Viren

Christoph Fischer ist übernächtigt, sogar neben seinem Bett summen rund um die Uhr Computer. "Ich habe hier eine ganze Ladung rumänischer polymorpher Viren. Mehr als vier Stunden Schlaf sind derzeit nicht drin."

Der Spezialist aus Karlsruhe gehört zur Feuerwehr der Computerwelt. Diesmal brennt es bei einer "größeren deutschen Firma". Ein leichtsinniger Mitarbeiter hat beim Streifzug durch finsteren Ecken des Internets eine Kettenreaktion in Gang gesetzt. Die unbekannte Virengattung hat sich von Rechner zu Rechner verbreitet und in kurzer Zeit die gesamte Abteilung lahmgelegt.

Virenjäger sind in einem ständigen Hase-und-Igel-Spiel gefangen. Kaum haben sie ihre Abwehrprogramme auf den neusten Stand gebracht, findet ein Virenprogrammierer einen Weg, die ausgeklügelte Abwehr wieder zu durchbrechen. "Schon nach einem halben Jahr", hat Fischer festgestellt, "taugt ein Virenschutzprogramm nur noch als Demonstrationsobjekt. Wer echte Sicherheit haben will, muß es alle paar Monate aktualisieren."

Auf "dreistellige Millionenbeträge" taxiert das Bonner Bundesamt für Sicherheit in der Informationstechnik die jährlichen Schäden durch die Sabotageprogramme. Vielleicht nur ein kleiner Vorgeschmack. Denn inzwischen zeichnet sich ab, daß eine neue Klasse von Viren, die letztes Jahr noch belächelt wurde, am Beginn einer Epidemie steht: "Makro-Viren", die sich schon durch den Austausch elektronischer Texte verbreiten können.

In aller Welt sammeln die Hersteller von Virenschutzprogrammen infektiöse Software, um sie zu analysieren - 8144 Computerviren zählte die US-Firma "Dr. Solomon''s" Anfang dieses Monats. Fachleute schätzen, daß jeden Tag fünf bis zehn neue Exemplare der digitalen Quälgeister in die Welt gesetzt werden.

Wer Opfer eines Computervirus wird, kann über die Scherze der meist jugendlichen Hacker nicht mehr lachen: Plötzlich wird jeder Tastendruck von Piepsgeräuschen begleitet, unerklärliche Systemabstürze häufen sich, oder es erscheinen Fenster mit dummen Sprüchen auf dem Bildschirm. In schlimmeren Fällen gerät das Dateigefüge auf der Festplatte in Unordnung, und die Arbeit von Tagen schmilzt zu Datenschrott.

Die Mehrheit der PC-Benutzer kennt Viren jedoch nur vom Hörensagen, denn wie bei biologischen Infektionen haben nur wenige der elektronischen Erreger das Potential, eine Epidemie auszulösen. Das nach strengen Kriterien geführte Virus-Bulletin, das für seine aktulle Ausgabe Spezialisten in 31 Ländern nach Fällen aus ihrer Praxis befragte, definiert ganze 184 Viren als "in der freien Wildbahn aktiv". Insgesamt 335 wurden zumindest sporadisch angetroffen.

Die tatsächliche Gefährlichkeit einzelner Typen steht in keinem Verhältnis zur Medienhysterie, die eine Neuentdeckung mitunter auslöst. Immer wieder geistern einzelne Viren durch die Schlagzeilen, in den aktuellen Virenlisten rangieren sie meist unter ferner liefen.

Der "Form"-Virus hingegen hält sich beharrlich an der Spitze der häufigsten digitalen Infektionskrankheiten. Er gehört zur Gruppe der Boot-Viren*, die sich so tief ins System eingraben, daß sie viele Schutzprogramme austricksen und ihr Zerstörungswerk auch nach der vermeintlichen Heilung fortsetzen.
(* Von engl. "to boot": (den Rechner) anwerfen. )

Seit Hacker "polymorphe" Viren entwickelt haben, geraten die Virenjäger immer mehr in Bedrängnis. Diese Programme verändern nach dem Vorbild biologischer Mutation ständig ihren Code und tricksen so die elektronischen Wächter aus, die nach bestimmten charakteristischen Datenstrukturen suchen, um den Eindringling aufzuspüren.

"Normale Viren konnten wir an einem Tag analysieren", stöhnt Fischer, "um polymorphe zu erledigen, brauchen wir manchmal Wochen" - ein Wettrennen, in dem die Chancen auf Sieg schlecht stehen (siehe Interview Seite 212).

Im Sommer letzten Jahres wurde ein Alptraum der Virenjäger wahr: Bis dahin galt, daß nur der seinen Rechner anstecken kann, der leichtfertig zweifelhafte Programme startet. Textdokumente schienen sicher - doch das ist nun vorbei.

Die schützende Barriere zwischen Text und Programm wurde durch die sogenannten Makros aufgehoben - Befehlsfolgen, die komfortable Textverarbeitungs- oder Kalkulationsprogramme mit den Textinhalten abspeichern, um deren Bearbeitung zu erleichtern.

