Publikumswirksame Hysterie in den Medien

Am Freitag, den 13. Oktober, sollte in deutschen Rechenzentren mal wieder ein datentechnisches Armageddon die Nerven aller zum Zerreißen bringen. Wie so oft, reagierten vor dem Tag X die Medien publikumswirksam und ausgesprochen hysterisch. Die COMPUTERWOCHE-Redakteure Jan-Bernd Meyer und Michael Wojatzek fragten den deutschen Virenpapst Professor Klaus Brunnstein aus Hamburg nach Hintergründen und Fakten.

CW: Herr Professor Brunnstein, um den 13. Oktober gab es eine regelrechte Virenhysterie in den Massenmedien und unter den Anwendern. Denn an diesem Tage sollte wieder einmal ein eklatanter Virenangriff auf Rechnernetze erfolgen. Am Ende des Tages schien es jedoch so, daß die Viren hier in Deutschland wohl nicht zugeschlagen haben.

Brunnstein: Natürlich haben sie zugeschlagen. Mir sind solche Fälle bekannt. Sie werden aber von den Betroffenen geheimgehalten.

CW: Wo sehen Sie die Beweggründe, solche Viren zu programmieren?

Brunnstein: Der Reiz der Viren ist nicht so schrecklich groß. Viele Leute machen deshalb wohl Viren, weil sie damit lernen wollen, wie ein Betriebssystem funktioniert.

CW: Wie viele Viren gibt es überhaupt und was machen sie konkret?

Brunnstein: Es gibt zur Zeit etwa 90 MS-DOS-Viren. Etwa zehn sind auf Freitag, den 13., programmiert. Im wesentlichen stammen sie aus zwei Familien: Das eine ist der sogenannte Südafrika-Virus oder oder Friday 13th. Von ihm gibt es drei Varianten.

Zweitens gibt es die sogenannten Israeli-Viren, davon gibt es inzwischen zwölf Varianten, allerdings ist nur ein Teil von ihnen auf Freitag den 13. programmiert. Davon gibt es zwei Versionen. Die einen infizieren COM-Programme und machen sie um 1813 Bytes länger. Das kann man erkennen, weil das im Inhaltsverzeichnis nicht verändert wird. Ein moderner, zeitgenössischer Virus ändert das Verzeichnis zurück, so daß man das nicht erkennt.

Die andere Version ist das EXE-Virus, es verändert Programme um 1808 Byte, aber da ist ein Erkennungsfehler drin. Es erkennt sich nicht richtig. Deshalb wird das betroffene EXE-Programm mehrfach um 1808 Byte verändert.

Wir haben zum Beispiel bei Beiersdorff in Hamburg ein Virus in Lotus entdeckt. Wahrscheinlich ist es von dem Mann, der es generiert hat, bei der Installation von Lotus eingepflanzt worden. Aber eine Restwahrscheinlichkeit bleibt - von der mich übrigens Lotus bis heute nicht informiert hat, ob sie es überprüft haben -, daß das Virus möglicherweise durch Lotus reinkommt.

Dazu muß man sagen: Beim Lotus Programm gibt es das Problem, daß es eine Schreiberlaubnis verlangt, um die Installationen auf die Originaldiskette zurückzuspielen, wenn man es auf einer Platte installiert hatte. Wenn jetzt das Virus drin ist, ist es danach auch auf der Original Lotuskopie, so daß dann eine Neufassung - also wenn Sie es völlig legitim neu generieren - verseucht ist.

Die Behauptung, daß die Programme sicher sind, sofern sich die Disketten im versiegelten oder verschweißten Zustand befinden, ist natürlich fragwürdig. Man kann das nachträglich auch wieder so zuschweißen, daß es keiner merkt.

Dann gibt es Virus-Versionen, die in Deutschland nicht vorkommen. Jerusalem-B-Virus und das sogenannte "NeueJerusalem". Die haben eine weitere Eigenart: Das Israeli-Virus können Sie vorher erkennen, weil die Programme langsamer werden. Da ist nämlich der Interrupt 8 - der Zeitinterrupt im MS-DOS - mit einer Totschleife ergänzt worden.

Sie können aber heute leider alle Interrupts abfangen und auf eine eigene Routine legen. So wird etwa der Interrupt 8 aus Dispatching-Gründen 18mal in der Sekunde aufgerufen. Das heißt, ein normaler 8086 Prozessor wird um den Faktor 5, und eine 80286 CPU um den Faktor 15 langsamer. Außerdem erscheint auf dem Bildschirm zu einer bestimmten Zeit nach dem Starten ein Rechteck, farbig oder schwarz, je nachdem was für eine Grafikkarte Sie drin haben und ob Sie mit einem Schwarzweiß- oder einem Farbmonitor arbeiten. Das heißt also, diesen Israeli Virus sehen Sie: Der Rechner wird langsamer, und die Programme sind größer geworden. Am Freitag, den 13., macht er dann folgendes: Das Programm, das infiziert ist und das Sie starten, wird gelöscht, die anderen nicht.

