Trojanische Pferde und Viren

■ Computerviren breiten sich wie eine Seuchenplage aus/ „Die Arbeit an Gegenmitteln dauert immer länger“/ Aber die Hauptgefahren bleiben schlechte Software und menschliches Versagen

Lautlos und unsichtbar tobt die Schlacht tief im Computer. „Ring frei“ im Speicherchip. „Knirps“ ist ein simples, aber effektives Kampfprogramm. Ständig fertigt es Kopien seiner selbst an und versucht so, seinen Kontrahenten „Gnom“ aus dem Speicher zu drängen. Gnom gagegen setzt auf weitreichende Softwarewaffen. „Logische Bomben“ sollen den Programmcode von Knirps treffen und zerstören. Kann einer der digitalen Gladiatoren seinen nächsten Programmschritt nicht mehr ausführen, ertönt der Schlußgong im „Krieg der Kerne“ — der Name ist an die bis in die 60er verwendeten Ringkernspeicher angelehnt. Beschrieben wurde der fantastische Zweikampf der Programme 1984 von dem Informatiker A. K. Dewdney im 'Scientific American‘. Die „Core Wars“, die es sogar zu einem eigenen Fan-Mews-Letter brachten, heizten die destruktiven Phantasien von Programmierern und Informatik-Studenten gründlich an. Es entstanden nicht nur immer neue Kombatanten für die kybernetische Arena, in der sich beim ersten internationalen „Krieg der Kerne“-Turnier schließlich ein Programm namens „Mice“ (Mäuse) wegen seiner enormen Reproduktionsrate durchsetzte.

In der Folge wurden auch die ersten Freilandversuche mit Computerviren für den „AppleII“ angedacht. Spaßeshalber sollten kleine Programmierschleifen unbemerkt auf Diskette von Apple zu Apple weitergegeben werden, ganz so, wie ein biologischer Virus einen Wirt nach dem anderen infiziert. Das lag nahe, denn schon Knirps hatte wesentliche Viruseigenschaften, nämlich eigenständig Kopien von sich selbst anzufertigen.

„Keine schlafenden Hunde wecken“

Dewdney wurde es ob solcher kreativer Abwege seiner Zauberlehrlinge mulmig: „Einige Möglichkeiten sind so erschreckend, daß ich sie kaum wiederzugeben wage.“ Das holte im selben Jahr der 27jährige Fred Cohen an der University of Southern Carolina nach. Er bewies, daß entsprechend aggressiv programmierte Viren die Datenbestände in den Großrechnern von Banken, Versicherungen und Militärs unbrauchbar machen konnten. Am 10.November 1984 startete Cohen seinen harmlosen, nur zu Demonstrationszwecken geschriebenen „Programm Virus“ auf dem Universitätsrechner, einer VAX11/750. Im Unterschied zum Knirps ging der „Programm Virus“ systematisch vor: Er vermehrte sich nicht nur einfach, sondern hängte sich im Verborgenen an die legalen Anwenderprogramme an und infizierte sie nacheinander. Das geschah in Anwesenheit von Kommilitonen eines „Computer Security“-Kurses mit einem solchen Tempo, daß Cohen seine Experimente kurze Zeit später einstellen mußte. Was den Uni-Fachleuten den Angstschweiß auf die Stirn trieb: Cohen hatte sich nicht etwa ein illegales Hintertürchen ins System „gehackt“, sondern war mit seinem Virus durch das weit offene Tor für zulässige Anwendungen marschiert. Gleichzietig wurde klar, daß jeder einigermaßen begabte Programmierer in kurzer Zeit einen Virus herstellen kann — auch einen bösartigen.

