Datensicherheit

Alarmstufe Rot für alle PC-User: Nie zuvor gab es so viele und so aggressive Computer-viren! Programmiert, um Schaden anzurichten, flirren sie weltweit durchs Internet. Die gemeinsten von ihnen machen den Rechner zum Zombie. Zum Sklaven von Kriminellen. Fieberhaft suchen Experten nach dem besten Schutz für Bits & Bytes. Sie stehen kurz vor dem Ziel

Die Skandalnachricht machte schnell die Runde im niedersächsischen Dorf Waffensen: Kripobeamte hatten am 7. Mai dieses Jahres ein rotes Klinkerhaus am Ortsrand gestürmt und den 18-jährigen Sven J. verhaftet – »Computerspionage« und »Computersabotage« lautete der Vorwurf. Der Berufsschüler hatte ein Computervirus in die Welt geschickt, das rund 18 Millionen Rechner infizierte und sie ständig zum Absturz brachte. Banken in Finnland, Postfilialen in Thailand, Airlines in den USA mussten vorübergehend ihre Schalter schließen. Jetzt drohen dem Übeltäter, der von Mitwissern verpfiffen wurde, bis zu fünf Jahre Haft. Hinzu kommen zivilrechtliche Schadenersatzforderungen in Millionenhöhe.

Das Virus von Waffensen ist aber nur eines in einer gigantischen Flut von Computerschädlingen, die gegenwärtig das Internet überschwemmt. »Noch nie gab es so viele äußerst aggressive Viren«, klagt Frank Felzmann, Sicherheitsexperte beim Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI). In den Datenbanken von Spezialfirmen, die Anti-Viren-Programme schreiben und zum Herunterladen anbieten, sind schon über 80000 aus dem Netz gefischte Digitalschädlinge gespeichert – und wöchentlich kommen Dutzende hinzu. Die Viren verursachen einen enormen volkswirtschaftlichen Schaden: Allein die mittelständischen Firmen in Europa verlieren pro Jahr rund 22 Milliarden Euro – durch den Verlust wertvoller Daten auf infizierten Rechnern, durch kostenintensive Vorbeugungs- und Schutzmaßnahmen sowie durch die teure Säuberung der Software von den eingefangenen Viren.

Was ist der Grund für die beispiellose Invasion der »Malicious Software«, abgekürzt »Malware«? Diese »bösartigen Programme« lassen sich heute einfach aus dem Internet herunterladen: komplett konfektionierte »Hack-Software«, die ein Virus enthält. Man kann sie in der Download-Version verwenden oder auch leicht variieren – und sofort einen Angriff auf fremde Computer starten. Weil das Verfahren mehr oder weniger automatisiert ist, braucht man dazu noch nicht einmal viel Sachverstand. Rechtlich ist den Autoren der Malware nicht beizukommen: Das Schreiben von Viren an sich ist nicht verboten – nur das Auswildern der binären Brut via Internet.

Aber auch die Softwareindustrie trägt nach Meinung von Sicherheitsfachleuten wie dem Hamburger Professor Klaus Brunnstein eine Mitschuld an der Virenflut. Denn die Betriebsprogramme für Rechner haben Si-cherheitslücken. Die exakt an diese Programme angepasste »Malware« findet sie – und schleust das Virus ein. Die Tür für den digitalen Schädling auszumachen ist kein Problem: Microsoft beispielsweise veröffentlicht routinemäßig pro Jahr rund 50 Sicherheitslücken – eine Steilvorlage für Virenautoren.

Als Microsoft Anfang dieses Jahres Prob-leme in einem Windows-Programmbereich names »Lasaas« bekannt gab, marodierte keine zwei Wochen später das namensverwandte Virus »Sasser« von Sven J. aus Waffensen durchs Netz, das genau diese Sicherheitslücke ausnutzte. Schwachstellen lassen sich zwar mit »Updates« der Software-Industrie beheben. Doch es dauert oft Wochen, bis solche »Sicherheits-Patches« zum kostenlosen Herunterladen ins Netz gestellt werden. Und weil Windows-Systeme sehr weit verbreitet sind, werden sie zum Hauptbetätigungsfeld der Virenprogrammierer.

