Home Ver­an­stal­tun­gen Deut­scher EDV-Gerichtstag 5. Deut­scher EDV-Gerichtstag 1996 Arbeits­kreise Viren und Viren­schutz

Viren und Viren­schutz

Zeit: Don­ners­tag, 15.30 Uhr
Ort: HS 106
Mode­ra­tion: Herr Dr. W. Tau­chert, Deut­sches Patent­amt, Mün­chen
Refe­ren­ten: Herr Pro­fes­sor Dr. Brunn­stein, Uni­ver­si­tät Ham­burg
Herr Regie­rungs­di­rek­tor Alke, vom Bun­des­be­auf­trag­ten für den Daten­schutz

Ziel­set­zung des Arbeits­krei­ses ist die Auf­klä­rung über die Wir­kungs­weise, das Gefah­ren­po­ten­tial und die Abwehr­mög­lich­kei­ten von Viren (Vor­trag 1, Brunn­stein) sowie über die gesetz­li­chen Vor­schrif­ten zur Daten­si­cher­heit (Vor­trag 2, Alke).

Die Fra­ge­stel­lun­gen wer­den in zwei Vor­trä­gen auf­be­rei­tet. Anschlie­ßend besteht Gele­gen­heit zur Dis­kus­sion.

Vor­trag 1: „Computer-Viren:
Stand der Bedro­hung, Erken­nung, Gegen­maß­nah­men, Rechts­pro­bleme“

Dr. Klaus Brunn­stein
Pro­fes­sor für Anwen­dun­gen der Infor­ma­tik
Uni­ver­si­tät Ham­burg

Heute ver­brei­tet ein­ge­setzte Informations- und Kom­mu­ni­ka­ti­ons­tech­ni­ken sind nicht unter dem Gesichts­punkt eines siche­ren Betrie­bes kon­zi­piert wor­den. Ins­be­son­dere wur­den „Per­so­nal Com­pu­ter“ unter Microsoft-Betriebssystemen (MS-DOS, Win­dows) für „per­sön­li­che Zwe­cke“ (ursprüng­lich als „Home Com­pu­ter”) geplant, wobei Sicher­heits­an­for­de­run­gen – etwa Gewähr­leis­tung der Iden­ti­tät und Authen­ti­zi­tät von Benut­zern, Kon­trolle der Zugangs- und Benut­zungs­be­rech­ti­gun­gen, Gewähr­leis­tung der gefor­der­ten Funk­tio­nen, bis hin zur Auf­zeich­nung even­tu­el­ler Schutz­ver­let­zun­gen - nicht berück­sich­tigt wur­den. Bei UNIX-Systemen, heute in Client-Server-Systemen viel­fach ein­ge­setzt, wur­den sogar die umfang­rei­chen Sicher­heits­me­cha­nis­men des MULTICS-Systemen bewußt aus­ge­baut, um Anwen­dun­gen im technisch-wissenschaftlichen Laborschnel­ler und effi­zi­en­ter (wenn auch weni­ger sicher) durch­füh­ren zu kön­nen. Erst bei eini­gen Wei­ter­ent­wick­lun­gen (OS/2, Win­dows NT, Secure UNIX) wur­den einige Sicher­heits­as­pekte nach­träg­lich berück­sich­tigt.

Weil PCs und UNIX-Systeme trotz ihrer erheb­li­chen Män­gel sich in wich­ti­gen Anwen­dun­gen in Wirt­schaft, Staat und Gesell­schaft epi­de­misch aus­ge­brei­tet haben, sind schäd­li­che Fol­gen unver­meid­bar. Aber nicht bloß tech­ni­sche Män­gel der Hard­ware und Soft­ware, der schlechte Ausbildungs- und Kom­pe­tenz­stan­dard vie­ler Benut­zer und das man­gel­hafte Sicher­heits­be­wußt­sein von Ent­schei­dern füh­ren zu spür­ba­ren Kon­se­quen­zen wie Fehl­funk­tio­nen von Pro­gram­men, Sys­te­men und Gerä­ten bis hin zum Daten­ver­lust. Auch uner­kannt ent­hal­tene Fehl­funk­tio­nen, etwa Pro­gramm­feh­lern wie „Wan­zen“ (bugs) oder „bös­ar­ti­ger Soft­ware“ wie Tro­ja­ni­sche Pferde und Computer-„Viren“ beein­träch­ti­gen die Beherrsch­bar­keit und Sicher­heit heu­ti­ger Infor­ma­ti­ons­tech­ni­ken.

