Viren und Virenschutz

Zeit: Don­ner­stag, 15.30 Uhr
Ort: HS 106
Mod­er­a­tion: Herr Dr. W. Tauchert, Deutsches Paten­tamt, München
Ref­er­enten: Herr Pro­fes­sor Dr. Brunnstein, Uni­ver­sität Ham­burg
Herr Regierungs­di­rek­tor Alke, vom Bun­des­beauf­tragten für den Daten­schutz

Zielset­zung des Arbeit­skreis­es ist die Aufk­lärung über die Wirkungsweise, das Gefahren­po­ten­tial und die Abwehrmöglichkeit­en von Viren (Vor­trag 1, Brunnstein) sowie über die geset­zlichen Vorschriften zur Daten­sicher­heit (Vor­trag 2, Alke).

Die Fragestel­lun­gen wer­den in zwei Vorträ­gen auf­bere­it­et. Anschließend beste­ht Gele­gen­heit zur Diskus­sion.


Vor­trag 1: “Com­put­er-Viren:
Stand der Bedro­hung, Erken­nung, Gegen­maß­nah­men, Recht­sprob­leme”

Dr. Klaus Brunnstein
Pro­fes­sor für Anwen­dun­gen der Infor­matik
Uni­ver­sität Ham­burg

Heute ver­bre­it­et einge­set­zte Infor­ma­tions- und Kom­mu­nika­tion­stech­niken sind nicht unter dem Gesicht­spunkt eines sicheren Betriebes konzip­iert wor­den. Ins­beson­dere wur­den “Per­son­al Com­put­er” unter Microsoft-Betrieb­ssys­te­men (MS-DOS, Win­dows) für “per­sön­liche Zwecke” (ursprünglich als “Home Com­put­er”) geplant, wobei Sicher­heit­san­forderun­gen — etwa Gewährleis­tung der Iden­tität und Authen­tiz­ität von Benutzern, Kon­trolle der Zugangs- und Benutzungs­berech­ti­gun­gen, Gewährleis­tung der geforderten Funk­tio­nen, bis hin zur Aufze­ich­nung eventueller Schutzver­let­zun­gen - nicht berück­sichtigt wur­den. Bei UNIX-Sys­te­men, heute in Client-Serv­er-Sys­te­men vielfach einge­set­zt, wur­den sog­ar die umfan­gre­ichen Sicher­heitsmech­a­nis­men des MUL­TICS-Sys­te­men bewußt aus­ge­baut, um Anwen­dun­gen im tech­nisch-wis­senschaftlichen Laborschneller und effizien­ter (wenn auch weniger sich­er) durch­führen zu kön­nen. Erst bei eini­gen Weit­er­en­twick­lun­gen (OS/2, Win­dows NT, Secure UNIX) wur­den einige Sicher­heit­saspek­te nachträglich berück­sichtigt.

Weil PCs und UNIX-Sys­teme trotz ihrer erhe­blichen Män­gel sich in wichti­gen Anwen­dun­gen in Wirtschaft, Staat und Gesellschaft epi­demisch aus­ge­bre­it­et haben, sind schädliche Fol­gen unver­mei­d­bar. Aber nicht bloß tech­nis­che Män­gel der Hard­ware und Soft­ware, der schlechte Aus­bil­dungs- und Kom­pe­ten­z­s­tan­dard viel­er Benutzer und das man­gel­hafte Sicher­heits­be­wußt­sein von Entschei­dern führen zu spür­baren Kon­se­quen­zen wie Fehlfunk­tio­nen von Pro­gram­men, Sys­te­men und Geräten bis hin zum Daten­ver­lust. Auch unerkan­nt enthal­tene Fehlfunk­tio­nen, etwa Pro­gramm­fehlern wie “Wanzen” (bugs) oder “bösar­tiger Soft­ware” wie Tro­janis­che Pferde und Computer-“Viren” beein­trächti­gen die Beherrschbarkeit und Sicher­heit heutiger Infor­ma­tion­stech­niken.

