Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

06.12.1996 - 

Datensicherheit/Zwei Drittel der Störenfriede kommen auf Disketten ins Haus

Viren: Auch das Internet birgt eine hohe Infektionsgefahr

Meldungen wie "Hare kommt" oder "Michelangelo schlägt zu" wecken das Bewußtsein, daß Viren und "Trojanische Pferde" großen Schaden anrichten können. In der täglichen Arbeit verringert sich die Bedeutung des Themas jedoch meist bald wieder. Unternehmen, die ihren Mitarbeitern PCs ohne Diskettenlaufwerk auf den Schreibtisch gestellt hatten, klagten in solchen Fällen weniger über Probleme mit den heimtückischen Biestern, deren Streiche von einfachen Buchstabenverdrehereien bis zu Veränderungen der Festplattenformatierung reichen. Wer nur zentral geprüfte Disketten zur Benutzung freigegeben hatte, konnte die Häufigkeit der Schadensfälle dadurch wenigstens verringern. Ganz ließen sich die Viren allerdings meist nicht vertreiben. Ein bekanntes Exemplar ist der "Form"-Virus. Er wird nur über infizierte Disketten übertragen und läßt sich, wenn von dieser Diskette gebootet wird, auf dem Boot-Sektor des PCs nieder, wo er dann sein Unwesen treibt. An sich ist der Form-Virus jedoch relativ harmlos, da er keine Daten zerstört. Seine Aktion beschränkt sich auf das Verschieben des Boot-Sektors der Festplatte, die sich dann nicht mehr hochfahren läßt.

In Verbindung mit den neuen Wegen der Datenübertragung und der zunehmenden Kommunikation über Unternehmensgrenzen hinweg sind Probleme mit Viren allerdings nicht auf die leichte Schulter zu nehmen. Die Chance, sich über das Internet einen Erreger einzufangen, ist groß. Wie die auf Sicherheit spezialisierte Zeitschrift "KES" in einer zusammen mit der Utimaco AG durchgeführten Sicherheitsstudie festgestellt hat, rechnen 41 Prozent von 183 befragten Unternehmen mit einer Zunahme an Software-Anomalien wie Viren.

Sie schleichen sich, in Dateien, E-Mails oder Active X versteckt, in das Unternehmensnetz ein - und wenn sie bemerkt werden, ist es oftmals schon zu spät. Manche Viren werden zudem vom durchschnittlichen Endanwender gar nicht erkannt. Dies sei auch der Grund, warum sich der "Word. concept"-Virus so schnell verbreiten konnte, erklärte die National Computer Security Association (NCSA) in einer Umfrage vom April 1996.

Der bekannte Erreger, der 1995 auftauchte, wird über Word-Dokumente verbreitet und infiziert den Header der populärsten Dokumentendatei Normal.dot. Dort wird ein Makrocode untergebracht, den das Anwendungsprogramm (in dem Fall Word) dann ausführt. Der auch als "Word-Makrovirus" bezeichnete Schädling wird von Anwendern über Disketten, Netzwerke und in E-Mail-Attachments verteilt.

Wie schnell sich so ein Virus verbreiten kann, zeigt das Beispiel eines deutschen Genossenschaftsrechenzentrums: Ein Mitarbeiter wurde über eine E-Mail-Verteilerliste von einem "winword.concept"-Virus beehrt. Der Kommunikationspartner, der ihm und allen anderen Empfängern der Mail dieses Geschenk vermutlich unwissentlich überreicht hatte, saß in einem großen Chemiekonzern.

Zwei Drittel aller Viren kommen der US-Studie zufolge auf Disketten in die Unternehmen. 20 Prozent der 300 Befragten waren der Meinung, daß die jüngste Infektion über Downloads oder E-Mail-Attachments ausgelöst worden war.

Dabei können die von außen eingeschleusten Viren nicht nur zu Datenverlusten auf den Arbeitsstationen führen. Die Eindringlinge lassen sich auch von Hackern benutzen, um Informationen über das interne Netz zu erhalten. Diese Virengattung, die als Trojanisches Pferd bezeichnet wird, sammelt auf ihrem Zielobjekt beispielsweise Dateien, die Paßwörter oder System- und Netzwerkangaben enthalten, und leitet sie unbemerkt an ihren Auftraggeber weiter.

