Home Ver­an­stal­tun­gen Deut­scher EDV-Gerichts­tag 5. Deut­scher EDV-Gerichts­tag 1996 Arbeits­krei­se Viren und Viren­schutz

Viren und Viren­schutz

Zeit: Don­ners­tag, 15.30 Uhr
Ort: HS 106
Mode­ra­ti­on: Herr Dr. W. Tau­chert, Deut­sches Patent­amt, Mün­chen
Refe­ren­ten: Herr Pro­fes­sor Dr. Brunn­stein, Uni­ver­si­tät Ham­burg
Herr Regie­rungs­di­rek­tor Alke, vom Bun­des­be­auf­trag­ten für den Daten­schutz

Ziel­set­zung des Arbeits­krei­ses ist die Auf­klä­rung über die Wir­kungs­wei­se, das Gefah­ren­po­ten­ti­al und die Abwehr­mög­lich­kei­ten von Viren (Vor­trag 1, Brunn­stein) sowie über die gesetz­li­chen Vor­schrif­ten zur Daten­si­cher­heit (Vor­trag 2, Alke).

Die Fra­ge­stel­lun­gen wer­den in zwei Vor­trä­gen auf­be­rei­tet. Anschlie­ßend besteht Gele­gen­heit zur Dis­kus­si­on.

Vor­trag 1: „Com­pu­ter-Viren:
Stand der Bedro­hung, Erken­nung, Gegen­maß­nah­men, Rechts­pro­ble­me“

Dr. Klaus Brunn­stein
Pro­fes­sor für Anwen­dun­gen der Infor­ma­tik
Uni­ver­si­tät Ham­burg

Heu­te ver­brei­tet ein­ge­setz­te Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­ni­ken sind nicht unter dem Gesichts­punkt eines siche­ren Betrie­bes kon­zi­piert wor­den. Ins­be­son­de­re wur­den „Per­so­nal Com­pu­ter“ unter Micro­soft-Betriebs­sys­te­men (MS-DOS, Win­dows) für „per­sön­li­che Zwe­cke“ (ursprüng­lich als „Home Com­pu­ter“) geplant, wobei Sicher­heits­an­for­de­run­gen – etwa Gewähr­leis­tung der Iden­ti­tät und Authen­ti­zi­tät von Benut­zern, Kon­trol­le der Zugangs- und Benut­zungs­be­rech­ti­gun­gen, Gewähr­leis­tung der gefor­der­ten Funk­tio­nen, bis hin zur Auf­zeich­nung even­tu­el­ler Schutz­ver­let­zun­gen - nicht berück­sich­tigt wur­den. Bei UNIX-Sys­te­men, heu­te in Cli­ent-Ser­ver-Sys­te­men viel­fach ein­ge­setzt, wur­den sogar die umfang­rei­chen Sicher­heits­me­cha­nis­men des MUL­TICS-Sys­te­men bewußt aus­ge­baut, um Anwen­dun­gen im tech­nisch-wis­sen­schaft­li­chen Laborschnel­ler und effi­zi­en­ter (wenn auch weni­ger sicher) durch­füh­ren zu kön­nen. Erst bei eini­gen Wei­ter­ent­wick­lun­gen (OS/2, Win­dows NT, Secu­re UNIX) wur­den eini­ge Sicher­heits­as­pek­te nach­träg­lich berück­sich­tigt.

Weil PCs und UNIX-Sys­te­me trotz ihrer erheb­li­chen Män­gel sich in wich­ti­gen Anwen­dun­gen in Wirt­schaft, Staat und Gesell­schaft epi­de­misch aus­ge­brei­tet haben, sind schäd­li­che Fol­gen unver­meid­bar. Aber nicht bloß tech­ni­sche Män­gel der Hard­ware und Soft­ware, der schlech­te Aus­bil­dungs- und Kom­pe­tenz­stan­dard vie­ler Benut­zer und das man­gel­haf­te Sicher­heits­be­wußt­sein von Ent­schei­dern füh­ren zu spür­ba­ren Kon­se­quen­zen wie Fehl­funk­tio­nen von Pro­gram­men, Sys­te­men und Gerä­ten bis hin zum Daten­ver­lust. Auch uner­kannt ent­hal­te­ne Fehl­funk­tio­nen, etwa Pro­gramm­feh­lern wie „Wan­zen“ (bugs) oder „bös­ar­ti­ger Soft­ware“ wie Tro­ja­ni­sche Pfer­de und Computer-„Viren“ beein­träch­ti­gen die Beherrsch­bar­keit und Sicher­heit heu­ti­ger Infor­ma­ti­ons­tech­ni­ken.