Das an sich schon “un-sichere” Arbeit­en mit einzel­ste­hen­den Geräten und Sys­te­men wird weit­er beein­trächtigt, wenn solche Ger­ate über Net­zw­erke ver­bun­den wer­den. Auch in jün­geren Net­zw­erkkonzepten wur­den näm­lich ele­mentare Sicher­heit­san­forderun­gen ver­nach­läs­sigt. Nicht bloß die tech­nis­chen Träger der Net­zverbindung — lokal durch Koax­i­alk­a­bel oder über­re­gion­al über die Leitun­gen der Telekom oder ander­er Dien­stan­bi­eter — bergen Risiken, etwa der Abhör­barkeit oder Stör­barkeit. Erhe­bliche Risiken importieren die Soft­wareschicht­en, ange­fan­gen bei Über­tra­gung­spro­tokollen (wobei das UNIX-nahe Inter­net-Pro­tokoll TCP/IP in viel­er­lei Hin­sicht als Muster eines unsicheren Pro­tokolles gel­ten darf) bis zu manchen Aspek­ten der Hard­ware, Soft­ware und Organ­i­sa­tion der Net­zsys­teme. Die Män­gel an sicher­heit­stech­nis­chen Ver­fahren machen “Angriffe” — ob in böswilliger Absicht oder als Neben­ef­fekt von Neugi­er und Spiel­trieb — oft allzu ein­fach. So kann “bösar­tige Netz-Soft­ware” wie Computer-“Würmer”, Ket­ten­briefe sowie Hack­er-Angriffe ein­schließlich Ver­fahren der Adreßfälschung oder Abhörung von Net­zen zu erhe­blichen Risikenbeitra­gen.

Vor diesem generellen Hin­ter­grund stellt der Vor­trag den aktuellen Stand der Bedro­hung durch “Com­put­er-Viren” dar. Aus­gerichtet auf PCs wer­den wichtige Arten von Viren, ins­beson­dere Sys­tem- (Boot- und MBR-) sowie Pro­gramm- (File-) Infek­toren vorgestellt. Im Som­mer 1995 sind erst­mals auch Viren über Doku­mente (ins­beson­dere Word) ver­bre­it­et wor­den, wodurch eine neue Form der Bedro­hung (“Makro-Viren”) ent­stand. Neben denVer­fahren der Ver­bre­itung (“Infek­tion”) wird auch auf Selb­stschutz-Ver­fahren einge­gan­gen (etwa durch selb­st-Ver­schlüs­selung, “vielgestaltige” (oligo/polymorphische) Muta­tion, Tarnkap­pen­ver­fahren (stealth) u.a.m., mit denen Viren gegen Ent­deck­ung “getarnt” wer­den. Wirkun­gen von Viren (“pay­loads”) kön­nen die pro­gram­mier­baren Aktio­nen sein, von der Anzeige eines Textes über das Abspie­len ein­er Melodie bis zum Über­schreiben von Dat­en und For­matieren ganz­er Daten­träger. Solche Wirkun­gen kön­nen von Bedin­gun­gen (“Trig­ger”), etwa einem speziellen Datum oder dem Ein­treten eines Ereigniss­es abhän­gen. Die Wirkung einiger aus­gewählter Viren wird demon­stri­ert.

Angesichts der über 8.000 bekan­nten PC-Viren ist für deren Erken­nung und Besei­t­i­gung ein gutes Stan­dard-Ver­fahren, “Anti-Virus-Pro­gramm“genan­nt, erforder­lich. Die Arbeitsweise solch­er Pro­gramme, etwa Viren-Scan­ner, heuris­tis­che Prüfver­fahren, Integritäts- oder Check­sum­men­ver­fahren sowie die Gren­zen dieser Ver­fahren wer­den vorgestellt, und es wird über Testergeb­nisse des Virus Test Cen­ters der Uni­ver­sität Ham­burgberichtet. Es wer­den Maß­nah­men vorgestellt, bei deren Beach­tung die Virenge­fahr zwar nicht völ­lig aus­geschlossen wer­den kann (weil Viren ja auch von son­st ver­trauenswürdi­gen Her­stellern über­mit­telt wer­den kön­nen), aber die Risiken doch deut­lich min­imiert wer­den kön­nen. Es wer­den auch Hin­weise auf das Ver­hal­ten im Not­fall vorgestellt.

