Schädlingsbekämpfung

Konzepte gegen Viren und andere Schädlinge

Wissen | Hintergrund

Kaum ein Monat vergeht ohne Schreckensmeldung über neue Viren, Würmer oder Trojaner. Dabei könnten vor allem Microsoft und Internet-Provider das Problem zumindest eindämmen. Doch derzeit hat der Anwender den Schwarzen Peter und muss sich gegen solche Schädlinge schützen.

Aufmacher

Im Mai 2000 infizierte der Loveletter-Wurm Millionen von Computern weltweit und setzte damit einen traurigen Meilenstein in der Geschichte der EDV. Doch wer glaubt, dass es sich dabei um einen einmaligen Höhepunkt handelt, irrt gewaltig. So registrierte die Firma MessageLabs [#literatur [1]], die weltweit E-Mails auf Viren untersucht, im Oktober und November mehr infizierte E-Mails als im Loveletter-Monat Mai. Verantwortlich waren mehrere ‘kleinere’ Epidemien, wie sie schon fast zum Alltag gehören.

Die Gefahr ist real und sie wird uns auf absehbare Zeit begleiten. Der Artikel zu Techniken moderner Viren auf Seite 116 zeigt: Ein Ende der Gefahr ist noch lange nicht in Sicht. Dass Viren nicht nur ein Schreckgespenst sind, das sensationslüsterne Medien und geldgierige Herstelller von Antiviren-Software an die Wand malen, mussten vergangenes Jahr mehr Anwender als je zuvor am eigenen Rechner erfahren.

Auch bei unserer Umfrage zu Antiviren-Software auf heise online berichteten fast die Hälfte der 5286 Teilnehmer (49 %), dass sie schon mindestens einmal einen Virus auf ihrem System hatten. Bei rund einem Drittel dieser Fälle (17 Prozent aller Befragten) kam es auch zu einem Virenbefall ([#kasten siehe Kasten ‘Umfrage auf heise online’]). Berücksichtigt man nur die Benutzer von Microsoft-Betriebssystemen, liegen die Zahlen sogar noch höher.

Und das, obwohl laut Umfrage über 80 Prozent der Windows-Nutzer Antiviren-Software einsetzen. Knapp die Hälfte der Geschädigten gab sogar an, dass auch zum Zeitpunkt des Befalls Antiviren-Software auf dem System aktiv war. Doch immer noch verkauft uns die Mehrzahl der Experten Antiviren-Software als bestmögliche Sicherung gegen den Schädlingsbefall.

Dabei sind die Schwächen von Antiviren-Software, die im Übrigen auch unser Test (Seite 102 in c't 2/2001) bestätigt hat, hinlänglich bekannt. Die Scanner erkennen nur ihnen bekannte Schädlinge zuverlässig, sodass sie auf aktuelle Viren-Signaturen angewiesen sind. Wie unsere Tests gezeigt haben, sinken die Erfolgsaussichten dramatisch, wenn es gilt, geringfügig modifizierte Viren zu erkennen - von wirklich neuen ganz zu schweigen.

Unsere Umfrage ergab jedoch, dass weniger als ein Viertel der Benutzer von AV-Programmen diese öfter als einmal die Woche aktualisieren. Man kann auch kaum von einem Anwender erwarten, dass er täglich oder gar stündlich neue Updates aus dem Netz lädt. Andererseits verbreiten sich Würmer wie ILOVEYOU in wenigen Stunden rund um den ganzen Globus. Da sind Katastrophen natürlich vorprogrammiert.

Das gesamte System ist hauptsächlich auf bequeme Benutzbarkeit und tolle Funktionen ausgelegt - außer wenn es um Sicherheit geht. Die Sicherheitseinstellungen des Internet Explorer, die auch das Verhalten von Outlook (Express) beeinflussen, sind etwa so übersichtlich wie die deutschen Telefontarife. Microsofts Mail-Programme können mit einem Mausklick vertonte Glückwunschvideos abspielen; eine Option, solche Attachments vorher automatisch auf Viren zu testen, sucht man jedoch vergeblich. Derartige Funktionen bleiben den Virenwächtern von Drittherstellern überlassen. Und um die muss sich der Anwender natürlich selbst kümmern - frei nach dem Motto: Gimmicks inklusive, Sicherheit kostet extra!

Dass schon ein unvorsichtiger Mausklick auf eine Mail genügen kann, das (Betriebs-)System komplett zu zerstören, ist in der IT-Landschaft von heute ein Anachronismus. Andere Betriebssysteme zeigen, wie es anders geht.

