MÜNCHEN - Es scheint, als wären wir wieder einmal davongekommen. Der Virenangriff auf die Programme und Dateien von IBM- und kompatiblen PCs, vor dem weltweit gewarnt worden war, verlief relativ glimpflich.

Letzte Woche war es wieder einmal so weit: Freitag, der Dreizehnte - Virentag. Seit Wochen kochte die Gerüchteküche. Zwei Erreger machten die Runde - primär ihre Namen, weniger, wie es scheint, sie selbst: ein "Datacrime"- beziehungsweise "Columbus-Day"-Virus und ein "Freitag-der-Dreizehnte"-Virus. Bis heute ist nicht eindeutig geklärt, ob es wirklich zwei verschiedene Erreger sind oder nur zwei Namen für ein- und dasselbe Virus ein Indiz dafür, daß nur wenige den kleinen Monstern bislang selbst begegnet sind. Wie weit sie tatsächlich verbreitet sind, weiß niemand.

Mit Anfragen überschwemmt wurde, wie Präsident John McAfee berichtet, die amerikanische Computer Virus Industry Association (CVIA). Er selbst allerdings hält alles nur für halb so schlimm. Er wettet "100 zu 1, daß wir keine zehn nachgewiesenen Fälle von 'Columbus-Day'-Virus haben werden."

Nicht einmal der Ursprung der Warnung ist bekannt. Sie scheint aus den USA zu kommen, obwohl die fraglichen Viren selbst angeblich aus Europa stammen. Das "Columbus-Day"-Virus, wird behauptet, sei die Rache isländischer Fanatiker für den Wikinger Leif Eriksson, der Jahrhunderte vor Kolumbus in Amerika gelandet war. Als offizielles Datum der "Entdeckung Amerikas" gilt jedoch bis heute der 12. Oktober 1492, der Tag, an dem Christoph Kolumbus nach zweimonatiger Fahrt die Bahamas erreichte. Zur Erinnerung an das historische Unrecht, so heißt es, sollte der auch "Island-Virus genannte Erreger am 12. Oktober auf IBM- und kompatiblen PCs in aller Welt den Zylinder Null auf der Festplatte löschen und damit sämtliche Dateien auf ihr vernichten.

Einen Tag später waren die normalen Psychopathen an der Reihe. Freitag, der Dreizehnte, der klassische Katastrophentag, gilt seit jeher auch für Computerterroristen. Das fragliche Virus ist ein alter Bekannter. Programmiert und ausgesetzt wurde es angeblich 1987, als Protest gegen die 40-Jahr-Feiern zur Staatsgründung Israels im letzten Jahr. Dieses "Israel"- oder auch "Jerusalem"-Virus vermehrt sich besonders hinterhältig. Es lädt sich resident in den Arbeitsspeicher und befällt jedes Programm, das aufgerufen wird. Ist es aktiv, infiziert es keine weiteren Programme, sondern löscht stattdessen das auf gerufene. Datendateien läßt es allerdings in Frieden. In vielen Fällen macht es sich bereits vor der Aktivierung bemerkbar: Wegen eines Programmfehlers kann es Programme beliebig oft

infizieren, so daß die betroffenen Programme immer größer werden (pro Infektion etwa um 1,7 Kilobyte) und allein schon deshalb Probleme bei der Arbeit mit ihnen auftreten (Ladeprobleme, Verlangsamung, Bildschirmstörungen).

Dieses Virus, von dem heute bereits eine Reihe von Varianten existiert, so daß, wie die Computerworld schreibt, mittlerweile jeden Tag Freitag, der Dreizehnte, sein kann, ist, deutschen wie amerikanischen Quellen zufolge, das derzeit bei weitem verbreitetste Virus. Diesen Sommer registrierte die CVIA innerhalb von zwei Monaten 904 Anrufe von Leuten, die glaubten, sich damit infiziert zu haben. Weitere Nachforschun.gen ergaben, daß von vermeintlich 75 000 betroffenen PCs tatsächlich 36 700 infiziert waren.

Ob es nun zwei Viren waren oder nur ein einziges, sie wurden zur Seuche - vor allem in den Medien. Sogar das Pentagon meldete sich, laut Wallstreetjournal, zu Wort: Vermutlich, so die Militärs, stecken Gruppen aus der Umgebung europäischer Terroristen dahinter.

Gesicherte Informationen sind schwer zu bekommen, sowohl zu den tatsächlich angerichteten Schäden, als auch zu den Möglichkeiten, sich davor zu schützen. In welchem Umfang der Angriff letzte Woche wirklich stattgefunden hat und mit welchen Folgen, darüber läßt sich nur spekulieren. Denn die meisten der Geschädigten haben kein Interesse, ihr Mißgeschick an die große Glocke zu hängen. Viele fürchten Gesichts- und Vertrauensverlust bei ihren Kunden.

