Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.


12.05.2000

Das nächste Virus kommt ganz bestimmt

Digitale Liebesgrüße aus Manila zogen vor rund einer Woche eine Spur der Verwüstung durch das weltweite Datennetz. Eine harmlos scheinende Visual-Basic-Script- (VBS-) Datei machte sich nach dem Öffnen des E-Mail-Anhangs auf die Suche nach Bild- und Musikdateien, zerstörte diese und verschickte sich selbst an alle in der Outlook-Adressliste gespeicherten Stellen. Schäden in Höhe von mehreren Milliarden Dollar waren die Folge. Schuld an der schnellen Verbreitung tragen auch die Anwender, die dem Virus mit einem unbedachten Doppelklick Tür und Tor öffneten.

"Bis jetzt ist die Büchse der Pandora im weltweiten Datennetz nicht geschlossen", fürchtet Frank Felzmann, Virenexperte beim Bundesamt für Sicherheit und Informationstechnik (BSI). Nach dem Auftreten des "Melissa"-Virus letztes Jahr waren die Anwender für eine Weile für das Thema Security sensibilisiert, doch dies habe bereits nach kurzer Zeit wieder nachgelassen, kritisiert der Sicherheitsfachmann. Mit dem "I love you"-Virus kam jedoch eine bis dahin nicht gekannte zerstörerische Komponente hinzu. Brachen bei Melissa nur zahlreiche Mail-Server zusammen, sucht und zerstört der Liebeszauber Daten auf den befallenen Rechnern.

Nach Ansicht von Felzmann haben es die Softwarehersteller nach den Warnschüssen der letzten Monate versäumt, ihre Hausaufgaben zu machen. So sei es ein Unding, dass ein per Mail in den Rechner gelangtes Programm nach einem einzigen Doppelklick Zugriff auf sämtliche Innereien des Betriebssystems hat, schimpft der Virenkenner. Außerdem müsste man eigentlich erwarten können, dass Mail-Programme so abgeschottet werden, dass sie nicht unbemerkt vom Anwender Hunderte oder sogar Tausende Mails abzuschicken vermögen.

Mit seiner Kritik nimmt Felzmann den Softwaregiganten Microsoft ins Visier. Der Virus habe sich nur wegen Schwächen im Betriebssystem Windows und im Mail-Programm "Outlook" so rasant verbreiten können. Andere Experten schlagen in die gleiche Kerbe. Microsoft setze mehr auf Funktionen als auf Sicherheit, urteilt Gary McGraw, Vice President von Reliable Software Technologies, über die Geschäftsstrategie der Redmonder. Nach Ansicht von Richard Smith, dem ehemaligen Chef von Pharlap Software, birgt das Feature der automatischen E-Mail-Erstellung in Outlook ein nicht kalkulierbares Sicherheitsrisiko.

Microsoft setzt sich gegen die Vorwürfe zur Wehr. Scott Culp, Sicherheitsexperte des Softwarekonzerns, beteuert, Microsoft wäge sehr genau zwischen Benutzerfreundlichkeit und Sicherheit ab. Alle Produkte überließen dem Anwender die Entscheidung, worauf er seinen Schwerpunkt legen möchte. Wolfgang Rychlak, technischer Produkt-Manager für Desktop-Applikationen, weist außerdem darauf hin, dass Outlook grundsätzlich mit der Voreinstellung "Anlagensicherheit: hoch" ausgeliefert werde. Demnach hätten Millionen Anwender vor dem fatalen Doppelklick eine Warnung auf ihrem Bildschirm gesehen. Darin sei auch von möglichen Viren die Rede. Trotzdem haben Millionen Anwender auf "Öffnen" geklickt. Deshalb könne man nicht allein Microsoft den Schwarzen Peter für die Viruskatastrophe zuschieben, verteidigt Rychlak seinen Brötchengeber.

John Pescatore, Security-Experte des Marktforschungsunternehmens Gartner Group, rügt die Verteidigungsbemühungen Microsofts scharf. Der Konzern habe einen perfekten Übertragungsmechanismus in sein Betriebssystem integriert. Damit bräuchten sich die Virenurheber nicht mehr auf Leute zu verlassen, die technisch unerfahren genug sind, infizierte Mails weiterzuleiten. Das mache jetzt das System von ganz allein, so die beißende Kritik des Marktforschers.

