CW: Worin unterscheiden sich heute kursierende Viren von früheren?
DIRRO: Inzwischen werden Viren gezielt geschaffen, um Schwachstellen von Programmen und Betriebssystemen auszunutzen. Sie greifen auf Funktionen von Anwendungen zu, steuern beispielsweise E-Mail-Clients, um sich selbst zu verschicken. Diese Entwicklung begann erst vor etwa einem Jahr. Den Stein ins Rollen brachten übrigens zwei Linux-Würmer, "Linux.Ramen" und "Linux.Lion", die sich zwar ziemlich weit verbreiteten, aber niemandem besonders auffielen. Dann gab es da noch den "Boxpoison"- oder "Sadmind"- Wurm, der Solaris-Maschinen angriff. "Code Red" und "Nimda" funktionierten genauso: Sie verbreiteten sich sehr schnell und griffen Systeme an, deren Schwachstellen nicht gepatcht waren.
CHIEN: Außerdem benötigten die bisherigen Viren, auch die Massen-Mailer wie "I love you", immer die Interaktion des Users, der beispielsweise ein Attachment anklicken musste. Nur so konnten sie ihr Potenzial entfalten. Das ist inzwischen anders geworden. Heute muss ein Computer bloß eingeschaltet und mit dem Internet verbunden sein, und schon kann er infiziert werden.
GENES: Außerdem sind Viren inzwischen genauer darauf zugeschnitten, Unternehmen anzugreifen, zum Beispiel durch das Ausnutzen von Schwachstellen im Internet Information Server (IIS).
CHIEN: Viren zielen aber immer auf Endanwender und Unternehmen gleichzeitig. Code Red beispielsweise traf ursprünglich Firmen, die große und leistungsfähige Rechner besitzen. Sind die erst infiziert, können sie in sehr kurzer Zeit sehr viele Kopien des Virus verteilen. Unternehmen reagieren jedoch in der Regel auch schnell auf solche Vorkommnisse und spielen entsprechende Patches auf. Die Würmer aber verbreiten sich immer noch, weil es vereinzelt schon Privatleute mit Breitbandanschluss gibt, die einen IIS installiert haben, es aber vielleicht nicht einmal wissen. Die kennen auch die ganzen administrativen Finessen nicht, und ihre Rechner bleiben infiziert und verbreiten den Virus weiter. Wenn dann ein Unternehmen einen neuen Server aufsetzt und vergisst, den entsprechenden Patch aufzuspielen, geht das Spiel wieder von vorn los.
CW: Das hört sich an, als seien die Anwender schuld daran, wenn Viren so lange in der freien Wildbahn kursieren. Was ist mit Anbietern wie Microsoft, von denen die lückenhafte Software stammt?
GENES: Man kann von privaten Anwendern nicht erwarten, dass sie die ganzen Sicherheitsforen verfolgen, sich Patches herunterladen und installieren. Das ist viel zu kompliziert.
CHIEN: Natürlich ist es leicht, Anbietern wie Microsoft oder Service-Providern die Schuld zuzuschieben, wenn Viren sich verbreiten, indem sie bestimmte Sicherheitslöcher ausnutzen. Wir dürfen aber nicht vergessen, dass letztlich der Autor des Virus der wahre Übeltäter ist. Und was die Sicherheit von Betriebssystemen betrifft, bin ich der Meinung, dass es immer auf einen Kompromiss zwischen Funktionalität und Bedienbarkeit einerseits sowie der Sicherheit andererseits hinausläuft. Mehr Funktionen bedeuten auch größere Risiken. Wirklich sichere Systeme sind nicht besonders benutzerfreundlich.
CW: Könnte man nicht verlangen, dass die Betriebssysteme sicherer sind und von Haus aus vielleicht schon ein Virenerkennungssystem enthalten?
GENES: Dazu ist Microsoft nicht in der Lage. Sie haben ja schon mal versucht, Lösungen von Central Point zu integrieren, und sind damit baden gegangen.
