Forschung

Inhalt unserer Arbeiten ist Softwarequalität aus der Perspektive des Systemingenieurs: Konzepte, Modelle, Sprachen, Architekturen, Komponenten, Muster, Werkzeuge, Methoden und Prozesse. Schwerpunkte liegen methodisch im Testen und qualitativ in der Informations- und Funktionssicherheit. Die Anwendung der entwickelten Technologien und Methoden auf das Internet untersuchen wir in interdisziplinärer Zusammenarbeit im Munich Center for Internet Research.

Tests interessieren uns zunächst auf Codeebene. Dazu entwerfen und implementieren wir Verfahren zur Erzeugung fehlerbasierter Testsuiten sowie zur Reduktion großer Testsuiten, etwa von Regressions-Testsuiten im Bereich eingebetteter Systeme. Von besonderem Interesse sind dabei aktuell Fahrerassistenzsysteme im Bereich des (teil-)autonomen Fahrens.

Wir beschäftigen uns außerdem seit langem mit insb. modellbasierten Testverfahren. Dabei werden aus einem Modell von zu testendem System (SUT) und Umwelt Testfälle für das SUT generiert: Sequenzen oder Bäume von Ein- und erwarteten Ausgaben. Weil das Modell abstrakter sein muss als das SUT, müssen für die Ausführung der Tests die verschiedenen Abstraktionsniveaus überbrückt werden, was üblicherweise ca. die Hälfte des modellbasierten Testaufwands darstellt. Wir arbeiten zur Zeit an fehler- und eigenschaftsbasierter (also nicht nur struktureller) und randomisierter Testfallgenerierung u.a. im Sicherheitskontext sowie an Generierungsmechanismen für die Überbrückungskomponenten. Abgeschlossene Dissertationen in diesem Bereich beschäftigen sich mit der fehlerbasierten Erzeugung von Testfällen für eingebettete Systeme insbesondere auf Basis von Matlab-Simulink (Holling 2016) sowie der modellbasierten Generierung von sicherheitsrelevanten Testfällen für Web-Applikationen (Büchler 2015).

Als Komplementierung dynamischer Testverfahren sind für moderne cyberphysikalische Systeme Laufzeitmonitore unabdingbar. Unter dem Stichwort Accountability interessieren uns auf der Basis langer Erfahrung mit Technologien für Daten-Nutzungskontrolle (s.u.) generelle Rahmenwerke und Implementierungen, mit denen unerwünschte Ereignisse zur Laufzeit erkannt und die Verantwortung speziellen Systemteilen oder Personen zugeordnet werden kann. Neben Algorithmen für Laufzeitverifikation und Kausalitätsanalysen nimmt die Überprüfung und Sicherstellung von Software-Integrität zur Laufzeit dabei eine besondere Rolle ein.

Unser Interesse liegt weiterhin in der verteilten Daten-Nutzungskontrolle, einer Verallgemeinerung der Zugriffskontrolle (access control) auf die Zukunft und in verteilten Systemen: Was passiert mit Daten, wenn sie herausgegeben worden sind? Dabei spielen Anforderungen der Art "Daten müssen nach dreißig Tagen gelöscht werden", "Daten dürfen fünf Jahre lang nicht gelöscht werden", "Datenbesitzer muss bei Datenweitergabe informiert werden", "Daten dürfen nur anonymisiert weitergegeben werden" und "Bilder aus meinem sozialen Netzwerk-Profil dürfen nicht gespeichert oder ausgedruckt werden" eine Rolle. Relevant sind sie im Datenschutz, der Compliance mit regulatorischen Rahmenwerken, in der Cloud verteilt implementierten Geschäftsprozessen, dem Management von intellektuellem Eigentum und dem Schutz von Geheimnissen. Das Problemfeld umfasst eine Vielzahl faszinierender theoretischer, konzeptioneller, methodischer und technischer Herausforderungen. Einige Demos sind online. Abgeschlossene Dissertationen beschäftigen sich mit der Verbindung von Informationsflusskontrolle und Daten-Nutzungskontrolle über verschiedene Abstraktionsebenen hinweg (Lovat 2015), Daten-Nutzungskontrolle in verteilten Systemen (Kelbert 2016), Datennutzungskontrolle für datenschutzgesetzgerechte Kameraüberwachung (Birnstill 2016) und die Ableitung von maschinenverständlichen Policies aus für Menschen verständlichen Policies (Kumari 2015).

Im Bereich der Informationssicherheit im engeren Sinn schließlich konzentrieren wir uns aktuell auf Themen an der Schnittstelle von Software-Diversität und Software Obfuscation sowie an Anwendungen von Maschinenlernverfahren für Malwareerkennung und Forensik.

Entsprechende Projekte werden von DFG, EU, BMBF, BMWi, Bayerischen Staatsministerien und Industrie gefördert.

Publikationen.