Die vergangenen Wochen haben es wieder einmal gezeigt: Viren sind aktiver denn je. Durch die flächendeckende Internet-Nutzung schaffen es die Schädlinge, sich rasend schnell zu verbreiten. Die Situation nimmt immer groteskere Züge an: Kaum scheint die Gefahr durch W32.Blaster gebannt, tritt schon eine Mutation auf den Plan, die diesen Wurm von den betroffenen Systemen entfernen will. Trotz der guten Absicht dennoch ein Eindringling, der ohne Erlaubnis und Wissen des Anwenders dessen Rechner manipuliert.
Komplexität nimmt zu
Mutationen sind der aktuelle Trend bei bösartigen Programmen, die auch als Malware oder Malicious Code bezeichnet werden. So sorgte etwa wenige Tage nach W32.Blaster eine neue Version des altbekannten "Sobig"-Wurms - Sobig.F - für Unruhe und einen neuen Rekord: Kein anderer Wurm hat sich bisher so schnell verbreitet. Sobig und Konsorten sind in ihrer Funktionsweise sehr komplex: Sobig.F etwa gelangt als Mail-Anhängsel auf den Rechner. Über eine eigene Mail-Server-Engine verteilt er sich weiter. Darüber hinaus versucht der Wurm, über das Internet einen Trojaner zu laden. Ferner gibt sich Sobig selbst als Trojaner, indem er einige Verbindungen zum Internet öffnet, über die ein Angreifer den befallenen Rechner unter Kontrolle bringen kann.
Bei diesem umfassenden Bedrohungsszenario reden Fachleute von einer so genannten Mixed-Threat-Attacke: Die Programme nutzen verschiedene Schwachstellen der befallenen Systeme aus, um auf mehreren Wegen gleichzeitig Schaden anzurichten. Manche dieser Codes bedienen sich zudem unterschiedlicher Methoden, um in die Systeme einzudringen - sie sind nicht mehr auf den "normalen" Verbreitungsweg E-Mail angewiesen.
Herkömmliche Viren-Scanner sind der aktuellen Situation alleine nicht mehr gewachsen. So war etwa der zu Jahresbeginn kursierende Wurm "SQL-Slammer" von derartigen Programmen überhaupt nicht zu erkennen. Der Wurm hinterließ keinerlei Daten auf der Festplatte eines befallenen Systems. Und auch klassische Viren machen es der Abwehr immer schwerer: Die Entwicklung des Gegenmittels - das so genannte Pattern, das den Viren-Scanner in die Lage versetzt, ein neues bösartiges Programm zu erkennen - dauert eine gewisse Zeit. Steht das neue Pattern beim Anbieter der Virenschutzsoftware bereit, müssen die Anwender dieses erst evaluieren und dann auf die Systeme verteilen. Je trickreicher der Virus arbeitet, desto länger dauert die dazwischen liegende, ungeschützte Phase. Bei der hohen Verbreitungsgeschwindigkeit aktueller Malware können jedoch Minuten entscheidend sein.
Den Ernst der Lage haben fast alle Unternehmen erkannt. So berichtet zum Beispiel die Meta Group in einer aktuellen Studie, dass "der Einsatzgrad von Virenschutzlösungen heute nah an der 100-Prozent-Marke liegt". Das alleine reicht jedoch nicht aus. Für Carsten Casper, Research Analyst der Meta Group, ist das Problem klar: "Die meisten Unternehmen haben einen technisch fokussierten Ansatz beim Virenschutz." Er schätzt, dass höchstens 20 bis 30 Prozent aller Organisationen klare strategisch-operative Prozesse definiert haben. Aus Caspers Sicht agieren die meisten Unternehmen zu reaktiv auf Angriffe. Sie schützen sich vor Bedrohungen, die längst vorbei sind. So werden zum Beispiel nach spektakulären Attacken wie W32.Blaster in vielen Firmen Budgets für die Beschaffung neuer Viren-Scanner freigegeben. Das Ergebnis sind jedoch häufig Insellösungen. "Virenschutz muss proaktiv sein, nicht reaktiv", so die Forderung des Meta-Group-Analysten. Dazu gehört für ihn vor allem das regelmäßige und zeitnahe Einspielen von Sicherheits-Updates. Auch andere Marktbeobachter gehen kritisch mit den bisherigen Virenschutzansätzen ins Gericht.
