Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

27.03.1992 - 

Nach der Medien-Kampagne um Michelangelo

Wie Anwender und Hersteller mit Computerviren umgehen sollten

*Günter Mußtopf ist als aktiver Virenschützer Direktor des European Institute for Anti-Virus Research und Geschäftsführer des Computerfachverlages Percomp in Hamburg.

Nach Jerusalem und Datacrime löste im Februar 1992 der Michelangelo-Virus eine dritte Medienwelle aus. Obwohl größere Schäden verhindert wurden, verbreiteten Presse, Funk und Fernsehen nach dem 6. März 1992 Kritik an denjenigen, die eine sachliche Warnung ausgesprochen hatten. Günter Mußtopf* beschreibt an Beispielen die von Michelangelo verursachten Schäden, setzt sich kritisch mit den Auswirkungen der Medienkampagne auseinander und unterbreitet Vorschläge für einen wirksamen Schutz vor Sabotage-Software.

Die Warnung vor Datenverlust durch das Michelangelo-Virus war ein voller Erfolg: Viele mit diesem Festplattenkiller verseuchte PCs konnten rechtzeitig gesäubert werden. Dadurch fielen nach den Ermittlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) am 6. März in Deutschland weniger PCs aus als befürchtet worden war. Die Folgen der spektakulären Berichterstattung vor und nach dem 6. März bedürfen aber einer kritischen Analyse, um daraus konstruktive Vorschläge für künftige vorbeugende Maßnahmen abzuleiten.

Michelangelo problemlos erkennbar

Das zur Stoned-Familie gehörende Michelangelo Virus, im Februar 1991 in Australien entdeckt, verfügt über keinerlei bemerkenswerte Eigenschaften. Es ist nur eines von heute über 1500 DOS-Viren und besitzt weder spezielle Tarnkappen Mechanismen noch bereitet seine Erkennung Probleme. Da es durch keinerlei Effekte vor seinem Aggressionsdatum auf sich aufmerksam macht, konnte es sich in der vergleichsweise langen Inkubationszeit von etwa elf Monaten international verbreiten, so daß am 6. März 1992 Tausende von PC-Massenspeichern durch seinen Ausbruch bedroht waren.

Gute Viren-Suchprogramme erkennen das Michelangelo Virus schon seit dem Frühsommer 1991. Obwohl er nur durch einen Kalt- oder Warmstart von einer infizierten Diskette in den Speicher und den Partition-Record einer Festplatte gelangen kann, waren weltweit viele PCs infiziert. Das BSI schätzte auf der Basis einer Umfrage, daß in Deutschland mindestens 10000 PCs verseucht waren. Die zahlreichen Anrufe bei der Hot-line des Viren-Service Hamburg bestätigten diese Angabe. Nicht nur private Anwender, Freiberufler oder kleine Unternehmen, sondern auch große Firmen wie Siemens-Nixdorf und die deutsche BP, die weitgehende Maßnahmen zum Schutz gegen Viren eingeführt haben, berichteten vom Auftreten des Michelangelo-Virus in ihrem Haus.

Boot-Viren können sich weder in PC-Netzwerken ausbreiten noch aus Mailbox-Systemen direkt importiert werden. Das wirksamste Transportmittel für die internationale Ausbreitung waren deshalb infizierte Originaldisketten, beispielsweise mit Treibern für VGA-Karten, Mäuse oder Modems. Shareware- oder Public-Domain-Software trug nach bisherigen Erkenntnissen allerdings nicht zu dieser Entwicklung bei.

Dagegen förderte fehlende oder mangelhafte Prüfung der produzierten Disketten durch einige Kopieranstalten und kommerzielle Hersteller die internationale Verbreitung des Virus. In einem Fall setzte beispielsweise eine Kopieranstalt einen Viren-Scanner zur Prüfung ein, der bereits anderthalb Jahre alt war und Michelangelo nicht erkennen konnte. Von dem Auftraggeber wurden deshalb von September 1991 bis Januar 1992 Tausende permanent schreibgeschützte Maustreiber-Disketten inklusive Michelangelo versandt. Natürlich trugen auch PC-Anwender zur Verbreitung bei: Das Virus kopiert sich auf jede nicht schreibgeschützte Diskette im Laufwerk A, auf die von einem infizierten PC zugegriffen wird. Dadurch kann das Virus auch Datendisketten für seine Ausbreitung nutzen.

