"All you need is love" sangen die Beatles in den sechziger Jahren - sie dachten dabei aber an etwas völlig anderes als der philippinische Autor des Loveletter-Virus, der im Mai des vergangenen Jahres Anwender und Hersteller von Antiviren-Tools in Atem hielt. Per E-Mail verbreitete sich sein giftiger Liebesbrief innerhalb weniger Stunden, schneller und weiter als jeder andere Virus davor. Selbst Microsoft-Boss Bill Gates blieb nicht davon verschont. Schätzungsweise 55 Millionen Computer erhielten eine oder mehrere infizierte E-Mails, auf 2,5 bis drei Millionen Rechnern entfaltete der Erreger seine zerstörerische Tätigkeit.
Der durch die Vernichtung von Bild- und Tondateien, das Verstopfen von E-Mail-Servern und den Arbeitsausfall verursachte Schaden lässt sich schwer beziffern. Die Schätzungen der Analysten schwanken zwischen 6,7 Millionen und 8,7 Milliarden Dollar. 1999 hatte der von dem Amerikaner David Smith 1999 in die Welt gesetzte "Melissa"-Virus ähnlich weit reichende Folgen: Schätzungen des Computer Security Institute (CSI) zufolge beliefen sich die durch die Auswirkungen des Programms entstandenen Verluste auf 80 Millionen Dollar weltweit. Um solche Schäden im eigenen Haus zu vermeiden, sollten Anwender das Thema Viren nicht auf die leichte Schulter nehmen.
Doch das ist leichter gesagt als getan. Die Computerschädlinge sind immer schwerer zu überschauen. Das liegt vor allem an der rasanten Entwicklung des Internet. Gelangte bösartiger Code früher nur mit Hilfe von Disketten von PC zu PC, so hat sich inzwischen das Netz der Netze als Verbreitungsweg Nummer eins etabliert. Das bevorzugte Transportmittel der Schädlinge sind dabei an E-Mails angehängte Dateien. Mit enormen Folgen: Ging man 1993 von etwa 3200 Viren weltweit aus, so hat ihre Zahl inzwischen längst die 40000er Marke überstiegen.
Experten zufolge entstehen pro Tag sechs bis zwölf neue Viren, wovon jedoch nur ein geringer Teil tatsächlich seinen Weg in die "freie Wildbahn" findet. Schätzungsweise 200 Viren schaffen es, sich mit Hilfe des Internet in alle Welt zu verbreiten. Der Hersteller Trend Micro registrierte im letzten Jahr eigenen Aussagen zufolge 11386 neue Schädlinge. Dreimal löste das Unternehmen bei seinen Kunden einen weltweiten roten Alarm wegen des Auftauchens von besonders bösartigem Code aus.
Dabei handelt es sich längst nicht mehr nur um Viren im klassischen Stil. Diese brauchen ein Wirtsprogramm, in das sie sich einnisten und mit dessen Hilfe sie andere Rechner beziehungsweise darauf befindliche Dateien infizieren.
Sie verfügen normalerweise über keinen eigenen Verteilmechanismus, sondern sind, um sich zu verbreiten, darauf angewiesen, dass Anwender die Wirtsdatei untereinander austauschen. Typische Vertreter dieser Art sind Makroviren, etwa 75 Prozent aller Viren zählen zu dieser Gattung. Diese benötigen Programme wie Word, die eine Scriptsprache unterstützen. Das Schadenspotenzial ist von Virus zu Virus unterschiedlich, es reicht von dem reinen Anzeigen bestimmter Meldungen bis hin zum Löschen von Dateien oder dem Formatieren der kompletten lokalen Festplatte. Experten unterscheiden daneben drei weitere Untergattungen: logische Bomben, Würmer und Trojaner.
Logische Bomben nisten sich auf einem Rechner ein und entfalten ihre schädliche Wirkung nur bei bestimmten Voraussetzungen. Das kann bedeuten, dass der Anwender sie anklicken oder aber beispielsweise ein vorher definiertes Datum erreicht werden muss, damit sie aktiv werden.
