Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

29.09.2000 - 

Internet-Sicherheit/Vorbeugen ist besser als heilen

Unternehmen sagen digitalen Schädlingen den Kampf an

Gegen Computer-Viren und -Würmer sollte und kann jedes Unternehmen etwas tun. Mittlerweile steht eine Palette von Antivirensoftware zur Auswahl, die wie Scanner checken, ob Befall droht, und kritische Dateien ausfiltern. Deren Auswahl und Einsatz kann allerdings immer nur der zweite Schritt zum Schutz vor ungebetenen Gästen sein. Der erste Schritt ist, so Gabi Visitin*, die organisatorische, die Konfigurations- und Betriebsvorsorge.

50000 unterschiedliche Virentypen sind bekannt, aber maximal 1000 verbreitet oder "in the wild", wie es im einschlägigen Jargon heißt. Doch das ist wahrlich kein Grund zur Verharmlosung, denn Viren und Würmer sind sehr ernst zu nehmen und sicherlich keine Liebeserklärung im Sinne von "I love you".

Würmer sind keine Viren, sondern Trojanische Pferde. Denn während Viren in der engen Definition als selbstreproduzierende Programme gelten, die sich in Bootsektoren und Dateien einnisten, vermehren sich Würmer selbständig über Netzwerkverbindungen, ohne andere Dateien zu infizieren. Mit den Trojanischen Pferden beziehungsweise Trojanern holt man sich mit vermeintlich nützlichen Programmen ungebetene Gäste ins System, welche die Kontrolle übernehmen oder im Rechner eine Spionagefunktion ausführt. Auch die DDoS-Attacken (Distributed Denial of Service) wie Trinoo, TFN (Tribe Flood Network) oder Stacheldraht, die durch Datenüberflutung eine Dienstblockade bei Websites verursachen, werden mitunter in der Viruskategorie gelistet. So war der "Liebesbrief" (VBS.ILoveYou.BD, LoveLetter. BD, VBS/LoveLetter.BD) vom 4. Mai dieses Jahres ein Wurm. Die Makroviren haben sich in den vergangenen fünf Jahren breit gemacht und 1999 mit 64,6 Prozent die Mehrzahl aller Angriffe verursacht.

Eine untergeordnete Rolle spielen so genannte Multipartite-Viren, die eine Kombination beider Arten darstellen. Nicht unerwähnt bleiben soll auch eine insbesondere für Antiviren-Software unangenehme Eigenschaft einiger der digitalen "Schädlinge": die Polymorphie. Ein polymorpher Virus besitzt die Fähigkeit, sich selbst zu verändern und in seiner modifizierten Form seiner Bestimmung weiterhin nachzugehen.

"Melissa" ist ein polymorpher VirusLaut einer Statistik des ICSA infiltrierten in 43 Prozent aller Fälle mit Makroviren verseuchte E-Mails die Firmennetze. Gefährdet sind alle Büroanwendungen, die über eine integrierte Makro- beziehungsweise Skriptsprache verfügen. Als prominentester Vertreter eines solchen Virentyps gilt "Melissa", der im vergangenen Jahr eine Reihe von Mail-Servern in großen Unternehmen lahmlegte und inzwischen in mehr als zwanzig Varianten sein Unwesen treibt.

Makroviren nutzen den Umstand, dass sich zunächst passive Dokumente mit ausführbarem Code anreichern lassen. Beim Aufruf dieser Dokumente wird der Virus aktiv und befällt neben gleichartigen Dokumenten mitunter auch andere Anwendungen. Im Falle von Word infiziert ein Makrovirus beispielsweise die global geltende Vorlagendatei (normal.dot) und wird beim Öffnen eines jeden weiteren Word-Dokumentes aktiv. Jede dieser nun befallenen Dateien lässt sich wiederum nur als Vorlage speichern. Durch den breiten Einsatz und Funktionsumfang von Word Basis und Visual Basic for Application sind von dem Befall nicht nur die auslösenden (Wirt-)Anwendungen betroffen, sondern ebenso andere Dateitypen wie auch Systemfunktionen.

Eine gleichfalls offene Flanke stellen die aktiven Inhalte in Web-Seiten dar, etwa Java-Applets, ActiveX aus der Explorerecke, in HMTL eingebettetes JavaScript oder VBScript. Diese Techniken bergen immer ein gewisses Gefahrenpotenzial - sei es prinzipbedingt oder durch simple Implementierungsfehler verursacht.

Die lasche Handhabung der Sicherheitseinstellungen in gängigen Browsern ist die Hauptursache dieser potenziellen Gefahrenherde. Allgemeine Empfehlungen haben hier eine ähnliche Relevanz wie der Hinweis, dass das sicherste Schutz ein geschlossenes System ohne Online-Anbindung sei.

Software gegen SchädlingeWer radikale Maßnahmen scheut, wird den Einsatz von Antivirensoftware für sein Firmennetz ins Auge fassen. Die bekannteste Komponente ist der Virenscanner, der die Festplatte nach Signaturen bekannter Viren untersucht. Signatur bedeutet in diesem Zusammenhang eine kurze, charakteristische Zeichenkette - meist eine möglichst eindeutige Programmsequenz - des Virus. Allerdings versuchen Viren mitunter, ihren schlechten Charakter zu verbergen, und treten in verschlüsselter Form auf. Vor oder hinter diesen verschlüsselten Teil werden dann variable Entschlüsselungssequenzen gehängt. Scanner enthalten deshalb zusätzlich eine Entschlüsselungsmaschine, um den Start des verschlüsselten Bereichs sowie den zugehörigen Schlüssel zu ermitteln, diesen zu decodieren und im Anschluss zu scannen.