Prävention und Nachsorge sind wichtig
Alle Lücken in wenigen Minuten dicht zu bekommen hieße, sämtliche PCs und Server vom Netz zu nehmen. Das ist ohne Produktionsausfälle kaum machbar. Allerdings gibt es einige Möglichkeiten, dem Treiben von elektronischen Schädlingen einen Riegel vorzuschieben. Um Viren effektiv zu bekämpfen, müssen zunächst alle Phasen eines Virenausbruchs betrachtet werden. Während heute meist nur ein Teil des Outbreak-Lifecycle mittels Viren-Scannern abgedeckt wird - der eigentliche akute Ausbruch - fristen die Prävention und die nach einem Angriff notwendige Reinigung der betroffenen Systeme meist ein Schattendasein.
Zur Prävention zählt nicht nur das regelmäßige Update der Systeme, um Sicherheitslücken zu schließen. Ebenso wichtig sind Maßnahmen, die schnell ergriffen werden können, bevor ein konkretes Pattern-File für einen neuen Virus vorliegt. Dazu gehört etwa der Einsatz von Filtern, die den Mail-Verkehr mit Methoden des Content-Managements überwachen und bestimmte Mail-Anhänge blockieren. Mittels einer Definition geeigneter Sicherheitsrichtlinien auf den MS-Exchange- oder Lotus-Notes-Servern lässt sich ein solches Haupteinfallstor der Viren weitgehend schließen.
Herkömmlicher Schutz versagt
Der Weg des Attachment-Blocking geht allerdings aus Sicht von Gerhard Langer, Consulting Engineer des auf Security-Fragen spezialisierten Bremer IT-Dienstleisters Ampeg GmbH, nicht weit genug. "Der W32.Blaster-Wurm hat sich nicht über E-Mails verteilt", gibt Langer zu bedenken. Zudem würden viele Unternehmen kein Attachment-Blocking betreiben, weil im Arbeitsalltag auch potenziell gefährliche Dateitypen wie EXE-Files ausgetauscht werden müssten. "Bei Multi-Threat-Viren ist man mit den herkömmlichen Schutzlösungen recht wehrlos", so seine Einschätzung.
Auch das Einspielen aller Sicherheits-Patches hat aus Langers Sicht Grenzen: "In der Praxis ist das nicht immer so ohne weiteres zu machen", räumt der Sicherheitsfachmann ein. "In den Unternehmen sind oft bestimmte Release-Stände der Software zu beachten, da kann ich nicht einfach einen Patch einbringen." Zudem müssten diese Updates vor dem Roll-out genau evaluiert werden, da Sicherheits-Updates in der Vergangenheit schon des Öfteren mehr Probleme als Verbesserungen mit sich gebracht hätten.
Langer sieht einen viel versprechenden Ansatz eher in der Kombination mehrere Technologien, die den multiplen Einfallswegen böswilliger Programme gerecht werden: "Der allergrößte Teil aller Viren und Würmer verbreitet sich nach wie vor klassisch als Mail-Anhang. Hier helfen normale Viren-Scanner und Attachment-Blocking mittels eines Content-Filters. Den Viren neuer Bauart kann man mit Intrusion-Detection-Systemen (IDS) begegnen." Die überwachen den Netzwerkverkehr auf Auffälligkeiten und schlagen Alarm, sobald Anzeichen eines Angriffs vorliegen. Dazu bedienen sich die IDS einer Datenbank mit Regeln, anhand derer ein Angriff erkannt wird. Diese Datenbank muss natürlich vom Administrator gepflegt und auf dem neuesten Stand gehalten werden. "Slammer konnte man mit einem IDS erkennen, während er die herkömmlichen Viren-Scanner problemlos passierte", ist sich Langer sicher. Allerdings sei ein IDS aufwändig und teuer zu implementieren. Viele Kunden würde die notwendigen Investitionen noch scheuen.