Das an sich schon „un-sichere“ Arbei­ten mit ein­zel­ste­hen­den Gerä­ten und Sys­te­men wird wei­ter beein­träch­tigt, wenn sol­che Gerate über Netz­werke ver­bun­den wer­den. Auch in jün­ge­ren Netz­werk­kon­zep­ten wur­den näm­lich ele­men­tare Sicher­heits­an­for­de­run­gen ver­nach­läs­sigt. Nicht bloß die tech­ni­schen Trä­ger der Netz­ver­bin­dung – lokal durch Koaxi­al­ka­bel oder über­re­gio­nal über die Lei­tun­gen der Tele­kom oder ande­rer Dienst­an­bie­ter – ber­gen Risi­ken, etwa der Abhör­bar­keit oder Stör­bar­keit. Erheb­li­che Risi­ken impor­tie­ren die Soft­ware­schich­ten, ange­fan­gen bei Über­tra­gungs­pro­to­kol­len (wobei das UNIX-nahe Inter­net–Pro­to­koll TCP/IP in vie­ler­lei Hin­sicht als Mus­ter eines unsi­che­ren Pro­to­kol­les gel­ten darf) bis zu man­chen Aspek­ten der Hard­ware, Soft­ware und Orga­ni­sa­tion der Netz­sys­teme. Die Män­gel an sicher­heits­tech­ni­schen Ver­fah­ren machen „Angriffe“ – ob in bös­wil­li­ger Absicht oder als Neben­ef­fekt von Neu­gier und Spiel­trieb – oft allzu ein­fach. So kann „bös­ar­tige Netz-Software“ wie Computer-„Würmer“, Ket­ten­briefe sowie Hacker-Angriffe ein­schließ­lich Ver­fah­ren der Adreß­fäl­schung oder Abhö­rung von Net­zen zu erheb­li­chen Risi­kenbei­tra­gen.

Vor die­sem gene­rel­len Hin­ter­grund stellt der Vor­trag den aktu­el­len Stand der Bedro­hung durch „Computer-Viren“ dar. Aus­ge­rich­tet auf PCs wer­den wich­tige Arten von Viren, ins­be­son­dere Sys­tem– (Boot- und MBR-) sowie Pro­gramm– (File-) Infek­to­ren vor­ge­stellt. Im Som­mer 1995 sind erst­mals auch Viren über Doku­mente (ins­be­son­dere Word) ver­brei­tet wor­den, wodurch eine neue Form der Bedro­hung (“Makro-Viren”) ent­stand. Neben denVer­fah­ren der Ver­brei­tung (“Infek­tion”) wird auch auf Selbstschutz-Verfahren ein­ge­gan­gen (etwa durch selbst-Verschlüsselung, „viel­ge­stal­tige“ (oligo/polymorphische) Muta­tion, Tarn­kap­pen­ver­fah­ren (ste­alth) u.a.m., mit denen Viren gegen Ent­de­ckung „getarnt“ wer­den. Wir­kun­gen von Viren (“pay­loads”) kön­nen die pro­gram­mier­ba­ren Aktio­nen sein, von der Anzeige eines Tex­tes über das Abspie­len einer Melo­die bis zum Über­schrei­ben von Daten und For­ma­tie­ren gan­zer Daten­trä­ger. Sol­che Wir­kun­gen kön­nen von Bedin­gun­gen (“Trig­ger”), etwa einem spe­zi­el­len Datum oder dem Ein­tre­ten eines Ereig­nis­ses abhän­gen. Die Wir­kung eini­ger aus­ge­wähl­ter Viren wird demons­triert.

Ange­sichts der über 8.000 bekann­ten PC-Viren ist für deren Erken­nung und Besei­ti­gung ein gutes Standard-Verfahren, „Anti-Virus-Programm„genannt, erfor­der­lich. Die Arbeits­weise sol­cher Pro­gramme, etwa Viren-Scanner, heu­ris­ti­sche Prüf­ver­fah­ren, Integritäts- oder Check­sum­men­ver­fah­ren sowie die Gren­zen die­ser Ver­fah­ren wer­den vor­ge­stellt, und es wird über Test­ergeb­nisse des Virus Test Cen­ters der Uni­ver­si­tät Ham­burgberich­tet. Es wer­den Maß­nah­men vor­ge­stellt, bei deren Beach­tung die Viren­ge­fahr zwar nicht völ­lig aus­ge­schlos­sen wer­den kann (weil Viren ja auch von sonst ver­trau­ens­wür­di­gen Her­stel­lern über­mit­telt wer­den kön­nen), aber die Risi­ken doch deut­lich mini­miert wer­den kön­nen. Es wer­den auch Hin­weise auf das Ver­hal­ten im Not­fall vor­ge­stellt.

