Das Internet ist gegenüber solchen Angriffen relativ stabil
Interview mit Frank W. Felzmann, Virenexperte beim Bundesamt für Sicherheit in der Informationstechnik
Das Netz sowie die Online-Medien und die Massenmedien befinden sich im Liebesrausch: Gestern und heute sorgte der unscheinbare Liebesbrief mit der verheerenden Wirkung für Schlagzeilen in allen Nachrichtensendungen, landete auf den Titelblättern aller Zeitungen und hält natürlich auch die News-Ticker im Web am Laufen. Nachdem die Warnung, bloß nicht dem freundlichen Hinweis "Kindly check the attached LOVELETTER coming from me" nachzugehen, inzwischen auch den noch nicht betroffenen Windows-Outlook-User erreicht haben dürfte und die Ausbreitung des Virus in seiner Grundvariante weitgehend gestoppt ist, haben das FBI und nationale Polizeibehörden nun die Jagd auf den/die Viren-Autor(en) eröffnet, was den Nachrichtenmachern neue Nahrung bietet.
Allgemein geht man davon aus, dass der Viren-Programmierer, der sich der Liebeslust der Surfer so schamlos bedient hatte, auf den Philippinen sitzt, noch ziemlich jung und ein guter Hacker ist und nicht gerne in die Schule geht sowie nicht gerade perfekt Englisch spricht. So brachte Reuters gestern Abend eine Meldung, in der Jose Carlotta, Chief Operating Officer des Internetproviders Access Net in Manila zitiert wird. Der kann den Übeltäter, dessen Netzzugang auf den Philippinen gewesen zu scheint, schon sehr genau beschreiben: "Wir glauben, dass der Typ. dem der Account gehört, 23 Jahre alt ist, aus Pandacan stammt und männlich ist." Pandacan ist ein Vorort gutbürgerlicher von Manila.
Doch wer seinen Angriff von den Philippinen aus startet, muss nicht zwangsweise ein Philippino sein. Einen Verdacht zumindest äußert Fredrik Björck, ein Informatiker von der Universität in Stockholm, der bereit bei der Suche nach dem Programmierer des Melissa-Virus half, in Wired News: Demnach soll es sich bei dem liebestollen Viren-Autoren um einen deutschen Studenten auf den Philippinen handeln, dessen Vorname Michael lautet. Bekannt ist der "etwa 20-Jährige" im Netz angeblich unter dem Pseudonym "Spyder". Wie Björck seine Anschuldigungen untermauert, erfahren wir nicht. Die deutsche Hackerszene wäre demnach aber wieder um eine Kultfigur reicher, nachdem auch eines der Tools für die Webserver-Attacken, die im Februar ihren bisherigen Höhepunkt erreichten, vom Hannoveraner Starhacker Mixter programmiert wurde.
Bisher scheinen sich alle Vermutungen über die Identität aber aus zwei Tatsachen zu speisen: Zum einen verbreitete sich das Liebes-Virus von Osten nach Westen, sorgte also zunächst in Asien, dann in Europa und zuletzt in Amerika für Mail-Lawinen. Das könnte aber einfach auch damit zusammenhängen, dass das Skript tagesgenau programmiert wurde und der Tag nun mal im Ostpazifik seinen Lauf nimmt. Den zweiten Hinweis glauben die Fahnder im Virus-Code selbst entdeckt zu haben. Der beginnt nämlich mit zwei "Autorenzeilen", wobei in der ersten das Bekenntnis geschrieben steht: "i hate go to school" und in der zweiten die Absenderadresse "by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines" enthalten ist. Nun fragt sich nur, ob ein Freak, der den Virus anscheinend über mehrere gehackte Accounts in Umlauf gebracht hat, wirklich so dumm ist, seine "Absenderadresse" in den Skript-Code zu packen. Wahrscheinlich dürfte die Suche nach dem Autoren daher ähnlich schwierig sein wie nach den Server-Angreifern vom Februar, die bisher in der symbolischen Verhaftung von "Mafiaboy" (15jähriger kanadischer Junge soll einen der DDoS-Angriffe begangen haben) ihren vorläufigen Höhepunkt erreichte.