Trojaner hingegen zeichnen sich dadurch aus, dem Anwender etwas vorzutäuschen, was sie in Wirklichkeit nicht sind. Ein Beispiel hierfür ist der nach dem Videospiel "Pokémon" benannte Trojaner, der als ausführbare Datei im Anhang von E-Mails verbreitet wurde. Das Icon dieses gefährlichen Files zeigte das Bild von Pikachu, einer der Pokémon-Figuren. Klickte ein Anwender das Bild an, startete er damit ein Programm, das die Autoexec.bat-Datei seines Rechners modifizierte. Beim nächsten Windows-Neustart wurden Systemdateien gelöscht, außerdem verschickte sich der Schädling selbständig über das Adressverzeichnis in "Outlook". Häufig werden Trojaner auch dazu benutzt, um Programme auf den Rechner zu schmuggeln, über die ein Unberechtigter dann die Fernsteuerung der Maschine übernehmen kann. Das war etwa bei dem Hacker-Tool "Back Orifice" der Fall.
Die Beispiele zeigen deutlich, dass die Grenzen zwischen den einzelnen Kategorien fließend sind: Schädliche Programme, die über einen Mechanismus zur Weiterverbreitung verfügen - beispielsweise, indem sie sich an die ersten fünfzig Adressen im Outlook-Verzeichnis versenden - charakterisiert die Fachwelt normalerweise als Würmer. Obwohl die Namensgebung eine langsame Verbreitung suggeriert, zeigen die Beispiele von Melissa oder Iloveyou, dass sich solche Schädlinge sehr rasch ausbreiten können.
Erwähnenswert sind daneben Viren-Falschmeldungen, so genannte Hoaxes. Sie warnen vor Viren, die gar nicht existieren. Viele Anwender reagieren panisch und schicken den vermeintlichen Hinweis an alle möglichen Bekannten weiter, was eine unnötige Belastung der Netze nach sich zieht und unter Umständen zu einem Produktivitätsausfall führt. Zudem können Hoaxes bewirken, dass nach wiederholten Falschmeldungen die Anwender nicht oder womöglich zu spät reagieren, wenn tatsächlich ein neuer Virus auftaucht.
Das ist gefährlich, denn Untersuchungen zeigen, dass kaum ein Unternehmen vor Viren sicher ist. Laut einer Umfrage der Sicherheitsspezialisten Trusecure Corp. wurden acht von zehn Unternehmen 1999 von zerstörerischer Software heimgesucht - an Antivirensoftware führt daher kein Weg vorbei.
Bei der Auswahl entsprechender Lösungen sollten Anwender unter anderem darauf achten, in welchen Abständen der jeweilige Hersteller Updates für sein Programm via Internet liefert. Nur bei regelmäßiger Aktualisierung der Signaturen ergibt der Einsatz solcher Software überhaupt Sinn. Die Kaufentscheidung beeinflussen kann auch die Information, wo die Server positioniert sind, über die die Updates des Herstellers zu beziehen sind. Befinden sich diese hauptsächlich oder ausschließlich an einem einzigen Ort, beispielsweise in den USA, kann dies im Ernstfall ein Problem darstellen. Versuchen bei akuter Bedrohung durch einen neuen Virus nämlich viele Anwender gleichzeitig, sich die neuesten Updates herunterzuladen, so besteht die Gefahr, dass der Server ausfällt oder aber wegen überlasteter Zuleitungen nicht erreichbar ist. Vorzuziehen sind daher Anbieter, die Updates über mehrere, global verteilte Server vorhalten.
Sinnvoll ist zudem, darauf zu achten, ob und wie ein Virenspezialist Warnmeldungen über neue Bedrohungen herausgibt. Die Regel sind "Alerts" via E-Mail. Doch da dieses Medium wie in den Fällen Melissa oder Loveletter ebenfalls in Mitleidenschaft gezogen sein kann, sollten auch andere Kanäle, etwa Short Message Service (SMS), zur Verfügung stehen. Trend Micro etwa greift darauf zurück, das Anti-Virus Emergency Response Team (Avert) von McAfee bietet Kunden des Herstellers Informationen via Handy und Wireless Application Protocol (WAP).
