taz.de -- Verleihung des „Internet-Schutz-Preises“: Facebook ehrt deutsche Forscher

50.000 Dollar erhalten Forscher der Ruhr-Uni Bochum von Facebook. Sie entwickeln Methoden, um Sicherheitslücken in Internetanwendungen zu schließen.

BOCHUM/SAN DIEGO afp/taz | Zwei Forscher aus Bochum sind vom sozialen Netzwerk Facebook mit dem „Internet-Schutz-Preis“ ausgezeichnet worden. Wie das Unternehmen am Mittwoch mitteilte, erhalten Johannes Dahse und Thorsten Holz von der Ruhr-Universität Bochum die mit 50.000 Dollar dotierte Auszeichnung bei einem Symposium zu Internetsicherheit der Advanced Computing Systems Association für eine [1][Forschungsarbeit] zur Suche nach Schwachstellen in Internetanwendungen.

Holz ist Professor am Lehrstuhl für Systemsicherheit der Ruhr-Uni-Bochum, Dahse ist dort Doktorand. Das Forschungsprojekt zeigt auf, wie Programmierer Schlupflöcher finden, die von Angreifern ausgenutzt werden könnten. Der Fokus der Arbeit liegt auf sogenannten second-order vulnerabilities. „Diese Schwachstellen treten dann auf, wenn die Anfrage eines Angreifers zunächst von der Webapplikation auf dem Server gespeichert wird und erst bei einer weiteren Anfrage in einer sicherheitskritischen Operation verarbeitet wird“, erklärte Dahse der taz.

Sicherheitskritische Operationen sind beispielsweise Passwortänderungen oder Bezahlvorgänge. Unter anderem in Web-Applikationen zum Management von Konferenzen oder Online-Shops haben die beiden derartige Schwachstellen ausfindig gemacht.

Selbst um den Preis beworben haben sich die Forscher nicht. „Wir haben einfach unsere Arbeit bei der Konferenz vorgestellt. Aus den Einreichungen hat sich eine Jury die Kandidaten ausgesucht. Wir waren also selbst überrascht", sagte Holz.

Keine Verpflichtungen gegenüber Facebook

Dahse und Holz zeigten einen „klaren Weg“, wie ihre Forschung mit dem Preisgeld nun in die Technologie und damit in die reale Welt übertragen werden könne, erklärte die Jury. Den „Internet-Schutz-Preis“ hat Facebook dieses Jahr erstmals vergeben. Das soziale Netzwerk wolle damit „größere Möglichkeiten und Anreize für Forscher schaffen“, an Dingen zu arbeiten, die tatsächlich Menschen schützen, schrieb Facebooks Sicherheitsmanager John Flynn in einem [2][Blogeintrag]. Flynn gehörte der Jury an, die den Preis auf dem USENIX Security Symposium verlieh.

Verpflichtungen gegenüber Facebook ergeben sich aus dem Preis nicht. „Wir können das Geld verwenden, wie wir möchten. Facebook hat nur darum gebeten, dass wir nächstes Jahr einen Bericht über den Stand der Forschungsarbeit schicken“, so Holz.

Das Preisgeld werden Dahse und Holz in ihre Forschungsarbeit investieren. Im weiteren Verlauf möchten sie eine Methode entwickeln, um die Schwachstellen nach ihrer Erkennung automatisch zu schließen.

22 Aug 2014

LINKS

AUTOREN

TAGS

ARTIKEL ZUM THEMA

Nach dem Bekanntwerden einer 20 Jahre alten Sicherheitslücke wird diese schon ausgenutzt. Panik privater Nutzer ist unangebracht.

Das BKA meldet einen leichten Anstieg an Internetdelikten gegenüber 2013. Schätzungen zufolge könnten die wirklichen Zahlen elfmal höher liegen.

Internetnutzer resignieren dem Datenklau gegenüber zunehmend. Das ist verständlich, aber nicht klug. Außerdem ist Nichtstun egoistisch.

Russische Hacker sollen 1,2 Milliarden Passwörter geklaut haben. Jeder zweite Internetnutzer könnte betroffen sein. Um welche Seiten es sich handelt, ist noch unklar.

Wer kein Hacker oder Systemadministrator ist, scheint hilflos gegen die weltweite Überwachung. Das stimmt aber nicht: Analoger Protest ist möglich.

Die syrische Hackertruppe SEA übernimmt den Twitter-Account von Skype und warnt vor der Benutzung von Microsoft-Diensten.

Snowdenleaks könnte für Internetaktivisten sein, was Tschernobyl für die Atomkraftgegner war. Doch das Ziel ist zu abstrakt – und die Feinde auch.