steigern, indem es die Angriffspfade zu und von einer Schwachstelle mittels einer neuartigen, graphenbasierten Cloud-Datenflussanalyse identifiziert.
„Nyx: High Performance Fuzz Testing for Complex Systems, from Browsers to Hypervisors”
Sergej Schumilo, Cornelius Aschermann und Thorsten Holz
Abstract: Nyx ist ein modernes, effizientes und quelloffenes Fuzzing-Framework. Im Gegensatz zu anderen Fuzzern überprüft Nyx den gesamten Software-Stack vom Web-Server bis zum Hypervisor auf kritische Sicherheitslücken. Die Nyx-Techniken wurden in acht weltweit renommierten Konferenzen publiziert und werden aufgrund ihres zukunftsweisenden Potenzials in internen Teams von Intel, Mozilla und AWS verwendet.
„CoCoS: Secure Development of Smart Contracts”
Jens-Rene Giesen, Sebastien Andreina, Michael Rodler, Ghassan Karame und Lucas Davi
Abstract: Sicherheitslücken in Smart Contracts führten zu massiven Verlusten. CoCoS (Contracts Compiled Securely) ist das erste Verfahren, welches Smart Contracts automatisch gegen verschiedene Angriffsklassen schützt. CoCoS unterstützt viele Smart Contract-Plattformen und Programmiersprachen, um sichere Ausführung von Contracts in unterschiedlichen Blockchain Technologien zu ermöglichen.
„Smart eMail Link domain Extractor to support Visual Impaired People SMILE-4-VIP”
Melanie Volkamer und Thorsten Schwarz
Abstract: Eine Voraussetzung für die erfolgreiche Digitalisierung ist es, dass Schutzmaßnahmen nicht nur effektiv, sondern auch barrierefrei sind. SMILE-4-VIP ist eine Schutzmaßnahme, die Menschen mit hochgradiger Sehbehinderung und Blindheit unterstützt, Phishing-E-Mails zu erkennen. SMILE-4-VIP wendet die Phishing-Forschung auf die Prozesse von seheingeschränkten Menschen im Umgang mit E-Mails an.
„Morphing Attack Detection (MAD)“
Christoph Busch, Christian Rathgeb, Ulrich Scherhag, Daniel Fischer, Siri Lorenz und Juan Tapia
Abstract: Morphing Angriffe bedrohen die Funktion des Passes als Dokument zur Identitätskontrolle. Daher haben die Autor*innen ein Detektions-Verfahren für solche Angriffe entwickelt. Da eine relevante Anzahl von Morph-Pässen bereits im Umlauf ist, wird der Einsatz von Morphing Attack Detection (MAD) Software an den Grenzen dringend notwendig. Die Umsetzung von MAD erfolgt durch eine Kombination von Merkmalen aus Texturen, Rauschmustern oder Geometrien in einem Lichtbild.
Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.