Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

16.11.1990 - 

Eifersüchteleien verhindern die nötige Kooperation der Viren-Bekämpfer

Behördlicher Virenschutz ist auch kein Allheilmittel

Während nur ein intensiver Informationsaustausch schnelle Hilfe für die Anwender bringen kann, sind die Anti-Viren. Programmierer primär damit beschäftigt, ihre Schäfchen ins Trockene zu bringen. Eine derzeit geplante "amtliche" Schutzaktion könnte diese Situation noch weiter verschärfen.

Im Verlauf des Jahres 1990 wurde in immer größerem Umfang deutlich, daß die in den Vorjahren abgegebenen Warnungen vor Computerviren und Sabotageprogrammen berechtigt waren.

Ob die Kassandra-Rufe das Unheil nur prophezeiten, oder auch Provozierten sei dahingestellt. Unbestreitbar ist: Die Viren haben ihren Weg zum Anwender gefunden. Die Zeit der Laborexperimente ist endgültig vorbei.

Das "Bundesamt für Sicherheit in der Informationstechnik" (BSI, derzeit noch "Zentralstelle für Sicherheit in der Informationstechnik" - ZSI), das im kommenden Jahr seine Arbeit aufnehmen soll, wird voraussichtlich zu einem guten Teil damit beschäftigt sein, Behörden und Ämter vor den ungebetenen "Gästen" in ihren Computern zu schützen. So warnt der Hamburger Informatik-Professor Dr. Klaus Brunnstein vor gezielten Software-Sabotageakten gegen Behörden. Auch Steffen Wernery, Mitbegründer des ebenfalls in Hamburg ansässigen "Chaos Computer Club", machte Andeutungen, die in diese Richtung weisen. Der universitäre Bereich, bislang eine der Hauptstützen bei der Untersuchung und Bekämpfung neuer Computerviren, sieht sich einer Veröffentlichung im "Virus-Telex" zufolge außerstande, der hereinbrechenden Virenflut Herr zu werden.

Laut Christof Fischer vom "Microbit" der Universität Karlsruhe kann die Analyse eines neuen Computervirus mehrere Mannwochen erfordern. Schon die Eliminierung eines bekannten, mit Hilfe von Dienstprogrammen entfernbaren Virus aus einem Netz von nur wenigen Rechnern kann leicht einen ganzen Tag dauern.

Das gilt besonders dann, wenn die Herkunft des Virus nicht bestimmbar ist und demzufolge auch die Disketten untersucht werden müssen.

Scanner entdecken mehr als 230 Viren

Eine große Hilfe bei der Suche nach infizierten Programmen sind sogenannte Viren. Scanner, die bekannte "Erreger" an charakteristischen Byte-Sequenzen erkennen (für MS-DOS-PCs gibt es Scanner, die bereits mehr als 230 Viren entdecken). Leider birgt diese Methode sehr große Gefahren, zumindest für den, der sich davon absolute Sicherheit verspricht. Denn gegen Veränderungen am Viruscode, die schon ein wenig verzierter Programmierer vornehmen kann, sind die derzeitigen Anti-Viren-Programme machtlos. Die Beschränkung der Suche auf bestimmte Byte-Folgen oder ähnliche Charakteristika führt dazu, daß auch nur geringfügig modifizierte Viren nicht mehr erkannt werden und wieder eine Suche zu Fuß" angesagt ist. Gegen echte Neukonstruktionen ist ohnehin kein Kraut gewachsen.

Mittlerweile ist der Tausch von Computerviren ein beliebtes Hobby unter den Mitgliedern von Computerclubs und den Teilnehmern von Anwendertreffen geworden. Dies führt zu einer zunehmenden Verbreitung von Viren auch in jenen Kreise, die willens und in der Lage sind, bereits existierende Viren So zu manipulieren, daß Schutzprogramme sie nicht mehr erkennen können.

Ein Anti-Viren-Spezialist äußerte den dringenden Verdacht, daß einige Versionen des sogenannten "Israel-Virus" speziell zur Umgehung seines Anti-Virus-Programmes modifiziert worden seien. Er räumte ein, "nicht ganz unglücklich" über diese Entwicklung zu sein, da neue Viren-Versionen auch neue Versionen der Schutzprogramme erforderlich machten. Letztlich aber werde die Gefahr für den Anwender immer größer. Einen neuen Denkansatz indes, eine generelle Lösung, konnte auch dieser Spezialist nicht bieten.

