DER KAMPF gegen die Virenbedrohung ähnelt dem Rennen von Hase und Igel: Mit immer neuen Schutzmaßnahmen wollen Softwarehersteller die PC-Sicherheit erhöhen, doch findigen Programmierern gelingt es oft nach relativ kurzer Zeit, solche Schutzwälle zu umgehen. Fakt ist auch, dass es Viren im klassischen Sinn kaum mehr gibt. Die neueren Schadprogramme wie Trojaner, Würmer oder Bots vereinen meist mehrere Kategorien in sich, um sich zu verbreiten und die befallenen Rechner als versteckten Stützpunkt für weitere, ferngesteuerte Attacken zu öffnen. Auffallend ist insbesondere das rasante Wachstum der Bedrohung durch Viren, wie die Zahlen der Security-Spezialisten von Messagelabs belegen. Von den im Jahr 2004 überprüften 147 Milliarden E-Mails bei Messagelabs-Kunden enthielten im Jahresdurchschnitt 6,1 Prozent einen Virus. Im Vorjahreszeitraum waren es nur 3 Prozent, 2002 diagnostizierte das Unternehmen sogar nur 0,5 Prozent der Mails als verseucht.
Bezeichnend an dieser Studie ist auch, dass sie E-Mails als Hauptinfektionsquelle bestätigt - und damit fahrlässiges oder leichtsinniges Benutzerverhalten als das nach wie vor größte Sicherheitsrisiko entlarvt. In den meisten Fällen genügt ein unüberlegter Doppelklick auf einen manipulierten Mail-Anhang, um einen PC zu infizieren. Die böswilligen Versender machen sich dabei den Umstand zunutze, dass unter dem am weitesten verbreiteten Betriebssystem Windows eine Vielzahl von Dateitypen zur Ausführung von Code missbraucht werden kann. Längst verschicken sie keine offensichtlich verdächtigen EXE-Dateien mehr, schädliche Inhalte lassen sich heutzutage auch in kaum bekannten ausführbaren Dateitypen wie SCR, COM, PIF oder CPL verstecken.
Eine Mitschuld an der einfachen Verbreitung tragen aber auch Schwachpunkte und Lücken in der Software aus Redmond. Zwar hat Microsoft in die neueren Versionen seiner Mail-Programme Outlook und Outlook Express wirksame Abwehrmechanismen integriert, doch immer noch arbeiten viele Nutzer mit ungeschützten Versionen.
Microsoft reagiert
Als wirksamen Konter gegen die Bedrohung durch manipulierte Mails wurden im Wesentlichen zwei Maßnahmen eingeführt: Zum einen blockieren die aktuellen Outlook-Versionen jeden Mail-Anhang, der von seiner Dateiendung her als ausführbare Programmdatei erkannt wird. Um das zu umgehen, packen viele Virenversender ihre Post in ZIP-Archive ein, doch die unmittelbare Gefahr beim Doppelklick ist damit gebannt. Die zweite Maßnahme war die Blockade von Schadfunktionen, die sich in HTML-E-Mails verstecken. Das Fatale dabei war bisher, dass ein einfaches Öffnen im Vorschaufenster des Mail-Clients ausreichte, um die zerstörerische Funktion auszulösen.
Der zweite problematische Bereich waren über Jahre Lücken im Windows-Betriebssystem. Deutlich wurde das während der verheerenden Massenepidemie durch den Sasser-Wurm. Der Wurm hatte eine Lücke im LSASS-Dienst von Windows genutzt, um ungehindert und unbemerkt vom Benutzer über das Internet Rechner zu befallen. Gleichzeitig hatte er dabei eine Hintertür für ferngesteuerte Schad- und Spionagefunktionen installiert. Obwohl Microsoft bereits Monate vor diesem Ausbruch über die Windows-Upate-Website eine wirksame Fehlerbereinigung bereitgestellt hatte, konnte sich der Virus auf Millionen nicht gepatchter PCs breit machen.