Ein weiterer Aspekt ist der Produktivitätsverlust, den eine Virenattacke nach sich zieht. So schätzten die Teilnehmer der NCSA-Umfrage die dadurch verursachten Server-Ausfallzeiten auf durchschnittlich 5,8 Stunden, wobei die Spanne von null bis zu 320 Stunden reichte. Bis die Schäden wieder vollständig behoben waren, vergingen im Durchschnitt 44,3 Stunden. Insgesamt verursacht eine Infektion Kosten, deren Mittelwert bei 8106 Dollar liegt. Daß derartige Angriffe das Firmenkonto heftig belasten können, zeigt der Fall eines IS-Managers, bei dem die Wiederherstellung des Originalzustands nach einer Attacke mit 100000 Dollar zu Buche schlug.

Handelt eine DV-Abteilung in Sachen Virenschutz nach dem Motto "Vertrauen ist gut, Kontrolle ist besser", sollte dies deshalb keineswegs als Bändigungsversuch selbständig werdender Endanwender gewertet werden. Im Zeitalter weltweiter Kommunikationswege wird Virenschutz zum zwingenden Bestandteil eines Sicherheitskonzepts. Laut der NCSA-Umfrage besitzen 74 Prozent aller Desktop-Rechner eine Art von Virenschutz. Nach entsprechenden Rückfragen habe sich jedoch herausgestellt, daß diese Zahlen zu hoch gegriffen sind - die Firmen überschätzten ihre implementierten Sicherheitsmaßnahmen, heißt es in der Analyse. So mag ein Unternehmen zwar die Richtlinie aufstellen, daß jede Diskette vor ihrer Benutzung auf Viren zu untersuchen ist, doch bedeutet dies noch lange nicht, daß sich die User auch daran halten. Immerhin nimmt der Scan-Vorgang einige Zeit in Anspruch. Das gilt auch für die auf Client-PCs installierten Virenprogramme, die sich von ungeduldigen Endanwendern leicht ausschalten lassen.

Hat sich ein Virus erst einmal Zutritt zum Unternehmen verschafft, ist seine Chance, eine ganze Zeitlang unentdeckt zu bleiben, groß. Deshalb sollte der erste Virencheck erfolgen, bevor die Dateien den Arbeitsplatzrechner erreichen.

Es gibt zwei Kategorien gängiger Softwareprodukte zur Virenabwehr: Virenscanner und Virenwächter. Erstere durchsuchen Dateien nach Zeichenfolgen, Viren-Pattern genannt, die auf einen Befall hindeuten. Der Nachteil dieser Methode ist, daß sie dem Status quo immer hinterherhinkt, da ein Virus erst einmal entdeckt werden muß, bevor seine Signatur in die Pattern-Bibliothek aufgenommen werden kann. Die zweite Softwarevariante liegt resident im Arbeitsspeicher und überwacht das System auf verdächtige Aktionen. Versucht der Eindringling beispielsweise, schreibend auf den Boot-Sektor einer Platte zuzugreifen, schreitet das Programm ein.

Daten auf verdächtige Muster untersuchen

Generell empfiehlt es sich, die Übeltäter schon vor der Haustür abzuwehren. In bezug auf den Internet-Zugang heißt dies, die Daten dürfen das interne Netz nicht erreichen, ohne vorher auf verdächtige Muster untersucht worden zu sein. Deshalb werden die Internet-Virenscanner auf dem Internet-Gateway plaziert. Die Firewall tut normal ihren Dienst, leitet den Datenverkehr aber nicht direkt an den Empfänger, sondern an die Virenschutzlösung weiter. Die Software prüft Datenpakete, die über die Transportprotokolle SMTP, FTP oder HTTP eingehen, auf verdächtige Zeichenketten. Auch ausgehende Mails lassen sich daraufhin untersuchen.

Firewalls und Virenscanner kommen sich dabei nicht in die Quere: Erstere entscheiden auf Netzwerklevel, das heißt auf Protokollebene, ob ein Datenpaket durchgelassen oder abgelehnt wird. Letztere prüfen dagegen nur den Inhalt, kümmern sich also nicht mehr darum, ob ein FTP-Paket grundsätzlich weitergeleitet oder abgeblockt wird. Wenn es den Virenscanner erreicht, ist diese Entscheidung bereits von der Firewall getroffen worden. Daß die Virenschutzsoftware hinter dem Firewall-System plaziert wird, dient auch ihrem eigenen Schutz, da sie sonst Hackerattacken wehrlos ausgeliefert ist.

