Shop


Audio


NZZ Folio 09/07 - Thema: Sicherheit   Inhaltsverzeichnis

Infektion auf der Festplatte

Sie warten nur darauf, dass wir unseren Computer anstellen: Hunderttausende von Viren und Würmern mit einem unersättlichen Appetit auf unsere Daten.

Von Franz Zauner
Es gibt einen Spruch, der so alt ist wie die Computerei: Die Frage ist nicht, ob du paranoid bist. Die Frage ist, ob du paranoid genug bist. Computer sind keine vertrauenswürdigen Gesellen. Es beginnt schon damit, dass sie sich viel länger als unsere anderen dienstbaren Geister Zeit lassen, bis sie für uns da sind. Jedes Programm, das im Speicher erwacht, begrüsst zunächst seine Schöpfer. Egal, ob Windows, Symantec oder Firefox: Sie plauschen erst mit Herrn Gates, der Anti-Viren-Zentrale oder der Mozilla-Gemeinde. Ist die Lizenz abgelaufen, gibt es etwas Neues, ist jemand zu Hause? Bevor sie sich uns zuwenden, melden sie, was sich auf unseren Festplatten so tut, laden frische Bits und erfinden sich neu. Wer die Protokolldatei seiner Firewall zu öffnen vermag, findet lange Listen mit Verbindungsdaten.

Ihr eingebauter Hang zum Plaudern macht die Maschinen pflegeleicht, aber auch verführbar. Alle dreissig bis vierzig Sekunden werden die guten Computer dieser Welt von bösen Computern auf Schwachstellen abgeklopft. Das maliziöse Hintergrundrauschen ist so allgegenwärtig wie eine universelle Naturkraft. Der experimentelle Nachweis, dass informatorische Sorglosigkeit fatal endet, gelingt fast immer. Stellt man eine ungepflegte Windows-XP-Maschine ohne Virenscanner und Firewall online, währt die Zeit der Sorglosigkeit höchstens zwei Minuten. Dann kommt aus den Weiten des Internets der erste Wurm angekrochen. Der Rekord, aufgestellt in einem Experiment der BBC, liegt bei acht Sekunden.

Nach fünf Minuten haben sich bereits so viele Schädlinge eingenistet, dass der Prozessor auf Volllast läuft. Sie tun, was ihnen eingeimpft wurde: das Internet nach weiteren Opfern absuchen, Passwörter ausspähen, Hintertüren öffnen, Lauschangriffe, Spamversand und elektronische Raub­überfälle aller Art vorbereiten. Anstelle von Leuten nehmen die Trojaner Texte, Bilder und Tabellenkalkulationen als Geiseln. Sie werden verschlüsselt statt gefesselt, anschliessend wird Lösegeld verlangt. Das Malware-Lexikon der Computerschädlinge unterscheidet solche Einschleichprogramme, die wie das hölzerne Pferd des Odysseus im Tarnmantel der Nützlichkeit daherkommen und oft vom User selbst auf die Festplatte geschoben werden, von Viren, die wie ihre biologischen Pendants von ihrem Wirt vervielfältigt werden, und Würmern, die selbständig durch die Netzwerke kriechen.

Unser ungeschützter Computer geht bald unter, weil so viele Piraten an Deck kommen. Der Prozessor erstickt unter der Arbeitslast. Die Maschine reagiert weder auf Tastatureingaben noch auf Mausklicks. Der Malware-Zoo wächst, als würde seine Evolution im Zeitraffer laufen. 2004 überschritt die Zahl seiner Arten die Hunderttausendergrenze, mittlerweile verdoppeln sie sich alle zwei Jahre. Die parasitäre Software quillt aus der Mailbox, aus Websites, Peer-to-peer-Netzwerken, aus Instant-Messaging-Diensten oder Chat­servern. Irgendwo klafft immer eine Lücke, für die jemand büssen muss. Sogar ein winziger Konstruktionsfehler im kleinen Windows-Mauszeiger hat schon einmal als Einfallstor für Infektionen gedient.

Wie viel Paranoia ist genug? Wenn es der Teufel will, kann er auch den bravsten User mit dem gepflegtesten Betriebssystem, der geschicktesten Konfiguration und der neuesten Anti-Viren-Datei am Zero-Day holen: Darunter versteht man einen schwarzen Tag, an dem sich eine Sicherheitslücke öffnet – und der Patch, der dagegen schützt, noch nicht verfügbar ist. An sich ist jeder Tag ein schwarzer Tag, denn täglich werden ungefähr zwanzig Schwachstellen entdeckt. Tugendhaftes Surfen bietet nicht unbedingt Schutz vor Ansteckung. Ein Computer ohne Virenscanner und Firewall aber, darin sind sich die Sicherheitsleute einig, ist wie ein Haus ohne Fenster und Türschloss.