Statt wie bisher immer nur mit Fehlerbereinigungen auf entdeckte Lücken zu reagieren, hat Microsoft mit dem seit Mitte 2004 verfügbaren Service Pack 2 für Windows XP nun einige grundlegende Mechanismen für mehr Sicherheit eingeführt. Zum einen ist nun eine Software-Firewall integriert, die unerwünschten Netzverkehr von außen wie von eventuell bereits intern aktiven Trojanern abblockt. Zum anderen wurde der Internet Explorer mit einem Popup-Blocker sowie zusätzlichen Sperren und Abfragedialogen für verdächtige Software-Downloads ausgestattet.
Unter den vielfältigen PC-Bedrohungen bildet Spyware (Spionageprogramme) eine besondere Kategorie. Charakteristisch ist auch hier das Problem der Definition und der klaren Abgrenzung. Zunächst kann man der Gattung Spyware alles zuordnen, was im Hintergrund unbemerkt vom Anwender Daten ausliest, sammelt und über das Netz versendet. Auch viele Würmer haben Spyware im Gepäck.
Rechtliche Situation oft unklar
Die Bandbreite derartiger Schnüffler ist recht groß - sie reicht vom relativ harmlosen Datensammler für Online-Werbung über Browser-Hijacking bis hin zur versteckten Tastatur- und Bildschirmüberwachung mittels Keylogger. Die rechtliche Situation ist dabei oft alles andere als klar. Denn nicht selten stimmen Anwender mit der Einwilligung zur Lizenzbestimmung auch einer Datenerhebung zu. Beispiel Kazaa: Die berühmte Tauschbörsen-Software installiert einige Hintergrundprogramme, die eigentlich unter die Kategorie Spyware fallen. Allerdings wird der Anwender während der Installation auch deutlich darauf hingewiesen, dass sich die kostenlose Version von Kazaa durch eingeblendete Werbung finanziert und daher eine solche Zusatzsoftware erfordert. Der Hersteller bestreitet überdies, dass es sich bei diesen Komponenten um Spyware handelt.
Viele Spionageprogramme lauern im Hintergrund zwielichtiger Webseiten darauf, die PCs nichtsahnender Besucher zu befallen. Gegen die größten Risiken sind Windows-Nutzer in jedem Fall gefeit, wenn sie Service Pack 2 für XP und die neuesten Patches installiert haben. Ohne diese aktuellen Schutzfunktionen bestehen vielfältige Gefahren. So gab es etwa eine Sicherheitslücke, über die es möglich war, mittels manipulierter JPEG-Bilder während des Ladens einer Seite eine Schadfunktion auf den Client-PC zu schleusen.
Sehr auffallend äußert sich hingegen das so genannte Browser-Hijacking. Hierbei wird zum Beispiel die Browser-Startseite auf obskure Portale umgelenkt, ein verstecktes Skript unterbindet die Einstellung der alten Startseite. Etliche Urheber solcher Manipulationen verdienen sogar Geld damit, indem sie Prämien für Besucherzahlen kassieren.
Mehrstufige Warnungen
Entschärft wurde durch das Service Pack 2 auch die jahrelange Problematik der Active-X-Komponenten. Hierbei handelt es sich um downloadbare Programmkomponenten, die als Browser-Erweiterung bereitgestellt werden können. Für seriöse Web-Anbieter und Anwendungen im sicheren Intranet ist die Technik recht nützlich - so basieren Browser-Hilfsprogramme wie Macromedias Flash-Player darauf. Jedoch wurden sie von Virenschreibern oft für Spionage- und Schadfunktionen missbraucht. Nun erhält der Benutzer eine mehrstufige Warnung, bevor installiert wird: Bietet eine Site ein Active-X-Element zum Download an, klappt zunächst am oberen Rand des Internet Explorers die neue Hinweisleiste auf. Selbst wenn man hier auf „Installieren“ klickt, folgt zusätzlich noch der Dialog „Sicherheitswarnung“ und fordert eine zweite Bestätigung. Damit dürften versehentliche Klicks auf absichtlich irreführend gestaltete Dialogfelder der Vergangenheit angehören.