Zwei Fälle aus der täglichen Praxis der Viren-Hot-lines verdeutlichen die Wirksamkeit der Vorsorge und die schädlichen Folgen von zuviel Vertrauen: Kassenärztliche Vereinigungen (KV) erhalten in zunehmenden Maße die Abrechnungsdaten von Ärzten auf Disketten. Eine KV, die alle eingehenden Disketten auf Viren prüft, stellte am 5. März fest, daß eine an diesem Tag eingegangene Datendiskette mit Michelangelo infiziert war. Der Arzt konnte noch rechtzeitig gewarnt werden, so daß am 6. März bei ihm kein Schaden entstand.

Eine Druckerei, die grundsätzlich nur Lizenzprogramme einsetzt und stets Originaldisketten für die Installation benutzt, fühlte sich vor Viren sicher - eine Prüfung fand deshalb nicht statt. Am 6. März schlug Michelangelo zu und löschte eine Festplatte, auf der die Kundendatenbank des Unternehmens abgelegt war; leider besaß das Unternehmen keine aktuelle Datensicherung.

Warnungen verhinderten größere Schäden

Durch die Warnung in den Medien wurden sehr viele PCs vor dem Ausbruchsdatum auf Viren geprüft, so daß infizierte Systeme rechtzeitig gesäubert werden konnten. In den Virus-Test-Zentren an den Universitäten Hamburg, Karlsruhe und beim BSI in Bonn gingen etwa 1000 Meldungen ein.

Eine Umfrage des BSI bei den genannten Instituten in der Woche vom 10. März ergab, daß am 6. März etwa 50 und in der dar auffolgenden Woche noch einmal 50 Schäden durch Michelangelo gemeldet wurden. Die Dunkelziffer dürfte in diesem Fall allerdings sehr hoch sein: Nur sehr wenige Betroffene sind nach einer solchen Medienwelle aus Angst vor einer Blamage bereit, Schäden durch das Michelangelo-Virus zuzugeben.

Aus dem Raum Zürich wurde bekannt, daß eine Michelangelo-Variante bereits am 1. März Festplatten zerstörte. Aus USA kam die Meldung, daß das Virus teilweise bereits am 5. März aktiv gewesen sei, weil einige PCs ein Kalenderprogramm enthielten, das kein Schaltjahr kennt. Nicht zuletzt wurden Varianten gefunden, deren Aggressionsdatum auf einen späteren Zeitpunkt abgeändert war.

Viren-Warner sitzen zwischen zwei Stühlen

Michelangelo hat sich nicht nur in Deutschland stark ausgebreitet. Beispielsweise wird in Meldungen aus Südafrika von 1000 durch Michelangelo geschädigten PCs berichtet.

Die Meldungen von "dpa", die auf die Gefahr aufmerksam machten, waren weitgehend fachlich richtig. Leider traf dies aber für andere Medien nicht zu .

Die Phantasie von Journalisten und Redakteuren blühte. Unqualifizierte Aussagen von Interview-Partnern verunsicherten die PC-Anwender zusätzlich.

Trotzdem hatten die vielen Meldungen über das Virus eine weitgehend positive Wirkung. In vielen Unternehmen wurde "Frühjahrsputz" gemacht. Dabei fand man nicht nur viele Michelangelo-Viren, sondern auch andere mehr oder weniger harmlose Sabotage-Programme wurden entfernt.

Die Autoren von Viren-Warnungen setzen sich zwischen zwei Stühle:

Ist die Warnung erfolgreich, das heißt werden Schäden weitgehend verhindert, stellen Besserwisser hinterher fest, daß diese Aktion unnötig war oder anderen Zwecken diente.

Hat die Warnung dagegen keinen Erfolg oder wird nicht gewarnt, verursacht das Virus also größere Schäden, wird den Fachleuten Unfähigkeit nachgesagt.

Die Warnung vor Michelangelo war voll und ganz berechtigt. Die durch eine Umfrage gestützte Schätzung des BSI der vor dem 6. März infizierten PCs bestätigt die große Gefahr. Selbst wenn man davon ausgeht, daß im Fall einer fehlenden Warnung kein allgemeiner Daten-GAU aufgetreten wäre, wurden doch größere Schäden verhindert.

