Serie: Computerviren (Schluß)

Daten leben gefährlich. Eine wachsende Zahl von Viren und Trojanischen Pferden bedroht Programme und Datenbestände, sogar auf den Sicherungskopien. Unsere dreiteilige Serie gibt einen Überblick über den aktuellen Stand der Dinge. Der erste Teil zeigte die Gefahren und die verbreitetsten Erreger. Wie man sich vor ihnen schützen kann, war das Thema des zweiten Teils. In diesem dritten und letzten Teil finden sich Hinweise zu weiterführender Information sowie Adressen für den Notfall.

Adressen für Erste Hilfe bei Infektionen

Virus Test Center Hamburg

Universität Hamburg

FB Informatik

Prof. Dr. Klaus Brunnstein

Schlüterstr. 70

2000 Hamburg 13

Microbit Virus Team

Universität Karlsruhe

Christoph Fischer

Zirkel 2

7500 Karlsruhe 1

Viren-Service

perComp Verlag GmbH

Günter Mußtopf

Holzmühlenstr. 84

2000 Hamburg 70

ZSI Zentralstelle für Sicherheit in der Informationstechnik

Frank Felzmann

Am Nippenkreuz 19

5300 Bonn 2

FIM

Universität Linz

Prof. Dr. Jörg R. Mühlbacher

A-4040 Linz

INFO.box mit Viren-Hotline

Virus Fax und

Redaktion Virus-Telex

Günter Mußtopf

Adresse:

siehe perComp Verlag GmbH

E-Mail: fgpc-gm infohh.rmi.de

Fax: 040/695 94 81

Das Bewußtsein der Gefährdung durch Computerviren wächst. Ebenso wächst die Bereitschaft zur Vorsorge. Was gewöhnlich jedoch fehlt, sind aktuelle und zuverlässige Informationen. Das muß nicht sein. Denn guter Rat ist nicht mehr teuer, und wer will, bekommt ihn auch frei Haus.

Zahlreiche Anrufe beim Hamburger Viren Service des perComp-Verlages zeigen, daß die Verbreitung von Viren gerade in Betrieben zunimmt. Zwar wächst auch die Bereitschaft der Unternehmen zur Vorsorge, doch fehlt es gewöhnlich an den nötigen Kenntnissen und Erfahrungen. Viele Anwender schaffen es verständlicherweise nicht, neben ihrer täglichen Arbeit auch noch zusätzlich die Publikationen zum Thema Viren zu verfolgen. Hinzu kommt, daß häufig Zeit und Ruhe fehlen, um sich ernsthaft mit einem solchen Problem (vorbeugend) zu befassen. Werden jedoch Viren festgestellt, steht noch weniger Zeit zur Verfügung!

Eine Übersicht über die heute bereits verfügbaren Quellen bietet die folgende Aufstellung:

Veranstaltungen und Publikationen

Den Besuchern der Regionalmesse Nordbüro '89 (20. bis 24. September in Hamburg) wurde in einer Gemeinschaftsaktion des Virus Test Centrums der Universität Hamburg, der Fachgruppe Personal Computing der Gl (Gesellschaft für Informatik e.V.) und des perComp-Verlags die Möglichkeit geboten, sich umfassend beraten und helfen zu lassen. Das Echo auf diesen Service war außerordentlich positiv. Während bei kleineren Unternehmen und Freiberuflern die Frage nach Schutzmaßnahmen und möglichen Schäden vorherrschte, konzentrierte sich die Diskussion mit großen Unternehmen und Behörden stärker auf die organisatorischen und psychologischen Probleme (Durchsetzbarkeit und Akzeptanz von Maßnahmen).

Vom 18. bis 19. Oktober 1989 veranstaltete die Fachgruppe Personal Computing der GI in München ein Fachgespräch unter dem Titel "Computersicherheit von PCs und Workstations - Computer-Viren und verwandte Anomalien". Die Vorträge wurden im Tagungsband der GI-Jahrestagung '89 veröffentlicht. Auch die Probleme von Unix-Systemen (wie etwa "Würmer") und Manipulationen von Programmen wurden behandelt. Ergänzt wurde das Fachgespräch durch Vorträge über rechtliche Fragen. Eine ähnliche Veranstaltung ist auch für dieses Jahr geplant

Ein Viren-Film des Südwestfunks ("Programmierte Gefahr: Computer-Viren", Sendereihe Output, 31. Mai 1989) regte die Herausgabe einer Broschüre mit weiterführendem Begleitmaterial an ("Trojanische Pferde, Viren und Würmer - eine ernstzunehmende Gefahr für PC-Anwender?" Schutzgebühr 3 Mark, perComp-Verlag Hamburg). Dieses Heft dient mit seinen 44 Seiten primär der Aufklärung von PC-Anwendern.