Nur bei administrativen Tätigkeiten wie der Installation neuer Programme schlüpft der Anwender in die Rolle des Systemverwalters - mit uneingeschränkten Zugriffsrechten. Selbstverständlich bietet das keinen hundertprozentigen Schutz, aber es baut eine zusätzliche - auch psychologische - Hürde auf. Wer sich gerade mit Passwort explizit als Administrator angemeldet hat, ist sich der damit verbundenen Verantwortung viel eher bewusst, als wenn er gerade zwischen zwei Telefonaten kurz einen Blick in seine Mailbox wirft.

Da bei Windows 98/ME die benötigten Systemfunktionen für Zugriffskontrolle fehlen, lässt sich ein solches Konzept dort prinzipiell nicht umsetzen. Doch selbst unter NT beziehungsweise Windows 2000, die theoretisch die notwendigen Voraussetzungen mitbringen, arbeiten viele Anwender ständig als Administrator. Das liegt nicht allein an deren Bequemlichkeit, sondern auch daran, dass es Microsoft versäumt hat, dieses Konzept ausreichend zu fördern und zu propagieren. So lassen sich in der Defaultinstallation viele ‘normale’ Anwendungen, etwa diverse Programme zum Brennen von CDs und Multimedia-CDs auch von Microsoft nicht ohne erweiterte Rechte benutzen.

Wünschenswert wäre, dass bereits die Installation einen normalen Benutzer-Account mit eingeschränkten Rechten einrichtet, den Anwender über dessen Funktion aufklärt und ihn beim ersten Systemstart als Default präsentiert. Programme, die sich als NT/2000-kompatibel bezeichnen, müssten nach der Installation in diesem Modus vollständig zu bedienen sein. Leider zeichnet sich in dieser Hinsicht bisher auch beim gemeinsamen Nachfolger von Windows 2000 und ME - bekannt unter dem Codenamen Whistler - keine Besserung ab. Es bleibt nur zu hoffen, dass sich Microsoft noch eines Besseren besinnt und auch die Software-Entwickler mehr in die Pflicht nimmt.

Ein Positiv-Beispiel stellt Linux dar: So lässt sich seine Immunität nicht mehr ausschließlich auf mangelnde Verbreitung und fehlende Schädlinge zurückführen. Die Schätzungen des Linux-Counters gehen mittlerweile weltweit von rund 16 Millionen Linux-Benutzern aus. Und die Virenexperten der Kaspersky Labs haben bereits 43 Viren und Trojaner für Linux registriert - kein einziger hat es jedoch bisher zu nennenswerter Verbreitung gebracht.

An technischen Problemen scheitert dieses Konzept nicht, wie Sun mit der Virtual Machine für Java gezeigt hat. Diverse Hersteller bieten bereits Programme mit Sandbox-Funktionen an. Doch zum einen fehlt es ihnen an Verbreitung, zum anderen bleiben solche Bemühungen ohne vollständige Integration in das Betriebssystem nur Flickwerk.

Für neue Programme kann der Hersteller digital signierte Prüfsummen mitliefern, oder der Benutzer kann bei der Installation - als Administrator natürlich - eine solche erzeugen lassen. Damit kann man auch gleich sicherstellen, dass Anwender auf entsprechend eingerichteten Rechnern keine eigenen Programme aus möglicherweise dubiosen Quellen installieren. Ein ähnliches Konzept für sich selbst schützende Programme hat Arne Schäpers bereits 1992 in c't vorgestellt [#literatur [2]].

Dabei wären sicherlich viele Firmen und auch Privatanwender bereit, dafür zu zahlen, dass ihnen jemand diese Aufgabe abnimmt. Internet Service Provider (ISP) könnten das ‘S’ im Namen endlich einmal wörtlich nehmen und als Dienstleistung die Mail ihrer Kunden vor ihrer Weiterleitung auf Viren überprüfen. Bei einem Schädlingsbefall käme die Mail in Quarantäne, Absender, Empfänger und ein vorher festgelegter Administrator würden über den Vorfall unterrichtet. Alternativ könnte man die Mail auch nur mit einem deutlichen Warnhinweis im Betreff versehen, die den Empfänger vor dem Öffnen auf die mögliche Gefahr aufmerksam macht.