Abschlie­ßend wird an Fall­bei­spie­len dar­ge­stellt, wel­che Pro­bleme bei der recht­li­chen Ver­fol­gung von Viren­au­to­ren und Viren­ver­brei­tung sich erge­ben. Als Bei­spiel wird die Ver­ur­tei­lung des Viren­au­tors „Black Baron“ nach dem eng­li­schen „Com­pu­ter Misuse Act“ (1995: 18 Monate Haft) dar­ge­stellt. Aus­ge­hend vom Bei­spiel des Schwei­zer AntiViren-Gesetzes wird gezeigt, warum die all­ge­meine Straf­be­stim­mung „Com­put­ers­a­bo­tage“ (§ 303b StGB) für die Beur­tei­lung von Viren­kri­mi­na­li­tät wenig geeig­net ist.

Vor­trag 2: Daten­si­che­rung als Fol­ge­rung des Bun­des­da­ten­schutz­ge­set­zes

Dipl.-Ing. Horst Alke, Regie­rungs­di­rek­tor beim Bun­des­be­auf­trag­ten für Daten­schutz

Die Infor­ma­ti­ons­tech­nik (IT) ist inzwi­schen eine Schlüs­sel­tech­no­lo­gie für die wirt­schaft­li­che und gesell­schaft­li­che Ent­wick­lung unse­res Lan­des gewor­den; sie ist auch unver­zicht­bar für die Funk­ti­ons­fä­hig­keit des Sozi­al­staa­tes. Umso wich­ti­ger ist es heute, sich der Risi­ken und Gefah­ren beim – und durch den – Ein­satz der IT bewußt zu sein und ihnen ent­ge­gen­zu­wir­ken.

Da gilt es zunächst, für „IT-Sicherheit“ zu sor­gen, also Sys­teme und Daten selbst zu sichern, d.h. ihre

  • Ver­füg­bar­keit,
  • Inte­gri­tät und
  • Ver­trau­lich­keit

zu erhal­ten. Durch Gesetz wurde 1990 das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) in Bonn begrün­det, des­sen 300 Mit­ar­bei­ter seit­dem „die För­de­rung der Sicher­heit in der Infor­ma­ti­ons­tech­nik“ betrei­ben, näm­lich unter­su­chen, bera­ten und Hilfe leis­ten. Typisch ist das Ange­bot eines leis­tungs­fä­hi­gen Viren­such­pro­gram­mes, für das jetzt das 6. Update aus­ge­lie­fert wurde.

Das BSI kann aber nur Emp­feh­lun­gen geben: Nie­mand muß sie umset­zen, nie­mand muß das Viren­such­pro­gramm ein­set­zen.

For­de­run­gen zur IT-Sicherheit stellt jedoch auch das Bun­des­da­ten­schutz­ge­setz (BDSG). Rege­lungs­ziel des BDSG – und Grund­ge­danke des Daten­schut­zes – ist es, den ein­zel­nen davor zu schüt­zen, daß er durch den Umgang mit sei­nen Daten in sei­nem Per­sön­lich­keits­recht beein­träch­tigt wird. Nach den Vor­schrif­ten des BDSG sind bei der Ver­ar­bei­tung und Nut­zung per­so­nen­be­zo­ge­ner Daten zwei Grund­sätze zu berück­sich­ti­gen:

  • Per­so­nen­be­zo­gene Daten dür­fen nur soweit erho­ben, ver­ar­bei­tet und genutzt wer­den, wie dies gesetz­lich erlaubt und im Ein­zel­nen erfor­der­lich ist – es sei denn, der Betrof­fene hat ein­ge­wil­ligt.
  • Dabei sind ange­mes­sene tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zur Daten­si­che­rung zu tref­fen.