Tatsächlich beschränken sich die Verbesserungsversuche der Anti-Viren-Programmierer in letzter Zeit auf eine Erhöhung der Performance. Freimütig berichtet ein englischer Spezialist im Handbuch zu seinem Scanner, daß die enorme Geschwindigkeitssteigerung gegenüber früheren Versionen darauf beruht, daß lediglich jeweils 4 KB am Anfang und am Ende einer Programmdatei - wo sich Viren üblicherweise verstecken eingelesen und überprüft werden.

Es wurden nur 4 KB überprüft

Eine problematische Beschränkung: Wie erste Laborversuche ergaben, ist es ein leichtes, bestehende Viren so zu verändern, daß sie ihren Code in die Mitte einer Datei einpflanzen. Um solche Varianten, die mit Sicherheit demnächst auftauchen werden, ebenfalls in den Griff zu bekommen, muß wieder die gute alte Methode der "Brute-Force-Suche" zur Anwendung kommen, bei der die ganze Datei durchsucht wird.

Ein weiteres Problem sind Viren, die ihren Code beim Infizieren nach einem Zufallsschema verschlüsseln und folglich eine Vielzahl von "Gestalten" annehmen können.

Eine Arbeitsgruppe im Süden Deutschlands diskutierte diese Möglichkeit bereits Ende August und entwickelte Denkmodelle, dieser Gefahr zu begegnen. Ein Ergebnis dieser Überlegungen war, daß der Programmieraufwand für die Scanner erneut drastisch erhöht werden müßte.

Erst in den letzten Tagen wurde dem Autor ein Exemplar eines solchen Virus zugespielt. Eine erste grobe Analyse ergab, daß herkömmliche Virenscanner mit dieser neuen Spezies tatsächlich nicht fertig werden. Der bislang übliche simple Byte-Vergleich geht hier ins Leere. Künftige Virenscanner werden eine erheblich höhere Abstraktionsfähigkeit mitbringen müssen. Derzeit befinden sich solche Programme allerdings noch nicht einmal in der Erprobungsphase.

Vor diesem Hintergrund ist ein Vorhaben zu sehen, das Gerüchten zufolge bundesweit durchgeführt werden soll. Unter dem Schlagwort "Frühjahrsputz" ist geplant, mit einem im Auftrag der ZSI zentral und nach konventionellem Schema noch zu entwickelnden Virus-Scanner alle im öffentlichen Bereich eingesetzten DOS-PCs auf einen eventuellen Virusbefall zu überprüfen.

Abgesehen von der bei einer "Staatsaktion" zu erwartenden Vorlaufzeit, die es angesichts der rapiden Entwicklung im Virenbereich unwahrscheinlich macht, daß der - am "Tag X" schließlich eingesetzte Scanner auf dem aktuellen Stand ist, sind gegen diesen Plan noch einige andere, gewichtige Bedenken anzumelden.

Um eine Virusinfektion festzustellen, ist eine intensive Überwachung, des Systems erforderlich. Hierzu gehört unter anderem eine regelmäßige Kontrolle des Programmbestands mit Prüfsummenprogrammen. Werden Anomalien festgestellt, beispielsweise unerklärliche Veränderungen der Länge oder des Erstellungsdatums von Programmdateien oder ein Schrumpfen des verfügbaren Arbeitsspeichers, ist Vorsicht geboten.

Bleibt nach sorgfältiger Untersuchung tatsächlich nur die Diagnose "Virus", muß untersucht werden, welche Programme infiziert sind. Ein Viren-Scanner kann hier nur ein Hilfsmittel seine nicht jedoch ein Beweis für die Abwesenheit von Sabotageprogrammen. Das heißt, der geplante "Frühjahrsputz" putzt nicht wirklich, sondern hat bestenfalls die Eliminierung derjenigen Viren zur Folge, die dem eingesetzten Scanner bekannt sind.

Ein wesentliches Problem nämlich stellt die Anzahl der von einem Schutzprogramm erkannten Viren dar. Daten-, Programm- und Informationsaustausch unter Anwendern findet heutzutage weltweit statt. Nicht so unter den Anti-Viren-Programmierern. Als Folge verbreiten sich die Viren schneller als das Wissen, wie sie zu bekämpfen sind.