Tückische Keylogger
Eine weitere problematische Softwarekategorie ist die der Keylogger. Dabei handelt es sich um raffinierte Überwachungswerkzeuge, die jede Tastatureingabe aufzeichnen und auch zeitgesteuerte Schnappschüsse vom Bildschirm machen können. Viele dieser Tools sind mit aufwändigen Tarnfunktionen ausgestattet und erschweren es so selbst professionellen Anwendern, sie zu entdecken. Die Spionagedaten werden dabei meist per FTP oder Mail an den verdeckten externen Beobachter gesendet. Allerdings gibt es auch hier legitime und legale Einsatzszenarien. So könnten Eltern damit das Treiben ihrer Kinder am PC kontrollieren, Detektive und Ermittlungsbehörden dürften solche Werkzeuge ebenfalls einsetzen. Da im Internet unzählige solcher Programme zum Download feilgeboten werden, ist allerdings auch eine hohe Missbrauchsgefahr gegeben - schließlich könnten auf diese Weise Passwörter oder PINs und TANs fürs Online-Banking erspäht werden.
Zum Schutz vor Spionage-Tools hat sich neben den klassischen Antivirenprogrammen eine eigene Softwarekategorie etabliert, die „Antispyware“. Zu den bekanntesten Vertretern dieser Gattung zählen Ad-Aware SE Personal 1.05, PestPatrol 4.4, Spy Sweeper 3.2 oder Spybot Search & Destroy 1.3. Auch Microsoft hat mittlerweile den Handlungsbedarf erkannt und bietet zurzeit eine kostenlose Betatestversion seiner „Antispyware“ an. Alle Abwehrprogramme scannen das gesamte System und bieten einen Echtzeitschutz, der bei unerwünschten Aktivitäten von Eindringlingen sofort einschreitet. Wie im Antivirenbereich sind auch hier regelmäßige, automatische Updates der Schädlingssignaturen üblich, um die Systeme gegen neue Bedrohungen zu immunisieren. Das Microsoft-Tool bietet über die Grundfunktionen hinaus auch noch eine Reihe anderer nützlicher Optionen.
Firewall identifiziert Maulwurf
So lassen sich zum Beispiel systemweit alle persönlichen Datenspuren löschen. Das beschränkt sich nicht nur auf den Browser, sondern umfasst zum Beispiel alle Windows-Zwischenspeicher sowie die Benutzer-Caches von unzähligen marktüblichen Programmen. Eine solche Option ist vor allem dann interessant, wenn man seinen Rechner anderen Personen überlässt.
Deutlich schwieriger gestaltet sich unter Umständen die Beseitigung von Keyloggern - auf diesem Gebiet versagen viele Antispyware- und Antivirenprogramme. Erfahrene Anwender können Programme wie „Autoruns“ zur Autostartkontrolle oder „Process Explorer“ (beide Sysinternals) zur Überwachung der aktiven Systemprozesse heranziehen. Wenn der Verdacht auf Spionage besteht, aber keine verdächtigen Dateien aufzufinden sind, dann lässt sich zumindest das Versenden ausspionierter Informationen nach außen unterbinden. Hierzu genügen die Windows-Firewall oder jede andere Desktop-Firewall; sicherheitshalber sollten aber alle Ausnahmeregeln für zugelassene Programme zurückgesetzt werden. Dadurch startet der Lernprozess für zugelassene Programme neu, und ein ungebetener Maulwurf kann leicht identifiziert werden.
Schutz vor Mutationen
Einen interessanten Antispionage-Ansatz verfolgt Privacykeyboard vom gleichnamigen Hersteller. Dessen Angaben zufolge handelt es sich dabei um das erste Tool, das jegliche Art von Tastaturüberwachung auf Hardware- und Softwarebasis zuverlässig unterbindet. Im Gegensatz zu herkömmlichen Abwehrwerkzeugen basiert es nicht auf Mustererkennung und soll somit auch mutierten oder neuen Keyloggern widerstehen. Für die zentrale Administration in Firmennetzen offeriert der Anbieter das Pendant „Anti-Keylogger“.
Wolfgang Miedl ist freier Journalist in Erding bei München.