„Keine schlafenden Hunde wecken“, gaben die amerikanischen Sicherheitsexperten als Parole aus, am liebsten hätten sie jede weitere Diskussion über das drohende Datenchaos abgewürgt. Der Virenpionier drängte dagegen auf zusätzliches Forschen und Informieren der Öffentlichkeit. Zwischen diesen beiden Polen — Schadensbegrenzung durch Geheimhaltung oder Problembewußtsein bei den Anwendern — spielt sich die Debatte um Computerviren und -sicherheit bis heute ab. Nach fast zeitgleichen Veröffentlichungen zu den Experimenten von Cohen in der Szenepostille 'Bayerische Hackerpost‘ und dem Sicherheitsfachblatt 'KES‘ brach im Juni 1985 auch hierzulande das Virenfieber aus — zumindest in den Medien. „Nach Hackern und Rote Armee Fraktion nun virulente Software als weiteres Sicherheitsrisiko“, „Richte Schaden — go to Schleife“; unter solchen Schlagzeilen wurde über den Doomsday der elektronischen Datenverarbeitung spekuliert. Dabei wußte die stets gut informierte 'Hackerpost‘ seinerzeit nur einen einzigen Virus für Personal Computer (PC) zu vermelden. Heute gibt es einige Hundert und bis zum Jahresende wird die Tausender-Grenze erreicht sein. So die nüchterne Hochrechnung des Experten Klaus Brunnstein vom Hamburger Viren-Testcenter. Begünstigt wird die Verbreitung durch zunehmenden Datenaustausch. Betroffen sind Rechner aller Marken und Betriebssysteme. Der anfängliche Studentenulk hat ein dickes Fragezeichen gesetzt: Inwieweit ist der ungehinderte Datenfluß in der „Informationsgesellschaft“ sinnvoll und machbar? Und — die Computerfauna hat Zuwachs bekommen. Neben den Viren nerven trojanische Pferde, Würmer und Tarnkappenviren Anwender und Experten.

Ausbreitung nach dem Schneeballprinzip

„Violator“, „Doom 2“, „Datacrime“ oder ganz direkt „Disk Killer“, bei vielen Computerviren ist der Name Programm: zerstören und manipulieren. Befallen einige der elektronischen Erreger Datenbestände, fallen andere über Programme her. Besonders tückisch sind Exemplare, die den obersten Verwalter im Rechner, das Betriebssystem, befallen. Da kann es schon mal passieren, daß „Freitag, der 13.“ an eben diesem Tag alle gestarteten Programme löscht. Rieseln dagegen die Buchstaben vom Monitor wie Blätter von den Bäumen, hat man sich den vergleichsweise harmlosen „Herbstlaub“ oder „Cascade“-Virus eingefangen, der in 80 Prozent aller Virenbefälle von IBM-PCs sein Unwesen treibt. Zwingt der „Music Bug“ den Rechner, nervtötende Melodien zu spielen, versucht sich „Fu Manchu“ als Kommentator: Tippt man in der Textverarbeitung den Namen „Reagan“ ein, wird dem Ex- Präsidenten bescheinigt „...is an asshole“.

Gemeinsam ist allen Fällen, daß der Anwender erst dann von den ungebetenen Besuchern erfährt, wenn sie Schaden angerichtet haben. Bis dahin hat der Virus möglicherweise alle Daten im Computer befallen und sich per Diskette schon auf die Weiterreise gemacht. Viren stellen sich „schlafend“, bis ein bestimmtes Ereignis eintritt, beispielsweise wenn die Systemuhr auf „Freitag, der 13.“ springt. Erst dieses Versteckspiel sorgt für die epidemische Ausbreitung nach dem Schneeballprinzip. Bei der Suche nach einem wirksamen Schutz offenbart sich ein Dilemma, denn der Computer kann unmöglich unterscheiden, welche Programme „gut“ und welche „schlecht“ sind. So ist der Befehl „Lösche alle Dateien im Verzeichnis“ unerläßlich, um Ordnung auf Disketten und Festplatten zu halten. Bedient sich ein Virus dieser Anweisung, gehen dagegen wertvolle Daten verloren. Auch die Suche nach einem zentralen Unterschied zwischen normalen Programmen und Viren, die Fähigkeit, Kopien von sich selbst anzufertigen, löst das Problem nicht. Bereits Fred Cohen hat 1984 vorgerechnet, daß ein absoluter Schutz vor Viren schon in der Theorie scheitert.