In einem Punkt sind sich jedoch alle beteiligten Institutionen einig: Das hauptsächliche Sicherheitsrisiko ist der Mensch. Felzmann zieht einen Vergleich mit dem Straßenverkehr: "Wenn jemand ein Auto fahren möchte, braucht er einen Führerschein und ein zugelassenes Fahrzeug. Im Internet kann man sich jedoch ohne Führerschein und mit sehr zweifelhaften Fahrzeugen auf der Datenautobahn bewegen." Auch Friederike Rieg, PR-Managerin bei Symantec in Deutschland, verlangt von den Anwendern ein gesteigertes Sicherheitsbewusstsein im Umgang mit dem Netz. Hier seien auch die Hersteller von Antivirensoftware gefordert, mehr Aufklärungsarbeit zu leisten.

Technisch habe man den Übeltäter schnell im Griff gehabt, erklärt Rieg. Bereits wenige Stunden nach dem ersten Auftauchen des Virus waren die verschiedenen Hersteller von Antivirensoftware in der Lage, Updates für ihre Programme anzubieten. Diese Maßnahme konnte jedoch nicht verhindern, dass bis dahin bereits Millionen Rechner infiziert und Tausende wichtiger Dateien dem zerstörerischen Wüten des Virus zum Opfer gefallen waren.

"Dass so viele Anwender einfach auf den Anhang geklickt haben, zeugt natürlich von einer gewissen Unkenntnis", kritisiert Rieg, "das ist, als ob man ein Bonbon von einer dreckigen Straße aufhebt und sich ohne nachzudenken in den Mund schiebt."

Einen hundertprozentigen Virenschutz gebe es nicht, muss die Symantec-Managerin einräumen. Die Gegeninitiativen könnten zur Zeit immer nur eine Reaktion auf eine bereits bekannte Virusattacke sein. Hier gehe es vor allem darum, schnell zu handeln. Zwar gebe es Möglichkeiten, Viren zu eliminieren, die zuvor noch nicht aufgetreten sind, erklärt Eric Chien, Leiter des europäischen Virenforschungslabors Sarc (Symantec Antivirus Research Center), doch diese Methode greife nur in bestimmten Fällen. Mit Hilfe der heuristischen Komponente der Antivirenprogramme könne die Software ein Virus anhand einer charakteristischen Struktur identifizieren und vernichten. Das funktioniere allerdings nur dann, wenn bereits ein ähnlicher Datenkiller in Erscheinung getreten sei. Loveletter schlüpfte aufgrund seiner neuartigen Struktur als Visual Basic Script durch die Maschen des Sicherheitsnetzes.

Einmal losgetreten, rollte die Liebeslawine unaufhaltsam durch die Netze der Welt. Es gab kaum ein größeres Unternehmen, das nicht von Zerstörungen durch den Virus betroffen war. Bei Siemens waren bundesweit etwa 80000 Rechner lahm gelegt. Am Donnerstag, den 4. Mai, mussten zwischen 10 und 16 Uhr diverse Server mit den Microsoft-Programmen Outlook und "Exchange" heruntergefahren werden, gibt Unternehmenssprecher Peter Gottal zu. Nach einem Update der Antivirensoftware und der Säuberung der Server habe es keine weiteren Probleme gegeben, versichert der Siemens-Manager.

Über den Schaden kann Gottal keine Angaben machen. Es sei schwer, eine eingeschränkte Unternehmenskommunikation in konkreten Verlustzahlen zu beziffern. Schäden durch Datenverluste seien nicht entstanden. Zwar mussten auf einigen Rechnern Dateien rekonstruiert werden, Einbußen habe es allerdings nicht gegeben. Außerdem seien die Produktionssysteme, der Lebensnerv des Unternehmens, zu keinem Zeitpunkt betroffen gewesen.

Die Art und Weise der Virusattacke stuft der Siemens-Sprecher als äußerst geschickt und heimtückisch ein. Viele Anwender mussten den Eindruck bekommen, die Mail stamme aus einer bekannten Quelle, da der Absender oft ein anderer Betroffener der gleichen Firma war. Den Beschäftigten habe man aber wieder und wieder eingeschärft, gegen unbekannte externe Mail-Quellen misstrauisch zu sein. Microsoft für die rasante Virusverbreitung verantwortlich zu machen, findet Gottal unfair. Es sei klar, dass die Urheber eine weit verbreitete Plattform für ihren digitalen Datenkiller ausgesucht hätten. Und das sei nun mal Microsoft mit seinem Windows-Betriebssystem und den Office-Produkten.

