Der Stil eines Entwicklers ist wie ein digitaler Fingerabdruck – einzigartig, aber schwer zu identifizieren. Mit OCEAN wurde ein KI-gestütztes Tool entwickelt, das Codefragmente analysiert und Urheber selbst in Maschinencode erkennen kann. Diese Technologie könnte die Rückverfolgung von Cyberangriffen revolutionieren und den Schutz kritischer Infrastrukturen stärken.
Mit der Entwicklung von OCEAN soll der Blick auf den Programmierstil als unverwechselbares Merkmal für die Cyberabwehr erweitert werden.
(Bild: tippapatt - stock.adobe.com)
Hinter jedem Programm verbergen sich charakteristische Muster, die bereits bei der Wahl der Variablennamen und der bevorzugten Programmierparadigmen ihren Ursprung haben. So setzen manche Entwickler auf iterative Lösungen mit Schleifen, während andere rekursive Ansätze bevorzugen. Diese individuellen Code-Strukturen spiegeln den persönlichen Code-Stil des Autors erkennbar wider. Bisher konnten diese Merkmale jedoch nur im Quellcode analysiert werden oder wenn der potentielle Autor zum Zeitpunkt des Trainings der KI bereits bekannt war. Diese Voraussetzungen treffen jedoch bei Schadsoftware nicht zu, da diese häufig ausschließlich als kompilierter Maschinencode vorliegt.
Mit Unterstützung der Agentur für Innovation in der Cybersicherheit GmbH (Cyberagentur) hat unser Team an der Universität zu Lübeck im Forschungsprojekt SOVEREIGN einen neuen Ansatz namens OCEAN (Open-World Contrastive Authorship Identification) entwickelt, der auch in stark optimiertem Maschinencode die Handschrift des Entwicklers erkennt. Das Verfahren operiert in einem „open world“-Szenario, das heißt, es kann auch dann Aussagen treffen, wenn der mutmaßliche Autor nicht in den Trainingsdaten enthalten ist.
Allerdings wurde der Ansatz bislang ausschließlich mit normalem, unverschleiertem Programmcode getestet. Da einige Schadprogramme gezielt mit Verschleierungstechniken geschützt werden, sollen diese Gegenmaßnahmen in zukünftigen Untersuchungen näher erforscht werden.
Neue Perspektiven in der Cyberabwehr
Die Fähigkeit, den Urheber von Schadsoftware anhand von Code-Stilmerkmalen zu identifizieren, eröffnet völlig neue Möglichkeiten in der IT-Sicherheit. Cyberkriminelle hinterlassen zwangsläufig individuelle stilistische Spuren, wenn sie Schadsoftware entwickeln. Mit OCEAN lassen sich Verbindungen zwischen scheinbar unabhängigen Angriffen herstellen und potenzielle Urheber ausfindig machen. Für Ermittlungsbehörden könnte diese Methode künftig als forensisches Werkzeug in Gerichtsverfahren dienen.
Im Rahmen des Forschungsprojektes SOVEREIGN, das sich dem Schutz kritischer Infrastrukturen widmet, spielt OCEAN auch für die Software-Lieferkette eine zentrale Rolle. Supply-Chain-Angriffe, bei denen Updates manipuliert werden, um Hintertüren einzuschleusen, stellen eine zunehmende Bedrohung dar. Häufig bleiben solche Manipulationen unbemerkt, da sich der eingeschleuste Code nahtlos in die bestehende Software einfügt.
Hier kommt die Technik von OCEAN ins Spiel: Durch den Vergleich des Code-Stils eines Updates mit dem vorherigen Zustand der Software können plötzlich auftretende, stilistisch abweichende Codeabschnitte erkannt werden. Dies ist ein möglicher Hinweis auf bösartige Eingriffe. In einer Fallstudie konnte das Forscherteam diesen Ansatz bereits erproben: Sie simulierten einen Angriff auf die Software-Lieferkette, indem bekannte Schadsoftware in ein Software-Update integriert wurde. Dabei konnten sie eine signifikante Abweichung in der Autorenschaft messen. Das bedeutet zwar nicht zwangsläufig, dass die Lieferkette bereits kompromittiert wurde, sollte jedoch als Weckruf verstanden werden. Entweder indem diesem Bereich in weiteren automatisierten Analysen mehr Aufmerksamkeit gewidmet wird oder direkt bei dem betroffenen Unternehmen nachgefragt wird, ob sich etwa das Entwicklerteam verändert hat.
Die Punktewolke zeigt, wie der KI-Ansatz OCEAN Code-Stile erkennt und Entwickler identifiziert. Jeder Punkt repräsentiert eine Code-Funktion, die einer bestimmten Person zugeordnet ist. Trotz Compiler-Optimierungen bleiben stilistische Eigenheiten erhalten, so dass sich die beiden Gruppen in der Regel deutlich unterscheiden und eine Unterscheidung zwischen den beiden Autoren möglich ist.
(Bild: Felix Mächtle)
Im Kern beruht OCEAN auf kontrastivem Lernen – einem Machine-Learning-Ansatz, der Programme paarweise vergleicht, um festzustellen, ob sie vom gleichen Autor stammen. Die gleiche Technik findet sich auch in der Gesichtserkennung von Smartphones, wo durch kontrastives Lernen erkannt wird, ob zwei Bilder von Gesichtern zum gleichen Menschen gehören.
