"First" nimmt Karlsruher Mikro-Bit-Virus-Zentrum als Mitglied auf

Internationale Notfallzentren helfen gegen Hacker und Viren

11.12.1992

Diplomwirtschaftsingenieur Eduard Rüsing ist freier DV-Fachjournalist in Karlsruhe.

Computer-Notfallzentren haben sich zur Kooperation gegen die Ausbreitung von Viren und die Hackerkriminalität in einem internationalen Verband zusammengeschlossen. Einziges Univeritätsteam unter den Mitgliedern ist das Mikro-Bit-Virus-Zentrum der Universität Karlsruhe. Eduard Rüsing beschreibt die Arbeit des Instituts und leitet daraus praktische Empfehlungen ab.

Um der im Zuge internationaler und lokaler Vernetzung ständig steigenden Gefahr der Virenverseuchung wirksam entgegentreten zu können, wurde 1990 das Forum of Incident Response and Security Teams (First) ins Leben gerufen, ein internationaler Zusammenschluß von Computer Emergency Response Teams (Certs), das sind Notfallzentren für Computersicherheit.

In Deutschland gibt es zwei solche Einrichtungen: das Virus-Test-Centrum (VTC) in Hamburg und das Mikro-Bit-Virus-Zentrum an der Universität Karlsruhe. Die Karlsruher Spezialisten sind nun seit Anfang des Jahres als einziges europäisches Universitätsteam offizielles Vollmitglied bei First.

Sinn und Zweck der First-Verbindung ist laut Christoph Fischer, Leiter der neuen Karlsruher Einrichtung, der Aufbau einer engen Kooperation der beteiligten Notfallzentren auf internationaler Ebene. Die vierteljährlichen Treffen, zu denen die völlig autark arbeitenden Mitglieder jeweils einen Mitarbeiter entsenden, dienen der Organisation der Zusammenarbeit. Fischer: "Im Sicherheitsbereich ist der persönliche Kontakt eminent wichtig. Ohne persönliches Vertrauen läuft nicht viel, denn die ausgetauschten Details sind zum Teil sehr intim." Die groben Sicherheitsfehler werden im allgemeinen nicht an die große Glocke gehängt. Die ersten, die eine solche Offenheit ausnutzen würden, wären die Hacker. Deshalb ist jeder Experte im Sicherheitsbereich vorsichtig, wem er welche Informationen weitergibt.

Im Rahmen von First arbeiten die Notfallzentren auf verschiedenen Gebieten zusammen: gegen Viren- und Hackerprobleme, Datendiebstahl, Phone Freaking, das Eindringen in Telefonsysteme, den Betrug im elektronischen Zahlungsverkehr etc. Jedes Notfallzentrum hat ganz spezielle Schwerpunkte entsprechend seinen täglichen Aufgaben zum Beispiel bei der Nasa, der US-Air Force, dem Departement of Defence sowie bei DEC und bei Netzanbietern wie Internet und Milnet etc. Wenn nun ein Cert einen Notfall selbst nicht in den Griff bekommt, wird Kontakt mit einem anderen spezialisierten Team aufgenommen und das Problem gemeinsam gelöst. Das First fungiert sozusagen als Backup der Notfallzentren, ist also nicht für Erstkontakte gedacht.

Eines der wichtigere Projekte darüber hinaus ist die Erarbeitung eines Notfallmelde-Systems, das auf einheitlicher Definitionsgrundlage ein zentral auswertbares Melderegister der Störfälle enthalten soll und laut Christoph Fischer auch für die europäische Ebene erwogen wird. Bisher existiert eine Liste der Datenfehler, die in den verschiedenen Betriebssystemen aufgetreten sind.

In einer Nacht 13 Anrufe auf dem Band

Eine derartige Notfall-Datenbank hat nicht nur dann einen Sinn, wenn ein akutes Problem zu lösen ist, sondern hilft auch bei der Einschätzung der Sicherheitsmängel in den Unternehmen. Daß die Gefährdung von DV-Anlagen durch Viren oder Hacker sehr real ist, zeigt die gute Auslastung des Mikro-Bit-Virus-Zentrums. In einer einzigen Nacht waren dort dreizehn Anrufe auf Band registriert worden, die teilweise auch aus dem europäischen Ausland kamen. Die Anfragen werden kostenlos behandelt.

Das Zentrum ist 1989 nach dem Vorfall mit der sogenannten AIDS-Diskette gegründet worden. Bei diesem Vorfall waren von London aus einige zehntausend Disketten verschickt worden, bei deren Installierung ein Virus ins System geriet, der nach 90 Systemstarts begann, File-Namen zu illegalen Namen zu verändern, so daß Daten und Programme nicht mehr aufgefunden werden konnten. Auf dem Drucker erschien dann ein Rechnungsformular nach Panama mit einem bestimmten Betrag. Der Virus wurde Freitag morgens entdeckt, und bis zum Montagmorgen war das Gegenmittel entwickelt. Über die Presseagenturen konnte dazu aufgerufen werden, die falsche Rechnung auf keinen Fall zu bezahlen. "Das war das Wichtigste", so Christoph Fischer, "um potentielle Nachahmer abzuschrecken." So ist nach Meinung des Zentrumsleiters der ganze Coup sicher zu einem Verlustgeschäft geworden, schon allein aufgrund der Versandkosten der zirka 30 000 Disketten.

