Praktisch jeder Benutzer eines Personal Computers ist auf die eine oder andere Art schon einmal mit Computer-Viren konfrontiert worden. Sei es durch Horrormeldungen über gewaltige Schäden, mit denen Zeitschriften und Zeitungen für Aufsehen und Auflage sorgen wollen. Oder sei es durch den Ernstfall einer Virusinfektion des eigenen Programmbestandes samt entsprechenden Behinderungen oder auch - je nach Vorsorge - Schäden. In jedem Fall ist eine wachsende Zahl von PC-Benutzern durch die immer weiter um sich greifende Viren-Hysterie verunsichert.

Ein Computervirus ist nichts anderes als eine Befehlsfolge innerhalb eines Programms, die in der Lage ist, sich selbst in andere Programme zu kopieren, sobald das "Wirtsprogramm" ausgeführt wird. Die wesentliche Gefahr von Computerviren - neben dieser relativ harmlosen "Verseuchung" des Programmbestands - besteht in den zusätzlichen Schadensfunktionen, die in diese Befehlsfolge integriert sein können. Da gibt es Viren, die wahllos Dateien oder ganze Festplatten löschen, die bei einem bestimmten Ereignis unbemerkt Dateninhalte verändern, die sich über LANs in andere Rechner kopieren oder auch solche, die falsche Daten ausdrucken lassen, obwohl die korrekten Daten auf dem Bildschirm angezeigt werden. Das Spektrum der möglichen Schäden ist nur begrenzt durch den Einfallsreichtum der Virenprogrammierer.

Computerviren bedrohen jeden

Aus welchen Gründen auch immer jemand Computerviren erzeugt, die Bedrohung betrifft jeden. Mehrere Stellen in Deutschland bemühen sich, sämtliche Viren samt ihren Abarten zu katalogisieren und zu klassifizieren. Hunderte verschiedener Arten zeigen, daß genügend destruktive Energie und Einfallsreichtum vorhanden ist, auch weiterhin neue und immer ausgeklügeltere Virustypen zu erzeugen.

Eine bis zum vermehrten Auftreten von Computer-Viren in Personal-Computern unbekannte Dimension der Bedrohung entstand durch die unkontrollierten Verbreitungswege. Einmal in ein System eingedrungen, kann ein Virus alle erreichbaren Programme befallen, noch ehe der Benutzer die Infektion überhaupt bemerkt. Programme, die in diesem Stadium vertrieben, verliehen, getauscht, kopiert oder raubkopiert werden, tragen mit großer Wahrscheinlichkeit das Virus in andere Rechner weiter.

Es ist diese Unsicherheit ob beim Erhalt oder bei der Weitergabe eines Programms nicht zugleich eine "Computerseuche" weiter getragen wird, die dann wieder unberechenbare Schäden zur Folge haben kann - die so vielen PC-Benutzern eine übertriebene Angst vor Computerviren einjagt. Aber nicht nur die Nutzer sind von der Virenangst befallen: Software-Hersteller und -Vertreiber befürchten zu Recht, daß sie mit ihren Produkten unbemerkt Viren verkaufen und verteilen könnten. Neben den schmerzhaften Imageschäden kann ein solcher Fall - man denke nur an die neue Produkthaftung - auch größere finanzielle Schäden zur Folge haben.

Erstaunlich ist, daß zwar eine Vielzahl von Büchern und Aufsätzen zum Thema Computerviren erschienen sind und so die Wissensgrundlage für die Virenbekämpfung eigentlich vorhanden wäre, daß aber trotzdem die Unsicherheit der Nutzer erhalten bleibt. Auch die Tatsache, daß Institutionen und Firmen in zunehmendem Maße über Schwierigkeiten mit Viren berichten, zeigt, daß den Gefahren noch nicht in ausreichender Form begegnet wird.

Ein Teil der Unternehmen macht es sich einfach und schiebt mit Richtlinien und Verfügungen die Verantwortung für die Virenbekämpfung auf die Mitarbeiter ab, ohne sie indes ausreichend aufzuklären und zu schulen. Ein anderer Teil setzt Virensuchprogramme ein, die allerdings neue Virenstämme nicht erkennen können.