Schotten dicht machen
Ein weiteres Mittel im Kampf gegen Schädlinge ist ein Content-basierender Ansatz, der nicht nur die Mail-Server betrachtet, sondern die gesamte Infrastruktur vom Gateway bis zum Client. Dabei macht man sich zunutze, dass Informationen über die grundlegenden Verhaltensweisen eines böswilligen Programms - zum Beispiel die Art der Verbreitung oder welche Ports es zur Kommunikation benutzt - viel schneller zur Verfügung stehen als das eigentliche Pattern für den Viren-Scanner. In einem solchen Szenario würden etwa bei Viren wie W32.Blaster über eine zentrale Management-Konsole entsprechende Regeln an die Personal Firewalls der einzelnen PCs verteilt, damit diese die weitere Ausbreitung des Schädlings verhindern. Bei Viren, die sich über im Netz freigegebene Laufwerke verteilen, können solche regelbasierenden Ansätze zum Beispiel vorübergehend alle Netzwerk-Shares in einen schreibgeschützten Modus versetzen. "Solche Ansätze verhindern natürlich nicht, dass ein Virus ins Unternehmen eindringt", betont Langer. "Sie stoppen aber die Ausbreitung und begrenzen so den Schaden. Dazu geben sie den Administratoren Zeit, Maßnahmen zur Entfernung einzuleiten - also etwa auf das neue Pattern des Viren-Scanner-Anbieters zu warten und dieses für den Roll-out zu evaluieren."
Automatisierung hilft
Solche Content-basierenden Lösungen, die bereits lange vor der Verfügbarkeit eines Patterns auf Basis von Regeln erste Schutzmaßnahmen einleiten, gibt es auch seit kurzer Zeit als fertige Produkte. So ist dieses Konzept zum Beispiel Bestandteil der "Enterprise Protection Strategy" des Herstellers Trend Micro. Bei diesem Ansatz können viele Schritte automatisiert werden, etwa die Updates der Regeln, die direkt vom Dienstleister bezogen und zentral ausgerollt werden. "Mit gewissen Einschränkungen kann auf dieser Basis das komplette Outbreak-Lifecyle-Management bis hin zum Cleanup und Restore befallener Systeme zu einem guten Teil automatisiert werden", erläutert Langer.
Dieser Teil des Outbreak Lifecycle ist nicht zu unterschätzen. Laut einer Studie des Marktforschungsunternehmens Computer Economics vom vergangenen Jahr entfallen 74 Prozent der Kosten, die ein Virenausbruch verursacht, auf die anschließenden Aufräumarbeiten. Dabei ist es nicht damit getan, die virulente Datei auf allen Systemen zu finden und zu löschen. Registry-Änderungen, die der Virus verursacht hat, müssen zurückgesetzt werden, und eventuell wurden wichtige Dateien vom Virus gelöscht. Je weiter sich diese Phase im Outbreak-Lifecycle-Management automatisieren lässt, desto geringer fällt letztlich der wirtschaftliche Schaden aus.
So hilfreich automatische, zentral administrierbare Lösungen für den täglichen Einsatz im Unternehmen auch wären - für Langer ist das noch Zukunftsmusik. Am Best-of-Breed-Ansatz führt für ihn noch kein Weg vorbei: "Jeder Hersteller hat einen Bereich, in dem er besonders gut ist, und einige, in denen er seinen Wettbewerbern deutlich hinterher hinkt. Es ist wenig sinnvoll, alle Sicherheits-Tools von einem Anbieter zu beziehen." Die Administratoren müssen also noch einige Zeit mit Sicherheitslücken und wenig integrierten Lösungen leben. (ave)
*Jan Schulze ist freier Journalist in Erding.
Angeklickt
Angesichts immer komplexerer Gefahren müssen Unternehmen ihre Sicherheitsstrategien anpassen. Dazu zählt:
- nicht mehr nur auf Firewall und Virenscanner zu vertrauen, sondern auch ergänzende Maßnahmen wie IDS/IPS einzusetzen,
- auf Schwachstellen zu untersuchen,
- entdeckte Sicherheitslücken schnell durch das Aufspielen von Patches zu schließen,
- nach einem konkreten Vorfall alle betroffenen Systeme zu säubern.