Wie kommt es überhaupt zu Lücken im Betriebssystem? Fachleuten zufolge hat dies u. a. mit dem Konkurrenzdruck der Softwarehersteller zu tun. Unter dem Druck, möglichst schnell immer wieder neue Software bereitzustellen, wird oft schlampig gearbeitet. Aber selbst bei größter Sorgfalt dürfte die Software wohl niemals frei von Fehlern sein. Experten schätzen, dass im Durchschnitt drei Fehler auf 1000 Programmierzeilen unvermeidlich sind. Und da zum Beispiel das Betriebssystem »Windows XP« aus mehr als 30 Millionen solcher Zeilen besteht, wird es immer eine enorme Angriffsfläche für »Hacker« und »Cracker« bieten.

Diese beiden Gruppen von Computerfreaks wollen übrigens fein säuberlich unterschieden sein. Hacker haben ethische Motive: Sie sind meist hoch spezialisierte Computerfachleute, denen es genügt, Sicherheitslücken aufzuspüren und bekannt zu machen. Ihren Angriff auf fremde Computer beenden sie genau an der Stelle, wo er Schaden anrichten könnte. Cracker dagegen haben böse Absichten: Sie schicken ihre Viren ins Internet, um in andere Rechner einzubrechen, sie lahm zu legen, Daten zu zerstören oder um sich zu bereichern. »Vielen Virenschreibern«, so Europol-Chef Jürgen Storbeck, »geht es nicht mehr um Ruhm und Anerkennung in den eigenen Kreisen, sondern zunehmend darum, Geld abzuzocken.« Und dazu produzieren sie ihr »Einbruchswerkzeug« fast schon im industriellen Takt: Viren, Würmer und trojanische Pferde.

Computerviren funktionieren ähnlich wie ihre »Artgenossen« in der Natur. Biologische Viren porammieren Körperzellen so um, dass sie neue Viren erzeugen. Computerviren verändern ein Betriebsprogramm so, dass es den Eindringling vervielfältigt und in Windeseile benachbarte Systeme infiziert. Dann werden Einstellungen verändert, Programme beschädigt und Dateien zerstört. Ob eine Seminararbeit, an der man wochenlang gearbeitet hat, ob unwiederbringliche Urlaubsfotos oder wertvolle Unternehmensdaten – gnadenlos frisst das Virus Bits und Bytes.

Noch teuflischer wüten Würmer. Sie infizieren nicht nur das gesamte Computersys-tem, sondern auch alle anderen PCs, die mit dem »Opfer« kommunizieren. Unbemerkt und unaufhaltsam kriecht der Unhold von einem Rechner zum nächsten – und klont sich dabei selbst. Dazu durchsucht der Wurm die Mailbox des infizierten Rechners und verschickt sich von allein an so viele Adressen wie möglich, um auch dort Schaden anzurichten. Durch seine ständigen Versuche, sich weiter zu verbreiten, verlangsamt der Wurm den Rechner – im schlimmsten Fall wird der PC derart träge, dass so gut wie gar nichts mehr geht.

Der jüngste Wurm – »Mydoom-2« – schaffte es sogar, die Suchmaschinen Google, Yahoo, Altavista und Lycos zeitweise lahm zu legen. Er versuchte nämlich, über sie an neue E-Mail-Adressen heranzukommen, um sich zu reproduzieren. Dabei erzeugte er eine so große Datenlast, dass Google & Co. nur noch im Schneckentempo auf Anfragen antworten konnten. Damit nicht genug: Manche Würmer hinterlassen im Computer ein »trojanisches Pferd« – die derzeit größte Gefahr. Denn diese Software macht den infizierten Rechner zum Zombie – zu einem willigen Sklaven desjenigen, der den Schädling abgeschickt hat. Dazu öffnet der Trojaner im befallenen System eine »Hintertür«, durch die der Absender Zutritt selbst zu sensiblen Daten bekommt – ohne dass der User es merkt.