Ein Scanner kann aber nur Signaturen erkennen, die bekannt sind. Deshalb enthalten professionelle Antivirensysteme wie "Inoculate IT" von CA zusätzlich die Möglichkeit der heuristischen Virensuche. Hierbei wird versucht, das Verhalten eines Programms zu verstehen. Werden kritische Befehle wie Datei löschen oder Datei formatieren registriert, wird Alarm geschlagen. Die heuristische Suche erfolgt zum einen nach dem Prinzip der Musteranalyse, kann aber auch, vergleichbar zu einem Debugger, in einer gesondert geschützten Umgebung ablaufen.

Die grundsätzlichen Auswahlkriterien für ein solches Softwarewerkzeug lassen sich schnell benennen: Erkennungsrate von "digitalen" Schädlingen, Verfügbarkeit nebst einfacher Bedienung auf Client- und Server-Systemen sowie die Anforderung, dass die Software sowohl auf Aufforderung (on demand) als auch kontinuierlich (on access) im Hintergrund arbeitet.

Ansonsten gleicht der Kampf zwischen Viren-Erstellern und den Anbietern von Antivirensoftware dem sprichwörtlichen Hase-Igel-Rennen. Denn gegen einen neuen Virus, dessen Struktur durch vorhandene Viren und Würmer noch nicht bekannt ist, lässt sich erst vorgehen, wenn er auftaucht. Die Viren-Ersteller sind somit ihren Verfolgern immer einen Schritt voraus.

Deshalb kann Sicherheitspolitik immer nur eine Kombination aus organisatorischen und technischen Maßnahmen darstellen. Zudem ist Antivirensoftware nur eine Komponente im Rahmen eines umfassenden Sicherheitpaketes und muss sich deshalb ohne Probleme in eine Gesamtlösung aus Firewall-System, Intrusion Detection, Content Inspection und VPN-Unterstützung (Virtual Private Network) einbetten lassen. Zwar enthält der vom BSI aufgestellte Maßnahmenkatalog (siehe Tabelle) nützliche Hinweise, aber nicht alles lässt sich einhalten. Die Verantwortlichen müssen sich deshalb von Fall zu Fall entscheiden, welches Restrisiko sie bei welchen Anwendungen eingehen wollen.

Es gilt auch, immer ein abgestuftes Verfahren mit zentralen und lokalen Komponenten auszuwählen. Regelmäßige Virenuntersuchungen der Datei-Server können die Verbreitung betroffener Dateien eingrenzen. Hier bietet sich ein kontinuierliches Scannen geänderter oder neuer Dateien an, während in regelmäßigen Abständen der zeitaufwändigere komplette Check ergänzend durchgeführt werden sollte.

Die Kontrolle von Mails ist lästig, aber sinnvollEbenso sinnvoll ist es, die E-Mail auf dem zentralen Mail-Server zu überprüfen, bevor sie zum Frontend weitergeleitet wird. Wird ein möglicher Virus entdeckt, sollte dieser eliminiert beziehungsweise in einen gesonderten Bereich (bei heuristischen Verfahren, die mitunter Fehlalarme auslösen) gestellt werden. Auf den Mail-Frontends wiederum sollten sich die Rechte für Java-Applets, ActiveX oder Scripting auf das Nötigste beschränken. Der Gebrauch der nicht makrofähigen Viewer für Word, Excel oder Powerpoint ist eine zusätzliche Hilfe, um das unvorsichtige Öffnen angehängter Dateien zu unterbinden. Zumindest mit Diskettenlaufwerken ausgerüstete PCs sollten außerdem über eine eigene Antivirensoftware verfügen. Dabei ist die zentrale Steuerung der Signaturtabellen auf den Clients unerlässlich, um den Anwender von lästiger, vielleicht ungeliebter Verwaltungsarbeit zu entlasten.

Den Unternehmen ist anzuraten, eine möglichst restriktive Sicherheitspolitik zu verfolgen, die Anwendern Rechte ausschließlich für Programme und Systeme einräumen, die sie tatsächlich brauchen. Antivirensoftware kann immer nur eine Komponente einer solchen Sicherheitspolitik sein. Deshalb müssten sich die Virenschutzprogramme auch problemlos in das gewöhnliche System-Management einbetten lassen. Da die digitalen Schädlinge nicht sofort entdeckt oder aktiv werden, ist es in einigen Fällen ratsam, beim Backup automatisch einen Viren-Scan durchführen.

*Gabi Visitin ist freie Autorin aus Filderstadt.

Nützliche Adresssen

www.informatik.uni-hamburg.de - Virus-Testcenter an der Uni Hamburg;

www.av-test.de - Antivirentests der Uni Magdeburg;

www.bsi.de/taskforce.forum.htm - Homepage des Bundesamtes für Sicherheit in der Informationstechnik, enthält unter anderem Empfehlungen zum Schutz vor verteilten Denial-of-Service-Angriffen im Internet;

www.ca.com/virusinfo - Virus-Klinik von Computer Associates;

www.isca.net - Bewertungen und Empfehlungen bezüglich Sicherheit und Antivirensoftware der US-Beratung International Computer Security Association (ISCA);

www.multimania.com/ilikeit/ - Infos zu Backdoor-Programmen und Trojanischen Pferden;

www.hoax-info.de - Webpage über Computerviren, die keine sind;

www.tu-berlin.de/www/Software/antivirus - Diskussionen und Empfehlungen rund um die Virusproblematik;

www.virus.at - Deutschsprachige Virussammlung;

www.virusbtn.com - Virus-Bulletin.