Erste Schadensmeldungen, unbestätigt und ohne nähere Angaben, kamen aus der

Schweiz. Letzte Woche waren dort im letzten Moment 75 Infektionen, auch mit dem in Europa noch recht seltenen "Datacrime"-Virus, in den 3500 PCs der Schweizer -Bundesregierung entdeckt worden. In Frankreich war, laut Daniel Duthill, Präsident der französischen Soft. wareschutz-Agentur, etwa ein Prozent des PC-Markts betroffen. Eines der Opfer war der Automobilkonzern Renault. In Dänemark und den Niederlanden, fügte Duthill hinzu, dürf ten die Schäden höher liegen, weil dort bis zu zehn Prozent aller PCs infiziert seien - eine Zahl die gelegentlich genannt wird: bislang aber nicht verifizierbar ist.

Eine Infektion mit einem noch nicht identifizierten Virus meldete das britische Royal Institute for the Blind. Ob Schäden auftraten, ist nicht bekannt. Auch die portugiesische Vereinigung für elektronische Information in Lissabon berichtete von zwei Virenattacken auf eine größere Bank und ein Industrieunternehmen. Namen wurden nicht genannt. Aus Deutschland gibt es ebenfalls keine fundierten Angaben. Detlev Hoppenrath, Entwickler eines Virenkillprogramms, das 47 verschiedene Viren identifiziert und in den meisten Fällen auch aus den Programmen entfernt, sagt, er habe bis Montagmorgen von etwa zehn echten oder vermeintlichen Virenopfern gehört.

Kaum Schaden in den USA

Relativ ruhig blieb es nach einem IDG-Bericht auch in den USA. Die Mobil Corp. in New York meldete einzelne Fälle von "Jerusalem B" und anderen Freitag-der-Dreizehnte-Viren. Allerdings, so ein Firmensprecher, seien die Mitarbeiter vorbereitet gewesen, so daß kaum Schaden entstanden sei.

Bei IBM war die Gefahr ernst genug genommen worden, um eine komplette Überprüfung der im eigenen Haus eingesetzten PCs vorzunehmen. Weil in den vergangenen Wochen unzählige besorgter Kunden angerufen hatten, hatte man zusätzlich beschlossen, das intern benutzte Prüfprogramm mit dem Namen "Virscan" öffentlich anzubieten. Es wurde sogar eine Sondernummer eingerichtet, über welche die Kunden das Programm bestellen konnten. Nicht immer hatte es den gewünschten Erfolg: Bereits am Donnerstag wurde, angeblich ebenfalls von einer "Jerusalem" Variante, das LAN der Firma Baxter Heathcare in Illinois lahmgelegt. Nachdem erst vor zwei Monaten in einer Zweigstelle der Firma ein ähnlicher Virenfall aufgetreten war, hatte sie jetzt das IBM-Antivirus-Programm verteilt. Offenbar funktionierte es nicht richtig oder es wurde nicht benutzt.

Alles in allem scheint in den USA die Reaktion auf die Bedrohung relativ gelassen gewesen zu sein. Sicherheits-Verantwortliche gaben an, sie hätten im wesentlichen nur die ohnehin bestehenden Maßnahmen überprüft beziehungsweise zusätzlich durchgeführt - Daten-Backups, Kontrolle mit Virensuchprogrammen, Prüfung der Softwarebestände und Gespräche mit den Mitarbeitern. Viele waren der Meinung, die wochenlangen Berichte, vor allem im US-Fernsehen, hätten eine übertriebene Hysterie ausgelöst. Immerhin jedoch, so der Sicherheitschef des Triebwerk-Herstellers Pratt & Whitney, sei das öffentliche Bewußtsein für Sicherheitsfragen dadurch gestiegen.

Zweifellos wächst die Bedrohung. Die Virenprogramme, darin sind sich die Experten einig, werden immer bösartiger und sind immer schwerer zu entdecken. "Eines Tages", so Sicherheitsberater Sherizen, "werden wir auf die Virenzeit zurückblicken und sagen, daß sie gar nicht so schlecht war, verglichen mit dem, was wir dann haben."

Auch in einem weiteren Punkt sind die Experten sich einig: Einen absolut sicheren Schutz gibt es nicht. Das gilt in jedem Fall für PCs, die als offene Systeme konzipiert und deshalb für jede Art von Datenvandalismus besonders anfällig sind. Das gilt aber auch für größere Systeme. Immerhin wurden die ersten damals rein experimentellen Viren auf Minis und Großrechnern entwickelt. Es gibt glaubhafte Erzählungen von einem vermutlichen Virusfall auf einer IBM 138 bereits vor vier Jahren, und im "Chaos Computer Buch" berichtet Matthias Lehnhardt von einem Virus, das 1986 das Rechenzentrum der Uni in Berlin lahmlegte.