CW: Was passiert denn da genau?

Brunnstein: Sie rufen ein Programm auf, das noch im Directory steht und der Rechner sagt "Program not found". Dann starten Sie das nächste Programm, das sich im Directory befindet, und es ist ebenfalls nicht drin.

Bei einer weiteren Version, dem sogenannten, "Jerusalem C" oder "Neuen Jerusalem Virus", ist der Interrupt 8 entfernt, so daß man den Eingriff gar nicht bemerkt. Dieser Virus ist praktisch unsichtbar. Allerdings hat er noch die Eigenart, daß er auch die Programme verlängert und das auf der Directory nicht zurücksetzt.

Der nächste in der Reihe ist das, "Jerusalem D". Es löscht die File Allocation Tables am Freitag, den 13. Der verursacht einen breiten Schaden. Das, "Jerusalem E" hingegen löscht erst ab Freitag, den 13., und ab 1990, um sich noch länger zu verbreiten.

CW: Das sind alles Viren, die auf Freitage, welche auf einen Dreizehnten fallen, getriggert sind?

Brunnstein: Ja, das sind alles Freitag-13-Viren. Die Varianten davon gehören zur sogenannten "April-1st-Gruppe". Hier gibt es zwei Versionen. Die eine arbeitet nur am 1. April und blockiert das System.

Daneben existiert noch der Fumanschu-Virus. Der wurde erst im Sommer entdeckt. Nach der sechzehnten Infektion macht dieser eine Meldung und verursacht einen Neustart. Ab 1. 8. 89 gibt er aparterweise Schweijk-Kommentare von sich: Er überwacht nämlich den Keyboard-Buffer. Wenn Sie etwa "Reagan", "Thatcher", "Waldheim" oder bestimmte andere Politikernamen eingeben, dann werden Kommentare a la "Fuck you off" abgegeben.

CW: Wie viele Israeli-Viren gibt es denn prozentual zur Gesamtmenge?

Brunnstein: Ich schätze, daß 50 Prozent der Viren in Deutschland Israeli-Viren sind.

CW: Und wie kommen solche Viren in Systeme?

Brunnstein: Auf verschiedene Weise. Ich kann Ihnen einmal zwei Szenarien demonstrieren: Wir sind zum Beispiel von einem CAD-Softwarehaus aus Stuttgart angerufen worden. Es sei in ihrem lokalen Servernetz wahrscheinlich ein Israeli-Virus drin. Daraufhin haben wir es überprüft und stellten fest, das ist das Israeli Nr.1. Wir haben denen unser Anti-Israeli hingeschickt.

CW: Wie kam es denn zu dieser "Infektion"?

Brunnstein: Das habe ich die Verantwortlichen auch gefragt, und sie meinten, bei ihnen könne eigentlich überhaupt nichts passieren. Meine Frage, ob denn bei ihnen vielleicht Studenten beschäftigt seien, bejahten sie. Einige sehr gute Studenten seien darunter, praktisch Examenskandidaten, aus dem Institut für Baubetriebslehre der Uni Stuttgart. Nun wissen wir allerdings von sogenannten Zip-Pools: Das sind Förderprogramme für Unis, durch die Studenten PCs zur Verfügung gestellt bekommen. Und in diesen Zip-Pools, so erfuhren wir, sind Viren drin.

Wir stellten fest, daß ein erheblicher Anteil - und ich wage nicht zu sagen, wie groß der Anteil ist - der Zip-Pools virenverseucht ist, weil Studenten teilweise ihre eigene Software auf das System gespielt haben.

In Stuttgart passierte nun folgendes: In den Zip-Pools des Uni-Rechenzentrums stehen PCs, auf denen Studenten programmieren lernen - Anwender oder Informatiker, das sei dahingestellt. Es läßt sich nicht mehr feststellen, durch welche Software die Viren in das Netz gelangen konnten. Jedenfalls verbreitete sich das Virus schnell über die ganze Universität und in die Privat-PCs der Studenten hinein.

In der Uni wiederum fanden Studenten einige interessante CAD-Tools. Und sie meinten, dem angesprochenen CAD Unternehmen einen Gefallen zu tun, wenn sie diese in die Firma mitnehmen würden - und schon war's passiert. Wir haben dann auch dem RZ der Uni Stuttgart das Antivirus geschickt.

CW: Aber man wird die Schuld an Virenvorfällen sicher nicht sorglosen Studenten allein in die Schuhe schieben können?

Brunnstein: Nein sicher nicht. Der andere Vorfall, welcher zu einem Virenbefall führte, war auch ein bißchen ärgerlicher. Dabei handelt es sich um einen großen Computerhersteller, dessen Softwarehaus in Stuttgart PC-Software für industrielle Anwender konfektioniert, bei denen PCs eingesetzt werden. Der hatte sich das Virus im Oktober vergangenen Jahres eingefangen. Festgestellt wurde es aber erst im Januar 1989. Da fiel der 13. auch auf einen Freitag. Auch dieses Unternehmen zog uns zu Rate. Der schuldige Mitarbeiter war inzwischen gegangen. Aber das Potential an verseuchten PCs im industriellen Bereich ging in die Tausende. So etwas ist dann schon mehr als ärgerlich, ja gefährlich, weil die Geräte Überwachungsaufgaben haben.