Abschließend wird an Fall­beispie­len dargestellt, welche Prob­leme bei der rechtlichen Ver­fol­gung von Vire­nau­toren und Viren­ver­bre­itung sich ergeben. Als Beispiel wird die Verurteilung des Vire­nau­tors “Black Baron” nach dem englis­chen “Com­put­er Mis­use Act” (1995: 18 Monate Haft) dargestellt. Aus­ge­hend vom Beispiel des Schweiz­er AntiViren-Geset­zes wird gezeigt, warum die all­ge­meine Straf­bes­tim­mung “Com­put­ersab­o­tage” (§ 303b StGB) für die Beurteilung von Virenkrim­i­nal­ität wenig geeignet ist.


Vor­trag 2: Daten­sicherung als Fol­gerung des Bun­des­daten­schutzge­set­zes

Dipl.-Ing. Horst Alke, Regierungs­di­rek­tor beim Bun­des­beauf­tragten für Daten­schutz

Die Infor­ma­tion­stech­nik (IT) ist inzwis­chen eine Schlüs­sel­tech­nolo­gie für die wirtschaftliche und gesellschaftliche Entwick­lung unseres Lan­des gewor­den; sie ist auch unverzicht­bar für die Funk­tions­fähigkeit des Sozial­staates. Umso wichtiger ist es heute, sich der Risiken und Gefahren beim — und durch den — Ein­satz der IT bewußt zu sein und ihnen ent­ge­gen­zuwirken.

Da gilt es zunächst, für “IT-Sicher­heit” zu sor­gen, also Sys­teme und Dat­en selb­st zu sich­ern, d.h. ihre

  • Ver­füg­barkeit,
  • Integrität und
  • Ver­traulichkeit

zu erhal­ten. Durch Gesetz wurde 1990 das Bun­de­samt für Sicher­heit in der Infor­ma­tion­stech­nik (BSI) in Bonn begrün­det, dessen 300 Mitar­beit­er seit­dem “die Förderung der Sicher­heit in der Infor­ma­tion­stech­nik” betreiben, näm­lich unter­suchen, berat­en und Hil­fe leis­ten. Typ­isch ist das Ange­bot eines leis­tungs­fähi­gen Viren­such­pro­grammes, für das jet­zt das 6. Update aus­geliefert wurde.

Das BSI kann aber nur Empfehlun­gen geben: Nie­mand muß sie umset­zen, nie­mand muß das Viren­such­pro­gramm ein­set­zen.

Forderun­gen zur IT-Sicher­heit stellt jedoch auch das Bun­des­daten­schutzge­setz (BDSG). Regelungsziel des BDSG — und Grundgedanke des Daten­schutzes — ist es, den einzel­nen davor zu schützen, daß er durch den Umgang mit seinen Dat­en in seinem Per­sön­lichkeit­srecht beein­trächtigt wird. Nach den Vorschriften des BDSG sind bei der Ver­ar­beitung und Nutzung per­so­n­en­be­zo­gen­er Dat­en zwei Grund­sätze zu berück­sichti­gen:

  • Per­so­n­en­be­zo­gene Dat­en dür­fen nur soweit erhoben, ver­ar­beit­et und genutzt wer­den, wie dies geset­zlich erlaubt und im Einzel­nen erforder­lich ist — es sei denn, der Betrof­fene hat eingewil­ligt.
  • Dabei sind angemessene tech­nis­che und organ­isatorische Maß­nah­men zur Daten­sicherung zu tre­f­fen.