Noch gefährlicher ist es, nur Notfallpläne zu erstellen, mit denen man im Katastrophenfall zu retten versucht was noch nicht geschädigt wurde.

Dieses weitgehend ziellose und punktuelle Behandeln der Ursachen und Auswirkungen reicht nicht aus, die Virengefahr - und erst recht nicht, andere, ernstere Gefahren - wirksam auszuschalten. Es ist ein Indiz dafür, daß in weiten Bereichen des Einsatzes der Informationstechnik (IT) eine gravierende Unsicherheit herrscht.

Die Tatsache, daß viele Anwender so verschreckt auf das Thema Computerviren reagieren, macht deutlich, daß sie vor dieser Bedrohung die Augen nicht mehr verschließen können - eine Reaktion, mit der sie bislang nur zu gerne auf die übrigen DV-Risiken reagierten.

Der weitreichenden IT-Unsicherheit kann nur mit einem umfassenden Ansatz begegnet werden. Dazu gehört vor allem die Entwicklung und Umsetzung eines angemessenen und integralen Sicherheitskonzepts. Die Basis dieser Konzeptarbeit bildet eine Risikoanalyse, in der aus der Betrachtung der Schutzobjekte (Daten, Funktionalitäten usw.), des Umfeldes (Einsatzort, Nutzer etc.) und der Bedrohungen (Computer-Viren, Software-Manipulationen usw.) die Sicherheitsanforderungen abgeleitet werden, die dann den bestehenden Sicherheitsvorkehrungen gegenübergestellt werden. Die dabei entdeckten Sicherheitslücken gilt es mit entsprechenden Maßnahmen, die im Sicherheitskonzept beschrieben werden, zu schließen.

Ein solches Sicherheitskonzept beschreibt Sicherheitsmaßnahmen in zwei Bereichen, dem technischen und dem organisatorischen Bereich, die miteinander verknüpft sind und sich gegenseitig ergänzen. An das Sicherheitskonzept schließt sich die Phase der Umsetzung des Konzepts an. Der dann erreichte Zustand wird einer permanenten Kontrolle unterzogen die bei Bedarf auch zyklisch in eine erneute Risikoanalyse münden kann.

Ein Sicherheitskonzept, das sämtliche bestehenden Risiken abdecken will, muß auch zum Problem der Computerviren Stellung beziehen. Es wird, je nach Ausgangssituation, geeignete organisatorische und technische Maßnahmen zu einem integrierten Sicherheitssystem kombinieren.

Organisatorische Schutzmaßnahmen

- PC-Richtlinie:

Eine PC-Richtlinie tun Mitarbeitern verbindlich schreiben, welche gefährlichen Tätigkeiten beim Umgang mit dem PC zu vermeiden sind und welche absolut verboten sind. Durch die Verbindlichkeit der Richtlinie können bei Zuwiderhandlungen Sanktionen verhängt werden.

Der wichtigste Grundsatz für das Gesamtunternehmen gelten muß, ist, daß es strikt verboten ist, eigenmächtig Software in ein System einzuspielen (in manchen Firmen ist beispielsweise das Mitbringen und Einsetzen von Spielprogrammen ein Grund für eine fristlose Kündigung; dies wird im Arbeitsvertrag vereinbart).

- Beschränkung auf notwendige Programme

Ein weiterer Grundsatz der sicheren DV-Führung ist, für jeden Arbeitsplatz nur die absolut notwendige Software zur Verfügung zu stellen. Dieses Prinzip des "Need-to-Use", also nur solche Programme für Mitarbeiter freizugeben, die sie unbedingt brauchen, schränkt die Manipulationsmöglichkeiten ein und trägt zur Viren-Prophylaxe bei.

- Kontrolle vorhandener Programme

Es muß innerhalb des Unternehmens eine Person oder Gruppe verantwortlich gemacht werden, die fallweise oder auch regelmäßig den vorhandenen Software-Bestand ermittelt und gleichzeitig überprüft, ob nicht zugelassene Programme benutz werden.

- Testprozeduren für neue Software

Für neue Software - gleichgültig, ob sie im eigenen Haus erstellt wurde, oder von außerhalb kommt - muß eine Überprüfungsprozedur festgelegt werden, mit der die Programme und Datenträger auf Viren untersucht werden (beispielsweise: Testinstallation auf einem speziellen PC, auf dem Virenscanner und ähnliche Prüfprogramme eingesetzt werden).