CW: Kommt denn das Ihrer Erfahrung nach häufig vor, daß Fremdprogramme auf Unternehmensrechner gespielt werden?

Brunnstein: Ein Bekannter von mir, Leiter eines sehr großen IBM-Rechenzentrums, hat das in seinem Unternehmen überprüft: Er stellte fest, daß dort bis zu 30 Programme aus unbekannten Quellen waren. Als er allerdings seine Mitarbeiter zu sich zitierte, waren sie über die Schelte auch noch entsetzt. Sie meinten, durch ihr Verhalten hätten sie dem Unternehmen schließlich Softwarekosten gespart.

CW: Welche der genannten Viren tauchten denn bei uns nun schon auf?

Brunnstein: Verbreitet in der Bundesrepublik ist das Israeli Nr. 1 als COM- oder vorwiegend als EXE-Variante. Das wird von den meisten Antivirenprogrammen erkannt. Allerdings muß ich sagen, ich habe bei den Antivirenprogrammen erhebliche Bedenken, weil die eben nur die Viren, die bekannt sind, erkennen können, die Varianten jedoch teilweise nicht. Die verursachen dann die schädliche Wirkung.

CW: Nun ist in den USA ein Virus - Data-Crime genannt - aufgetaucht. Was hat es mit dem auf sich?

Brunnstein: Das sogenannte Data-Crime existiert in drei Varianten. Zwei davon zünden am 13. Oktober für den Rest des Jahres. Der dritte, der "Columbus Day", aktiviert sich am 12. Oktober - was übrigens nicht das historische Datum ist. Die Medien haben nun falsch berichtet, diese Viren würden am Freitag, den 13., beziehungsweise am 12. Oktober wirksam. Richtig ist, daß sie ab diesen Daten ihr Unwesen treiben. Das heißt, es hilft gar nichts, wenn man den Rechner am 13. abgeschaltet läßt oder die Systemuhr auf den 14. vorstellt. Das Virus bleibt auf jeden Fall für den Rest des Jahres aktiv.

CW: Haben Sie denn auch gegen diesen Virus ein Heilmittel?

Brunnstein: Wir haben das Data-Crime und das Antivirus an unserem Institut in Hamburg. Es gibt keinen Hinweis, daß es in Deutschland sonst irgendwo ist. Wenn es auftaucht, können wir ein Antivirus zur Verfügung stellen. Wir machen das aber nur, wenn man uns eine Diskette einschickt und wir überprüfen können, ob es wirklich das Virus ist. Dann schicken wir in der Regel das Antivirus, wobei wir das bei Hochschulen oder bei einzelnen Leuten kostenlos machen, Unternehmen zahlen einen Kostenbeitrag von 50 oder 100 Mark.

CW: Wie beurteilen Sie die Art, wie uns mit solchen Virenattacken nhgegangen wird?

Brunnstein: Im Ausland wird das offener diskutiert. Bei uns in Deutschland herrscht eine durchaus verständliche, jedoch nicht immer produktive Haltung, solche Vorfälle vor den eigenen Mitarbeitern und vor der Öffentlichkeit geheimzuhalten. Und das, obwohl ich Anrufe aus der Wirtschaft von fünf sehr großen Unternehmen erhielt mit dem Zugeständnis, sie seien auch von einem Virus betroffen. Meine Schätzung liegt bei eher 5000 Virusattacken in der Bundesrepublik. Trotzdem ist nicht zu erwarten, daß die meisten, die nun Probleme mit verseuchten Programmen haben, auch anrufen.

CW: Wo können sich Anwender denn über Viren, deren Anzahl und Schutzmaßnahmen informieren?

Brunnstein: Bis zum 31. Juli kannten wir 22 Virenfamilien. Mittlerweile gehe ich von 150 aus. Allerdings beschränken sich diese nicht nur auf PCs, sondern sind auch auf Macintosh-Rechnern lokalisiert. Zu dem klassifizierten wir bis jetzt 29 Amiga-Viren. Über Modem oder Datex-P haben wir bei der Gesellschaft für Informatik, Fachgruppe für Personal Computing, eine Mailbox eingerichtet. Da ist der Virenkatalog drin. Seit der SYSTEMS ist auch ein Virus-Telex-Dienst eingerichtet worden. In diesem drucken wir die wichtigsten Vorfälle ab und warnen auch vor neueren Dingen. Ganz aktuell ist der Fall eines Virus in Köln. Das ist das Vaccina-Virus, der auch relativ gefährlich ist.

(siehe auch das Interview mit Prof. Brunnstein zum Thema Unix auf Seite 46)