Wie die Internet-Virenscanner arbeiten, läßt sich gut am Beispiel E-Mail erläutern. Die Firewall leitet die eingehenden Nachrichten an den Virenscanner weiter. Dieser läßt die Meldungen erst durch, nachdem sie entsprechend untersucht wurden. MIME-Attachments und Uuencoded Files extrahiert und entpackt die Software. Wird ein Virus entdeckt, zieht die Software die betroffene Datei gemäß den Konfigurationseinstellungen des Administrators aus dem Verkehr und schickt statt dessen dem Systemverwalter und dem Empfänger eine Warnung.

Die Virengefahr betrifft jedoch nicht nur den elektronischen Briefverkehr. Auch das World Wide Web gilt als Risikofaktor. Da diese Technologie über das Intranet auch zunehmend für unternehmensinterne Zwecke eingesetzt wird, beschränkt sich der Einsatz von Virenschutzsystemen, die das im WWW verwendete Hypertext Transfer Protocol (HTTP) unterstützen, nicht nur auf den externen Datenverkehr. Riskant ist zudem das File Transfer Protocol (FTP), das den Benutzern das Herunterfahren von Dateien erlaubt. Zwar besteht in Verbindung mit Firewalls die Möglichkeit, die Benutzung von FTP zu blockieren, doch wird dies in der Praxis meist nicht durchgesetzt. Viren, die über FTP eingeschleust werden, sind meist hinterhältig: Sie sehen harmlos aus. Wird das File aufgerufen, schlägt jedoch die Stunde der Wahrheit. So kann beispielsweise eine Datei existieren, die angeblich Informationen zum Word.concept-Virus enthält. Tatsächlich handelt es sich dabei aber um einen Virus.

Beim File Transfer Protocol und dem Hypertext Transfer Protocol nutzen die Internet-Virenscanner eigene Proxies. Darunter versteht man Schnittstellen-Programme, die quasi einen Puffer bilden. Darin werden die Dateien nach verdächtigen Mustern durchforstet, bevor sie zum Benutzer durchgereicht werden.

Diese Proxies arbeiten unabhängig von denen der Firewall-Systeme. Allerdings bedarf es in der Firewall der entsprechenden Konfiguration. Das System muß direkte FTP- und HTTP-Verbindungen nach außen verbieten und die Daten somit über die Proxies des Virenscanners leiten. Dabei ist wichtig, daß der Transfer für den Benutzer transparent und ohne große Durchsatzverluste erfolgt.

Der Vorteil kompletter Internet-Virenschutzlösungen liegt in der zentralen Administration. Damit die Investition auch hält, was sie verspricht, nämlich Eindringlinge abzuwehren, ist allerdings ein regelmäßiges Update unverzichtbar.

Die Ausstattung der Software mit den neuesten Viren-Pattern sollte am besten automatisch erfolgen.

Mittlerweile gibt es drei Internet-Virenscanner auf dem Markt. Das erste Produkt war "Mimesweeper" von Integralis. Die Software ist auf das Scannen von Mails ausgelegt, wobei SMTP, cc:Mail und Microsoft Exchange, PKZip, Uuencode und MIME unterstützt werden. Mimesweeper benutzt als Virenscanner Drittprodukte, etwa den "Virusscan" von McAfee oder "F-Prot" von Data Fellows, von denen sich auch mehrere zum Virencheck einsetzen lassen. Als umfassendes E-Mail-Überwachungswerkzeug integriert Mimesweeper zudem Funktionen zur Zugriffskontrolle, Mail-Archivierung und zur Prüfung der Inhalte. Allerdings hat das auf Windows NT basierende Produkt den Nachteil, daß es Dateitransferprotokolle wie HTTP und FTP nicht unterstützt, also darüber eingeschleuste Viren nicht erkennt. Hier sind also seitens des Unternehmens zusätzliche Maßnahmen zu ergreifen. Zudem müssen die Updates vom Administrator initiiert werden.

Mehrere Internet-Protokolle prüft "Interscan Viruswall", das wie McAfees "Webshield" von Articon, Aschheim, angeboten wird. Neben SMTP-Mails durchforstet die Software über cc:Mail sowie demnächst auch über Exchange und Notes versandte Nachrichten. Wie Mimesweeper erkennt auch Viruswall Viren, die in MIME-Attachments, Uuen- code- oder Zip-Files versteckt sind. Darüber hinaus haben auch Viren, die versuchen, sich über FTP oder HTTP ins Unternehmen einzuschleichen, keine Chance. Das Produkt agiert als transparenter Proxy zwischen Client-Rechner und bereits vorhandenem Proxy-Server. So lassen sich übertragene Programme oder Dateien auf Viren überprüfen, ohne daß dazu große Aktivitäten der Benutzer erforderlich sind.