- Schulungen

Zur Virenprophylaxe ist es von besonderer Bedeutung die Mitarbeiter über die ergriffenen Maßnahmen und deren Sinn aufgeklärt werden. Denn ein durch Schulungsmaßnahmen motivierter Mitarbeiter wird die Maßnahmen unterstützen und eigenständig vorantreiben. In der Schulung zur Virenabwehr müssen die Themen "Reproduktionsmechanismen der Viren", "Ausbreitungswege", "Software-Hygiene und andere Gegenmaßnahmen", "Anzeichen für Computerviren" ausführlich behandelt werden.

- Versicherungen

Je nach Wirkungsgrad der ergriffenen Gegenmaßnahmen und je nach Abhängigkeit vom einwandfreien Arbeiten der Rechner kann sich ein Unternehmen entschließen, zusätzlich Versicherungen gegen Datenmißbrauch, Datenträgerzerstörung oder ähnliches abzuschließen, um in Notfall zumindest den geldwerten Schaden ersetzt zu bekommen und damit unter Umständen ein Weiterexistieren des Unternehmens zu gewährleisten.

- Verantwortung und Personal

Innerhalb des Unternehmens muß für die IT-Sicherheit (und eventuell speziell für die Virenabwehr) eine geeignete Verantwortungsstruktur aufgebaut werden. Da die IT-Sicherheit eine lebenswichtige Voraussetzung für ein von ihren Computern abhängiges Unternehmen ist, muß es in der Unternehmensleitung einen für die IT-Sicherheit Verantwortlichen geben.

Dieser wird weitere Mitarbeiter hinzuziehen, die für einzelne Bereiche zuständig sind. So sollte es einen Beauftragten für die Virenabwehr geben, der verantwortlich ist für die Formulierung und Einhaltung von Viren-Richtlinien, für die Kontrolle der PCs, und auch für die Prozeduren zur Überprüfung neuer Software. Er muß die aktuelle Entwicklung bei den Computerviren in der Literatur beobachten und sich im Unternehmen als Ansprechpartner für Notfälle etablieren. Er sollte zusätzlich die Schulungsthemen und -inhalte aktualisieren sowie wichtige neue Erkenntnisse kurzfristig an die Mitarbeiter weitergeben.

- Katastrophenplan

Ein wichtiger Punkt des Sicherheitskonzepts ist der Katastrophenplan, in dem alle Maßnahmen und Vorgänge beschrieben werden, die im Notfall auszuführen sind. Für den Fall einer Verseuchung mit Computerviren sind unter anderem folgende Tätigkeiten vorzusehen: Mitteilung an den Notfall-Ansprechpartner; Isolierung der befallenen Rechner (Abkopplung vom Netz; keine Weitergabe von darauf enthaltenen Programmen oder damit bearbeiteten Datenträgern); Erstellen eines Backups der Daten aller befallener Rechner; Identifizierung des Virus (mittels eines möglichst aktuellen Scan-Programms) um zu erfahren, welche Gefahren drohen, und um geeignete Gegenmaßnahmen einleiten zu können; Suche nach dem "Infektionsherd" (in der Praxis ist es meist sehr schwer, die Quelle einer Verseuchung ausfindig zu machen, weil die Infektion oft erst nach längerer Zeit festgestellt wird; wird die Quelle jedoch entdeckt, sollten geeignete Maßnahmen ergriffen werden, etwa eine Mitteilung an die Betroffenen, eine Abmahnung der verantwortlichen Mitarbeiter oder ähnliches); Virusbeseitigung (mit einem geeigneten Viren-Killer, durch Löschen der infizierten Dateien, oder, in gravierenderen Fällen, durch Neuformatieren, Neupartitionieren oder sogar Low-Level-Formatieren der Datenträger mit anschließendem Neueinspielen der Originalsoftware und der gesicherten Daten).

Technische Maßnahmen gegen Computer-Viren:

- Regelmäßiges Backup

Eine der wichtigsten Sicherheitsvorkehrungen, um nach einem Ausfall das IT-System wieder in Betrieb zu nehmen, ist eine regelmäßige Datensicherung (mit anschließender Auslagerung dieser Sicherungskopien).