Wenn per­so­n­en­be­zo­gene Dat­en ver­ar­beit­et wer­den, beste­ht also eine geset­zliche Verpflich­tung, Daten­sicherungs­maß­nah­men zu tre­f­fen. Diese müssenauch die IT-Sicher­heit gewährleis­ten, darüber­hin­aus jedoch ein­er Rei­he weit­er­er Erfordernisse entsprechen. So ist z.B. das Auskun­ft­srecht der Betrof­fe­nen — die spe­ich­ernde Stelle hat ihnen auf Anfrage die zu ihrer Per­son gespe­icherten Dat­en aktuell und voll­ständig mitzuteilen — tech­nisch und organ­isatorisch zu gewährleis­ten; z.B. für ein Unternehmen mit zahlre­ichen Nieder­las­sun­gen im gesamten Bun­des­ge­bi­et dur­chaus keine Triv­ialauf­gabe.

Welche Maß­nah­men zur Daten­sicherung zu tre­f­fen sind, regeln die Vorschriften des § 9 BDSG sowie der Anlage hierzu. Diese enthält die “Zehn Gebote der Daten­sicherung” für den IT-Ein­satz zur Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en:

“Wer­den per­so­n­en­be­zo­gene Dat­en automa­tisiert ver­ar­beit­et, sind Maß­nah­men zu tre­f­fen, die je nach der Art der zu schützen­den per­so­n­en­be­zo­ge­nen Dat­en geeignet sind,

  1. Unbefugten den Zugang zu Daten­ver­ar­beitungsan­la­gen, mit denen per­so­n­en­be­zo­gene Dat­en ver­ar­beit­et wer­den, zu ver­wehren (Zugangskon­trolle),
  2. zu ver­hin­dern, daß Daten­träger unbefugt gele­sen, kopiert, verän­dert oder ent­fer­nt wer­den kön­nen (Daten­trägerkon­trolle),
  3. Die unbefugte Eingabe in den Spe­ich­er sowie die unbefugte Ken­nt­nis­nahme, Verän­derung oder Löschung gespe­ichert­er per­so­n­en­be­zo­gen­er Dat­en zu ver­hin­dern (Spe­icherkon­trolle),
  4. zu ver­hin­dern, daß Daten­ver­ar­beitungssys­teme mit Hil­fe von Ein­rich­tun­gen zur Datenüber­tra­gung von Unbefugten genutzt wer­den kön­nen (Benutzerkon­trolle),
  5. zu gewährleis­ten, daß die zur Benutzung eines Daten­ver­ar­beitungssys­tems Berechtigten auss­chließlich auf die ihrer Zugriffs­berech­ti­gung unter­liegen­den Dat­en zugreifen kön­nen (Zugriff­skon­trolle),
  6. zu gewährleis­ten, daß über­prüft und fest­gestellt wer­den kann, an welche Stellen per­so­n­en­be­zo­gene Dat­en durch Ein­rich­tun­gen zur Datenüber­tra­gung über­mit­telt wer­den kön­nen (Über­mit­tlungskon­trolle),
  7. zu gewährleis­ten, daß nachträglich über­prüft und fest­gestellt wer­den kann, welche per­so­n­en­be­zo­gene Dat­en zu welch­er Zeit von wem in Daten­ver­ar­beitungssys­teme eingegeben wor­den sind (Eingabekon­trolle),
  8. zu gewährleis­ten, daß per­so­n­en­be­zo­gene Dat­en, die im Auf­trag ver­ar­beit­et wer­den, nur entsprechend den Weisun­gen des Auf­tragge­bers ver­ar­beit­et wer­den kön­nen (Auf­tragskon­trolle),
  9. zu ver­hin­dern, daß bei der Über­tra­gung per­so­n­en­be­zo­gen­er Dat­en sowie beim Trans­port von Daten­trägern die Dat­en unbefugt gele­sen, kopiert, verän­dert oder gelöscht wer­den kön­nen (Trans­portkon­trolle),

die inner­be­hördliche oder inner­be­triebliche Organ­i­sa­tion so zu gestal­ten, daß sie den beson­deren Anforderun­gen des Daten­schutzes gerecht wird (Organ­i­sa­tion­skon­trolle).”