Der Trick: Der Trojaner ist mit einem »Keylogger« ausgestattet, einem Spionageprogramm, das jeden Tastendruck protokolliert. Solange der infizierte Computer online ist, werden die ausspionierten Daten – z. B. Passwörter und Kreditkartennummern – an den Trojaner-Absender geschickt. Dieser kann dann Bankkonten abräumen oder verschlüsselte Dateien knacken. Solche Angriffe haben in den ersten sechs Monaten dieses Jahres weltweit explosionsartig zugenommen: um 1200 Prozent! Bereits 2003 entstand durch Trojaner allein in den USA ein volkswirtschaftlicher Schaden von 1,2 Milliarden Dollar.

Die gängigste Methode, fremde Rechner mit Viren, Würmern oder Trojanern zu infizieren, ist das Versenden im Anhang einer E-Mail. Mit psychologischen Tricks wird der arglose Empfänger dazu gebracht, die angehängte Datei zu öffnen – und schon hat er den Schädling auf der Festplatte. So wurden z. B. 1999 die Opfer des Virus »Melissa« mit einer Passwortliste für angeblich kostenlose Pornoangebote gelockt, sich den Mail-Anhang anzuschauen. Getarnt in einer Word-Datei seines Opfers, verschickte sich »Melissa« danach als E-Mail an die ersten 50 Adresseinträge in der Mailbox des Users. Die Empfänger schöpften keinen Verdacht, weil ihnen der Absender-Adresse ja bekannt war. Sie öffneten den Anhang der Mail – und prompt waren ihre Rechner ebenfalls infiziert.

Perfide ist auch der Trick, einen »Dialer«, ein automatisches Telefon-Wählprogramm, im E-Mail-Anhang zu verstecken. In dem damit infizierten Computer wird die Einwahl ins Internet heimlich über eine 0190-Nummer geleitet: Beim nächsten Surfen fallen dann horrende Gebühren an. Diese Rechnung – das ist inzwischen juristisch geklärt – muss man zwar nicht bezahlen, aber um Ärger zu vermeiden, sollte man sich ein Anti-Dialer-Programm aus dem Internet herunterladen. Es gibt jedoch auch legale Dialer, die bei der »Regulierungsbehörde für Telekommunikation und Post« (REGTP) registriert sind: Sie dürfen beim Aufrufen bestimmter Webseiten in einen fremden Computer geladen werden. Allerdings erst dann, wenn auf dem PC ein entsprechender Warnhinweis erschienen ist und der User »weiter« klickt.

Anti-Viren- und Anti-Dialer-Software inklusive regelmäßiger Online-Updates (s. Kasten) haben zurzeit Hochkonjunktur. Sie scannen die Festplatte nach den gefährlichen Eindringlingen ab. Diese Programme herzustellen ist Spezialistensache, denn für jeden neuen Schädling muss eine neue so genannte Signatur erstellt werden – nur so ist der Virenscanner in der Lage, den jeweiligen Angreifer sicher zu identifizieren. Diese Programme den Kunden möglichst schnell zur Verfügung zu stellen ist inbesondere dann eine große Herausforderung, wenn an einem Tag gleich mehrere Varianten eines Virus oder Wurms auftauchen.

Auch die User müssen schnell reagieren und in immer kürzeren Abständen die Up-dates aus dem Netz laden. »Doch die meisten Privatnutzer«, klagt Guido Sanchidrian, Sicherheitsexperte beim Anti-Viren-Hersteller Symantec, »bringen ihren Virenscanner – wenn überhaupt – nur hin und wieder auf den neuesten Stand.« Eine Nachlässigkeit, die böse Folgen haben kann.