Das gilt umso mehr für die „trojanischen Pferde“: Programme, die, als Spiel oder Hilfsprogramm getarnt, vom Anwender selbst geladen werden. Aus seinem Versteck in einem vermeintlich „guten“ Programm bringt dann ein „böser“ Programmteil den Computer in seine Gewalt. Spektakulärster Fall bisher: ein „trojanisches Pferd“ namens „Aids“. In Zehntausender-Auflage auf Diskette weltweit verschickt, wurden Informationen über die Immunschwächekrankheit versprochen. Startete der arglose Anwender das Programm, erschien auf dem Monitor die Schreckensmeldung, das nach einer bestimmten Zahl von Systemstarts alle Daten auf der Festplatte gelöscht werden würden. Das ganze war ein Erpressungsversuch: Gegen eine Geldzahlung wurde gleichzeitig ein „Aids“-Gegenmittel angeboten. Im Unterschied zu den Viren vermehren sich „trojanische Pferde“ allerdings nicht. Bei soviel Schlechtigkeit darf auch das Militär nicht fehlen. Ohne Computer ist kein Krieg mehr führbar.

Im letzten Jahr setzte das Pentagon eine Prämie von 50.000 Dollar für die Entwicklung eines „Angriffsvirus“ aus. Damit nicht nur die feindlichen Systeme außer Gefecht gesetzt werden. Per Software soll die Bildwechselrate der gegnerischen Monitore so manipuliert werden, daß das Personal an den Rechnern den Dienst wegen Kopfschmerzen quittieren muß. Nach Informationen der 'PC- Woche' ist auch daran gedacht, die Taktfrequenz der Feindrechner derart in die Höhe zu treiben, daß die Chips durch Überhitzung ihren Geist aufgeben. Im Golfkrieg waren Viren bereits mit in der Wüste. Unsaubere Spiele hatten Tausende PC's der US- Armee verseucht.

Im Hamburger Viren-Testcenter weiß man auch von Forschungen der Bundeswehr, aber „Unternehmen, von denen wir wissen, daß sie mit militärischer Forschung zu tun haben, bekommen von uns keine vertrauenswürdigen Informationen“, so Mitarbeiterin Simone Fischer-Hübner. Sind schlechte Absichten das tägliche Geschäft der Militärs, vermutet Fischer-Hübner hinter den zivilen Viren „anerkennungssüchtige Jugendliche und frustrierte Programmierer“. Politische Hintergründe sind nicht auszuschließen. So aktiviert sich der „Israeli“ am Tag der Staatsgründung Israels. Martin Lackmann, Sicherheitsberater für die Wirtschaft, hat ganz geschäftstüchtige Motive ausgemacht: „Es gibt Fälle, in denen wird erst ein Virus programmiert und anschließend ein entsprechendes Gegenmittel auf den Markt gebracht. Das nenne ich direct marketing.“

Das Geschäft mit der Virenplage

Die Virenplage hat ein neues Berufsbild hervorgebracht — die elektronischen Kammerjäger. Denn für jedes Seuchenprogramm muß ein neues, genau abgestimmtes Gegenmittel entwickelt werden. Die digitalen Insektizide werden dann zu Paketen verschnürt und als „Anti-Viren Programme“ vertrieben. Für IBM-PC's sind sie für 300 bis 400 Mark zu haben. Während ein Programmteil für die Virensuche zuständig ist, soll ein anderer die Plagegeister von Diskette und Festplatte putzen — auch eine Art Impfung ist möglich. Das klappt aber nur bei bekannten Viren. „Immer schneller kommen neue Viren raus, die werden immer komplizierter, die Arbeit an den Gegenmitteln dauert deshalb immer länger“, stöhnt Martin Lackmann. Um ihren Kunden einen einigermaßen kompletten Schutz garantieren zu können, werden je nach Hersteller mehrmals jährlich „updates“ für die Virenkiller verschickt — im Preis inbegriffen. Einer der wesentlichen Gründe, warum Lackmann von Raubkopien und billigen Public Domain wie Shareware-Programmen abrät: „Ein ungenügender Schutz schafft falsche Sicherheit und ist letztlich gefährlicher als gar keiner.“