Besser als ein normaler Anwender kann der ISP die Signatur-Datenbanken der Viren-Scanner ständig auf dem neuesten Stand halten. Die Firma MessageLabs, die in Zusammenarbeit mit Providern solche zentralen Viren-Checks anbietet, aktualisiert ihre Datenbanken alle zehn Minuten. Da die Hersteller von Antiviren-Software nach dem Auftreten von neuen Viren in der Regel innerhalb weniger Stunden entsprechende Signaturen bereitstellen, haben die Scanner viel bessere Chancen, einen Virus rechtzeitig zu erkennen. Um nicht von einem Hersteller abhängig zu sein, arbeitet MessageLabs außerdem mit mehreren, verschiedenen Scannern - ein Luxus, den sich nur wenige Privatanwender leisten.

Probleme bereiten bei diesem Verfahren jedoch verschlüsselte E-Mails (S/MIME oder PGP), deren Inhalt sich einer Kontrolle durch Viren-Scanner entzieht. Solche Mails können nur vom jeweiligen Absender oder Empfänger auf Viren getestet werden. Der Anteil von verschlüsselter Mail ist zwar noch relativ gering, aber deutlich steigend - eigentlich ein begrüßenswerter Trend.

Wenn die automatisierte Kontrolle der E-Mail nur im expliziten Auftrag der jeweiligen Kunden geschieht, sollten sich auch datenschutzrechtliche Bedenken gegen eine solche automatisierte Kontrolle der E-Mails ausräumen lassen. Bei Firmen ist für solche Scans allerdings das Einverständnis des Betriebsrats erforderlich.

In Deutschland bietet der Hamburger Provider Ision die Dienste von MessageLabs an - allerdings nur für Firmenkunden [#literatur [3]]. UUNet hat zwar eine Kooperation mit der britischen Firma, bietet aber nach eigenen Aussagen wegen Problemen mit dem Datenschutz in Deutschland keine zentralen Viren-Scans an.

Doch infizierte E-Mails müssen nicht mehr unbedingt ein Attachement enthalten, das erst durch Anklicken aktiviert wird - wie auch der Artikel über Viren-Techniken auf Seite 116 aufzeigt. Manche Schädlinge nutzen bekannte Sicherheitslücken von Windows aus, um schon beim Öffnen der Mail ein fremdes Programm auszuführen. Dabei handelt es sich um (komprimierte) HTML-Mails, die Visual-Basic- oder JavaScript-Code enthalten. Patches von Microsoft und eine sichere Konfiguration des E-Mail-Programms schließen diese Sicherheitslücken [#literatur [4]] .

Auch bei Downloads fremder Dateien sollte man Vorsicht walten lassen. Erste Anhaltspunkte für die Vertrauenswürdigkeit der Quelle liefert bereits die URL: So ist das Risiko beim Web-Server einer namhaften Firma sicher geringer als bei einem ftp-Server, der nicht über einen Namen, sondern nur über eine IP-Adresse im Zahlenformat erreichbar ist.

Als Ergänzung zu - aber keinesfalls an Stelle von - genereller Vorsicht kann Antiviren-Software helfen, sich vor Viren zu schützen. Wer noch auf der Suche nach einem passenden Programm ist oder wissen möchte, wie viel Sicherheit der Scanner seiner Wahl tatsächlich bietet, blättert am besten um und liest weiter. (ju)

[1] MessageLabs: www.messagelabs.com

[2] Arne Schäpers, Kampfansage, Bibliotheksroutinen zur virenabweisenden Programmierung, c't 7/92, S. 146

[3] Ision: www.ision.de

[4] Patrick Brauch, E-Mail, aber sicher, Der richtige Umgang mit elektronischer Post, c't 20/00, S. 120

[5] Antiviren-Seiten von c't: www.heise.de/ct/antivirus

[#anfang Seitenanfang]


Über 90 Prozent der Teilnehmer unserer Umfrage auf heise online haben bereits mehrfach Warnungen vor Viren per E-Mail erhalten. Wie sich auch den Kommentaren entnehmen ließ, handelte es sich in der Mehrzahl um Falschmeldungen, so genannte Hoaxes, die Anwender verunsichern und zur Weiterleitung animieren sollen. In regelmäßigen Abständen rollen wahre Lawinen solcher Hoaxes durch das Internet, die manchen bereits mehr auf die Nerven gehen als richtige Viren. Hoaxes richten allein durch ihre schiere Masse und die für sie verplemperte Arbeitszeit beträchtlichen Schaden an.