CHIEN: Ich glaube, Microsoft erkennt allmählich, dass Unternehmen bereit sind, auf einige Funktionen zu verzichten, wenn sie dafür mehr Sicherheit bekommen. Uns erzählen Firmen, dass sie beispielsweise ohne Word-Makros auskommen, weil ihnen die Sicherheit wichtiger ist. Vor einiger Zeit wäre das noch undenkbar gewesen: Jeder wollte Makros einsetzen, um damit zum Beispiel einen Workflow einzuführen. Seit die Probleme damit immer gravierender wurden, deaktivieren viele Unternehmen Makros von vornherein. Der Nutzen war im Vergleich zu dem dadurch entstehenden Sicherheitsrisiko nicht groß genug.
WITTEVEEN: Aber das kann doch nicht die Lösung sein. Es gibt immer noch so viele Unternehmen, die im Hinblick auf Sicherheit so gut wie gar nichts tun, keine Antiviren-Tools oder ähnliche Lösungen einsetzen. Es passiert sehr häufig, dass Kunden zu uns kommen, die vorher noch gar keinen Virenscanner hatten. Das ist natürlich ein dramatisches Versäumnis seitens der Unternehmen, wenn sie nicht einmal solche grundlegenden Abwehrmaßnahmen ergreifen.
DIRRO: Wir beobachten bei vielen kleinen und mittelständischen Unternehmen, die jetzt erst ins Internet gehen, dass sie gar nicht das Personal mit dem notwendigen Know-how im Bereich Security haben. Die machen jetzt all die Erfahrungen, die die großen Unternehmen bereits hinter sich haben: Sie werden zu Opfern von Virenattacken, weil sie sich nicht ausreichend schützen.
Ich bin der Meinung, dass wir in den nächsten Jahren eine große Veränderung im Markt für Antivirenprodukte sehen werden. Angesichts von immer intelligenteren Würmern wird es darum gehen, den Zugang zu bestimmten Maschinen stärker zu kontrollieren. Es könnte darauf hinauslaufen, dass Virenscanner und Personal Firewalls, die auf den einzelnen Rechnern installiert sind, verschmelzen oder zumindest sehr eng miteinander verzahnt werden.
CHIEN: Virenscanner reichen heute nicht mehr aus. Sicherheitslösungen können sich nicht mehr nur auf diesen Teilbereich konzentrieren, sondern müssen sich auch um andere Aspekte kümmern. Personal Firewall, Virenabwehr und Intrusion-Detection-Systeme (IDS) fließen über kurz oder lang zusammen.
DIRRO: Antiviren-Tools sind bereits auf fast jedem Desktop zu finden, man müsste sie also bloß noch um eine IDS-Komponente ergänzen.
CW: Aber was hilft das in Bezug auf die Virenerkennung? Wenn heute ein neuer Schädling auftaucht, können die Hersteller immer nur reagieren. Gibt es keine Möglichkeit, intelligente Mechanismen zu entwickeln, um unbekannte Viren sofort zu stoppen?
CHIEN: Hersteller wie Norman arbeiten daran, indem sie versuchen, eine komplette Windows-Umgebung zu emulieren. Verdächtige Dateien werden in eine solche virtuelle Umgebung gepackt und beobachtet, was passiert. Ändert sich an einer Datei etwas, wird diese entnommen und wiederum in eine virtuelle Umgebung gesteckt. Kommt es erneut zu einer Veränderung, handelt es sich um eine Replikation. Das bedeutet per Definition, dass wir es mit einem Virus zu tun haben. Wir wenden solche Tests bei Makroviren an.
WITTEVEEN: Das könnte auch eine Abhilfe gegen die vielen falschen Alarme sein, mit denen wir uns derzeit herumschlagen. Allerdings setzt das voraus, dass die Emulation auch fehlerfrei funktioniert. Das ist leider noch nicht der Fall.