Das an sich schon „un-siche­re“ Arbei­ten mit ein­zel­ste­hen­den Gerä­ten und Sys­te­men wird wei­ter beein­träch­tigt, wenn sol­che Gera­te über Netz­wer­ke ver­bun­den wer­den. Auch in jün­ge­ren Netz­werk­kon­zep­ten wur­den näm­lich ele­men­ta­re Sicher­heits­an­for­de­run­gen ver­nach­läs­sigt. Nicht bloß die tech­ni­schen Trä­ger der Netz­ver­bin­dung – lokal durch Koaxi­al­ka­bel oder über­re­gio­nal über die Lei­tun­gen der Tele­kom oder ande­rer Dienst­an­bie­ter – ber­gen Risi­ken, etwa der Abhör­bar­keit oder Stör­bar­keit. Erheb­li­che Risi­ken impor­tie­ren die Soft­ware­schich­ten, ange­fan­gen bei Über­tra­gungs­pro­to­kol­len (wobei das UNIX-nahe Inter­net-Pro­to­koll TCP/IP in vie­ler­lei Hin­sicht als Mus­ter eines unsi­che­ren Pro­to­kol­les gel­ten darf) bis zu man­chen Aspek­ten der Hard­ware, Soft­ware und Orga­ni­sa­ti­on der Netz­sys­te­me. Die Män­gel an sicher­heits­tech­ni­schen Ver­fah­ren machen „Angrif­fe“ – ob in bös­wil­li­ger Absicht oder als Neben­ef­fekt von Neu­gier und Spiel­trieb – oft all­zu ein­fach. So kann „bös­ar­ti­ge Netz-Soft­ware“ wie Computer-„Würmer“, Ket­ten­brie­fe sowie Hacker-Angrif­fe ein­schließ­lich Ver­fah­ren der Adreß­fäl­schung oder Abhö­rung von Net­zen zu erheb­li­chen Risi­kenbei­tra­gen.

Vor die­sem gene­rel­len Hin­ter­grund stellt der Vor­trag den aktu­el­len Stand der Bedro­hung durch „Com­pu­ter-Viren“ dar. Aus­ge­rich­tet auf PCs wer­den wich­ti­ge Arten von Viren, ins­be­son­de­re Sys­tem- (Boot- und MBR-) sowie Pro­gramm- (File-) Infek­to­ren vor­ge­stellt. Im Som­mer 1995 sind erst­mals auch Viren über Doku­men­te (ins­be­son­de­re Word) ver­brei­tet wor­den, wodurch eine neue Form der Bedro­hung („Makro-Viren“) ent­stand. Neben denVer­fah­ren der Ver­brei­tung („Infek­ti­on“) wird auch auf Selbst­schutz-Ver­fah­ren ein­ge­gan­gen (etwa durch selbst-Ver­schlüs­se­lung, „viel­ge­stal­ti­ge“ (oligo/polymorphische) Muta­ti­on, Tarn­kap­pen­ver­fah­ren (ste­alth) u.a.m., mit denen Viren gegen Ent­de­ckung „getarnt“ wer­den. Wir­kun­gen von Viren („pay­loads“) kön­nen die pro­gram­mier­ba­ren Aktio­nen sein, von der Anzei­ge eines Tex­tes über das Abspie­len einer Melo­die bis zum Über­schrei­ben von Daten und For­ma­tie­ren gan­zer Daten­trä­ger. Sol­che Wir­kun­gen kön­nen von Bedin­gun­gen („Trig­ger“), etwa einem spe­zi­el­len Datum oder dem Ein­tre­ten eines Ereig­nis­ses abhän­gen. Die Wir­kung eini­ger aus­ge­wähl­ter Viren wird demons­triert.

Ange­sichts der über 8.000 bekann­ten PC-Viren ist für deren Erken­nung und Besei­ti­gung ein gutes Stan­dard-Ver­fah­ren, „Anti-Virus-Pro­gramm„genannt, erfor­der­lich. Die Arbeits­wei­se sol­cher Pro­gram­me, etwa Viren-Scan­ner, heu­ris­ti­sche Prüf­ver­fah­ren, Inte­gri­täts- oder Check­sum­men­ver­fah­ren sowie die Gren­zen die­ser Ver­fah­ren wer­den vor­ge­stellt, und es wird über Test­ergeb­nis­se des Virus Test Cen­ters der Uni­ver­si­tät Ham­burgberich­tet. Es wer­den Maß­nah­men vor­ge­stellt, bei deren Beach­tung die Viren­ge­fahr zwar nicht völ­lig aus­ge­schlos­sen wer­den kann (weil Viren ja auch von sonst ver­trau­ens­wür­di­gen Her­stel­lern über­mit­telt wer­den kön­nen), aber die Risi­ken doch deut­lich mini­miert wer­den kön­nen. Es wer­den auch Hin­wei­se auf das Ver­hal­ten im Not­fall vor­ge­stellt.