Die Virenschöpfer haben schon auf die PC-Antibiotika reagiert. Sogenannte „Stealth“-Viren stülpen sich nach dem Vorbild des amerikanischen Bombers eine Tarnkappe über. So sollen sie von den Suchprogrammen, die inzwischen einige Hundert Einfach-Viren kennen, unentdeckt bleiben. Aber auch „Stealth“-Exemplare sind knackbar. Der billigste und einfachste Schutz bleibt, niemals Disketten unbekannter Herkunft ins Laufwerk zu schieben.

Beim gegenwärtig üblichen Daten- und Programmaustausch ist die Diskettenkeuschheit aber nur schwer durchzuhalten. Aufgetaucht ist auch schon verwanzte Originalsoftware, zum Beispiel für Grafikarten und Mäuse. Die aufwendige Jagd soll bundesweit das „Computer Emergency Response Team“ systematisieren, in dem sich seit Anfang des Jahres Fachleute von Universitäten und Computerherstellern organisiert haben. Auf internationaler Ebene entstand die „Computer Anti-Virus Organisation“ (CARO), die für einen schnellen Datenaustausch zwischen den Virenjägern sorgen soll. Die Bundesrepublik könnte durchaus zum Transitland werden, da immer mehr Viren aus den ehemaligen Ostblockländern kommen. An Abwehrmaßnahmen wird auch beim Bundesamt für Sicherheit der Informationstechnik gearbeitet. Dem Bonner Amt wird allerdings eine zu große Nähe zum geheimdienstlichen Sicherheitsdenken des Bundesnachrichtendienstes nachgesagt. Die größte Sorge für Berater Lackmann ist aber nach wie vor das mangelnde Problembewußtsein: „Wenn Sie in die Kriminalstatistik gucken, werden Sie dort keine Zahlen über Virenbefall finden.“ Betroffene Anwender fürchten öffentlichen Imageverlust.

So bleiben nur Schätzungen über den tatsächlichen Schaden. Der Gießener Wirtschaftsingenieur Bernd Schrum kam auf durch Virenbefall verursachte Kosten von 160 Millionen Mark allein in der Bundesrepublik. Hochgerechnet hatte er eine Basis von neun Prozent verseuchten PC's, die auf der CeBit-Messe 1990 ermittelt wurde. In diesem Jahr hatten sich nach Angaben des Viren- Testcenters bereits 20 Prozent der ausgestellten Computer einen Virus eingefangen. Probleme wird auch die zunehmende Computervernetzung bringen, die Verbreitung dürfte im Netz um den Faktor 10 bis 100 schneller gehen als per Diskette. Für das computergerechte ISDN-Telefonnetz (dienstintegriertes digitales Netzwerk) kann Lackmann „nur hoffen“, daß die Telekom Problembewußtsein zeigt. So spektakulär das Thema Viren sein mag, im Gesamtkomlpex „Computersicherheit“ spielt es eine untergeordnete Rolle. Die Hauptgefahren bleiben unübersichtliche Systeme, schlechte Software und menschliches Versagen. Bei der zunehmenden Abhängigkeit von der Computertechnik kann ein simpler Blitzschlag mehr Schaden anrichten als die Seuchensoftware. Die Virenprogrammierer und -jäger schaukeln sich jedenfalls von einer Eskalationsstufe zur nächsten hoch: Einige Versionen eines bekannten Virenkillers entpuppten sich als „trojanische Pferde“. Statt der erhofften Abwehrprogramme purzelten aus seinem Bauch altbekannte Computerviren. Frank Holzkamp

Adressen für Hilfesuchende:

Viren-Testcenter

Fachbereich Informatik

Universität Hamburg

Schlüterstraße 73

2000 Hamburg

Micro-BIT Virus Center

Rechenzentrum Uni Karlsruhe

Zirkel 2

7500 Karlsruhe