Grundsätzlich gilt: E-Mails mit unbekanntem Absender oder mit unsinnigen »Betreffs« sind mit Vorsicht zu genießen und sollten am besten gleich gelöscht werden. Doch bei vielen Usern überwiegt die Neugier die Vorsicht: Man könnte ja etwas versäumen. Und schließlich rechnet man bei gewöhnlichen Postsendungen auch nicht jedes Mal damit, dass eine Bombe drin ist.

Doch es gibt auch Cyber-Angriffe, die nicht über den E-Mail-Anhang laufen, wie die neueste Betrugsvariante zeigt: das »Phishing«. Der Begriff ist eine Abkürzung für »Password fi-shing« und meint das kriminelle »An-geln« nach fremden Passwörtern und Finanzdaten. Der Trick: Der Absender einer Phishing-E-Mail stellt sich darin ganz seriös als Bank, Kreditkartenunternehmen, Be-zahlservice oder Online-Auktionshaus vor. Mit einer fingierten Begründung (etwa: wegen eines technischen Defekts müssten die Kundendaten überprüft werden) lockt er sein Opfer auf die täuschend echt wirkende Homepage z. B. der Bank. Auf dieser Schwindelseite wird der User aufgefordert, das Pass-wort für seine Bankverbindung oder andere vertrauliche Finanzdaten einzugeben. Doch wer diese Angaben macht, »bezahlt« unter Umständen mit einem geplünderten Konto.

Phishing droht zu einem ernsten Problem zu werden: Im September 2003 zählten Experten weltweit erst 279 derartige Mails – im März 2004 bereits über 200000. Technischen Schutz vor Phishing-Attacken gibt es nicht. Und der Inhalt der Mails sowie die getürkten Homepages sind so gestaltet, dass sie keinen Verdacht erregen. Das Einzige, was hilft, ist, wachsam zu sein: Kein seriöses Unternehmen fragt Passwörter, Kreditkartennummern oder ähnlich sensible Daten per E-Mail ab – das geschieht ausschließlich auf dem Postweg.

Mit Phishing, Viren, Würmern und Trojanern ist der Erfindungsreichtum von Crackern aber noch nicht erschöpft. Seit kur-zem droht eine neuartige Angriffswelle, bei der die jüngste technologische Computerentwicklung ausgenutzt wird: die Funkvernetzung von Rechnern. Seitdem die Geräte für Datenfunk immer beliebter (und damit die lästigen Kabel immer überflüssiger) werden, funken Abertausende ungeschützte kabellose Netze Daten aus Büros und Privatwohnungen in die Umgebung. Zwar lassen sich die Signale zum Schutz gegen Miss-brauch verschlüsseln – aber diese Funktion zu aktivieren ist vielen zu mühsam und zu kompliziert. Und genau diese Nachlässigkeit nutzen die so genannten Wardriver aus. Sie spüren ungeschützte Netze auf – wozu sie nur drei Dinge brauchen: einen Laptop, eine Funknetzkarte für 30 Euro und ein Download-Programm aus dem Internet, das offene Netze findet. Mit diesem Instrumentarium klinken sie sich in ein fremdes Computernetzwerk ein, surfen auf anderer Leute Kosten im Internet oder stöbern in den ans Funknetz angeschlossenen Computern herum, lesen Geschäftspost oder das elektronische Tagebuch.

Das Risiko, dabei erwischt zu werden, ist ebenso minimal wie die Chance des Users, einen Angriff überhaupt zu bemerken. Vielleicht blinkt die Kontrolllampe am »Access-Point« des Mobil-Computers etwas hektischer, wenn ein ungebetener Besucher eindringt – dann kann man sich durch Abschalten schützen. In aller Regel aber hinterlässt niemand, der via Funk in fremde Rechner hineinlauscht, eine verwertbare Spur. Das gilt auch für die vielen mobilen Peripherie-PCs der Außendienstmitarbeiter von Unternehmen. Wenn nur der Zentralcomputer der Firma, mit dem die Außendienstler in Funkkontakt stehen, geschützt ist, bleiben ihre Laptops angreifbar – es sei denn, sie verschlüsseln die versandten Daten jedes Mal.

