Im Internet frei verfügbare Pakete der Art "Virenprogrammierung für Dummies" machen´s Skript-Kiddies und anderen Computerlaien möglich: die Inkarnation eines "Anna-Kournikova"- oder "I-love-you"-Virus innerhalb kürzester Zeit. Die Folgen sind bekannt: verseuchte Rechner, gelöschte Dateien, zusammengebrochene Mail-Server und ein verstopftes Internet. In extremen Fällen wird nicht nur der Inhalt der gesamten Festplatte gelöscht, sondern das Bios gleich noch dazu. Exitus.

Betroffen sind fast immer nur Windows-Rechner, unabhängig von der aktuellen Version: Windows 95, 98, ME, NT oder 2000. Apple-Rechner und insbesondere Unix-Systeme bleiben ausgespart. Linux und Co. scheinen gegen Computerviren immun zu sein. Doch das ist leider ein Trugschluss.

Das Computervirus, als ein sich selbst replizierendes Programm, nistet sich in vorhandene Software ein und wird jedesmal dann aktiv, wenn der infizierte Code gestartet wird. Würmer im Vergleich dazu benötigen kein Wirtsprogramm. Es handelt sich um selbständige, unabhängige, aber ebenfalls sich replizierende Codestücke.

Nicht per se ein immunes SystemTechnisch betrachtet gibt es also keinen Grund, warum es Würmer und Viren nicht auch unter Linux geben sollte. Doch tun sich die Einzeller unter einem mit Schutzmechanismen ausgestatteten Betriebssystem generell schwerer. Die Gefahr einer Infektion oder eines größeren Schadens ist beim quelloffenen Betriebssystem durchaus existent, doch bei entsprechender Systempflege lässt sich vorbeugen. Die Wahrscheinlichkeit, dass es einen trifft, ist dann weitaus geringer.

Schätzungen zufolge gibt es inzwischen knapp 50 Linux-Würmer und -Viren. Erst Ende März wurde mit "W32.Winux" ein neuartiger Virus-Typ gemeldet, der ausführbare Programme sowohl unter Windows- als auch Linux-Rechnern infizieren kann. Allerdings hat die Software anscheinend die Labore nie verlassen, zu einer wirklichen Bedrohung kam es nicht.

Bereits gesichtet wurden hingegen "Ramen" und "Lion". Der Wurm Ramen wurde Ende Januar aktiv, Nachfolger Lion Mitte März. Indem sie eine Sicherheitslücke im DomainName-Server "Bind" ausnutzten, vermochten die beiden Würmer Linux-Rechner der Versionen Red Hat 5.2 oder 6.3 zu infizieren. Waren jedoch die vorhandenen Patches eingespielt worden, blieben die Würmer ebenso machtlos wie gegenüber den in Deutschland gängigen Suse-Rechnern.

Die Ausbreitung eines Linux-Virus bleibt zumeist eingeschränkt: Findet das Virus nicht genug Rechner, die es infizieren kann, ist seine Sterberate höher als die Infektionsrate. Es stirbt aus. Einen vergleichbaren Schaden wie das I-love-you-Virus konnte Ramen nicht im entferntesten anrichten.

Unix-Rechner haben historisch bedingt ein besser ausgebildetes Abwehrsystem. Als Multi-User-System konzipiert, spielen Sicherheitsbelange von jeher eine große Rolle. Daten, Ressourcen und Programme mussten vor Zugriff durch die verschiedenen Nutzer des Systems geschützt werden. Die Aufteilung zwischen normalen Usern und dem Superuser schützt vor der unbedarften Manipulation systemkritischer Teile. Ein durch den Anwender eingeschlepptes Virus bleibt daher in seinen Möglichkeiten eingeschränkt.

Ganz anders unter Windows: Hier steht die Benutzerfreundlichkeit an erster Stelle, und das oft zu Lasten der Sicherheit. Das automatische Öffnen der Attachments ist zwar bequem, aber alles andere als sicher. Die unter Windows NT gängige Praxis, dass ein normaler Benutzer gleichzeitig auch Administratorrechte besitzt, ist verständlich, unterwandert aber vorhandene Sicherheitsmechanismen. Hinzu kommt die System-Monokultur unter Windows.

Wie in der Natur müssen sich auch Computerviren auf das Wirtssystem spezialisieren. Je vielfältiger dieses jedoch ist, desto schwieriger ist ein solches Unterfangen. Sicherheitstechnisch gesehen ist die oft kritisierte Variantenvielfalt der Unix-Betriebssysteme im Allgemeinen und von Linux im Besonderen durchaus ein Vorteil: Linux ist nicht nur facettenreich, was die Distributionen wie Debian, Suse, Red Hat oder Caldera betrifft, sondern auch bezüglich der Hardware. Der Virenprogrammcode läuft einfach nicht auf jeder CPU.

Doch trotz der hohen Immunität haben beinahe alle Hersteller von Anti-Viren-Software auch eine Linux-Version ihrer Programme im Portfolio. Damit ist es möglich, Dateien auf Virenbefall zu überprüfen. Das ist auch notwendig. Schließlich werden auch Linux-Rechner durch Windows-Viren bedroht, zumindest dann, wenn ein infizierter Windows-Client Dateien auf dem Linux-Server löscht. Verständlich ist daher, dass die Hersteller dieser Software weniger auf den Privatkunden abzielen, sondern auf den Enterprise-Bereich, bei dem Linux als File-Server zum Einsatz kommt. Als präventive Maßnahme überprüft der Server die auf ihm abgelegten Dateien auf Virenbefall.

