Erfolgreicher Start des Forschungsprojekts „MESA-Decode: LSI und Ohm kooperieren für schnellere Schadcodeanalyse“

Nürnberg, 23. Oktober 2025 – Das Landesamt für Sicherheit in der Informationstechnik (LSI) und die Technische Hochschule Nürnberg Georg Simon Ohm (Ohm) setzen ihre erfolgreiche Zusammenarbeit fort: Mit dem Projekt MESA-Decode (Methoden zur Verbesserung der Erkennung von Schadcode durch automatisierte Deobfuscation von Schadcodesamples) startet eine neue Forschungskooperation, die gezielt auf die beschleunigte Entschlüsselung verschleierter Schadsoftware abzielt.

„Gerade bei der Abwehr aktueller Schadcodekampagnen zählt jede Minute. Mit MESA-Decode wollen wir das Erkennen und Analysieren von Malware deutlich beschleunigen – und dadurch die Resilienz der staatlichen IT-Infrastruktur im Freistaat weiter erhöhen“, betont Bernd Geisler, Präsident des LSI, anlässlich der feierlichen Vertragsunterzeichnung mit Prof. Dr. Tobias Schmidbauer und Prof. Dr. Tilman Botsch, beide von der Fakultät für Informatik der Ohm.

Im Fokus des Projekts steht die automatisierte Rückübersetzung von Schadcode-Verschleierungstechniken, sogenannter Obfuscation. Diese Technik wird von Cyberangreifern genutzt, um wichtige Kommunikationsparameter – sogenannte Indicators of Compromise (IoCs) – zu verschleiern. Diese IoCs, wie IP-Adressen oder URLs, sind jedoch essenziell für eine effektive Gefahrenabwehr.

Bisher erforderte die Analyse solcher Samples viel Zeit und manuelle Expertise. MESA-Decode will dies grundlegend ändern, indem es auf wiederkehrende Muster und moderne Analyseverfahren aus der Forschung setzt. Ziel ist es, robuste, sprachunabhängige Deobfuscation-Methoden zu entwickeln und als Softwaremodul in die Analyselandschaft des LSI zu integrieren.

Neben dem praktischen Nutzen liefert das Projekt auch wissenschaftlichen Mehrwert: So soll eine neue, generische Methodik zur Erkennung und Umgehung programmierter Verschleierung entwickelt sowie eine Pattern-basierte Kategorisierung von Obfuscation-Techniken eingeführt werden – eine Innovation, die auch über das Projekt hinaus Bedeutung für die Malwareforschung haben wird.

Das auf zunächst zwei Jahre angelegte Projekt soll als Pilotphase dienen und bei positiver Evaluierung auf insgesamt vier Jahre ausgeweitet werden. Langfristig wird angestrebt, die entwickelten Werkzeuge nicht nur für das LSI, sondern auch für nationale und internationale Partnerinstitutionen nutzbar zu machen – etwa über Austauschplattformen wie MISP.

Mit MESA-Decode stärkt das LSI nicht nur seine Rolle als sicherheitstechnisches Kompetenzzentrum des Freistaats Bayern, sondern unterstreicht zugleich den hohen Stellenwert von Forschungstransfer in der IT-Sicherheitsstrategie des Landes.