Sinnvoll ist es, immer mehrere "Sicherungsgenerationen" aufzubewahren.

Diese Maßnahme ist auch im Hinblick auf Computer-Viren fundamental: Falls ein Virus unerkannt in ein IT-System gelangt ist und dort Dateien zerstört hat, ist es mit Hilfe der Backups möglich, die unter Umständen wertvollen Daten zu rekonstruieren. Vorsicht ist allerdings beim Wiederaufspielen von Programmen angebracht. Weil sie möglicherweise bereits zum Zeitpunkt der Datensicherung infiziert waren, ist es besser, wenn man Programme wieder von den Originaldisketten einspielt.

- Virensuchprogramme

Um Programmbestände und neue Programme auf bekannte Viren überprüfen zu können, sollte ein Virensuchprogramm eingesetzt werden. Dabei ist darauf zu achten, daß es von einem seriösen Hersteller geschrieben wurde, daß es alle aktuell bekannten Viren identifizieren kann und daß es laufend aktualisiert wird, so daß es auch neu aufgetauchte Viren erkennt. Weil jedoch immer nur die Viren erkennt, die ihn bekannt sind, kann es nie für absolute Virenfreiheit garantieren.

- Programme zur Erkennung von Virenaktivitäten

Wächterprogramme, die bestimmte Virusaktivitäten feststellen und verdächtige Datenänderungen oder Vorgänge melden, können gezielt eingesetzt werden, um neue Programme zu testen. Solche Wächterprogramme gibt es in den unterschiedlichsten Formen, von Signaturprogrammen, die Prüfsummen über den Inhalt der Dateien erstellen und mit den früher gewonnenen Ergebnissen vergleichen, bis zu Hintergrundprogrammen, die kontinuierlich die Prozessor-Interrupts und Betriebssystem-Aufrufe überwachen. Der Einsatz solcher Programme auf jedem PC erscheint zu aufwendig, besser ist das gezielte Testen neuer Software, bevor sie zum Einsatz kommt.

- Ausweichrechner

Es kann sinnvoll sein, einen Ausweich-PC bereitzustellen, auf dem die Arbeiten weitergeführt werden können, wenn ein PC von einem Virus befallen wurde. Dies würde die Möglichkeit eröffnen, das mutmaßliche Virus ohne Zeitdruck zu analysieren und Gegenmaßnahmen zu ergreifen.

- Software-Signaturen

Software-Signaturen sind Prüfkennzeichen zu Dateien, die sich verändern, wenn die Datei geändert wurde. Sie können mittels eines Programms erzeugt werden und dienen dazu, bei jedem Aufruf oder zu bestimmten Zeiten mit den dann neu berechneten Signaturen verglichen zu werden. Sind beide Signaturen identisch, so kann man je nach Güte der Signatur davon ausgehen, daß diese Datei nicht verändert wurde. Falls sie nicht identisch sind, wurden die Dateien verändert, was unter Umständen auch auf ein Virus hindeuten kann.

Sinnvoll sind solche Software-Signaturen insbesondere für zentral gehaltene Datenbestände auf einem Server oder in einer Datenbank. Hier ist der erzielte Effekt besonders groß und aufgrund der meist vorhandenen Rechnerleistung lassen sich die Signaturen auch relativ zügig errechnen.

- Benutzerführung

Verschiedene PC-Zusatzprodukte unterstützen es, die Nutzungsmöglichkeiten eines PCs auf ein notwendiges Maß einzuschränken. Dabei werden nur noch bestimmte Benutzer zugelassen und deren Rechte verwaltet und geprüft. Insbesondere können Aktivitäten wie Compileraufrufe, Betriebssystemfunktionen, Veränderungen an Daten und Programmen unterbunden werden. Mit diesen Einschränkungen können manipulatorische Tätigkeiten, aber auch das Einspielen von Computerviren behindert werden.

- abschließbare Rechner

Es ist vorstellbar, daß ein böswilliger Mitarbeiter Computerviren in fremden PCs installiert, so daß der Verdacht zunächst auf die betroffenen Mitarbeiter fällt. Dies kann verhindert werden, wenn alle PCs mit Schlössern versehen sind und wenn sichergestellt ist (Richtlinie), daß jeder nicht genutzte PC verschlossen ist.