Virenschutz nicht mehr zu umgehen

Wird das Firewall-System entsprechend konfiguriert, läßt sich auch verhindern, daß die Anwender den Virenschutz umgehen. Als Pluspunkt der Virenschutzlösung, die für Solaris, HP-UX und Windows NT verfügbar ist, gilt das automatische Updaten der in wöchentlichem Rhythmus bereitgestellten Virenmuster. Die neuesten Viren-Pattern spielen sich in Intervallen, die der Administrator bestimmen kann, automatisch ein. So ist sichergestellt, daß das Unternehmen auch vor Viren jüngsten Entstehungsdatums geschützt ist.

Neuestes Produkt im Markt der Internet-Virenscanner ist das bereits erwähnte Webshield von McAfee. Die Software sucht wie Interscan Viruswall nach Viren, die in mit SMTP, FTP und HTTP übertragenen Dateien enthalten sind. Das arbeitet ebenfalls unabhängig vom Firewall-System. Es ist laut Hersteller als Dual-homed-Architektur konzipiert, verfügt also über zwei Netzwerk-Interfaces. Auch manche Firewall- Systeme sind nach diesem Prinzip aufgebaut. Damit sind internes Netz und Internet quasi physi- kalisch voneinander getrennt der Virencheck findet zwischen den beiden Schnittstellen statt. Webshield läßt sich auf Intel-kompatiblen Systemen sowie auf DEC-Alpha-Plattformen einsetzen.

Internet-Virenscanner nur Teil der Prophylaxe

Wer allerdings glaubt, mit einem Internet-Virenscanner sei das Thema erledigt, liegt falsch. Die Lösungen können nur Bestandteil einer umfassenden Virenprophylaxe sein, die auch den Schutz der Arbeitsplatzrechner einschließt. Gegen Viren, die auf anderen Wegen als über das Internet in das Unternehmen gelangen, sind die genannten Produkte beispielsweise machtlos. Hinzu kommt, daß sie die Dateien nur nach verdächtigen Mustern durchsuchen - und bei verschlüsselten Daten ist das nicht ohne weiteres möglich. Deshalb empfiehlt sich der zusätzliche Einsatz von Programmen, die Integritätsprüfungen vornehmen und die Systeme bezüglich verdächtiger Aktivitäten überwachen.

Arten von Viren

Dateiviren

Viren, die in einer Datei untergebracht sind. Sie werden aktiv, wenn das infizierte File aufgerufen wird. Trojanische Pferde gehören meist in diese Kategorie: In der Hülle eines harmlos aussehenden Programms versteckt sich ein hinterhältiger Spion, der unbemerkt Informationen abzieht. Infektion über Disketten, E-Mail oder Download möglich.

Boot-Sektor-Viren

Prominentester Vertreter: der Form-Virus. Boot-Sektor-Viren infizieren den reservierten Low-level-Bereich von Festplatten und Disketten. Sie werden in der Regel erst aktiv, wenn von der infizierten Diskette gebootet wird. Von diesem Zeitpunkt an residieren sie im Arbeitsspeicher. Falls auf die Festplatte oder eine Diskette zugegriffen wird, infizieren sie deren Boot-Sektor. Dieser Virentyp ist nur über Disketten übertragbar.

Makroviren

Viren aus Makrocode, die sich, wie bei Word geschehen, in einen Teil des Headers der Dokumentendateien einnisten und vom Anwendungsprogramm ausgeführt werden. Infektion über E-Mail, Download oder Disketten.

Hybridviren

Die Hybridviren sind eine Kombination verschiedener Virentypen. Sie können also aus einem Makrovirus bestehen und sich zugleich in den Boot-Sektoren von Datenträgern einnisten.

ANGEKLICKT

Immer wieder neue Viren, auf welchem Weg auch immer eingeschleust, können ein Unternehmen nachhaltig schädigen zumindest ist ihre Beseitigung sehr zeit- und damit kostenintensiv. Doch auch die beste konzeptionelle Vorsorge nützt nichts, wenn die Mitarbeiter beispielsweise einen zentral organisierten Scan-Vorgang für eingehende Disketten umgehen können. Gefahr droht auch aus dem Internet, doch können die Übeltäter in diesem Fall bereits vor der Firmentür abgewiesen werden. Kombinationen aus Firewall und Virenscanner schaffen einen sehr hohen Grad an Undurchlässigkeit für die penetranten Störenfriede.

*Stefanie Schneider ist freie Fachjournalistin in München.