Die freien Betriebssysteme können aber noch mehr zum Schutz der ihnen anvertrauten Windows-Clients tun: Während Viren früher hauptsächlich durch Disketten übertragen wurden, stellt heute der elektronische Mail-Verkehr die größte Gefahr dar. Ankommende und abgehende Mails auf Viren zu überprüfen ist damit eine der Kernkomponenten des präventiven Schutzes. Zwar könnte dafür jeder Client selber sorgen - die Virensoftware beinahe aller Hersteller bietet derartige Funktionalitäten an - doch zeigt die Erfahrung, dass einzelne Mitarbeiter es nicht so genau mit der notwendigen Pflege der Virensoftware nehmen. Die Folge ist, dass die neuesten Plagegeister nicht erkannt werden können.

Die Open-Source-Programmierer nehmen sich dieser Problematik bereits seit geraumer Zeit an. Mit Amavis (siehe Kasten) steht beispielsweise ein Paket zur Verfügung, das vorhandene Virenscanner nutzt, den Mail-Verkehr zu überwachen. Vorteil dieser Lösung: Es muss nicht ein bestimmter Virenscanner eingesetzt werden, sondern es können mehrere Scanner unterschiedlicher Hersteller gleichzeitig eingebunden werden.

Rainer Link, Maintainer von Amavis und Begründer des Projekts "Open Anti Virus" sieht allerdings Bedarf nach weiterer Open-Source-Software zur Virenbekämpfung: "Es fehlen noch Werkzeuge zur Überwachung des Web-Traffics und es fehlt ein eigener Open-Source-Virenscanner." Erste Ansätze dazu gebe es mit dem Projekt "Signature-DB" von Paul Daniels, aber mit einsetzbarer Software sei kurz- und mittelfristig nicht zu rechnen.

Zum Schutz vor Viren benötigt man ohnehin mehr als Open-Source-Software: Die regelmäßige Systempflege, die Signierung von E-Mails und schließlich der geschulte Umgang mit Dateien, Rechner und dem Internet sind Voraussetzungen.

*Jürgen Quade ist Professor an der Fachhochschule Niederrhein in Kempen.

Der Amavis-ScannerAls Server- und Firewall-Systeme fällt Unix-Rechnern eine besondere Aufgabe bei der Virenbekämpfung zu. Eine der wichtigsten Schutzmaßnahmen ist die Überprüfung ankommender und abgehender Mail auf Viren. Ein Beitrag der Open-Source-Gemeinde ist das durch Suse geförderte Projekt Amavis ("A Mail Virus Scanner"). Amavis setzt zur Überprüfung der Mails auf existierende kommerzielle Virenscanner. Ist ein Virus erkannt, wird die Auslieferung gestoppt und die Mail geparkt. Statt der virenverseuchten Mail bekommen Absender, Empfänger und Systemadministrator einen Hinweis auf die infizierte Mail. Da die Erkennungsrate der diversen Virenscanner unterschiedlich ist, stellt die Möglichkeit, gleich mehrere Virenscanner einbinden zu können, gegenüber kommerziellen Lösungen eine die Sicherheit fördernde Eigenschaft dar.

Die gegenwärtig aktuelle Version 0.2.1 ist trotz ihrer niedrigen Versionsnummer bereits für den geschäftskritischen Einsatz geeignet. Sie funktioniert in Kombination mit den wichtigsten Mail-Servern wie Sendmail, Q-Mail oder Exim. Amavis kommt mit allen in den Attachements der Mails vorkommenden gängigen Archivierungs- und Kompressionsverfahren zurecht.

Eine auf Perl basierende Variante ist gerade in der Testphase (amavis-perl-11). Diese Version zeichnet sich durch erheblich höhere Performance und einen deutlich reduzierten Ressourcenhunger aus. Das ist gerade bei Sites mit erheblichem Mail-Traffic ein nicht zu unterschätzender Vorteil. Eine weitere Performance-Steigerung erwarten die Entwickler von Amavis der dritten Generation: Amavisd. Hierbei ist der Mail-Virus-Scanner als Daemon bereits aktiv, so dass die ansonsten mit jeder Mail anfallende lange Lade- und Startzeit entfällt.

LinksOpen-Source-Software zur Virenbekämpfung

I. E-Mail-Virenscanner

- in Kombination mit diversen Mail-Servern

Amavis:

www.amavis.org

(sendmail, qmail, postfix, exim)

- für Sendmail

J-Filter:

http://prometheus.zeordivide.net/jfilter

Mail-Scan:

www.andykruger.com/mailscan

Mime-Defang:

www.roaringpenguin.com/mimedefang

Inflex:

http://pldaniels.com/inflex

E-Mail-Scan:

http://emailscan.sourceforge.net

- für Q-Mail

Q-Mail-Scanner:

http://qmail-scanner.sourceforge.net

- für Exim

Exiscan:

http://duncanthrax.net/exiscan

II. Open-Anti-Virus-Projekt

www.openantivirus.org

III. Viren-/Datei-Signaturen

www.pldaniels.com/signaturedb

IV. Virenscanner

System Administration, Networking and Security Institute (SANS):

www.sans.org