Überhaupt ist der eigene Mitarbeiter nach wie vor das größte Risiko für die Informationssicherheit in Unternehmen. Das Ankli-cken von gefährlichen Dateien und E-Mail-Anhängen, das Verfolgen obskurer Links, der sorglose Umgang mit Passwörtern – all das ist nach einer aktuellen Umfrage unter deutschen Mittelstandsunternehmen für die meisten Computereinbrüche mitverantwortlich. »Sie können noch so viele technische Barrieren einbauen, die nützen nichts«, erklärt Wolfgang Branoner von Microsoft Deutschland. »Ohne aufmerksame und geschulte Mitarbeiter verliert man im Notfall die letzte Verteidigungslinie.« Mit einer Kampagne will das BSI jetzt nachlässige User aufrütteln; unter anderem bietet das Bundesamt auf seiner Homepage (www.bsi.de) kostenlose Informationen über die aktuellen Bedrohungen aus dem Internet an.

Auch die Internetprovider könnten einen größeren Beitrag zur Sicherheit leisten. »Die Anbieter von Internetdiensten«, fordert Europol-Chef Storbeck, »sollten dazu verpflichtet werden, Zugangsdaten ihrer Nutzer zu speichern.« So könnte man Viren-Bastler leichter ausfindig machen. Wenn die allerdings von einem Internet-Café aus anonym arbeiten, nützt die Speicherung der Zugangsdaten nichts mehr.

Vielversprechender dürfte da ein ganz anderer Ansatz sein: die «Computer-Immunologie«. Entwickelt wurde dieses Verfahren von Wissenschaftlern des »Department of Computer Science« der Universität von New Mexico und des britischen »International Centre for Security Analysis«. Digitale Computer-Immunologie funktioniert ähnlich wie die biologische Immunabwehr: Eindringlinge, die im System nichts zu suchen haben, werden eliminiert. Dazu durchsuchen Tausende von »Detektoren« eines Spezialprogramms das gesamte zu überwachende Netzwerk – sie killen Viren & Co., wo immer sie sie treffen.

Die ersten Prototypen solcher Wächter-Programme sind in amerikanischen Firmen und Behörden bereits erfolgreich eingesetzt worden. Das Ziel ist aber, das ganze Internet mit dieser Immunabwehr auszustatten. Dazu müsste man alle »Backbones« mit den Detektoren »impfen«: also die zentralen Verteilungspunkte des weltweiten Netzes bei Providern, Universitäten, Behörden usw. Dann wären auch Computer geschützt, die ohne individuelle Anti-Viren-Software arbeiten! Wer die Kosten dafür tragen soll, ist noch unklar. Man darf aber sicher sein, dass sie auf die User abgewälzt werden.

Eine andere Idee lautet »Trusted Computing«. Hier sollen die Computerhersteller die Hardware (!) ihrer Geräte von vornherein so bauen, dass sie nur noch Programme akzeptieren, die von einer unabhängigen Kommission (einer Art TÜV) zertifiziert wurden. Auf »Malware« würden diese Rechner gar nicht mehr reagieren – Gefahr gebannt.

Bis man das Internet insgesamt schützen kann, dürften aber noch Jahre vergehen – und so lange werden Anti-Viren-Firmen weiterhin gute Geschäfte machen. Japanische Priester ebenfalls. Denn in Nippon tragen immer mehr User ihren Computer in einen shintoistischen Schrein, wo er zum Schutz vor Virenbefall gesegnet wird. Umgerechnet 40 Euro kostet die Zeremonie, und wer so viel nicht ausgeben will, kann sich stattdessen ein kleines »IT-Amulett« für 6,50 Euro auf den Computer kleben. Wenn der religiöse Zauber hier und da hilft, scheint es sich eher um eine Nebenwirkung zu handeln. »Denn unsere Zeremonie«, so Priester Yoshihiko Shimizu, »soll vor allem den Geist und das Herz des Besitzers beruhigen.«