DIRRO: Außerdem ist es nicht möglich, bei diesem Verfahren alle denkbaren Umgebungen zu simulieren. So lässt sich beispielsweise nicht testen, wie sich eine Datei in ein oder zwei Jahren verhalten wird. Der Virus könnte ja einen Zeitmechanismus beinhalten. Eine hundertprozentige Sicherheit lässt sich also auch damit nicht erreichen.
CHIEN: Es gibt einen anderen Ansatz, der da-rin besteht, mittels Softwareagenten Profile zu erstellen, in denen festgehalten wird, wie sich bestimmte Dateien verhalten. Alle dabei erkennbaren Muster werden aufgezeichnet. Wenn ein bestimmtes File nun beispielsweise von einem Virus infiziert wurde, macht es plötzlich etwas, was es noch nie vorher getan hat. Das Muster stimmt also nicht mehr mit dem bekannten Schema überein, und ein Alarm wird ausgelöst. An solchen Techniken wird gearbeitet. Aber es gibt auch Probleme damit: Stellen Sie sich vor, Microsoft bringt ein Service-Pack heraus - plötzlich haben sich Programmbibliotheken und Funktionen verändert, dann müssen alle Anwendungen neu profiliert werden.
CW: Dazu bedarf es aber einer engen Kooperation zwischen den Anbietern von Antiviren-Tools und Herstellern wie Microsoft oder Lotus Development.
GENES: Das ist ein schwieriges Thema. Als Microsoft beispielsweise Exchange einführte, gab es keine Möglichkeit, Viren zu scannen. Wir haben dann einen Weg gefunden, um das über die Standard-MAPI zu tun, aber es war keine hundertprozentige Lösung. Bei den Viren "Melisssa" und "I love you" führte es sogar zu einer Überlastung der Server. Danach setzten sich die Hersteller von Antiviren-Tools mit Microsoft zusammen und machten klar, dass eine spezielle Programmier-Schnittstelle geschaffen werden muss. Microsoft hat dann eine API entwickelt, die jedoch nur Zugriff auf angehängte Dateien bietet und nichts über Absender oder Empfänger einer Mail aussagt. Auch an die Mails selbst, die ja Visual-Basic-Scripts enthalten können, ließen sie uns nicht ran. Sie waren eben der Meinung, dass Viren bloß in Attachments auftreten.
WITTEVEEN: Außerdem gibt es da insofern ein Problem, als Anbieter wie Microsoft oder Lotus ja miteinander konkurrieren, genau so wie wir untereinander auch versuchen, eine bessere Technologie als die Mitbewerber zu haben. Das ist nicht nur im Bereich der Messaging-Lösungen so. Uns beschäftigt zurzeit der PDA-Bereich sehr, da sieht es nicht viel besser aus, viele APIs sind nicht oder nur schlecht dokumentiert. Und die Anbieter reden nicht darüber, weil sie viel zu beschäftigt sind, ihrer Software neue Funktionen hinzuzufügen. Wir haben also ein Kommunikationsproblem, das es immer geben wird. Ich glaube nicht, dass sich daran jemals etwas ändert. Das ist auch der Grund, weswegen es immer eine Trennung zwischen Anbietern von Betriebssystemen und den Herstellern von Antiviren-Tools geben wird.
CW: Werden die Anwender angesichts immer intelligenterer Viren nicht nach mehr Sicherheit verlangen? Müssen die verschiedenen Hersteller nicht zwangsläufig enger zusammenarbeiten?
DIRRO: Wir würden uns das wünschen. Aber es scheitert daran, dass sich Sicherheit nicht verkauft, sondern nur neue Features. Erst nachdem etwas passiert ist, achten die Leute auf Sicherheitsfunktionen. Als Microsoft den Windows Scripting Host herausbrachte, sahen das auch alle als eine coole neue Funktion. Es mussten erst Störungen auftreten, damit sich das änderte. Solange das so bleibt, werden wir immer ein Problem haben.