Eine uneingeschränkte Sicherheit gibt es nicht, räumt der Siemens-Mann ein. Zwar könnten die Administratoren theoretisch alle hereinkommenden Mails auf mögliche Viren untersuchen. Doch wenn die Anwender jedesmal Stunden auf ihre Mails warten müssen, dann gibt es ein Performance-Problem. Trotz der ganzen Aufregung um das Virus kann Gottal der Geschichte eine sportliche Komponente abgewinnen. "Es ist ein spannender Wettkampf zwischen den Virenprogrammierern und den Antiterrorgruppen." Beim jüngsten Liebesgefecht will der Siemens-Sprecher den Sieg seiner Seite zuerkennen, weil aufgrund der schnellen Reaktion weitere Katastrophen verhindert werden konnten. Allerdings wird man sich angesichts des Schadens, der inzwischen auf weit über zehn Milliarden Dollar beziffert wird, fragen müssen, wie viele derartige Pyrrhussiege die Branche verkraften kann.

Ein Held, der die bösen Jungs aus dem Netz vertreibt, ist nicht in Sicht. Auch wenn Behörden und Ministerien wieder einmal ihren Anspruch erneuert haben, Sheriff im globalen Datenverkehr spielen zu wollen.

Mit markigen Worten hat Bundesinnenminister Otto Schily das Bundeskriminalamt (BKA) mit Ermittlungen wegen des jüngsten Angriffs beauftragt. Außerdem soll seine Internet-Sicherheits-Truppe "Task Force" zusammenkommen, um "mögliche Konsequenzen zu erörtern". Von konkreten Plänen oder Maßnahmen kann jedoch keine Rede sein. Außer ihrem kriegerisch klingenden Namen hat die Task Force bislang nichts vorzuweisen.

Betina Weckerle, PR-Managerin bei Network Associates, äußert leise Kritik an der Vorgehensweise der Politik. So warte sie bis heute darauf, dass die Initiative gegen Computerviren mit den Herstellern von Antivirensoftware zusammenarbeitet. "Da werden Unternehmen wie Microsoft zu Rate gezogen, aber die Firmen, die sich tagtäglich mit der Materie beschäftigen, werden links liegen gelassen", schimpft die Managerin. Brancheninsider zweifeln mittlerweile offen an der Kompetenz der Task Force.

Auch von anderen Institutionen sind nicht viel mehr als Allgemeinplätze zu hören. So gab die EU-Kommission bekannt, sie wolle sich in Zukunft "verstärkt um die Computersicherheit bemühen". Außerdem sollen die Strafen für Computerdelikte verschärft werden, forderte Schily. Aufgrund der globalen Arbeitsweise der Täter müsse allerdings eine einheitliche Strafverfolgung international abgestimmt werden. Wenn Politiker diese Phrase verwenden, ist zu vermuten, dass Monate vergehen werden, bis die diversen Gremien erste Ergebnisse präsentieren können. Bis dahin ist die Aufmerksamkeit, was die Gefahren im Netz betrifft, wahrscheinlich schon wieder erloschen.

Das befürchtet auch der BSI-Experte Felzmann. Nach dem Melissa-Virus im letzten Jahr war die Aufregung zunächst sehr groß. Doch nach ein paar Wochen kümmerte sich niemand mehr um mögliche Gefahren. Es passierte nichts, wie der Loveletter-Virus jetzt schmerzlich bewiesen habe, erklärt der Virenexperte. "Einige Hersteller werden vermutlich Prügel beziehen, doch in wenigen Tagen wird das öffentliche Interesse wieder verschwunden sein", befürchtet Felzmann.

Das BSI selbst habe keinerlei Möglichkeiten, Druck auf die Hersteller auszuüben, um mehr Sicherheit zu garantieren. "Wir können nur mahnen und Sicherheitslücken offen legen. Ob dann jemand etwas unternimmt, liegt nicht in unserer Hand", beschreibt der Sicherheitsexperte seine Situation. Außerdem gebe es wahrscheinlich einen Aufschrei, wenn eine staatliche Stelle die Möglichkeit hätte, Programme zu reglementieren: "Auf der einen Seite brüllen die Leute, der Staat hätte versagt und längst etwas für die Sicherheit tun sollen. Auf der anderen Seite beklagen sie sich, der Staat sei zu mächtig." Trotzdem will der BSI-Experte die Hoffnung nicht aufgeben. "Solche Vorfälle wie die Katrastrophe um Loveletter tragen vielleicht dazu bei, in Zukunft den Brunnen zuzudecken, bevor das Kind hinein fällt."