Ursache für die Kritik an Viren-Warnungen ist nicht zuletzt, daß der sachliche Gegenstand einer solchen Meldung häufig mit den darauf basierenden spekulativen Hochrechnungen der möglichen Schäden verwechselt wird. Journalisten tun mit dem Versuch, Daten über die Anzahl infizierter PCs und die erwartete Höhe möglicher Schäden zu ermitteln, ein übriges. Die nach einer derartigen Medienwelle sicher notwendige kritische Analyse der präventiven Maßnahmen sollte primär prüfen, ob die Warnung größere Schäden verhindern konnte.

Verharmlosung birgt Gefahren

Eine Verharmlosung der Virengefahr nach der Michelangelo-Medienwelle birgt Gefahren. Der alte Schlendrian wird sich in vielen Unternehmen schnell wieder ausbreiten. Schlimmer noch: Viren-Autoren haben aus der Michelangelo-Welle sicher gelernt, daß die Verbreitung eines Virus unübersehbar gefördert wird, wenn möglichst viele Monate zwischen dem Aussetzen eines Virus und der ersten Aggression verstreichen. Ausgefeilte Tarnkappen-Eigenschaften ebenso wie Techniken, die das zuverlässige Erkennen und Analysieren von Viren erschweren dürften, werden sich bei weiteren Virenwellen bemerkbar machen. Der Zeitbedarf für die Erweiterung von Werkzeugen zur Virenbekämpfung und die Geschwindigkeit von Viren-Scannern wird sich zuungunsten der PC-Anwender spürbar verschlechtern. Die Vorwarnzeit verkürzt sich dadurch wesentlich, und der Zeitbedarf für Abwehrmaßnahmen steigt.

Bedacht werden muß auch, daß viele PC-Anwender aus den Medien zunächst furchterregende Berichte vorgesetzt bekamen und nach dem Schreckenstag aus den gleichen Quellen erfuhren, daß dies nur eine gezielte Kampagne war, um die Umsätze von Viren-Scannern zu erhöhen. Tritt künftig ein neues besonders aggressives Virus auf, dürfte deshalb eine Warnung bei vielen PC-Anwendern - in Erinnerung an Michelangelo - auf taube Ohren stoßen.

Einen perfekten Schutz gegen Viren gibt es bisher nur in der Werbung einiger Anbieter von Anti-Viren-Produkten.

Sie behaupten beispielsweise, daß sie auch alle neuen, bisher noch unbekannten Viren erkennen und entfernen können. Tatsächlich aber sind Viren-Forschungsgruppen und Hersteller von Anti-Viren-Produkten heute immer noch gezwungen, neue Sabotage-Programme sowie deren Techniken zum überwiegenden Teil manuell zu analysieren und die eigenen Verfahren beziehungsweise Werkzeuge entsprechend zu erweitern. Sie bleiben so lange in dieser unangenehmen Verteidigungsstellung, bis neue Hardware-Architekturen und sichere Betriebsysteme beim Endanwender verfügbar sind. In der Diskussion künftiger Gefahren darf nicht vergessen werden, daß Viren nur eine Abart von Sabotage-Software darstellen. Würmer und Trojanische Pferde sowie verwandte Anomalien sollten ebenfalls Berücksichtigung finden. Würmer können beispielsweise in Netzwerken für den Transport von Viren benutzt werden.

Der Wettlauf von Virus-Test-Zentren, Herstellern und Anwendern gegen die Viren-Autoren hat vor dem Erreichen einer endgültigen Lösung nur Aussicht auf Erfolg, wenn nicht nur der Software-Hygiene mehr Beachtung geschenkt wird, sondern auch eine konstruktive Kooperation zwischen Forschungsgruppen, Herstellern und Anwendern Schritt für Schritt aufgebaut wird. Die beiden zu diesem Zweck gegründeten Organisationen Caro (Computer Anti Virus Researcher Organization) und Eicar (European Institute for Anti-Virus Research) werden dieses Bestreben nach besten Kräften fördern.

Unabhängig von den internationalen Bemühungen der einschlägigen Forschungsgruppen können aber auch erfahrene Fachleute einen wichtigen Beitrag zur wirksamen Bekämpfung von Viren leisten. Einige konkrete Vorschläge, die bald möglichst von den angesprochenen Gruppen in Angriff genommen werden sollten:

- Kopieranstalten und Hersteller müssen die Endkontrolle von Disketten auf Viren wirksamer durchführen. Parolen wie "Setzen Sie nur Originaldisketten etablierter Hersteller ein" oder "Verwenden Sie keine Public-Domain- beziehungsweise Shareware-Programme" sind zwar aus wirtschaftlicher Sicht verständlich, reichen aber bei weitem nicht aus.