Abschlie­ßend wird an Fall­bei­spie­len dar­ge­stellt, wel­che Pro­ble­me bei der recht­li­chen Ver­fol­gung von Viren­au­toren und Viren­ver­brei­tung sich erge­ben. Als Bei­spiel wird die Ver­ur­tei­lung des Viren­au­tors „Black Baron“ nach dem eng­li­schen „Com­pu­ter Misu­se Act“ (1995: 18 Mona­te Haft) dar­ge­stellt. Aus­ge­hend vom Bei­spiel des Schwei­zer Anti­Vi­ren-Geset­zes wird gezeigt, war­um die all­ge­mei­ne Straf­be­stim­mung „Com­pu­ter­sa­bo­ta­ge“ (§ 303b StGB) für die Beur­tei­lung von Viren­kri­mi­na­li­tät wenig geeig­net ist.

Vor­trag 2: Daten­si­che­rung als Fol­ge­rung des Bun­des­da­ten­schutz­ge­set­zes

Dipl.-Ing. Horst Alke, Regie­rungs­di­rek­tor beim Bun­des­be­auf­trag­ten für Daten­schutz

Die Infor­ma­ti­ons­tech­nik (IT) ist inzwi­schen eine Schlüs­sel­tech­no­lo­gie für die wirt­schaft­li­che und gesell­schaft­li­che Ent­wick­lung unse­res Lan­des gewor­den; sie ist auch unver­zicht­bar für die Funk­ti­ons­fä­hig­keit des Sozi­al­staa­tes. Umso wich­ti­ger ist es heu­te, sich der Risi­ken und Gefah­ren beim – und durch den – Ein­satz der IT bewußt zu sein und ihnen ent­ge­gen­zu­wir­ken.

Da gilt es zunächst, für „IT-Sicher­heit“ zu sor­gen, also Sys­te­me und Daten selbst zu sichern, d.h. ihre

  • Ver­füg­bar­keit,
  • Inte­gri­tät und
  • Ver­trau­lich­keit

zu erhal­ten. Durch Gesetz wur­de 1990 das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) in Bonn begrün­det, des­sen 300 Mit­ar­bei­ter seit­dem „die För­de­rung der Sicher­heit in der Infor­ma­ti­ons­tech­nik“ betrei­ben, näm­lich unter­su­chen, bera­ten und Hil­fe leis­ten. Typisch ist das Ange­bot eines leis­tungs­fä­hi­gen Viren­such­pro­gram­mes, für das jetzt das 6. Update aus­ge­lie­fert wur­de.

Das BSI kann aber nur Emp­feh­lun­gen geben: Nie­mand muß sie umset­zen, nie­mand muß das Viren­such­pro­gramm ein­set­zen.

For­de­run­gen zur IT-Sicher­heit stellt jedoch auch das Bun­des­da­ten­schutz­ge­setz (BDSG). Rege­lungs­ziel des BDSG – und Grund­ge­dan­ke des Daten­schut­zes – ist es, den ein­zel­nen davor zu schüt­zen, daß er durch den Umgang mit sei­nen Daten in sei­nem Per­sön­lich­keits­recht beein­träch­tigt wird. Nach den Vor­schrif­ten des BDSG sind bei der Ver­ar­bei­tung und Nut­zung per­so­nen­be­zo­ge­ner Daten zwei Grund­sät­ze zu berück­sich­ti­gen:

  • Per­so­nen­be­zo­ge­ne Daten dür­fen nur soweit erho­ben, ver­ar­bei­tet und genutzt wer­den, wie dies gesetz­lich erlaubt und im Ein­zel­nen erfor­der­lich ist – es sei denn, der Betrof­fe­ne hat ein­ge­wil­ligt.
  • Dabei sind ange­mes­se­ne tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zur Daten­si­che­rung zu tref­fen.