GENES: Hinzu kommt, dass bei neuen Produkten niemand nach den Sicherheitsrisiken fragt, die dadurch entstehen können. Ein gutes Beispiel hierfür ist der PDA-Bereich: Auch hier gibt es Schwachstellen, bloß hat man die lange nicht sehen wollen.
CHIEN: Ich glaube, der durchschnittliche Computerbenutzer macht sich um Sicherheit nicht allzu viele Gedanken. Er ist der Ansicht, dass man keine Antivirensoftware braucht, wenn man das Problem notfalls auch damit wieder beheben kann, dass man das System neu installiert. Das ist aber ein gefährlicher Trugschluss: Unsere Rechner sind keine isolierten Maschinen mehr, Sicherheitsrisiken betreffen daher nicht nur uns, sondern auch andere. Ihnen mag es egal sein, wenn ein paar Dateien auf Ihrem Rechner gelöscht werden, aber Ihre Bekannten werden sich bestimmt nicht freuen, wenn Sie ihnen Hunderte Loveletter-Mails schicken.
CW: Also liegt das Problem doch beim Anwender, der nicht aufpasst, Warnungen in den Wind schlägt und wahllos Attachments anklickt?
DIRRO: Und außerdem denkt er sich: Wer könnte ein Interesse haben, ausgerechnet meinen PC anzugreifen? Diese Haltung finden wir sogar bei kleinen und mittleren Unternehmen immer wieder. Die Antwort ist ganz einfach: Weil ein Hacker sich einen Spaß daraus macht oder den Rechner als Relais benutzt, um seine Spur im Internet zu verwischen. Das passiert immer häufiger.
CW: Was kann man dagegen tun?
CHIEN: Wir müssen die Anwender erziehen, und das ist eine der schwersten Aufgaben.
CW: Wir reden bislang immer nur über Bedrohungen für PCs. Wie schätzen Sie denn die Gefahr für TK-Anlagen, Router oder Switches ein - dabei handelt es sich im Grunde doch auch um Softwarelösungen?
DIRRO: Die Gefahr existiert. Wenn es Schwachstellen gibt, kann man die ausnutzen, um eigenen Code aufzuspielen und auszuführen. Es ist nicht sehr wahrscheinlich, dass etwa ein Router, der mit Ciscos Internet Operating System (IOS) läuft, infiziert wird, aber unmöglich ist es nicht.
WITTEVEEN: Siemens hat unlängst begonnen, seine Hicom-Anlagen mit Virenschutz auszuliefern.
CHIEN: Ich glaube, die Hauptgefahr bei Routern liegt eher darin, dass Hacker beziehungsweise Viren sie als Sprungbrett benutzen könnten. Denial-of-Service-(DoS-)Attacken könnten meiner Meinung nach durch Leute verursacht werden, die einen Router zum Absturz bringen. Das Computer Emergency Response Team (Cert) hat zudem vor dem zunehmenden Hacken von Routern gewarnt. Die Angriffe auf solche Systeme sind aber deswegen relativ selten, weil die meisten Hacker eben nicht damit umgehen. Sie konzentrieren sich auf Windows und Outlook, weil sie an diese Software leichter herankommen.
GENES: Das ändert sich aber: Immer mehr Telefonanlagen basieren auf NT und sind an ein Rechnernetz angeschlossen, um Telefonieren via Internet Protocol (IP) zu ermöglichen. Mit der wachsenden Popularität von VoIP wird das noch dramatischer werden.
CW: Gibt es einen Königsweg für Unternehmen, die ihr Netz absichern wollen?
DIRRO: Ganz leicht: die Verbindung zum Internet trennen!
WITTEVEEN: Eine Sicherheitsstrategie sollte immer mehrere Elemente umfassen: Firewall, Virenschutz für Gateways, Personal Firewalls, Intrusion Detection, Virenscanner auf den Clients gehören dazu. Das haben nicht alle Firmen, aber doch meistens einen oder mehrere dieser Bestandteile. Man kann dann weitergehen: Verschlüsselung aller Daten im lokalen Netz oder Verschlüsselung lediglich bei Fernzugriffen und so weiter. Doch das hat seinen Preis und muss auch administriert werden. Daher läuft es meistens auf einen Kompromiss hinaus: Wie viel Sicherheit brauche ich, und was ist sie mir wert?
