CW: Nachdem der Loveletter-Virus weltweit immensen Schaden angerichtet hatte, beklagten sich einige Firmen über die Antivirenhersteller, da sie nicht schnell genug Gegenmittel liefern konnten. Wie stehen Sie dazu?
Fagerland: Der Loveletter war ein besonderer Fall, da er sich so schnell ausbreitete. Als ich den ersten Anruf wegen des Virus erhielt, hatte er schon viele Unternehmen befallen. Wir konnten dann zwar schnell eine Lösung entwickeln, doch waren zunächst weder wir noch andere Anbieter in der Lage, die Kunden ausreichend zu schützen.
CW: Was wollen Sie und die anderen Anbieter gegen solche Viren tun?
Fagerland: Es ist möglich, solche Viren schneller zu fangen. Wir arbeiten an einer solchen Lösung, daher kann ich nicht ins Detail gehen. Auch speziell für diese Visual-Basic-Script-(VBS-) Viren angepasste heuristische Verfahren können helfen. Sie erkennen auch unbekannte Viren anhand einer bestimmten Verhaltensweise.
CW: Warum waren Bevahior-Blocker nicht in der Lage, diesen Viren Einhalt zu gebieten? Die Tools sind nach Angaben der Hersteller schließlich auch in der Lage unbekannte Viren abzublocken.
Fagerland: Prinzipiell lässt sich beispielsweise die Adressliste von Microsofts "Outlook" blocken, und es gibt auch Tools, die das heute schon können. Wir haben dergleichen jedoch noch nicht implementiert. Microsoft selbst arbeitet an Patches für sein Mail-Programm, die den Zugriff auf das Adressbuch einschränken.
CW: Werden Sie Ihren "Smart Behavior Blocker" für das Abwehren von VBS-Viren anpassen?
Fagerland: Nein, wir werden dieses Produkt einstellen und komplett neu entwickeln.
CW: Nach Aufkommen des Loveletter riefen viele Experten dazu auf, den Windows Script Host (WSH) zu deinstallieren. Was bringt das Ihrer Meinung nach?
Fagerland: Viele Firmen nutzen WSH intern, und selbst wenn Sie ihn entfernen, können Viren per E-Mail in ihr System eindringen. Der beste Sicherheitstipp, den ich geben kann, ist sehr einfach gesagt, doch nur sehr schwer umzusetzen: Führen Sie nie Dateien aus, die per E-Mail versendet wurden, selbst wenn sie von Bekannten kommen.
CW: Was halten Sie von Sicherheitslösungen, die den Windows-PC mit einer Security-Zwischenschicht ähnlich der Sandbox von Java ausstatten, um so unerlaubte Systemaufrufe zu unterbinden?
Fagerland: Das Sandbox-Verfahren hat nur Sinn in Verbindung mit Antivirenprogrammen. Generische Lösungen erzeugen zudem Fehlalarme und führen zu Einschränkungen beim Ausführen von Anwendungen. Fairerweise muss ich jedoch einräumen, dass bei praktisch jedem Sicherheitsansatz Schutzmaßnahmen und Funktionsvielfalt gegeneinander abzuwägen sind.
CW: Inwieweit helfen Firewalls, die mit zusätzlichen Funktionen zum Virencheck von Datenpaketen ausgestattet sind?
Fagerland: Das sind brauchbare Werkzeuge, doch sie allein genügen nicht. Bestimmte Virentypen, zum Beispiel Trojanische Pferde, können trotzdem ins interne Netz gelangen. Deshalb benötigen Anwender auch weiterhin Virenschutz-Programme auf Servern und auf den Desktops.
CW: Nach Meinung von Experten gehören die Autoren des Loveletter-Virus nicht zur Gruppe der typischen Virenautoren.
Fagerland: Die Frage ist schwer zu beantworten. Doch eins steht fest: Sie brauchen zum Schreiben von VBS-Würmern weit weniger Know-how als zum Verfassen von Dateiviren, die oft in Assembler programmiert werden.
CW: Gemessen an der Aufmerksamkeit, die dem Loveletter-Virus zuteil wurde, entsteht der Eindruck, andere Virentypen, zum Beispiel Boot-Sektor-Viren oder Dateiviren, würden kaum noch eine Rolle spielen.
Fagerland: Dateiviren und Boot-Sektor-Viren gibt es nach wie vor, und es wird sie auch weiterhin geben. Makroviren stellen ebenfalls eine große Gefahr dar.
CW: Was müsste Microsoft tun, um die Sicherheit von Windows zu verbessern?
Fagerland: Vieles. Inzwischen hört Microsoft den Sicherheitsexperten etwas besser zu. Das lässt für die Zukunft hoffen.