Nach Hackern und Rote Armee Fraktion (RAF) nun virulente Software als weiteres Sicherheitsrisiko:

Experten vom Thema Computer-Viren infiziert

13.09.1985

MÜNCHEN - Pressionen hatten bisher DV-Sicherheitsexperten in entsprechenden Positionen zu befürchten, die das Verschluß-Thema "Computer-Viren" In die breite Fachöffentlichkeit bringen wollten. Erst ein Jahr nach der US-Publikation des Virus-Phänomens durch seinen Entdecker, Fred Cohen, wagt sich ein deutscher Autor unter voller Namensnennung - allerdings nur in Teil II seiner Artikelserie im Fachblatt KES* - mit Details, Beispielen und Vorschlägen zur "Seuchenbekämpfung" vor. Rüdiger Dierstein von der DFVLR: "Viren sind eine große Gefahr."

Als "nicht opportun" und "verantwortungslos" hatten den Sicherheitsbehörden und dem Verteidigungsministerium nahestehende Experten (ernstzunehmende) Veröffentlichungen angesehen. Angesichts der amerikanischen Schilderungen des "Phänomens" als "ubiquitär" und so folgenschwer in seinen Auswirkungen, daß es Datenverarbeitung schlechthin ad absurdum führen könnte, befürchteten die Herren in den grauen Anzügen Erpressung, zum Beispiel von Banken, und selbstredend Sabotage nicht nur im sicherheitsrelevanten Bereich. Absurd könnte EDV dann werden, wenn, wie zunächst nach Bekanntwerden der "Infektionsgefahr" vermutet wurde, innere und äußere Sicherheitsvorkehrungen Maße und damit Kosten überschreiten würden, die die Effizienz der Systeme in Frage stellen.

Wasserdicht abschotten ließ sich der Informationsfluß indes nicht mehr. Neben dem "Spiegel", der bereits im März kurz berichtete, taten sich Untergrund-Postillen, so die "Bayerische Hackerpost", keinen Verantwortungszwang an. Im Besitz des amerikanischen Textes der Erstveröffentlichung von Cohen (F. Cohen: Computer Viruses - Theory and Experiments, University of Southern California, 31. 8. 1984) glaubten die "enfants terribles" der DV-Szene, es sich und ihrem Ruf schuldig zu sein, die Sommerpause für den Aufriß eines publizistischen Knüllers zu nutzen.

Eine Woche später, am 5. Juli, erscheint die erste Folge der Artikelserie des Fachmanns aus der Deutschen Forschungs- und Versuchsanstalt für Luft- und Raumfahrt (DFVLR, Oberpfaffenhofen) in der noch jungen Sicherheitspublikation KES, die es aufgrund ihres als sensationell empfundenen Inhalts schlagartig auf einige hundert Abonnenten bringt. Als Autor zeichnete Dierstein jedoch noch nicht; schließlich zählt die Versuchsanstalt nahe Münchens auch und gerade das Bundesverteidigungsministerium zu ihren besten Kunden.

KES-Verleger Peter Hohl berichtet von ersten Resonanzen: "Manche haben sofort kapiert; andere stehen auf dem Standpunkt, das kann doch alles überhaupt nicht wahr sein." Der Blattmacher kommt sich vor "wie einer, der vor zehn Jahren vor dem Waldsterben gewarnt hat".

In der Tat, Warnungen scheinen am Platze. Nicht nur die Geheimhaltungsbemühungen der staatlichen Stellen sprechen dafür, auch der lockere Plauderton, mit dem junge Informatiker behaupten, für Experten sei es nicht schwierig, "Viren" zu implantieren. Jeder Systemzugang sei als Infektionsstelle denkbar. Ferner, das hat Franz Peter Heider von der GEI, Bonn, ausprobiert, "ist es einfach, sich selbst reproduzierende Programme zu schreiben", also Viren zu erzeugen. Der Chiffrier-Experte wundert sich darüber, daß sich Informatiker über das Virus-Phänomen wundern. Mit zwei Sätzen faßt er die ganze Aussichtslosigkeit zusammen, Virus-Programme auf eine einzige Art und Weise in den Griff zu bekommen: Jeder Informatiker müßte eigentlich wissen, daß man kein Programm zur Prüfung von Programmen universeller Art machen kann. Aber genau das muß man machen, um Viren zu entdecken."

Bekanntschaft mit den virulenten Software-Partikeln, die vom Mikrocode bis zum Betriebssystem und zur Anwendungsebene ihr Unwesen treiben können, machten die ersten deutschen Fachleute nach eigenem Bekunden jedoch mehrheitlich erst auf der National Computer Security Conference im vergangenen September in den USA. Erstmals klar wurde hier offenbar die ganz konkrete Gefahr "diesseits der theoretischen Möglichkeiten". Selbst die "Graumänner" vom Verfassungsschutz seien überrascht gewesen.

Nachdem das Thema nun auf dem Tisch ist, mußte sich auch die Gesellschaft für Mathematik und Datenverarbeitung (GMD) zu einem Statement bereit finden. Auf Anfrage der COMPUTERWOCHE, welche Gegenmaßnahmen denn die GMD der öffentlichen Verwaltung, als deren Forschungs- und Dienstleistungsunternehmen die Gesellschaft in St. Augustin vor den Toren Bonns ja auch zu betrachten ist, empfehlen würde, erhielten wir folgende Antwort: "Die GMD betrachtet diese und ähnliche Anfälligkeiten von Computersystemen seit langem und ist sich der Gefahren bewußt, die insbesondere durch die zunehmende Vernetzung akut werden können. Die GMD weist die Hersteller ihrer eigenen Rechner (Siemens und IBM) immer wieder auf erkannte Sicherheitsschwachstellen hin, denn in puncto Sicherheit sind in erster Linie die Hersteller von Rechnern und Betriebssystemen gefordert. Einzellösungen werden von Herstellern mit Entzug der Wartungsverpflichtungen geahndet; darüber hinaus sind Einzellösungen bei den jeweiligen Anwendern wirtschaftlich nicht vertretbar."

Dies bedeutet, daß vorerst nur eine Flucht in noch mehr Sicherheitsmaßnahmen organisatorischer Art möglich ist. Am Rechner oder am Betriebssystem "drehen" geht nicht. Denn in diesen Basisbereichen der heutigen Computerei hätten die Entwicklungslinien schon vor Jahren anders verlaufen müssen, erklärt ein Fachmann für Software-Engineering und Rechnerarchitektur: "Man hat sich in den geläufigen Rechnerarchitekturen auf das untere Muß geeinigt. Eine Trennung von Programmen und zu verarbeitenden Daten ist in diesen schlampigen Architekturen nicht vorgesehen." Auch vermutet der Sachverständige, der nicht genannt sein will, daß bestimmte Programmiersprachen, die Springmanipulationen ermöglichen, besonders anfällig für Viren sind, "C zum Beispiel".

*KES - Zeitschrift für Kommunikations- und EDV-Sicherbeit, Peter Hohl Verlag, 6507 Ingelheim.