Im "Orange Book" des US-Verteidigungsministeriums zur Sicherheit von Betriebssystemen rangieren die meisten der gängigen Betriebssysteme, von CPIM bis MVS und BS2000, in der niedrigsten Kategorie "D - Minimaler Schutz". DECs VMS bekam die bessere Note C2, doch am 22. Dezember 1988 schützte auch das nicht vor einem Wurm (einem virusähnlichen Schädling), der sich in alle VMS-Rechner des SPAN/Decnet-Netzes fraß.

Zwei Monate davor, am 2. November, hatte ebenfalls ein Wurm 6000 unter Unix laufende Computer im riesigen amerikanischen Internet-Netz befallen und in die Knie gezwungen.

Letzten Endes schützt nichts so gut wie "Software-Hygiene". Dazu gehört beispielsweise, nur mit Kopien seiner Programme zu arbeiten und die Originale sicher zu verwahren, wichtige Disketten physisch gegen Überschreiben zu schützen und unbekannte Programme erst auf der Diskette zu prüfen, bevor man sie auf die Festplatte spielt. Vor allem gehört dazu eine regelmäßige Datensicherung.

Infizierte Original-Software

Relativ wenig, außer vielleicht einer Beruhigung des Managements, bringt nach Ansicht von Günter Mußtopf, Leiter der Fachgruppe PC-Computing bei der Gesellschaft für Informatik, das Verbot von Public-Domain-Programmen, die häufig als gefährlichster Infektionsherd genannt werden. Zum einen könne man sich Bootsektor-Viren auch über reine Datendisketten einfangen (wenn sie bei einem Neustart versehentlich noch im Laufwerk A: sind), zum andern kommt es immer wieder vor, daß Original-Software bereits infiziert vom Hersteller geliefert wird.

Das ist normalerweise ein bedauerliches Mißgeschick, in manchen Fällen aber auch Absicht. So gibt es in der Bundesrepublik mindestens ein Unternehmen, das seine Software mit einem Virus vor Raubkopien zu schützen beziehungsweise Raubkopierer zu bestrafen versucht.

Wenn es sich um Netze oder Multiuser-Systeme handelt, werden zusätzliche Maßnahmen auf organisatorischer Ebene empfohlen. In erster Linie sind das strenge Einschränkungen der Zutritts- und Zugriffsrechte, sowohl logisch durch unterschiedlich berechtigte Benutzerkennungen mit Paßwortschutz, als auch physisch durch abschließbare Arbeitsräume, Tastaturverriegelungs-Möglichkeiten, verplombte Gehäuse. Sicherheit ist nur möglich, wenn sichergestellt werden kann, daß nur dazu berechtigte Benutzer mit den Daten und Programmen arbeiten und daß niemand eigenmächtig Software auf die Anlage bringen kann.

Spätestens mit dem "berechtigten Benutzer" jedoch ist die Grenze des technisch Machbaren erreicht. Für Franz-Josef Lang, Sicherheitsberater und Computer-Detektiv in München, gibt es letzten Endes nur die "Schwachstelle Mensch", die aber gebe es immer. "Nur wenn ich keinen berechtigten Benutzer habe", stellt er fest, "habe ich hundertprozentige Sicherheit." Die "vielleicht wichtigste Sicherheitsmaßnahme besteht für ihn deshalb darin, dafür zu sorgen, daß ein offenes und vertrauensvolles Arbeitsklima im Unternehmen herrschte in dem sich weder Frustrationen unkontrolliert aufstauen können, noch persönliche Krisen der Mitarbeiter übergangen werden.

Es besteht kein Anlaß zur Panik

Rechte im Rechner dürfen nicht mit der Position in der Firmenhierarchie gekoppelt sein. Ein Geschäftsführer hat in der Regel nichts davon, daß er die Rechte eines Systemverwalters hat. Für das System hingegen ist es eine Gefahr. 80 Prozent aller Computer-Verbrechen werden nach Expertenmeinung von Angehörigen der betroffenen Firmen begangen, die meisten von egberechtigten Benutzern".

Für Klaus M., Mitglied einer informellen Münchener Usergruppe, besteht jedoch kein Anlaß zur Panik. Die Gefahr, sich anzustecken, hält er für relativ gering: "Es ist für ein Virus sehr schwierig, echte Epidemien hervorzurufen. Die Verbreitungswege sind nicht sehr lang." Die meisten Viren, glaubt er, werden schnell aufgerieben. Am stärksten von der Virenproblematik nämlich seien die Computerfreaks betroffen.

Software-Hygiene lohnt sich allemal

Sicher aber kann sich keiner fühlen. Die Bedrohung ist real. Nach einer IDC-Studie kostet die Rekonstruktion eines Datenbestandes von 20 Megabyte, je nach Unternehmensbereich, zwischen 17 000 und 98 000 Dollar und einen Zeitaufwand von 19 bis 42 Tagen. Für eine kleinere Firma kann das den Ruin bedeuten. So gesehen lohnt sich Software-Hygiene allemal. Denn der nächste Freitag der Dreizehnte kommt bestimmt. Im April und im Juli 1990 ist es wieder soweit.