Bewährt hat sich das Karlsruher Institut auch im Frühjahr dieses Jahres beim angekündigten Michelangelo-Virus. Das Zentrum mußte für einige Tage rund um die Uhr besetzt sein, um die Flut der Anfragen bewältigen zu können, und das, obwohl das Ausmaß der Schäden weit hinter den Prognosen zurückgeblieben war.

Analyse geht der Prävention voraus

Was kann der Anwender gegen solche Virenangriffe oder allgemein gegen Computersabotage unternehmen? Primär wird ihm eine unternehmensspezifische Sicherheitsanalyse empfohlen. Es hätte wenig Sinn, eine allgemeingültige Rundumlösung zu präsentieren. Das Mikro-Bit-Virus-Zentrum will daher mit EG-Mitteln eine Präventions- und Notfallberatung aufbauen.

Sicherheitsanalysen sollten nämlich am besten externe Fachleute vornehmen, da sich die internen DV-Spezialisten hier aufgrund der zunehmenden Komplexität und Arbeitsbelastung nicht auch noch gut einarbeiten können. Generell sind Schwachstellen gar nicht so leicht zu entdecken. Sie offenbaren sich manchmal erst bei einem erfolgreichen Hacker-Angriff. Nach jedem neuen Release eines Betriebssystems stehen beispielsweise die Telefone nicht still. Christoph Fischer hält es auch heute aufgrund des Konkurrenzdruckes nicht mehr für möglich, ein vor Hackern absolut sicheres Produkt auf den Markt zu bringen. Deshalb sei bei neuen Softwareprodukten eine schnellstmögliche und professionelle Nachbesserung sicherzustellen.

Wichtig ist nach Meinung des Karlsruher Leiters aber vor allem eine Veränderung im Bewußtsein der Anwender. Für den Privatanwender reicht nach Fischer als Prophylaxe ein gutes Antivirus-Produkt.

Kommerzielle Anwender sollten Scanner aus Kostengründen nicht am einzelnen Arbeitsplatz einsetzen, sondern zentral in den internen Benutzerbetreuung-Abteilungen oder in der bei einzelnen Unternehmen bereits eingerichteten Notfallabteilung. Dann reichen einige wenige Scanner aus. Der einzelne Anwender bekommt einen Integritätstester, ein Prüfsummenprodukt, das Veränderungen an Programmen oder im Systembereich anzeigt, aber nicht feststellen kann, welcher Art die Veränderungen sind. Die zentrale Abteilung kann dann untersuchen, ob ein Virus vorliegt. Sie testet auch neue Software vor dem ersten Einsatz auf möglichen Virenbefall.

Sabotagesoftware und insbesondere Computerviren stehen offensichtlich erst am Anfang ihrer Entwicklung. Während bisher solche Programme vorwiegend an Schulen, in Forschungseinrichtungen oder vor allem in den Wohnzimmern der Hobby-Informatiker entstanden, sind mittlerweile auch erste Fälle von Entwicklungen bekanntgeworden, die aus kommerziellem oder kriminellem Antrieb heraus erarbeitet wurden, beispielsweise mit östlichen Nachrichtendiensten oder dem organisiertem Verbrechen als Auftraggeber. In zunehmendem Maße dürften davon auch Großunternehmen bedroht sein. Gefordert sind Experten, die individuelle Schutzkonzepte erarbeiten und die Risiken kalkulierbar machen. Zu hoffen bleibt, daß diese Erkenntnis sich ihren Weg bis in die Manager-Etagen bahnen kann.

Anforderungen an Antivirus-Software

Scanner sollten so auf dem Stand der Entwicklungen sein, daß sie möglichst alle registrierten Viren erkennen. Bekannte Tarnkappen-Viren müssen sie auch dann aufspüren können, wenn sie im Speicher aktiv sind.

Prüfsummenprogramme müssen schnell arbeiten und neben der Prüfsummenänderung weitere Hinweise auf virale Vorgänge liefern.

Antivirus-Hilfsmittel sollten grundsätzlich Eigenprüfungen durchführen und melden, wenn sie selbst infiziert wurden. Unbedingt erforderlich ist auch eine entsprechende Dokumentation, die zu den einzelnen Viren über den zu erwartenden maximalen Schaden, Sofortmaßnahmen und längerfristig einzusetzende Abwehrvorkehrungen informiert.

Virenprävention und -bekämpfung

Präventive Maßnahmen gegen Computerviren:

- Sicherungskopien der Originalsoftware anlegen;

- Zugriffsschutz herstellen;

- konsequentes Backup von Daten gewährleisten;

- Diskless-Workstations in Netzwerken installieren.

Schritte zur Detektion eines Virus:

- Größe und Anlagedatum der möglicherweise befallenen Dateien kontrollieren;

- Programmdateien byteweise vergleichen;

- Prüfsummen generieren;

- FAT und Inhaltsverzeichnis vergleichen;

- speicherresidente Programme untersuchen;

- Schreibaktivitäten auf Datenträger kontrollieren;

- Bad-Sector-Logging;

- nach Symptomen bekannter Viren suchen.

Aktivitäten zur Beseitigung von Viren:

- Backup starten;

- Virencodes entfernen;

- Antivirus-Programme ablaufen lassen;

- infizierte Programme überschreiben.

Vorbeugungen gegen Reinfektion:

- Alle Maßnahmen zur Virendetektion ergreifen;

- Disk-Washing einleiten;

- Betriebssystem modifizieren.