Martin Bayer

mbayer@computerwoche.de

Die gefährlichsten VariantenInzwischen sind verschiedene Varianten des Loveletter-Virus bekannt. Die Hersteller von Antivirensoftware aktualisieren täglich oder sogar stündlich ihre Programme, um sämtliche Ableger des Datenkillers in den Griff zu bekommen. Mit Hilfe heuristischer Analysen der Virusstruktur sollen die Antivirusprogramme ähnlich aufgebaute VBS-Dateien von vornherein ausschalten können:

- "Joke" greift mit dem Anhang "very funny.vbs" wie der Ursprungsvirus Bild- und Musikdateien an.

- "Virus Alert" befällt mit "protect.vbs" Programme und Batch-Dateien. Besonders hinterhältig: Die Mail gibt sich als Gegenmittel der Firma Symantec aus.

- "Dangerous Virus Warning" bringt die Datei "Virus_warning.jpg.vbs" als Anhang mit. Wird die Namenserweiterung nicht angezeigt, besteht die Gefahr, die Datei mit einer Bilddatei im JPEG-Format zu verwechseln.

- "Mothers Day Order Confirmation" behauptet mit dem Anhang "mothersday.vbs", die Kreditkarte des Benutzers sei mit dem Kauf eines Muttertagsgeschenks belastet. Das Programm zerstört alle INI- und BAT-Files, die es im Rechner findet.

- Die Variante B kommt aus Litauen und lädt die Anwender auf litauisch zu einer Tasse Kaffee ein: "susitikim shi vakara kavos puodukui".

So funktioniert das Loveletter-Virus"I love you" ist im strengen Sinne eigentlich kein Virus. Bei einem Virus handelt es sich per Definition um einige Programmbefehle, die sich an ein bestehendes gutmütiges Programm anhängen. Jedesmal, wenn dieses Programm aufgerufen wird, startet das Virus sein unheilvolles Werk. Loveletter stellt dagegen den Typus eines E-Mail-Wurmes dar. Das sind eigenständige Programme, die an eine E-Mail angehängt werden und die unabhängig von anderen Applikationen im System funktionieren.

Der Wurm ist als Visual Basic Script programmiert. Diese Visual-Basic-Programme gehören mittlerweile fest zur Microsoft-Welt. Sie erlauben beispielsweise verschiedenen Applikationen, miteinander zu kommunizieren. Auf der anderen Seite können mit Visual Basic sehr schnell und einfach Viren- und Wurmprogramme entwickelt werden, die nicht ohne weiteres als solche zu erkennen sind. Die VB-Scripts werden jedoch nur dann ausgeführt, wenn Windows Script Host auf dem Rechner installiert ist. Ab Windows 98 ist dies standardmäßig der Fall. Anwender, die die Wurmgefahr mit Visual Basic Scripts von vornherein beseitigen wollen, müssen dieses Windows-Feature manuell ausschalten.

Der Computerwurm Loveletter besteht aus vier Komponenten. Wenn Anwender den E-Mail-Anhang starten, sucht der Wurm als erstes nach den Anschriften im Adressverzeichnis von Outlook. Je nachdem, wie viele Einträge der Wurm findet, vervielfältigt sich das Programm und verschickt sich selbst an alle gespeicherten Anschriften. Die zweite Tat des Wurmes besteht darin, sämtliche Bilddaten im JPEG-Format sowie alle MP3-Musikdateien auf der Festplatte des befallenen Rechners zu löschen. Als nächstes wird versucht, von einem philippinischen Web-Server ein Programm zu laden, das Passwörter ausspionieren soll. Findet das Programm entsprechende Einträge, werden diese an eine philippinische E-Mail-Adresse geschickt: an ispyder@mail.com oder an mailme@super.net.ph. Das Spionageprogramm auf dem Web-Server konnte bereits kurz nach Bekanntwerden der Wurmattacke ausgeschaltet werden.

