Mit der Förderbewilligung des Bundesministeriums für Bildung und Forschung (BMBF) startete Anfang Januar das Projekt KI-gestützte, sichere Softwareentwicklung (AI-DevAssist) mit einer Laufzeit von drei Jahren und einem Fördervolumen von 2,24 Millionen Euro. Gemeinsam mit der Code Intelligence GmbH, der achelos GmbH, dem Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM und der Rheinischen Friedrich-Wilhelms-Universität Bonn entwickeln Wissenschaftler*innen des SICP – Software Innovation Campus Paderborn der Universität Paderborn einen durch Künstliche Intelligenz (KI) gestützten Assistenten.
„Der KI-Assistent soll Softwareentwickler bereits bei der Programmierung unterstützen, indem er Schwachstellen sowohl direkt im Software-Code als auch bei den Programmausführungen sucht und aufdeckt. Diese Schwachstellen können dann durch die Entwickler behoben werden. Anhand einer solchen kooperativen Schnittstelle zwischen Menschen und einer KI wird Programmierenden die Gewährleistung der unabdingbaren IT-Sicherheit erleichtert. Zudem wird eine neue Form der Zusammenarbeit mit einer KI etabliert, in der sich die Expertise der Anwender kontinuierlich erweitert“, erklärt Dr. Gunnar Schomaker, Projektleiter und Manager des Kompetenzbereichs Smart Systems im SICP.
Schwachstellen in der Software bieten Ziele für Cyberangriffe
Mobile Apps sind untereinander vernetzt. Diese Vernetzung bietet zwar funktionale Vorteile, es können aber auch Schwachstellen in der Software entstehen, welche Ziele für Cyberangriffe bieten. Eine vollständig abgesicherte Software ist für die Privatsphäre und Sicherheit einer vernetzen Gesellschaft, der Wirtschaft und somit des Staates von immenser Bedeutung. Die Konstruktion von sicherer und zuverlässiger Software stellt Entwickler*innen durch die steigende Komplexität vor eine große, bislang ungelöste Herausforderung. Trotz umfassender Bemühungen und Fortschritte, die Anzahl der kritischen Schwachstellen einzudämmen, steigt diese.
Erkennung der Schwachstellen mithilfe eines KI-Assistenten
Menschen machen naturgemäß Fehler, lernen fortwährend bei deren Behebung und erzeugen dabei eine bessere Qualität. In komplexen Systemen herrscht jedoch oft keine Fehlerfreiheit. Aktuelle Entwicklungswerkzeuge sind derzeit noch nicht intelligent genug, um Softwareentwickler*innen in diesem Verbesserungsprozess optimal zu unterstützen. Heutige Werkzeuge geben zudem viele irrelevante Warnungen aus, was Programmierende demotiviert und von den wirklich relevanten Meldungen ablenkt. „Ziel unseres Projektes ist es, Methoden zu erforschen, die es der Künstlichen Intelligenz ermöglichen, Schwachstellen zu erkennen, um dadurch Angriffe auf die Software zu verhindern. Unsere Idee ist dabei, die bisherige Erforschung und Entwicklung von Methoden der Künstlichen Intelligenz um bestehende statische und Fuzzing-Analysewerkzeuge für die Erkennung von Schwachstellen zu erweitern. Außerdem besteht ein großes Anliegen in der Entwicklung des KI-Assistenten darin, eine direkte Interaktion zwischen Softwareentwickler und den KI-Systemen zu erreichen. Eine benutzerfreundliche Interaktion mithilfe einer KI verbessert auch die finale Beurteilung der Kritikalität einer Sicherheitslücke durch den/die Entwickler*in“, erläutert Dr. Schomaker.
Auch kleine und mittlere Unternehmen sollen von Ergebnissen profitieren
Kleine und mittlere Unternehmen (KMU) haben großen Bedarf, ihre IT-Sicherheit zu verbessern. Dies hat das SICP-Projekt KMU. Einfach Sicher. bereits aufgezeigt. Während „KMU. Einfach Sicher.“ eine Weiterbildungsplattform für IT-spezifische Fachkenntnisse bietet, sollen die Softwareentwickler*innen im Projekt AI-DevAssist durch den KI-Assistenten während der Programmierung unterstützt werden. „Viele Bereiche, in denen IT-Lösungen entwickelt werden, können durch dieses Vorhaben profitieren. So können mithilfe des KI-Assistenten auch Programmierende unterstützt werden, die nur geringe Expertise in der IT-Sicherheit haben. Dadurch wird sichergestellt, dass auch KMU, die häufig nicht über ausgewiesene Sicherheitsexpert*innen verfügen, von den Ergebnissen profitieren. Die Sicherheit der Software ist ein wesentlicher Faktor in allen Bereichen. Dieses Vorhaben bringt in vielerlei Hinsicht ein hohes Potenzial mit sich“, erläutert Dr. Simon Oberthür, Manager des Kompetenzbereichs Digital Security im SICP.