Wenn per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den, besteht also eine gesetz­li­che Ver­pflich­tung, Daten­si­che­rungs­maß­nah­men zu tref­fen. Die­se müs­senauch die IT-Sicher­heit gewähr­leis­ten, dar­über­hin­aus jedoch einer Rei­he wei­te­rer Erfor­der­nis­se ent­spre­chen. So ist z.B. das Aus­kunfts­recht der Betrof­fe­nen – die spei­chern­de Stel­le hat ihnen auf Anfra­ge die zu ihrer Per­son gespei­cher­ten Daten aktu­ell und voll­stän­dig mit­zu­tei­len – tech­nisch und orga­ni­sa­to­risch zu gewähr­leis­ten; z.B. für ein Unter­neh­men mit zahl­rei­chen Nie­der­las­sun­gen im gesam­ten Bun­des­ge­biet durch­aus kei­ne Tri­vi­al­auf­ga­be.

Wel­che Maß­nah­men zur Daten­si­che­rung zu tref­fen sind, regeln die Vor­schrif­ten des § 9 BDSG sowie der Anla­ge hier­zu. Die­se ent­hält die „Zehn Gebo­te der Daten­si­che­rung“ für den IT-Ein­satz zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten:

Wer­den per­so­nen­be­zo­ge­ne Daten auto­ma­ti­siert ver­ar­bei­tet, sind Maß­nah­men zu tref­fen, die je nach der Art der zu schüt­zen­den per­so­nen­be­zo­ge­nen Daten geeig­net sind,

  1. Unbe­fug­ten den Zugang zu Daten­ver­ar­bei­tungs­an­la­gen, mit denen per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den, zu ver­weh­ren (Zugangs­kon­trol­le),
  2. zu ver­hin­dern, daß Daten­trä­ger unbe­fugt gele­sen, kopiert, ver­än­dert oder ent­fernt wer­den kön­nen (Daten­trä­ger­kon­trol­le),
  3. Die unbe­fug­te Ein­ga­be in den Spei­cher sowie die unbe­fug­te Kennt­nis­nah­me, Ver­än­de­rung oder Löschung gespei­cher­ter per­so­nen­be­zo­ge­ner Daten zu ver­hin­dern (Spei­cher­kon­trol­le),
  4. zu ver­hin­dern, daß Daten­ver­ar­bei­tungs­sys­te­me mit Hil­fe von Ein­rich­tun­gen zur Daten­über­tra­gung von Unbe­fug­ten genutzt wer­den kön­nen (Benut­zer­kon­trol­le),
  5. zu gewähr­leis­ten, daß die zur Benut­zung eines Daten­ver­ar­bei­tungs­sys­tems Berech­tig­ten aus­schließ­lich auf die ihrer Zugriffs­be­rech­ti­gung unter­lie­gen­den Daten zugrei­fen kön­nen (Zugriffs­kon­trol­le),
  6. zu gewähr­leis­ten, daß über­prüft und fest­ge­stellt wer­den kann, an wel­che Stel­len per­so­nen­be­zo­ge­ne Daten durch Ein­rich­tun­gen zur Daten­über­tra­gung über­mit­telt wer­den kön­nen (Über­mitt­lungs­kon­trol­le),
  7. zu gewähr­leis­ten, daß nach­träg­lich über­prüft und fest­ge­stellt wer­den kann, wel­che per­so­nen­be­zo­ge­ne Daten zu wel­cher Zeit von wem in Daten­ver­ar­bei­tungs­sys­te­me ein­ge­ge­ben wor­den sind (Ein­ga­be­kon­trol­le),
  8. zu gewähr­leis­ten, daß per­so­nen­be­zo­ge­ne Daten, die im Auf­trag ver­ar­bei­tet wer­den, nur ent­spre­chend den Wei­sun­gen des Auf­trag­ge­bers ver­ar­bei­tet wer­den kön­nen (Auf­trags­kon­trol­le),
  9. zu ver­hin­dern, daß bei der Über­tra­gung per­so­nen­be­zo­ge­ner Daten sowie beim Trans­port von Daten­trä­gern die Daten unbe­fugt gele­sen, kopiert, ver­än­dert oder gelöscht wer­den kön­nen (Trans­port­kon­trol­le),

die inner­be­hörd­li­che oder inner­be­trieb­li­che Orga­ni­sa­ti­on so zu gestal­ten, daß sie den beson­de­ren Anfor­de­run­gen des Daten­schut­zes gerecht wird (Orga­ni­sa­ti­ons­kon­trol­le).“