GENES: Wir empfehlen unseren Kunden, ihre IT zu untersuchen und überall die Frage zu stellen: Brauche ich das? Ist es zum Beispiel wirklich notwendig, dass uns jemand ausführbare Dateien ins Unternehmen schickt? Wenn nicht, sollte man sie konsequent abblocken.
CHIEN: Diesen Ansatz finde ich auch gut. Mit Regeln, festen Abläufen und der Erziehung der Anwender lässt sich viel erreichen. Wir sagen unseren Kunden: Lasst euch nichts vormachen, keine Lösung kann euch wirklich beschützen. Ihr braucht gute Policies und klar definierte Abläufe. Dazu könnte gehören, alle Visual-Basic-Script-Attachments rigoros zu blocken. Oder dass man den Angestellten Strafen androht, wenn sie durch unachtsames Anklicken von Attachments Schaden anrichten. Regeln und Abläufe stellen für mich die Basis eines wirksamen Schutzes dar, den man durch Intrusion Detection, Virenscanner und Firewalls ergänzen kann. (ave/fn)
Die TeilnehmerEric Chien, Leiter des Symantec Antivirus Research Center (Sarc);
Toralv Dirro, Virenexperte von Network Associates aus dem Antivirus Emergency Response Team (Avert) von McAfee;
Raimund Genes, European Vice President Sales and Marketing und Geschäftsführer von Trend Micro Deutschland;
Travis Witteveen, General Manager F-Secure GmbH.
VirenglossarIntrusion-Detection-Systeme(IDS): Software, die Aktivitäten in Computernetzen überwacht, analysiert und auf bestimmte Muster hin untersucht. Es gibt Netz- und Host-basierende Lösungen. Erstere kontrollieren vor allem den Inhalt einzelner Pakete im Netz, überprüfen Sender und Empfänger und die Integrität der Übertragung. Host-gestützte Produkte werten die Log-Dateien von Servern aus und überwachen unter anderem, welche Vorgänge bestimmte Rechner ausführen und von wem sie gestartet worden sind. ID-Systeme können auch gewisse Gegenmaßnahmen einleiten, wenn verdächtige Vorkommnisse beobachtet werden.
Makroviren: Spezielle Virenform, die Makro-Programmierfunktionen von Produkten wie "Word" ausnutzt, um Schaden anzurichten. Sie finden schnelle Verbreitung über E-Mail-Attachments, Document-Sharing in Netzen oder Datenträgern.
Mass-Mailer: Viren, die vor allem das massenhafte Versenden von Mails beabsichtigen.
Sandbox: Eine vom übrigen Speicherbereich eines Rechners abgeschottete, virtuelle Umgebung. Sie dient dazu, schädlichen Code zu isolieren, damit er keinen Schaden anrichtet. Kann auch dazu benutzt werden, um die Wirkungsweise eines Virus zu untersuchen.
Trojaner: Programme, die auf einen Rechner geschmuggelt werden. Sie werden in der Regel mit harmlosen Programmen verschickt, die sie zur Tarnung benutzen. Trojaner können beispielsweise dazu dienen, einem Hacker Zugriffsrechte auf dem Zielrechner zu geben.
Virus: Genereller Begriff für Programme, die entwickelt wurden, um Schaden anzurichten. Sie verbreiten sich normalerweise, indem sie ihren Code in andere Dateien einfügen. Die Bandbreite der Wirkung reicht von der Anzeige witziger Nachrichten bis zur Zerstörung des Zielsystems.
Wurm: Spezieller Virentyp, der intelligente Mechanismen besitzt, um sich in Computernetzen weiterzuverbreiten. Würmer können beispielsweise Chat-Programme nutzen, um von Rechner zu Rechner zu gelangen.