Im vergangenen Jahrhundert musste man sich noch anstrengen, um sich ein Virus zu holen. Am besten gelang es durch verwegenes Kopieren. Die Schädlinge waren zum grössten Teil harmlos, manchmal lästig, in seltenen Fällen destruktiv. Wer sich die Mühe gemacht hatte, seine Daten zu sichern, konnte bald wieder beschwerdefrei arbeiten. Die Krankheitsbilder entsprachen den Ambitionen ihrer Verursacher: Skript-Kiddies überschritten die Spassgrenze; rebellische Hacker brachen in Datenbanken ein und beklagten sich nachher politisch korrekt darüber, dass es so leicht gegangen sei; ein paar Verirrte nutzten die weitverbreitete Ignoranz in Sicherheitsfragen für ihre Zwecke und rutschten mehr zufällig als vorsätzlich in die Kriminalität.

Onel de Guzman zum Beispiel gehörte zu den am meisten verfluchten Personen des Jahres 2000. Der «Loveletter» des philippinischen Studenten rottete in manchen Netzwerken ganze Dateiarten aus und verschickte sich so lange über das E-Mail-Programm Outlook, bis sogar die Server von FBI und CIA zusammenbrachen. Leute wie de Guzman offenbarten die Verletzlichkeit der digitalen Welt. Man bemerkte, dass das Internet zum Leben gehört wie Strassen und Schienen. Man begann, sich technische, juristische und organisatorische Massnahmen auszudenken, um die Netze vor Spassvögeln und Vandalen, Kriminellen und Terroristen zu schützen. Doch die von ihnen losgelassenen Parasiten trotzen der Ausrottung genauso hartnäckig wie ihre biologischen Vorbilder.

Bill Gates hatte einen schönen Auftritt, als er 2004 beim Weltwirtschaftsforum in Davos Müllfreiheit für Mailboxen innerhalb von zwei Jahren versprach. Nach konservativen Schätzungen werden heute täglich etwa 16 Milliarden E-Mails zugestellt. 14 Milliarden davon sind Spam. Wo früher Angebote für Penisverlängerungen mit Erfolgsgarantie, todsichere Erbschaften und unfehlbare Pyramidenspiele das Herz des Users erfreuten, warten mittlerweile ausgeklügelte Fallen. Das Einseifen glückt den Gaunern immer kunstvoller.

Sie haben gelernt, nach Art der Werbeleute zu säuseln, in den respektgebietenden Ton der IT-Experten zu verfallen oder den Nominalstil von Behörden zu imitieren. Das führt zu täuschend echten Sonderangeboten, authentisch angedienten Windows-Updates, nicht allzu befremdlich klingenden Behördenschreiben. Klickt man auf den angeschlossenen Link, landet man auf Websites, aus denen ­sinistre Bytefolgen wie Läuse in den Browser hüpfen. Ein Backdoor-Trojaner nimmt seine Arbeit auf, ein Keylogger meldet jeden Tastenschlag. Ein phantasievoll ausdifferenzierter Schädlingszoo wartet jeden Tag in den Mailboxen darauf, dass ihm die Sehnsucht nach Liebe, Macht oder Geld Tür und Tor öffnet.

Die avanciertesten Heimsuchungen sind wie komplexe Onlinedienste aufgesetzt. Auf einer präparierten Website wird der Browser des Besuchers unauffällig gemustert. Ist da eine Lücke, die noch nicht geschlossen wurde? Glückt die «Drive-by Infection», wird der User in einer Datenbank registriert. Es gehört zum Service, dass sich die Website beim nächsten Besuch ohne Schadcode präsentiert. Virendetektive sollen nicht unnötig Verdacht schöpfen. Wird eine Plage entdeckt, findet sich schnell ein Gegenmittel.

Als der Paranoia-Level unter Profis zu steigen begann, kam der Frontalangriff auf den ungeschützten PC des Heimanwenders in Mode. Über einen still und heimlich eingebauten Hintereingang wird er zum ferngesteuerten Zombie, arbeitet in fremden Diensten als Spamschleuder oder stellt seine Rechenkraft für DDoS-Attacken (Distrib­uted Denial of Service) zur Verfügung. Dabei bombardieren Abertausende Computer einen Server so lange mit sinn­losen Anfragen, bis er in die Knie geht oder sein Besitzer Schutzgeld zahlt. Zombies gibt es überall auf der Welt, die meisten in China, das sich zusammen mit den USA den Ruf als führende Zone für Schädlingsverbreitung teilt. Russland ist in den Statistiken der Antivirenhersteller etwas besser als sein Ruf. In Europa führt Deutschland die Liste der gefährlichen Serverstandorte an.