Beispielsweise wurde das Tarnkappen-Virus "4096" bereits im Oktober 1989 in Israel festgestellt. Binnen weniger Wochen waren örtliche Stillen in der Läge, es sowohl im Speicher als auch auf Datenträgern zu orten und zu eliminieren. Als das Virus dann im Januar 1990 in den USA auftauchte, behaupteten US-amerikanische Virenspezialisten dennoch, daß es "selbst Experten nicht gelungen sei, das Virus mit Sicherheit aus ihrem System zu entfernen. Die in Israel gewonnenen Erkenntnisse blieben unberücksichtigt.

Im Sommer 1990 hatte das "4096"-Virus schließlich auch in Deutschland Fuß gefaßt. Erneut wurde mit Hochdruck daran gearbeitet, es zu analysieren, zu finden und aus einem befallenen System zu entfernen. Von internationaler Kooperation keine Spur.

Individuelle Eifersüchteleien und eigenbrötlerisches Verhalten der zuständigen Stellen führen dazu, daß jeder für sich allein das Rad neu erfindet. Der Grund für den offenbar weitverbreiteten Informationsneid: Mit Anti-Viren-Programmen wird viel Geld verdient. Darüber spricht zwar keiner öffentlich, ganzseitige Zeitungsanzeigen jedoch sprechen für sich.

Ein quasi amtlicher Virenscanner?

Wird nun ein gewissermaßen "amtlicher" Viren-Scanner entwickelt, speziell für den lukrativen behördlichen Markt, sind die Folgen abzusehen. Zum einen ist da die privatwirtschaftliche Konkurrenz, die ja auch gerne mitverdienen würde. Erfahrungsgemäß hat jeder Hersteller das eine oder andere Virus, das die Konkurrenz nicht hat und damit läßt sich problemlos die "Unzuverlässigkeit" des "amtlichen" Produkts nachweisen. Geschickt lancierte Mitteilungen an die Boulevard-Presse befriedigen dann nicht nur die Sensationsgier, sondern schüren gleichzeitig neue Ängste und kurbeln die Nachfrage an.

Zum anderen sind da die zahllosen "Freaks", die in der Lage sind, Viren zu schreiben oder weiterzuentwickeln. Wie die derzeit senkrecht in die Höhe gehende Kurve neuer Viren zeigt, eine sehr aktive Gruppe. Die eingangs erwähnten Bemerkungen von Brunnstein und Wernery seien in Erinnerung gerufen. Die Gefahr einer gezielten Umgehung der "amtlichen" Anti-Viren-, Software liegt auf der Hand, zumal der Gegner in diesem Fall eindeutig - und vermutlich auch "attraktiv" - ist.

Drittens schließlich verbessert die Einführung eines quasi amtlichen Produkts dessen Chancen auf dem freien Markt erheblich. Deutsche Behörden gelten traditionell als Hort der Zuverlässigkeit. Nachdem sich gerade die ZSI in der Vergangenheit als wenig kooperativ gezeigt hat, steht zu befürchten, daß über die tatsächliche Qualität und Verwendbarkeit des Produktes nicht entschieden werden kann, einfach weil Viren, die es angeblich erkennt beziehungsweise bekämpft, nicht zur Verfügung stehen. Beispielsweise gibt es Ausnahmesituationen, auf die auch renommierte Viren-Scanner nicht vorbereitet sind, und die dazu führen, daß sie selbst altbekannte Viren "übersehen". Häufig löst erst der Einsatz eines Konkurrenzproduktes das Problem. Angesichts dieser mangelnden Überprüfbarkeit und der besonderen Gefahr gezielter Angriffe bleibt die Leistungsfähigkeit des geplanten Behördenprodukts eine reine Glaubenssache.

Ein Technologie-Transfer in Sachen "Virenbekämpfung" findet derzeit faktisch nicht statt. Eine behördliche Viren-Aktion im Alleingang könnte die ohnehin kontraproduktive Konkurrenz- und Neid-Situation noch weiter verschärfen und damit die dringend erforderliche Zusammenarbeit auch in Zukunft verhindern.

Es wäre wünschenswert, wenn die verantwortlichen Stellen endlich anfangen würden, die kompetenten Kräfte zu kanalisieren und die Diskussion nicht nur anzuregen, sondern auch zu herzustellen. Allen Anti-Viren-Doktoren geht es nach eigenem Bekunden nur um den optimalen Schutz der Anwender.

Das Gewinnstreben, wenn Oberhaupt eingestanden, rangiert deutlich an nachgeordneter Stelle. Warum nimmt man sie nicht beim Wort?