Cybersicherheit

„Wir wollten unsere Forschung nicht im Regal stehen lassen“

Simon Wörner, Tobias Scharnowski. Bild: Fuzzware GmbH

In Fahrzeugen oder medizinischen Geräten stecken heute oft kleine Computer, die Angriffsflächen für Cyberattacken bieten. Das Startup Fuzzware – eine Ausgründung des CISPA Helmholtz-Zentrum für Informationssicherheit – entwickelt Technologien, um Sicherheitslücken in diesen Komponenten aufzuspüren. Mitgründer Tobias Scharnowski spricht über die Suche nach Schwachstellen und den Weg vom Forschungsprojekt zum Startup.

Zusammen mit Simon Wörner haben Sie Fuzzware gegründet. Welches Problem wollen Sie mit Ihrem Unternehmen lösen?

Wir machen eingebettete Systeme sicherer. Das sind kleine Computer, die in vielen Geräten des Alltags stecken, ohne dass man sie als solche wahrnimmt. Sie finden sich beispielsweise in Fahrzeugen, medizinischen Geräten oder Komponenten kritischer Infrastruktur. Weil diese Systeme zunehmend miteinander vernetzt sind und mit ihrer Umgebung kommunizieren, entstehen immer mehr potenzielle Angriffsflächen. Sicherheitslücken können dann weitreichende Folgen haben, insbesondere dort, wo technische Systeme wichtige Aufgaben übernehmen. Unser Ziel ist es, genau diese Risiken frühzeitig zu erkennen und die betroffenen Systeme besser abzusichern.

Wie spüren Sie solche Schwachstellen auf?

Wir nutzen ein Verfahren namens Fuzzing, das auch Hacker verwenden, um Schwachstellen in Software aufzuspüren. Dabei wird ein System automatisiert mit sehr vielen unterschiedlichen Eingaben konfrontiert. Vereinfacht gesagt, klopfen wir die Software systematisch auf Schwachstellen ab. Wenn bestimmte Eingaben zu Fehlern, Abstürzen oder unerwartetem Verhalten führen, kann das ein Hinweis auf eine Sicherheitslücke sein. Ziel ist es, möglichst tief in die Software vorzudringen, auch in Bereiche, die im normalen Betrieb kaum genutzt und deshalb selten getestet werden. Für klassische Software auf PCs oder Servern sind solche Verfahren heute weit verbreitet. 

Die Software einer Insulinpumpe, einer Ladesäule oder eines Steuergeräts im Auto lässt sich nicht einfach auf einem normalen Computer starten und testen.

Genau. Dafür braucht es eine ganz bestimmte Hardwareumgebung. Unsere Besonderheit ist, dass wir diese Umgebung automatisch digital nachbilden. Der technische Begriff ist hier das Rehosting. Dadurch können wir die Software analysieren, ohne das eigentliche Gerät zu benötigen. Das ermöglicht deutlich umfangreichere Tests und hilft dabei, Sicherheitslücken wesentlich schneller aufzuspüren.

 

Bild: Fuzzware GmbH

Warum haben Sie sich für den Schritt in die Wirtschaft entschieden?

Am Anfang ging es gar nicht um eine Unternehmensgründung. Ich habe 2019 im Rahmen meiner Forschung begonnen, mich mit dem Thema zu beschäftigen, einfach weil wir ein technisches Problem lösen wollten. Mit der Zeit wurde deutlich, dass unser Ansatz nicht nur wissenschaftlich interessant ist, sondern auch in der Praxis sehr gut funktioniert. Gleichzeitig haben wir gesehen, wie anfällig viele eingebettete Systeme noch immer sind und wie wenige Werkzeuge es gibt, um sie systematisch auf Sicherheitslücken zu prüfen. Damit stellte sich irgendwann die Frage, wie es weitergeht. Wir hatten eine Technologie entwickelt, die für viele Unternehmen relevant sein konnte. 

Ab dann hätten ja auch Industrie-Partner übernehmen können.

Forschungsergebnisse finden nicht automatisch ihren Weg in die Industrie. Nur weil eine Methode in wissenschaftlichen Arbeiten beschrieben wird, wird sie noch lange nicht eingesetzt. Deshalb wollten wir den Transfer selbst vorantreiben. Oder anders gesagt: Wir mussten uns entscheiden, ob wir die Forschung im Regal stehen lassen oder versuchen, daraus etwas zu machen. Wir haben uns für den zweiten Weg entschieden. Daraus ist schließlich Fuzzware entstanden.

Wie hat die Gründung Ihren Alltag verändert?

Mein Alltag hat sich durch die Gründung komplett umgekrempelt. Früher habe ich mich fast ausschließlich mit Forschung und technischen Fragestellungen beschäftigt. Heute gehören auch Kundenkontakte, Personalthemen, Finanzen und viele organisatorische Aufgaben dazu. Das sind Bereiche, mit denen man als Wissenschaftler normalerweise kaum Berührung hat.

Das klingt nach einer steilen Lernkurve. Welche Unterstützung haben Sie auf diesem Weg bekommen?

Für ein Startup ist Geschwindigkeit oft entscheidend. Doch gerade in der frühen Phase gibt es viele Hürden, die Zeit und Energie kosten. CISPA und Helmholtz haben uns dabei geholfen, solche Steine aus dem Weg zu räumen und uns auf das Wesentliche zu konzentrieren: die Weiterentwicklung unserer Technologie und den Aufbau des Unternehmens.

Besonders wichtig war für uns die Unterstützung bei der Ausgründung. Es macht einen großen Unterschied, ob man diesen Weg alleine gehen muss oder auf Menschen zurückgreifen kann, die solche Prozesse bereits kennen und begleiten.

Wie sehen Sie die Entwicklung der Cybersecurity insgesamt?

Die weltpolitische Lage hat sich in den vergangenen Jahren spürbar verhärtet. Wir leben heute in einer weniger friedlichen Welt, als das noch vor einigen Jahren der Fall war. Angriffe auf kritische Infrastrukturen oder andere wichtige Systeme haben dadurch eine ganz andere Bedeutung bekommen.

Hinzu kommt, dass KI es Angreifern erleichtert, Schwachstellen zu finden und Angriffe vorzubereiten. Viele Dinge, für die früher viel Erfahrung nötig war, lassen sich heute deutlich einfacher umsetzen. Dadurch wird es immer wichtiger, Schwachstellen frühzeitig zu erkennen und zu beheben.

Interview: Kai Dürfeld

Leser:innenkommentare

Mehr zum Thema

„Der Flaschenhals, durch den alle Teams durchmüssen“
Helmholtz auf der Hannover Messe
„Wir müssen die Fähigkeit entwickeln, diese Systeme selbst zu bauen“
„Kooperation ist der Katalysator für Innovation“
Drei Fragen an die Datenwissenschaftlerin Dasha Trofimova

So neugierig wie wir? Entdecken Sie mehr.