Was tun gegen das Wurm-Übel?
Artikel erschienen in Swiss IT Magazine 2003/17
Die letzten Wochen haben überdeutlich gezeigt, wie machtlos die Antiviren-Industrie gegen die jüngsten Computerwürmer ist. Blaster und Sobig.F haben sich derart schnell verbreitet, dass die Hersteller schlicht und einfach zu langsam waren mit ihren Gegenmittel. Der Schaden konnte nicht mehr verhindert werden.
Selbst die automatischen Virenupdate-Funktionen boten in nützlicher Zeit keinen Schutz. Als gar völlig nutzlos erwiesen sich übrigens coole Hightech-Tricks wie sogenannte heuristische Erkennungsfunktionen, die Viren identifizieren und ausschalten sollen, bevor sie überhaupt bekannt sind. In Klammern bemerkt: Ich kenne keinen einzigen Virenfall, wo diese Falle bisher zugeschnappt hätte.
Gegen Würmer wie Sobic.F scheint kein Kraut gewachsen. Es sind regelrechte Turbo-Würmer, die in der Lage sind, innert wenigen Stunden Hunderttausende von Maschinen zu infizieren. Die Verbreitungs-Methoden der Würmer werden dabei immer vielfältiger: Sei dies direkt über Schwachstellen in Software-Produkten, die vom Internet erreichbar sind, über E-Mail-Attachements, Verzeichnis-Freigaben, P2P-Filesharing oder Instant-Messaging-Netzwerke.
Diese Turbo-Würmer kombinieren oft mehrere Verbreitungsmethoden und nutzen mehr als nur eine Schwachstelle aus. Ja, sie sind sogar im Stande, sich selber zu verändern. Sobic.F war so programmiert, dass er zu einem bestimmten Zeitpunkt aus einer Liste von 20 Servern sich selber aktualisieren würde. Dieses Nachladen wurde in letzter Sekunde verhindert, indem die Server vom Internet genommen wurden.
Doch in Zukunft werden solche Rettungsaktionen vielleicht bald nicht mehr möglich sein. Was würde beispielsweise geschehen, wenn ein Wurm-Programmierer auf die Idee kommt, die Verbreitung und Aktualisierung über ein serverloses P2P-Netzwerk zu vollziehen? Solche Killer-Würmer wären in der Lage, immer wieder neu zu mutieren und damit das Internet regelrecht niederzureissen.
Doch auch Killer-Würmer haben einen wunden Punkt. Sie können sich nur so schnell verbreiten, weil Administratoren nicht nachkommen, ihre Applikationen und Betriebsysteme rechtzeitig zu patchen und weil Computer-Benutzer unbedarft auf Mailanhänge klicken. Ich bin durchaus optimistisch, dass die Anwender - selbst die unbedarftesten - ihre Lektion mit der Zeit lernen.
Pessimistisch bin ich hingegen bei den Patches: Trotz grossen Versprechungen hat es Branchen-Primus Microsoft nicht geschafft, seine Bugs in den Griff zu bekommen. Ganz im Gegenteil: Unter Windows XP werden Anwender von neuen Sicherheitsupdates regelrecht erschlagen. Anstatt endlich eine sichere Standard-Installation anzubieten und neue Windows-Versionen mehr auf Sicherheit als auf neue Features zu trimmen, wird in Redmond über eine komplett automatisierte Update-Funktion diskutiert, die Bugfixes ohne Eingreifen des Benutzers installiert. An sich klug, wird doch damit die Reaktionszeit verkürzt.
Doch die Funktion birgt gewaltige Risiken. Was ist, wenn ein Patch das System unstabil oder sogar unbrauchbar macht? Was ist, wenn es jemand schafft, den offenen Zugang zu missbrauchen, um eigene gefährliche Software zu installieren? Die neue Funktion ist auch kaum in Firmen realisierbar: Wer möchte schon gerne von Microsoft direkt gepatched werden?
Wenn es den Softwareherstellern nicht gelingt, ihren Code besser in den Griff zu bekommen, sehe ich schwarz. Doch da ist Microsoft nicht alleine. Schwachstellen haben auch andere Produkte. Unternehmen bleibt heute nur die Option, ihre Patch-Management-Aktivitäten zu intensivieren.