Die OpferIn den USA wütete das Virus nach Einschätzung von Experten am schlimmsten. Dort legte Loveletter die Rechner des Telekommunikationsunternehmens Pacific Bell in San Franzisko, von Ford in Detroit und der staatlichen Lotteriegesellschaft in Florida lahm. Gerüchten zufolge waren auch Rechner des Pentagon und des Federal Bureau of Investigations (FBI) betroffen. Über mögliche Schäden wollten sich die Regierungsbehörden aber nicht äußern.

In Deutschland trieb das Virus sein Unwesen unter anderem in den Rechnern von Microsoft, Siemens, Pro 7 und BMW. Außerdem waren verschiedene Behörden wie zum Beispiel das Auswärtige Amt, das Innen- und das Finanzministerium sowie die Landesregierungen in Niedersachsen und Baden-Württemberg betroffen. Über mögliche finanzielle Schäden schwiegen Firmen wie öffentliche Stellen.

In Großbritannien legte Loveletter 30 Prozent aller E-Mail-Systeme lahm. In Schweden waren es sogar 80 Prozent. Diese Zahlen veröffentlichte die Sicherheitsfirma Network Associates. Die Londoner Handelskammer teilte mit, sie rechne mit Verlusten in Höhe von 100 Millionen britischen Pfund.

Die weltweiten Verluste sind bislang nicht exakt zu beziffern. Das Problem liegt darin, dass sich Einschränkungen in der Kommunikation nur schwer in exakten Verlustzahlen ausdrücken lassen. Insider reden jedoch von Schäden in Höhe von über zehn Milliarden Dollar. Vereinzelt wird sogar über Verluste von 20 Milliarden Dollar gesprochen. Zum Vergleich: Im Jahr 1999 betrug der weltweite Gesamtschaden durch Viren etwa zwölf Milliarden Dollar.

Die VerdächtigenSchon kurz nach dem Auftreten des Virus gab es erste Hinweise, dass der Autor des Virusprogramms auf den Philippinen zu suchen ist. Am Wochenende vom 6. bis 7. Mai haben die Behörden in Manila bereits einen Verdächtigen ausgemacht. Allerdings werde die Identität dieser Person nicht vor der Festnahme bekannt gegeben, erklärte Polizeichef Panfilo Lacson. Jedoch müsse die Person nicht zwangsläufig das Programm auch geschrieben haben. Es sei allerdings relativ sicher, dass von ihrem Rechner aus das Virus seinen Weg in die Netze gefunden hat.

Zwischenzeitlich zweifelten die Behörden daran, dass das Virus von den Philippinen stamme. Zwar gebe es im Script Hinweise darauf, aber die Wörter "Manila" und "Philippines" im Quellcode seien kein zwingender Beweis. Genauso gut könnte es sich dabei um ein Täuschungsmanöver des Urhebers handeln, erklärte Chefermittler Ramon Seneres.

Am Montag, den 8. Mai, tauchten Gerüchte auf, ein 18-jähriger deutscher Austauschstudent in Australien habe etwas mit der Ausbreitung des Virus zu tun. Der schwedische Sicherheitsexperte Frederik Björk von der Universität Stockholm, der vor einem Jahr den Urheber des Melissa-Virus entlarvt hatte, behauptete, der Student namens Michael oder Michel habe das Virus auf den Philippinen aktiviert. Die australischen Behörden dementierten die Gerüchte. Der Verdacht sei nicht ausreichend, um eine Strafverfolgung aufzunehmen.

Ebenfalls am Montag verhaftete die philippinische Polizei ein Ehepaar aus Pandacan, einem Vorort von Manila. Neben dem 27-jährigen Bankangestellten Reomel Ramones und dessen Frau Irene de Guzman wurde auch die Schwester der Ehefrau namens Jocelyn festgenommen. Laut einem lokalen Radiosender bestreitet Ramones, etwas mit der Verbreitung des Virus zu tun zu haben. Nach Aussagen eines Beamten der philippinischen Bundespolizei National Bureau of Investigations (NBI) zeigten sich die Festgenommenen allerdings sehr kooperativ.

Nach einem zweistündigen Verhör waren die Verdächtigen wieder auf freiem Fuß. Das Problem: Im philippinischen Strafgesetz gibt es keine expliziten Paragraphen gegen Computerkriminalität. Die Haftbefehle beriefen sich auf Bestimmungen gegen das Ausspionieren von E-Mail-Adressen und Kreditkartennummern.