Stefan Krempl sprach während all der Ungewissheit mit Frank W. Felzmann, beim Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Abwehr von Computerviren zuständig und Mitglied der von Bundesinnenminister Otto Schily im Februar zum Kampf gegen die Netz-Kriminalität ins Leben gerufenen "Internet Task Force" ( Schilys Cyberwar), über die Virus-Hysterie.
In den Frühzeiten des Internet der Morris-Wurm, 1999 Melissa sowie der Explorer-Virus, 2000 versinkt das Netz im Liebestaumel - was blüht uns da noch alles?
Frank Felzmann: Was die Nutzer mit ihren Betriebssystemen und Applikationen so alles zulassen. Viren verbreiten sich im Netz ja nicht vollkommen automatisch, sondern nur über Anwender, die sie auf ihrem PC aktivieren und dann ungewollt weiter schicken.
Gibt es konkrete Schätzungen über den Schaden, den der Liebesvirus angerichtet hat? Wer war vor allem betroffen?
Frank Felzmann: Betroffen sind alle Firmen, Organisationen, Behörden und Privatleute, die Outlook als Email-Programm im Einsatz haben. Allein in der Bundesrepublik gehören dazu Tausende von Unternehmen und Millionen von PCs. Auf jedem PC, wo das Virus aktiviert wurde, sind zahlreiche Dateien gelöscht worden. Zum Schaden gehört neben dem Verlust der Daten aber auch der ganze Aufwand, um das Biest wieder zu entfernen. In vielen Fällen mussten die gesamten Computersysteme heruntergefahren werden. Es gab dadurch natürlich Geschäftsverzögerungen - viele Firmen sind momentan per Email überhaupt nicht mehr zu erreichen. Auch wenn wir keine genauen Zahlen haben, so schätzen wir doch, dass der Schaden sehr viel größer ist als bei Melissa. Das hängt damit zusammen, dass sich der Virus weiter verbreitet und mehr Dateientypen angefallen hat. Viele Nutzer werden sicher in den nächsten Tagen ihren MP3-Dateien hinterher weinen. Nur die Musikindustrie dürfte sich darüber freuen.
Wie kommt es, dass ein Schüler, der den Virus ja angeblich programmiert haben soll, das halbe Netz lahm legen kann?
Frank Felzmann: Das hängt damit zusammen, dass sich eine Art Schneeball-Effekt entwickelt hat. Die Nachricht ist automatisch an vorhandene Kontaktadressen der Nutzer weitergeschickt worden und bei "Love Letter" haben eben viele geglaubt, sie müssten unbedingt einen Doppelklick auf dieses Ding machen. Wobei es eigentlich gerade Mitarbeitern in Firmen und Behörden etwas komisch vorkommen müsste, wenn sie von einem bekannten Absender eine Mail bekommen mit dem Titel "I love you". Da wäre ich schon sehr, sehr misstrauisch.
Kann man gegen den Viren-Schreiber vorgehen? Ist er der Alleinschuldige oder sind es auch die Nutzer, die auf solche Tricks hereinfallen?
Frank Felzmann: Ich glaube nicht, dass man den Viren-Autor ohne weiteres identifizieren kann. Man hat momentan nur anhand des Textes "Ich hasse es, in die Schule zu gehen", der in das Virus eingebaut war, den Verdacht, dass es sich um einen Schüler von den Philippinen handelt. Wie man den Programmierer letztlich haftbar machen soll, ist eine gute Frage. Wenn er tatsächlich von den Philippinen ist, so glaube ich nicht, dass er besonders viel Geld hat, um Schadensersatzforderungen nachzukommen.
Die Anwender, die nicht die nötige Sorgfalt haben walten lassen, sind zumindest mit Schuld an der Ausbreitung des Virus. Man muss natürlich auch berücksichtigen, wie es generell mit den Kosten aussieht, wenn ein Virus zuschlägt und etwa meine sämtlichen Bilddateien vernichtet. Wenn ich keine Sicherungskopien gemacht habe, kann ich nicht einfach sagen, dass mir ein Schaden von 200.000 Mark entstanden ist, weil soviel die Bilder wert gewesen seien. Der einzige ansetzbare Schadenswert ist letztlich nur der Aufwand für die Entfernung des Virus und die Rekonstruktion der Datensicherung - die leider vorher aber oft gar nicht vorhanden war. Das sind pro befallenem PC höchstens 2000 bis 3000 Mark, die man tatsächlich ansetzen darf.