Als Herzstück des Systems dient ein neuronales Netzwerk, das speziell für die Verarbeitung von Programmiersprachen optimiert ist. Ein großer Vorteil: OCEAN ist nicht auf den ursprünglichen Quellcode angewiesen, sondern arbeitet auch zuverlässig mit Maschinencode. Tests mit realen Open-Source-Programmen zeigten, dass das System eine Genauigkeit von 86 % erreicht – selbst bei hoher Compiler-Optimierung. Compiler-Optimierung bedeutet, dass der Compiler den Quellcode automatisch verändert, um etwa die Ausführungsgeschwindigkeit zu erhöhen. Dabei können jedoch auch charakteristische Stilmerkmale des ursprünglichen Codes modifiziert werden, was die Identifikation des individuellen Autorenstils zusätzlich erschwert.
Mit der Entwicklung von OCEAN wird der Blick auf den Programmierstil als unverwechselbares Merkmal für die Cyberabwehr erweitert. Während traditionelle Ansätze oft an die Grenzen der Quellcode-Analyse stießen, zeigt der neue Ansatz, dass auch Binärdateien wertvolle Informationen über den Urheber enthalten und das in einem realitätsnahen „open world“-Szenario.
Über die Rückverfolgung von Cyberangriffen hinaus eröffnet der Ansatz auch neue Möglichkeiten, grundlegende Fragen zur Herkunft und Zuordnung von Code zu klären. So könnte OCEAN künftig etwa dabei helfen, automatisch erzeugten Code von menschlichem Code zu unterscheiden. Dieser Aspekt ist insbesondere im Hinblick auf Haftungsfragen bei KI-gestützter Programmierung von Bedeutung.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Gleichzeitig wirft die Technologie aber auch kritische Fragestellungen auf. So könnte die Fähigkeit, individuelle Programmierstile zuzuordnen, etwa von Unternehmen oder staatlichen Stellen genutzt werden, um Entwickler gezielt zu überwachen. Der Schutz der Privatsphäre und die Wahrung der Anonymität in der digitalen Welt stehen somit ebenso im Fokus wie der Einsatz der Technik zur Verbesserung der IT-Sicherheit.
Bereits heute zeigt sich, dass die feinen Nuancen im Programmierstil so ausgeprägt sind, dass sie zuverlässig erkannt werden können. Damit sind Chancen, aber auch neue Herausforderungen verbunden. Die Zukunft der digitalen Forensik wird daher nicht nur von technologischen Fortschritten, sondern auch von einem verantwortungsvollen Umgang mit diesen neuen Möglichkeiten abhängen.
Die Herausforderungen durch Cyberkriminalität, Supply-Chain-Angriffe und den zunehmenden Einsatz von KI in der Softwareentwicklung nehmen stetig zu. Ob die maschinengestützte Autorenerkennung bald zum Standard in der IT-Sicherheit avanciert, bleibt abzuwarten – doch eines ist klar: Mit OCEAN rückt die digitale Spurensuche einen entscheidenden Schritt näher an die Realität.
Über den Autor: Felix Mächtle ist Forscher am Institut für IT-Sicherheit der Universität zu Lübeck im Bereich Maschinelles Lernen und Cybersecurity. Er ist Mitglied des KI-Forschungsnetzwerks AI Grid, einer Initiative, die den Austausch zwischen jungen Talenten und führenden KI-Experten fördert. Hier treibt Mächtle in der Mikro-Fokusgruppe für IT-Sicherheit und KI mit anderen Forschenden im AI Grid den Austausch über innovative Ansätze zum Schutz vor digitalen Bedrohungen voran.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/88/a4/88a4cea0faefd5e74cc9bd5a9fb4ca87/0114037795.jpeg "Wird künstliche Intelligenz zum treuen Partner bei der Verteidigung von Unternehmensnetzen und sensiblen Daten oder zum unbezwingbaren Feind, der alles überrollt? (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/1f/c91f76322aad9bd58e5cb3db78cc7b11/0122444387v2.jpeg "Adversarial Tests und Software Bill of Materials sind beliebte Methoden, um Software sicherer zu machen. (Bild: Levin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/b6/b7b6c4c904b205f331eaae527a6a317f/0122529653v2.jpeg "Zu einer sicheren Software-Lieferkette gehört unter anderem auch der Schutz von Zugriffsdaten, damit der Code nicht manipuliert werden kann. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/23/8723a29ad8494a7ce02a316177822b9a/0123123950v1.jpeg "In dieser Folge des Security-Insider Podcast halten wir zwar virtuell Abstand, lassen Sie aber auch in der Krise nicht allein! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/20/a6/20a6b838637bcba76720ad9de9a63ecd/0121166474v1.jpeg "Viele IT-Experten vertrauen den eigenen Richtlinien und Verfahren zum Testen von KI-generiertem Code nicht ganz. (Bild: © Jamie – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/2a/912a67aab8a764b31d75acaf88e26562/0112150345v1.jpeg "Die KI OCEAN untersucht Software auf Malware und kann sogar den Urheber davon erkennen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/96/17/96171d8ef26498421a9086c9c0bf1f98/0128012298v2.jpeg "Forscher von Cato Networks beschreiben, wie offene CORS-Regeln und lax validierte Redirect-URIs im MCP SDK von Anthropic OAuth-Token-Diebstahl und manipulierte Build-Prozesse ermöglichen können. (Bild: © Kenny - stock.adobe.com)")