Doch die bequemen Helfer wurden unvermittelt zur Bedrohung - so geschehen im Fall des Microsoft-Bestsellers Word. Seine Makros werden in "Word Basic" geschrieben, einer eigenen Programmiersprache mit üppigem Funktionsumfang.

Die als Diener getarnten Viren sind mächtig genug, dem Benutzer jegliche Kontrolle über Programm und Rechner zu entwinden, etwa indem sie unbemerkt Funktionen umdefinieren, so daß der Knopfdruck, der sonst den Text speicherte, die gesammelten Geistesblitze umgehend verpuffen läßt. Infizierte Dokumente können unwiderruflich die Festplatte blankputzen, noch bevor die erste Textzeile auf dem Bildschirm erscheint.

Den ersten Word-Virus verbreitete Microsoft sogar selbst. Er befand sich als blinder Passagier an Bord einer CD-ROM, die im August letzten Jahres für potentielle Windows-95-Käufer produziert wurde. Obwohl er schnell entdeckt war, ist der "Concept"-Virus inzwischen auf Platz 1 der Infektionshitliste des Virus-Bulletins gelandet - noch vor dem hartnäckigen Form-Virus.

Kürzlich wurde schon der sechste Word-Makro-Virus enttarnt und auf den Namen "Atom" getauft. Er ist nicht besonders durchtrieben und wie seine Vorgänger relativ harmlos, doch die Fachleute sind sich einig: Die bisher aufgetretenen Makro-Viren sind allenfalls Vorboten zukünftiger Heimsuchungen.

Schon der Autor des Concept-Virus versah sein Programm mit allen Möglichkeiten, ernste Verheerungen anzurichten. Doch den böswilligen Programmteil ließ er einstweilen ruhen und begnügte sich mit der Textzeile: "Das reicht zur Demonstration."

Andere der Makro-Viren können ihre zerstörerische Kraft nur deshalb nicht entfalten, weil ihren Schöpfern Programmierfehler unterlaufen sind. Die mit dem "Nuclear"-Makro-Virus infizierten Texte beispielsweise tragen einen klassischen Computervirus in sich, dessen Gift beim Lesen des Dokuments in den Rechner injiziert wird. Zum Glück funktioniert er nicht. Auch ein Unterprogramm, das am 5. April die Systemfiles des infizierten Computers zerstören soll, so die Analysen, wird an einem Designfehler scheitern. Ein Spezialist mutmaßt: "Der Autor des Virus hat sich nicht getraut, dieses Programm auszuprobieren."

Die Virenjäger sind alarmiert: Der vollständige Code einiger der Makro-Viren wurde bereits im Internet veröffentlicht, diverse Computerzeitschriften schilderten detailliert den Mechanismus.

Besonders brisant: Anders als bei den klassischen Viren braucht man keine intimen Systemkenntnisse, um Unheil anzurichten. "Makros kann man mit Mausklicks programmieren. Das schafft jeder, der das Handbuch gelesen hat", warnt Experte Fischer. Statt abgebrühter Hacker könnten also auch gelangweilte Sachbearbeiter mit dem Feuer spielen. Über E-mail kann aus dem Zündeln im Nu ein Flächenbrand entstehen.

Die Virenjäger sind nicht gut auf Microsoft zu sprechen. Zwar stammen die ersten akademischen Veröffentlichungen über Makro-Viren schon aus dem Jahre 1989, doch die Software-Firma hat keinen Gedanken an Sicherheitsmaßnahmen verschwendet, als sie ihr Textverarbeitungsprogramm in der aktuellen Version mit Word-Basic aufmotzte.

In den zahlreichen Menüs findet sich keine Option, um den verhängnisvollen Makro-Mechanismus abzuschalten. Virenautoren bietet Word sogar die Möglichkeit, den Makrocode verschlüsselt abzulegen und so gegen die Analyse durch Sicherheitsfachleute zu schützen. Zudem weigert sich Microsoft, den Abwehrspezialisten Einblick in die geheime Struktur der Dateien zu geben, in denen Word Text und Makros abspeichert. Eine Sicherheitsstrategie zu entwickeln ist so fast unmöglich.

Der Schutz, den Microsoft selbst inzwischen anbietet, ist äußerst löchrig. So funktioniert ein Makro, das gegen die bisher bekannten Makro-Viren schützen soll, nur dann, wenn erst das Programm gestartet und danach der Text geöffnet wird. Der bequeme Start durch doppelten Mausklick - die Quintessenz der grafischen Windows-Bedienoberfläche - läßt den Viren freie Bahn.

Solange Makro-Viren von Kindsköpfen geschrieben werden, die mit Showeffekten protzen, bleibt die Gefahr gering. Doch es gehört nur wenig Phantasie dazu, sich auszumalen, welche Katastrophen der digitale Terror auslösen könnte, wenn er mit System betrieben würde.

Letzten Monat tauchte der erste Makro-Virus für das Programm Ami Pro auf. "Green Stripe" versieht ganze Texte mit einem Schreibfehler. Sicherheitsspezialist David Aubrey-Jones sieht düsteren Zeiten entgegen: "Wenn man ähnliche Fehler in den Dokumenten einer kaufmännischen Tabellenkalkulation erzeugt, wäre das Ergebnis grauenerregend."