Schließlich erschien im Oktober 1989 Klaus Brunnsteins Buch "Der Computer-Viren-Report" (WRS Verlag). Es bietet eine sehr gute Übersicht über den gegenwärtigen Stand der Entwicklung. PC-Profis und -Anwender erhalten dazu zahlreiche Hinweise und Empfehlungen für ihre tägliche Praxis.

Veranstaltungen, Tagungsbände und Bücher benötigen viel Zeit für ihre Vorbereitung und Produktion. Die Aktualität solcher Publikationen läßt deshalb zwangsweise zu wünschen übrig.

Detaillierte Informationen über Viren und deren Bekämpfung können nicht im erforderlichen Umfang aufgenommen werden. Eine wirksame und schnelle Hilfe für Betroffene ist deshalb durch konventionelle Medien nur recht unvollkommen möglich.

Monatlicher Informationsbrief "Virus-Telex"

Viele PC-Zeitschriften bieten lnformationen über Viren und deren Bekämpfung an. Leider halten diese häufig einer kritischen Prüfung nicht stand. Gute Publikationen in wissenschaftlichen Zeitschriften dagegen bereiten PC-Anwendern häufig andere Probleme: Die Umsetzung der Meldungen in die tägliche Praxis fällt relativ schwer.

Anfragen und Diskussionen mit vielen Unternehmen führten deshalb im Sommer 1989 zur Herausgabe eines monatlichen Informationsbriefs für Computersicherheit, der den

Namen "Virus-Telex" erhielt (erste Ausgabe 11/89). Seine Loseblattform und der zugehörige Ringordner unterstützen eine übersichtliche Sammlung aktueller Informationen. Sie ergeben dadurch zugleich ein wertvolles Nachschlagewerk, das monatlich aktualisiert wird (siehe CW Nr. 49 vom 1. Dezember 89, Seite 34).

Hamburger Viren-Katalog

De Verhinderung eines Virenbefalls und die Begrenzung möglicher Schäden durch Viren ist für viele Unternehmen von entscheidender Bedeutung. Eine systematische Erfassung bekannter Viren ebenso wie eine internationale Zusammenarbeit und eine gegenseitige Unterstützung aktiver Gruppen, bilden dafür eine wichtige Basis. Seit einem Jahr arbeitet deshalb das Virus Test Centrum Hamburg unter der Leitung von Professor

Klaus Brunnstein auf diesem Gebiet. Das von dieser Gruppe entwickelte "Formular" dient einer einheitlichen, kurz gefaßten Beschreibung entdeckter Viren und als Basis für ein Viren-Katalog. Formular und Katalog-Einträge wurden international diskutiert und abgestimmt.

Mitbeteiligt sind gegenwärtig neben dem Virus-Test Centrum, David Verbrache (Heriot-West-University Edinburgh), Christoph Fischer (MicroBlT-Universität Karlsruhe), Yisrael Hudai (Hebrew University, Jerusalem), Fridrik Skulason (Universität Reykjavik) und Alan Solomon (S&S Enterprises, Oxford).

Der Viren-Katalog erfaßt MS-DOS-, Atari-, Amiga- und Macintosh-Viren. Künftig werden auch Viren aufgenommen die in Verbindung mit OS/2 und Unix auftreten. Die verfügbaren Katalog-Einträge sind in ihrer englischen Fassung in der Hamburger INFO.box gespeichert. Sie können von deren Teilnehmern über PC/Modem abgerufen werden(Zugang über Datex-P oder direkt über Telefon). Nicht zuletzt wird dadurch eine schnelle Aktualisierung des Viren-Kataloges möglich. Weil viele Unternehmen den Katalog auch in gedruckter Form wünschen wird er in der deutschen Version ein Teil des Virus-Telex publizieren.