- Hersteller sollten ihre Maßnahmen zur Qualitätssicherung während der Entwicklung und vor der Auslieferung offenlegen. Die Forderungen des BSI an Originaldisketten, sollten erfüllt werden.

- Disketten können beim Kopiervorgang nicht mehr infiziert werden, wenn Kopieranstalten keine MS-DOS-Systeme einsetzen.

- Nicht nur die Master-Disketten, sondern auch die von der Kopieranstalt gelieferten Kopien müssen vom Hersteller auf Viren geprüft werden.

- Der Standard-Lieferumfang von PCs sollte erweitert werden: Ein guter Viren-Scanner, der die BSI-Forderungen erfüllt, gehört zu jedem PC. Die laufende Aktualisierung kann durch einen Update-Vertrag sichergestellt werden, den der PC-Anwender abschließen muß.

- Das mit dem PC gelieferte Handbuch sollte eine leicht verständliche Einführung in die Datensicherheit und die Bekämpfung voll Viren enthalten.

PC-Anwender können den Kampf unterstützen

Diese Forderung im Interesse der Sicherheit der Benutzer ist - analog dazu - bei anderen technischen Geräten bereits selbstverständlich geworden: Sicherheitsgurte gehören zu jedem PKW. Für die PC-Hardware müssen - ebenso wie für jedes andere elektrische Gerät - die Vorschriften des VDE und des FTZ erfüllt werden. Sicher dürfte es mittelfristig möglich sein, PC-Hersteller durch gesetzliche Vorschriften zur Lieferung von Viren-Suchprogrammen zu zwingen - eine freiwillige und schnelle Erfüllung dieser Forderung wäre allerdings wünschenswert.

Auch PC-Anwender können die Bekämpfung von Viren wirksam unterstützen. Das regelmäßige Sichern der Daten von der Festplatte und das Prüfen fremder Disketten auf Viren wird bei vielen Anwendern allmählich zur Routine. Darüber hinaus können sie weitere Beiträge leisten:

- Wird der Boot-Sektor jeder fremden, nicht schreibgeschützten Diskette vor ihrer ersten Benutzung auf dem eigenen PC durch einen virenfreien "Standard"-Boot-Sektor überschrieben, haben Viren, die sich ausschließlich durch den Boot Sektor ausbreiten, keine Chance mehr.

- Jede fremde Diskette - gleichgültig, ob sie bootfähig ist oder nicht - sollte vor der ersten Benutzung mit einem aktuellen Viren-Scanner geprüft werden. Dies gilt auch für Disketten, die nur Daten enthalten.

- Jede Diskette, die für einen anderen PC-Anwender gedacht ist, sollte mit einem aktuellen Scanner geprüft werden.

- Hersteller und Anwender sollten Lieferanten, Partner und Kunden schnell über Viren-Unfälle informieren: Wird ein Virus gefunden, so sollten sofort alle Unternehmen und Personen in Kenntnis gesetzt werden, mit denen Disketten ausgetauscht oder die Disketten erhalten haben.

Der Wahrheitsgehalt der in den Medien über Michelangelo verbreiteten Informationen war sehr unterschiedlich. Die meisten PC-Anwender sind jedoch kaum in der Lage, die Richtigkeit solcher Meldungen zu beurteilen. Für eine Notsituation müssen deshalb andere Wege gefunden werden, PC-Anwender korrekt zu informieren. Die Forschungsgruppen könnten in Zusammenarbeit mit Eicar, dem BSI und den Notfall-Zentren (CERT) die Informationen über die Bekämpfung eines neuen Virus kritisch prüfen und aufbereiten. Da konventionelle Telefon-Hot-lines - wie die Erfahrungen mit Michelangelo zeigen - zu schnell überlastet sind, bieten sich für diese Aufgabe elektronische Medien an:

- Ein telefonischer Ansagedienst der Telekom kann rund um die Uhr Gefährdete und Betroffene informieren.

- Der Dienst läßt sich auch durch einen kostenpflichtigen Fax-Service ergänzen.

- Selbstverständlich kann auch ein Service per Electronic Mail und Btx eingerichtet werden.

Michelangelo und der 6. März haben trotz des Medienwirbels bewiesen, daß keinerlei Anlaß zur Panik besteht. Das BSI will zusammen mit Herstellern, Anwendern, Instituten und Organisationen Empfehlungen für die Bekämpfung von Computer-Viren und verwandten Anomalien zusammenstellen.