- kontrollierte Diskettenlaufwerke

Eine relativ simple, aber wirkungsvolle Maßnahme, um das unkontrollierte Einspielen von Fremdsoftware zu verhindern, ist das physische Verschließen aller Diskettenlaufwerke, die für den normalen Arbeitsbetrieb nicht notwendig sind (beziehungsweise die Installation diskettenloser PCs). Neue Software kann dann nur unter der Aufsicht eines IT-Sicherheitsbeauftragten, der die entsprechenden Schlüssel in Gewahrsam hält, eingespielt werden. Dieser gang selbst wird zusammen mit Angaben zum Zeitpunkt, zu den beteiligten Mitarbeitern und zum Programm protokolliert, wobei ergänzend noch eine Sicherungskopie der neuen Software angelegt werden kann. - Daten- und Programmserver in LANs

Über ein lokales Netz verbundene PCs bilden eine erhebliche Schwachstelle gegenüber Computerviren. So ist es bei sorglos eingeräumten Benutzerrechten leicht möglich, über Resourcen-Sharing Programme, die auf anderen Rechnern gespeichert sind, aufzurufen oder zu kopieren. Sind diese Programme mit einem Virus infiziert, so kann es auf diesem Weg auch den aufrufenden Rechner infizieren.

Möglichkeiten, dies zu verhindern, bestehen darin, daß man die vernetzten PCs mit einer Benutzerführung versieht, und daß man das Einspielen neuer Software verhindert. Darüber hinaus kann man einen zentralen Programmserver einsetzen, auf dem entweder alle Programme unveränderbar gespeichert sind, oder auf dem mittels Software-Signaturen die "Unberührtheit" der Software jeweils kontrolliert wird.

Zum Abschluß einige beispielhafte Maßnahmenkombinationen für typische DV-Szenarien, die in entsprechenden Sicherheitskonzepten vorgegeben werden können:

PC für Privatnutzer:

Beschränkung auf notwendige Programme, regelmäßige Backups, Virensuchprogramme.

PC nur für Textverarbeitung:

PC-Richtlinie, Beschränkung auf notwendige Programme, regelmäßige Backups, abschließbare Rechner.

PC für die Bearbeitung sensibler Informationen:

PC-Richtlinie, Beschränkung auf notwendige Programme, Kontrolle vorhandener Programme, Testprozeduren für neue Software, Schulungen, Katastrophenplan, regelmäßige Backups, Virensuchprogramme, Programme zur Erkennung von Viren-Aktivitäten, Benutzerführung, abschließbare Rechner, kontrollierte Diskettenlaufwerke.

PC für die Programmentwicklung:

PC-Richtlinie, Beschränkung auf notwendige Programme, Kontrolle vorhandener Programme, Testprozeduren für neue Software, Schulungen, Versicherungen, Verantwortung und Personal, Katastrophenplan, regelmäßige Backups, Virensuchprogramme, Ausweichrechner, abschließbare Rechner.

PC im LAN:

PC-Richtlinie, Testprozeduren für neue Software, Verantwortung und Personal, Katastrophenplan, abschließbare Rechner, kontrollierte Diskettenlaufwerke, Daten- und Programmserver in LANs, regelmäßiger Backup, Virensuchprogramme.

PC als Netz-Server:

PC-Richtlinie, Testprozeduren für neue Software, Schulungen, Versicherungen, Verantwortung und Personal, Katastrophenplan, regelmäßiger Backup, Virensuchprogramme, Programme zur Erkennung von Viren-Aktivitäten, Ausweichrechner, Software-Signaturen, Benutzerführung, abschließbare Rechner, kontrollierte Diskettenlaufwerke.

Diese Maßnahmenkombinationen haben Beispielcharakter. Die Angemessenheit in der jeweiligen Situation muß durch eine Risikoanalyse abgeschätzt werden. Gegebenenfalls sind Änderungen und Ergänzungen nötig.

Jedoch können die Beispiele dazu dienen, einen Vergleich mit den jeweils vorhandenen Maßnahmen durchzuführen. Die Diskussion des Vergleichsergebnisses kann dann anschließend weitere Aufschlüsse über eventuell fehlende Vorkehrungen liefern.