Frühwarndienst über Telefax

Die Entwicklung geht derzeit sehr schnell. Das gilt für Viren- wie für Anti-Viren-Programme. Dies führt immer wieder dazu daß über die Medien falsche Informationen verbreitet werden. Die von dpa seinerzeit veröffentlichte Empfehlung die Chaos Computer Clubs, am 13. Oktober 1989 das Datum in einem PC manuell auf den 14. Oktober abzuändern, um so Zerstörungen durch den Datacrime-Virus zu verhindern war sogar schädlich.

Das Datacrime-Virus nämlich wurde nicht nur am 13.10.89 aggressiv, sondern es zerstörte Platten über den ganzen Zeitraum vom 13. Oktober 1989 bis zum 31. Dezember 1989! Solche Empfehlungen können erhebliche Schäden anrichten.

Zusätzlich zum Virus-Telex wurde deshalb im Dezember ein Viren-Frühwarndienst eingerichtet. Die angeschlossenen Teilnehmer erhalten wichtige aktuelle Meldungen als Telefax. Dadurch wird eine extrem schnelle Weitergabe wichtiger Informationen an PC-Anwender sichergestellt. Weitergehende Rückfragen können über die elektronische Viren- Hotline der INFO.box geklärt werden.

News-Gruppe "comp.virus"

Der Viren-Katalog des Virus Test Centrums Hamburg bietet eine wichtige Basis für die Planung und die Realisierung von Schutzmaßnahmen. Allerdings werden im Ernstfall ein schneller Erfahrungsaustausch und aktuelle Informationen zusätzlich benötigt. Ein ideales Medium dafür ist die Telekommunikation. lnternationale Netze wie "usenet" (mit weltweit über 10 000 Hosts) werden bereits seit einigen Jahren für einen internationalen Erfahrungsaustausch erfolgreich eingesetzt.

Seit Ende Mai 1989 gibt es auf dieser Basis im Rahmen des sogenannten "news-Service" (Netzwerk: EUnet/usenet) die Gruppe "comp.virus". Innerhalb der ersten sechs Monate wurden bereits über 800 Nachrichten mit einem Gesamtumfang von mehr als zwei Megabyte angeboten.

Zwei Leistungsmerkmale von "news" sind für viele Profis wichtig: news-Gruppen stellen keine Einbahnstraßen dar, sondern sie bieten einen Offline-Konferenz-Service, über den Erfahrungen schnell weltweit ausgetauscht werden können und international bekannte Experten erreichbar sind. Der zweite Vorteil gegenüber amerikanischen Bulletin-Board- Systemen wie Compuserve oder BIX besteht darin, daß die europäischen Teilnehmer keine teuren Überseegebühren für die Übertragung zahlen müssen. Die Kommunikation erfolgt mit einem deutschen Host wie zum Beispiel der Hamburger INFO.box. Fragen, Antworten oder Kommentare werden von den Teilnehmern ebenfalls preiswert lokal abgesetzt und von der

news-Software im Host automatisch weitergeleitet.

Viren-Hotline für Notfälle

Neben dem Viren-Katalog, dem news-Service comp.virus, Adressen aus der Viren-Szene und Hinweise auf Publikationen bietet die INFO.box auch die Möglichkeit, individuelle Fragen zu diskutieren oder Unterstützung zum Thema Viren zu erhalten. Dies kann entweder öffentlich am Brett "Viren-Hot" oder durch individuelle Kommunikation erfolgen.

Eine vorübergehende Modekrankheit?

Viren stellen trotz der bereits verursachten Schäden und der wachsenden Gefahren keinen Anlaß zu panikartigen Reaktionen dar. Allerdings ist ein sorgfältigerer Umgang mit Programmen und Daten erforderlich (Stichwort: Software-Hygiene). Viele Unternehmen sind sich offensichtlich nicht immer der Werte bewußt, die auf den Festplatten der inzwischen extrem preiswerten Hardware enthalten sind. Eine vollständige, stets aktuelle Archivierung der Programme und regelmäßige Datensicherungen sollten deshalb zur Selbstverständlichkeit werden.