Hilfreich sind auch die "Empfehlungen zum Schutz vor Computerviren aus dem Internet", die auf den Web-Seiten des Bundesamts für Sicherheit in der Informationstechnik (BSI) abgerufen werden können. Die Adresse lautet http://www.bsi.de/antivir1/texte/viren.htm. Doch einen hundertprozentigen Schutz vor den Schädlingen gibt es nicht, ein Restrisiko wird immer bleiben. Experten warnen sogar, dass künftige Viren noch weitaus zerstörerischer und raffinierter sein werden als ihre Vorgänger. Möglicherweise sind die Programme dann nicht mehr darauf angewiesen, dass Anwender Attachments anklicken, damit das Verhängnis seinen Lauf nimmt. Nach Ansicht von Experten ist denkbar, dass sie sich bereits aktivieren, wenn ein Anwender bloß seinen E-Mail-Eingangsordner checkt.
Der Sicherheitsspezialist Fred Cohen, der 1983 im Rahmen einer Forschungsarbeit den Begriff der Computerviren prägte, kann sich außerdem eine Art Cluster-Virus vorstellen. Dieser setzt sich aus einer Anzahl von über den gesamten Rechner verteilten Miniprogrammen zusammen. Antiviren-Tools könnten diese wesentlich schwieriger erkennen, außerdem wären Cluster-Viren in der Lage, das Zielsystem gleichzeitig an verschiedenen Stellen anzugreifen.
Für Ron Moritz, Chief Technical Officer bei Symantec, ist es nur eine Frage der Zeit, bis ein "Supervirus" auftaucht, der eine sehr hohe Zerstörungskraft mit einer schnellen Verbreitungsart verbindet. "Gottlob durchdenken die meisten Virenschreiber ihre Programme nicht gut genug", stellt der Experte fest. Bisher besäßen alle Viren Schwachstellen, die ihre Verbreitung hemmten oder ihre Auswirkungen auf sonst eine Weise milderten. Moritz nennt als Beispiel den Iloveyou-Clone "New-Love", dessen hohes Zerstörungspotenzial auch vor Microsofts Mail-Programm "Outlook" nicht Halt machte, das er aber für die Verbreitung benötigte. "Das hatte der Autor nicht bedacht, und so vernichtete der Virus sein Transportmittel."
Neue Viren im mobilen UmfeldLängst schon sind es nicht nur PC-Systeme, die der Gefahr durch Computerschädlinge ausgesetzt sind. Im Herbst 2000 tauchten erste Palm-Viren auf, Fachleute rechnen gerade im mobilen Umfeld mit einer starken Zunahme der Virentätigkeit. Selbst Handys sind inzwischen nicht mehr sicher vor Attacken.
Das Gros der Angriffe richtet sich jedoch nach wie vor gegen Produkte auf Windows-Basis. Trend-Micro-Geschäftsführer Raimund Genes erklärt den Grund hierfür: "Wegen der großen Bekanntheit ist und bleibt Microsoft für Virenautoren und Hacker ein Primärziel - wer die angreift, ist der King." Doch auch der Einsatz weniger weit verbreiteter Plattformen stellt keine Garantie gegen Virenattacken dar: Wie der Manager berichtet, sind bereits Viren im Umlauf, die speziell gegen Unix- und Linux-Systeme gerichtet sind - Tendenz steigend.
Wichtige Hersteller...und ihre Produkte
Network Associates/McAfee
(http://www.mcafeeb2b.com/international/germany/): "McAfee Virusscan";
Norman Data Defense
(http://www.norman.de): "Norman Virus Control";
Trend Micro
(http://www.trendmicro.de): "Scanmail", "Interscan"-Reihe;
Symantec
(http://www.symantec.de): "Norton Antivirus Corporate Edition".
VIREN-HITLISTE 20001. VBS_ KAKWORM.A
2. TROJ_PRETTY_PARK
3. VBS_LOVELETTER
4. TROJ_SKA
5. PE_CHI
6. W97M_MELISSA
7. TROJ_MTX.A
8. TROJ_QAZ.A
9. W97M-ETHAN.A
10. O97M_TRISTATE
Diese Viren führten im zurückliegenden Jahr die "Hitlisten" an - sie tauchten im Zeitraum vom 1. Januar bis 30. November 2000 am häufigsten auf.
Quelle: Trend Micro