Wenn per­so­nen­be­zo­gene Daten ver­ar­bei­tet wer­den, besteht also eine gesetz­li­che Ver­pflich­tung, Daten­si­che­rungs­maß­nah­men zu tref­fen. Diese müs­senauch die IT-Sicherheit gewähr­leis­ten, dar­über­hin­aus jedoch einer Reihe wei­te­rer Erfor­der­nisse ent­spre­chen. So ist z.B. das Aus­kunfts­recht der Betrof­fe­nen – die spei­chernde Stelle hat ihnen auf Anfrage die zu ihrer Per­son gespei­cher­ten Daten aktu­ell und voll­stän­dig mit­zu­tei­len – tech­nisch und orga­ni­sa­to­risch zu gewähr­leis­ten; z.B. für ein Unter­neh­men mit zahl­rei­chen Nie­der­las­sun­gen im gesam­ten Bun­des­ge­biet durch­aus keine Tri­vi­al­auf­gabe.

Wel­che Maß­nah­men zur Daten­si­che­rung zu tref­fen sind, regeln die Vor­schrif­ten des § 9 BDSG sowie der Anlage hierzu. Diese ent­hält die „Zehn Gebote der Daten­si­che­rung“ für den IT-Einsatz zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten:

Wer­den per­so­nen­be­zo­gene Daten auto­ma­ti­siert ver­ar­bei­tet, sind Maß­nah­men zu tref­fen, die je nach der Art der zu schüt­zen­den per­so­nen­be­zo­ge­nen Daten geeig­net sind,

  1. Unbe­fug­ten den Zugang zu Daten­ver­ar­bei­tungs­an­la­gen, mit denen per­so­nen­be­zo­gene Daten ver­ar­bei­tet wer­den, zu ver­weh­ren (Zugangs­kon­trolle),
  2. zu ver­hin­dern, daß Daten­trä­ger unbe­fugt gele­sen, kopiert, ver­än­dert oder ent­fernt wer­den kön­nen (Daten­trä­ger­kon­trolle),
  3. Die unbe­fugte Ein­gabe in den Spei­cher sowie die unbe­fugte Kennt­nis­nahme, Ver­än­de­rung oder Löschung gespei­cher­ter per­so­nen­be­zo­ge­ner Daten zu ver­hin­dern (Spei­cher­kon­trolle),
  4. zu ver­hin­dern, daß Daten­ver­ar­bei­tungs­sys­teme mit Hilfe von Ein­rich­tun­gen zur Daten­über­tra­gung von Unbe­fug­ten genutzt wer­den kön­nen (Benut­zer­kon­trolle),
  5. zu gewähr­leis­ten, daß die zur Benut­zung eines Daten­ver­ar­bei­tungs­sys­tems Berech­tig­ten aus­schließ­lich auf die ihrer Zugriffs­be­rech­ti­gung unter­lie­gen­den Daten zugrei­fen kön­nen (Zugriffs­kon­trolle),
  6. zu gewähr­leis­ten, daß über­prüft und fest­ge­stellt wer­den kann, an wel­che Stel­len per­so­nen­be­zo­gene Daten durch Ein­rich­tun­gen zur Daten­über­tra­gung über­mit­telt wer­den kön­nen (Über­mitt­lungs­kon­trolle),
  7. zu gewähr­leis­ten, daß nach­träg­lich über­prüft und fest­ge­stellt wer­den kann, wel­che per­so­nen­be­zo­gene Daten zu wel­cher Zeit von wem in Daten­ver­ar­bei­tungs­sys­teme ein­ge­ge­ben wor­den sind (Ein­ga­be­kon­trolle),
  8. zu gewähr­leis­ten, daß per­so­nen­be­zo­gene Daten, die im Auf­trag ver­ar­bei­tet wer­den, nur ent­spre­chend den Wei­sun­gen des Auf­trag­ge­bers ver­ar­bei­tet wer­den kön­nen (Auf­trags­kon­trolle),
  9. zu ver­hin­dern, daß bei der Über­tra­gung per­so­nen­be­zo­ge­ner Daten sowie beim Trans­port von Daten­trä­gern die Daten unbe­fugt gele­sen, kopiert, ver­än­dert oder gelöscht wer­den kön­nen (Trans­port­kon­trolle),

die inner­be­hörd­li­che oder inner­be­trieb­li­che Orga­ni­sa­tion so zu gestal­ten, daß sie den beson­de­ren Anfor­de­run­gen des Daten­schut­zes gerecht wird (Orga­ni­sa­ti­ons­kon­trolle).“

Seite Drucken