Die heute von den Viren eingesetzten Mechanismen werden mit Sicherheit in Zukunft weiter verfeinert. Dies gilt für die Wirkungsweise wie auch für die verursachten Schäden. Der Ideenreichtum der Virenprogrammierer ist längst nicht erschöpft - auch wenn einige der gegenwärtig diskutierten Verfahren, wie beispielsweise Viren in Quellprogrammen, nur wenig Aussicht auf Erfolg haben. Systeme auf Unix- oder OS/2-Basis werden mit ziemlicher Sicherheit zu neuartigen Schadprogrammen führen.

Eine nicht zu unterschätzende Gefahr kann direkt oder indirekt der Kauf von qualitativ mangelhaften Anti-Viren-Programmen darstellen. Der bei einigen Produkten nur scheinbar vorhandene Schutz verleitet viele Anwender dazu, wieder leichtfertig zu werden und die Datensicherung zu vernachlässigen.

Darüber hinaus müssen organisatorische Maßnahmen sicherstellen, daß vorhandene Anti-Viren-Programme auch sinnvoll eingesetzt werden.

Ebenso muß die Gefahr "von innen" - durch unzufriedene Mitarbeiter - berücksichtigt werden.

Eine Schwachstelle stellt in vielen Unternehmen die Virenüberprüfung eingehender Disketten dar. Eine laufende Aktualisierung der eingesetzten Erkennungsprogramme und eine zusätzliche Überwachung der PCs mit einem guten Signaturprogramm sind unerläßlich. Wird nicht für eine breite Akzeptanz der Maßnahmen durch die Mitarbeiter Sorge getragen, reicht die sorgfältige Planung allenfalls als schwaches Alibi des verantwortlichen Managements.

Sichere DV-Systeme können von den Herstellern nur geliefert werden, wenn geeignete Hardware-Architekturen und neue Betriebssysteme entwickelt werden. Eine Realisierung dieser Forderung ist allerdings nur mittelfristig möglich. Bis es soweit ist, kann nur eine konstruktive Zusammenarbeit zwischen Forschung, Herstellern und Anwendern einen ausreichenden Schutz bieten.

Die Ermittlung eines Täters, der ein Virus entwickelt und der Nachweis seiner Tat wird - von Ausnahmefällen abgesehen - scheitern. Die neuen deutschen Gesetze im Bereich der Wirtschaftskriminalität werden deshalb in diesen Fällen leider nicht greifen. Einige Publikationen, die Quellprogramme von Viren (ganz oder teilweise) enthalten, trugen - wie inzwischen nachgewiesen - zur Entwicklung von Varianten bekannter Viren bei. Auf internationaler Ebene werden deshalb neue Gesetze diskutiert, die derartige

Veröffentlichungen verhindern sollen.

Der Trend zu einer konstruktiven weltweiten Zusammenarbeit zwischen den auf diesen Gebiet aktiven nationalen Gruppen, die Viren erfassen und anaIysieren, setzt sich durch. Für einen schnellen Austausch von Informationen und Erfahrungen werden internationale Netzwerke genutzt (zum Beispiel usenet, EUnet, hitnet, comp.virus, news).

In Deutschland werden neue Maßnahmen zur wirksamen Unterstützung von Forschungsgruppen, Herstellern und Anwendern geplant. So sollen Viren in einer einheitlichen, detaillierten Dokumentation in der "Zentralstelle für Sicherheit in der Informationstechnik" (ZSI) archiviert werden. Dies schließt alle von den Forschungsgruppen ermittelten Informationen ein. Hersteller und Anwender können die gesammelten Informationen nutzen. Details dieser Dokumentation werden hinsichtlich Aufbau und Funktion aber nur insoweit allgemein zugänglich sein, wie sie für die Überprüfung von Viren-Fällen benötigt werden. Dadurch soll ein Mißbrauch dieser Archivs, der zu einer Eskalation führen könnte, verhindert werden.

Die hier erwähnten Aktivitäten demonstrieren zugleich eine wirksame Zusammenarbeit zwischen Hochschule und Industrie im Sinne eines Technologietransfers. Dieser wird sich vor allem im Bereich der Klassifizierung von Viren und der Entwicklung von Anti-Viren-Programmen auswirken.