Wer eine Virenwarnung per E-Mail erhält, sollte sich zunächst auf den Webseiten der Antivirus-Labors informieren [#literatur [5]]. Dort findet er zumeist auch schon einen Hinweis auf den Hoax, den er dann einfach ignorieren und löschen sollte. Nur wenn die Hersteller von Antiviren-Software vor einem tatsächlich aktiven Virus warnen, ist es unter Umständen sinnvoll, die Meldung an andere weiterzuleiten - dann aber gleich mit dem Link zur Beschreibung des Schädlings. Weitere Informationen zu Hoaxes finden sich auch auf den deutschen Hoax-Info-Seiten.

[#anfang Seitenanfang]


Unsere Fragebögen zu Antiviren-Software auf heise online haben insgesamt 5286 Teilnehmer ausgefüllt. Davon setzen rund 70 Prozent Antiviren-Software ein; Windows-Benutzer sogar zu 80 Prozent. Diese Zahlen sind nicht repräsentativ. Zum einen entspricht schon das Benutzerspektrum von heise online sicher nicht dem ‘Durchschnitts-Surfer’. Zum anderen dürfte jemand, der Antiviren-Software auf seinem Rechner installiert hat, größeres Interesse an der Umfrage haben als Anwender, die Viren überhaupt nicht als Problem betrachten. Deshalb nehmen wir an, dass der tatsächliche Verbreitungsgrad von AV-Software niedriger liegt. Ähnliche Vorbehalte gelten auch für alle übrigen Ergebnisse.

Die Auswertung der Umfrage lieferte einmal mehr den Beweis, dass sich jede noch so absurde Aussage im Zweifelsfall auch durch eine Statistik belegen lässt. So hatten 60 Prozent der Benutzer von AV-Software schon mal einen Virus erhalten, bei einem Drittel davon (20%) kam es dann auch zu einem Befall. Von den Teilnehmern ohne Virenschutz gab lediglich jeder Vierte zu Protokoll, er hätte bereits einen Virus bekommen, tatsächlich befallen wurden sogar nur 10 Prozent: Antiviren-Software erhöht also laut Statistik das Risiko eines Virenbefalls - quod erat demonstrandum.

Diagramm zur Benutzerumfrage
Mehr als zwei Drittel aller Befragten setzen Antiviren-Software ein. Bei den Windows-Benutzern lag der Anteil sogar bei 83 Prozent.

Doch Scherz beiseite: Auch bei differenzierter Betrachtung der Zahlen bleibt das interessante Ergebnis, dass sich der Einsatz von AV-Software anscheinend nicht zwangsläufig durch deutlich niedrigeres Infektionsrisiko bemerkbar macht. Über die Ursachen kann man nur spekulieren. Einen wichtigen Beitrag dürfte jedoch das unterschiedliche Verhalten der jeweiligen Gruppen liefern, das wir überhaupt nicht abgefragt haben.

Von den 3659 Benutzern von AV-Software setzen nur 44 Prozent das Programm sowohl als Wächter als auch als On-Demand-Scanner ein. Jeweils knapp 30 Prozent nutzen nur eine der beiden Funktionen. Ebenfalls knapp 30 Prozent lassen zwischen zwei Updates mehr als vier Wochen verstreichen, sogar drei Viertel der Benutzer länger als eine Woche.

Wo es zu einer akuten Infektion kam, hatte rund ein Drittel irreparabel zerstörte Dateien zu beklagen, bei 18 Prozent war das Betriebssystem nicht mehr zu retten. Bei immerhin 40 Prozent der Betroffenen konnte Antiviren-Software das System und die befallenen Dateien vollständig wiederherstellen. Rund ein Drittel der Viren-Vorfälle kostete weniger als eine Stunde Arbeitszeit, aber immerhin 17 Prozent der Betroffenen verbrachten damit mehr als einen Arbeitstag.

Von den Benutzern, die zum Zeitpunkt der Infektion ein Antivirus-Programm im Einsatz hatten, berichteten rund 30 Prozent, das Programm habe den Schädling nicht erkannt. Bei genau doppelt so vielen meldete es den Schädling erst nach dem Befall (was bei einem reinen On-Demand-Scanner leicht passieren kann). Immerhin 9 Prozent der Systeme wurden trotz einer Virenwarnung durch das AV-Programm infiziert.

Als Fazit der Befragung lässt sich feststellen, dass Antiviren-Software keinen hundertprozentigen Schutz garantieren kann. Allein die 30 Prozent nicht erkannter Viren sprechen eine deutliche Sprache. Diese schlechte Quote ist sicherlich zu einem guten Teil auf zu alte Signaturen zurückzuführen. Wer das letzte Update seiner AV-Software vor mehr als vier Wochen durchgeführt hat, sollte jetzt schleunigst ein neues starten.

Kommentare

Anzeige