Betroffen waren nur Windows-Betriebssysteme?
Frank Felzmann: Windows 98 und Windows 2000 wurden vor allem Opfer des Virus, da sie die entsprechenden Systemvoraussetzungen an Bord haben. Bei Windows 95 und Windows NT 4.0 gelang der Angriff nur, wenn die Komponente für "Windows-Skript-Hosting" nachgeladen wurde. Die zweite Bedingung war, dass Outlook als Mailreader in Gebrauch gewesen sein musste. Macintosh- oder Linux-Nutzer waren nicht betroffen.
Wäre eine Gegenmaßnahme, die Vielfalt unter den Betriebssystemen zu fördern?
Frank Felzmann: Das ist sicher eine Abhilfmaßnahme. Generell ist ein Viren-Autor an der möglichst weiten Verbreitung des Virus interessiert. Das Betriebssystem Be OS ist momentan beispielsweise nur auf wenigen Rechnern installiert und ein Viren-Programmierer wird sich daher sicher nicht die Mühe machen, dafür ein Virus zu schreiben. Da sucht er sich natürlich lieber den Marktführer aus. Wenn Linux einmal eine entsprechende Verbreitung hat, werden sicher Versuche unternommen, auch dafür entsprechende Schadensprogramme in Umlauf zu bringen.
Frank Felzmann: Wie verletzlich ist das Internet an sich? Wäre es möglich, dass ein Angreifer auf ähnliche Weise das gesamte Netz zum Erliegen bringen könnte?
Frank Felzmann: Nein. Das Internet ist ja in seinen Anfangsjahren gerade geschaffen worden, um eine große Verfügbarkeit zu gewährleisten. Das Internet selbst war ja auch nur ein bisschen betroffen, weil das Virus zu der explosionsartigen Verbreitung des Email-Verkehrs geführt hat. Ansonsten ist das Internet gegenüber solchen Angriffen relativ stabil. Was nicht davor gefeit ist, sind die PCs der einzelnen Nutzer.
Kann die vom Innenministerium ins Leben gerufene Task-Force etwas tun, um ähnliche Zwischenfälle in Zukunft zu vermeiden?
Frank Felzmann: Wir können die Nutzer nicht an den Ohren ziehen und auf die Schulbank zurück zwingen und ihnen sagen: Wenn ihr euch im Internet bewegt, müsst ihr dieses und jenes machen. Da gäbe es ja einen Aufschrei mit dem Tenor: Der Staat will uns alles vorschreiben. Das einzige, was das BSI, die Task Force und damit auch die Bundesregierung machen kann, ist eben, auf die Schwachstellen hinzuweisen, den Anwendern klarzumachen, welche Risiken er eingeht und Empfehlungen auszusprechen. Doch wenn der Einzelne sich nicht daran hält, haben wir keinerlei Möglichkeiten. Wir können schließlich niemanden so wie im Autoverkehr dazu zwingen, einen Sicherheitsgurt anzulegen. Und bekanntlich machen es viele trotzdem nicht. Wenn man dann bei Tempo 150 durch die Scheibe segelt, kann man nicht den Staat dafür verantwortlich machen. Und wenn Sie sich auf der Datenautobahn bewegen, sieht es eben auch so aus. Der Unterschied ist, auf den normalen Autobahnen dürfen sie sich eigentlich nur bewegen, wenn Sie einen Führerschein haben und wenn Ihr Auto zugelassen ist. Im Internet darf sich jeder tummeln, teilweise mit sehr zweifelhafter Software. Da fliegt der ein oder andere eben mal mit Tempo 300 aus der Kurve.
Könnte die Einführung eines verbindlichen "Internet-Führerscheins" die Fertigkeiten fürs Netz vermitteln helfen?
Frank Felzmann: Ich glaube nicht, dass das noch machbar ist. Das ist ein theoretischer Ansatz. Die normative Kraft des Faktischen hat aber längst dafür gesorgt, dass damit kein Lorbeer mehr zu gewinnen ist. Die Firmen und die Anwender, die diese aktuellen Schäden erlitten haben, müssen sich ganz klar fragen: Wieso ist es passiert? Was haben wir falsch gemacht? Und verstärkt die Mitarbeiter schulen bzw. entsprechende Sicherheitsmaßnahmen zu ergreifen bzw. zu beherzigen.