Der programmierende Idealist
Der Grazer Informatiker entdeckte erstmals die Hardware-Sicherheitslücken Meltdown und Spectre. Das hatte massive Folgen für die gesamte Computerindustrie.
Der 31-jährige Informatiker Daniel Gruss vom Institut für Informationsverarbeitung und Kommunikationstechnologie der TU Graz verbringt seine Freizeit im Sommer am liebsten beim Grillen mit Freunden. Es kommt also nicht von ungefähr, wenn der Informatiker auf sein Hobby zurückgreift, um seine Forschung zu erklären: Denn die beiden Computerangriffstechniken Meltdown und Spectre, die Sicherheitslücken ausnutzen und zum Jahreswechsel die IT-Welt auf Trab gehalten haben, könne man ganz gut mit Analogien der Gastronomie erklären, befindet Gruss mit einem Schmunzeln.
Üblicherweise arbeitet man ein Rezept Schritt für Schritt ab. Bevor der Koch mit der Zubereitung beginnt, passiert ein ständiger Soll/Ist-Vergleich: Welche Zutaten sind vorhanden? Welche müssen noch besorgt werden? „Nichts anderes macht der Computer, nur dass die Rechenprozessoren um ein Vielfaches schneller als wir Menschen arbeiten, aber wesentlich simpler strukturiert sind“, erklärt Gruss. Das heißt: Der Rechner überprüft nicht alle Zutaten im Vorfeld, sondern legt gleich los. Damit der Prozessor eine hohe Arbeitsgeschwindigkeit erreicht, werden Rechenvorgänge parallel erledigt. Das ist für ein schnelles Arbeiten der Prozessoren notwendig, birgt aber systemtechnische Schwächen in sich.
Im Juli dieses Jahres konnte sich Gruss gegen drei Mitbewerber für eine Laufbahnstelle als Assistenzprofessor an der TU Graz durchsetzen. Seine Forschungsarbeit im Bereich der IT-Sicherheit begann Gruss im Jahr 2015. Die Techniken, die er und seine Kollegen damals erforscht haben, seien in ihrer Granularität, sprich in Bezug auf die Anzahl ihrer Untergliederungen, noch gröber gewe- sen“, so Gruss. Die Basis für das Aufdecken von Sicherheitslücken bildet seine Dissertation, die sich mit Mikroarchitekturangriffen – dem unbefugten Abgreifen von Daten – beschäftigt. Dafür bekam er den ersten Platz des Förderpreises 2018 des Forums Technik und Gesellschaft der TU Graz. Darüber hinaus erhielt er im Juni den Heinz-ZemanekPreis der Österreichischen Computer Gesellschaft (OCG).
Die von Gruss als Teil eines international agierenden Wissenschaftlerteams aufgedeckten Sicherheitsmängel betreffen alle namhaften Hersteller der Branche, wie etwa Intel oder AMD. Die auf seinen Forschungsergebnissen basierenden Erkenntnisse haben unter anderen die Firmen Microsoft oder Apple in ihren Sicherheitsupdates integriert. „Das war für jeden PC-User zu Beginn des Jahres in Form von längeren Updates der Betriebssysteme spürbar“, sagt Gruss.
Das Korrekturprogramm Kaiser-Patch kümmere sich um Meltdown, aber für das komplexere Spectre gebe es noch keine wirksame Gegenmaßnahme. Wieder greift Gruss auf eine kulinarische Analogie zurück und vergleicht die Sicherheitslücke Meltdown mit dem Bestellen eines Cocktails: „Ein Minderjähriger bestellt zum Beispiel einen alkoholhaltigen Drink in einem Kaffeehaus. Aufgrund der parallelen Bearbeitung wird zeitgleich sein Alter geprüft. Erst als das Getränk serviert wird, erfährt der Jugendliche, dass er das Getränk nicht bekommen darf“, so Gruss. Dass alle Zutaten für ein alkoholisches Getränk grundsätzlich verfügbar sind – was für ein Kaffeehaus eher unüblich ist –, war vor dem Bestellprozess eigentlich nicht bekannt. Bei Prozessoren können diese verborgenen Informationen sensible Daten, wie etwa die Passwörter von Bankkonten sein. Bei der Sicherheitslücke Meltdown wird bewusst eine Grenze überschritten und auf Speicherplätze zugegriffen. Das dürfte das System nicht zulassen, weil dadurch eine Lücke im System geöffnet wird.
Seine ersten Programmiererlebnisse hatte Gruss im Volksschulalter beim Aneinanderreihen von Befehlen in DOS-BatchDateien – in einer Programmiersprache der späten 1980er-Jahre. Heute zählt der Informatiker zu den weltweit gefragtesten System-Security-Forschern und wäre bei Computerkonzernen ein willkommener Mitarbeiter. Doch er will seine Lehrtätigkeit nicht missen: „Vielleicht habe ich da eine zu idealisierte Vorstellung. Aber Wissen multipliziert sich, und es ist einfach schön zu sehen, was aus den Studenten wird“, sagt Gruss.
wurde 1986 in Brühl, Deutschland, geboren. Er begann sein Informatikstudium 2008 an der TU Graz, wo er 2017 mit Auszeichnung promovierte. Für seine Dissertation erhielt er im Juni den Förderpreis 2018 des Forums Technik und Gesellschaft der TU Graz sowie den Heinz-ZemanekPreis der Österreichischen Computer Gesellschaft. Gruss hält regelmäßig Vorträge bei IT-Sicherheitskonferenzen.