Computersicherheit ist ein 12 Milliarden Dollar schweres Geschäft, das mit jedem Jahr wächst. Gute PR-Abteilungen scheinen dabei fast so wichtig zu sein wie ausgefuchste Programmierer: Je grösser der Grusel, umso höher der Absatz. Die bekannten Sicherheitsfirmen – Kaspersky, McAfee, ­Sophos, Panda, Ikarus – veröffentlichen in regelmässigen Abständen Frontberichte, die von heftigen Kämpfen in den Tiefen des Internets künden. Symantec führt mit ThreadCon gar ein Netzwerk-Warnsystem, das an die Defcon-Alarm­stufen des amerikanischen Militärs angelehnt ist. Threat-Reports wie der des Hauses Symantec werden auch ausserhalb der Fachpresse gerne zitiert, wenn ein Bericht über den Stand im Kampf gegen das Weltböse gefragt ist. Es bevorzugt seit neustem kleinere, gezieltere Attacken, um unter der Wahrnehmungsschwelle der Frühwarnsysteme zu bleiben. Beliebte Angriffsziele sind Desktop- und Web-Anwendungen. Schwierige Netzwerk-Hardware wie Router sind aus der Mode gekommen.

Über «Underground Economy Server», Marktplätze von Kriminellen für Kriminelle, werden die Früchte des finsteren Treibens gehandelt. Sicherheitslücken sind die Rohdiamanten des Untergrunds, je nach Grösse werden für sogenannte Exploits bis zu 50 000 Dollar gezahlt. Die Miete für den Einsatz eines Botnets mit 1000 Zombies beträgt etwa 250 Dollar. Es wäre ein sehr kleines Netz, vom grössten bekannten fürchtet man, dass es 1,7 Millionen Rechner umfasst. Daten von Kreditkarten gibt es schon ab 2 Dollar. Massgeschneiderte Trojaner sind für ungefähr 5000 Dollar wohlfeil – eine geringe Investition für Schutzgelderpresser, die mit Attacken gegen Unternehmenswebsites drohen.

Weil alles so kompliziert geworden ist, lassen sich Firmen immer öfter von Spezialisten in Sicherheit wiegen. Eingehende Mail wird in Scanentern auf Spam und Malware geprüft, bevor sie zu den Mitarbeitern darf. Diese Trutzburgen gegen Malware gelten als zukunftsträchtig. Aber nicht alle Malware verdankt sich dem Ausbruch ­krimineller Energie. Auch Geheimdienste und Strafverfolgungsbehörden bemühen sich um Zugang zu unseren Fest­platten. Und angesichts der Millionen Datensätze, die immer wieder bei Einbrüchen in schlecht gesicherte Datenbanken gestohlen werden, können die oft gescholtenen User ruhig fahrlässig sein. Die Grenze verläuft nicht nur zwischen Gut und Böse, auch Schlamperei, Sammelwut und Sparzwang müssen in Rechnung gestellt werden. Bruce Schneier, ein Experte in Sachen Sicherheit, fordert schon lange, dass die Anbieter von Software und Services für Todsünden in Konstruktion und Wartung verantwortlich gemacht werden. Die Sicherheit von Transaktionen sollte nicht von der Expertise des Users abhängig sein.

Die Zukunft der Antivirus-Technologie liegt in der Ver­haltensanalyse der Computersoftware, im Aufspüren verdächtiger Ereignisse. Nicht nur in digitalen Assistenten und smarten Handys, auch in Autos und Kühlschränken werden schon bald vernetzte Kleincomputer stecken. Geschichte ist zwar lehrreich, findet aber nur wenige Schüler. Die Chancen stehen gut, dass das ganze Sicherheitstheater wegen der löchrigen Betriebssysteme der Winzlinge noch einmal aufgeführt wird.

Franz Zauner ist stellvertretender Chefredaktor und Leiter Online der «Wiener Zeitung».

Leserbriefe:

Zu Infektion auf der Festplatte - NZZ-Folio Sicherheit (09/07)

Es ist furchterregend, womit wir arglosen Computerbenutzer - und wer ist das heute nicht! - offenbar täglich rechnen müssen. Vor dem Hintergrund dieses Artikels versteht man, warum es chinesischen Hackern offenbar nicht allzu schwer fiel, in amerikanische und deutsche Regierungsnetze einzudringen. Und warum ihre russischen Kollegen fast ganz Estland lahmlegen konnten. Computersicherheit ist nicht nur ein Milliardengeschäft, sondern in höchstem Mass eine Illusion.
Alfred Brenner, per E-Mail



Teilen

Für 94 Franken pro Jahr gibt es NZZ Folio auch im Abonnement. Näheres hier.

Urheberrecht gilt auch im Internet: Verlinken erlaubt, Kopieren verboten.