Virenverseuchung ist kein Kavaliersdelikt

Feature | 5. Juli 2004 von admin 0

Helmut Ujen

Helmut Ujen

Herr Ujen, warum hat die Zahl von neuen, immer raffinierteren Arten von Viren so rasant zugenommen?

Ujen: Der Verbreitungsgrad von Viren, das heißt von Schadprogrammen, steigt analog mit der allgemeinen Nutzung von Informationstechnik. Zur Herstellung eines komplexen und gefährlichen Schadprogramms sind heutzutage keine fundierten Informatikkenntnisse mehr notwendig. So ist auch nicht verwunderlich, dass die Mehrzahl der zuletzt aufgetretenen Schadprogramme Varianten bereits bekannter Typen waren – was an ihrer Gefährlichkeit aber nichts ändert.

Welche Art von Viren sind die gefährlichsten für ein Unternehmen?

Ujen: Es gibt keine “ungefährlichen” Viren. Selbst “harmlos” erscheinende Viren, die über keine explizit programmierte Schadfunktion verfügen, können – je nach individueller Softwareauslegung der befallenen Computer – zu Systemabstürzen und Datenverlust führen. Viren unterscheiden sich je nachdem, wie schwierig es ist, sie zu bekämpfen. Dabei spielen der “Infektionsweg”, also die Art der Verbreitung, und hervorgerufene “Krankheitssymptome”, also die Schadensfunktion eine Rolle. Die Verbreitung von Viren, die ausschließlich als Teil eines bereits infizierten ausführbaren Programms “eingeschleppt” werden, lässt sich beispielsweise dadurch eindämmen, dass Anwendern verboten wird, Software zu installieren. Viren jedoch, die sich über das Internet unter Ausnutzung der Scriptfunktionalitäten des E-Mail-Clients oder des Web-Browsers fortpflanzen, sind weit schwieriger zu bekämpfen. Hier helfen nur technische Maßnahmen wie Virenschutzprogramme und regelmäßiges Updaten der Software, um bekannte Sicherheitslücken auszumerzen. Unter dem Aspekt der Schadensfunktion schätzen wir diejenigen Viren als die gefährlichsten ein, die erkennbar als Vorbereitung eines Hackerangriffes dienen: Sie öffnen “Hintertüren” im System, spähen Passwörter oder Kundendaten aus und ändern Nutzerberechtigungen.

Haben Unternehmen bereits durch Viren einen Produktionsstillstand erlitten?

Ujen: Das zwar noch nicht. Allerdings wurde dem BKA gemeldet, dass es auf Grund von Virenattacken bereits zu Beeinträchtigungen im Geschäftsablauf gekommen ist. So wurden Einwahlserver eines Internet-Providers durch sogenannte Denial-of-Service-Attacken blockiert. Der Provider konnte über einen Zeitraum von mehreren Tagen seinen Kunden keinen Internet-Zugang mehr anbieten, was zu erheblichen Umsatzverlusten führte.

Welche Systeme oder Netze waren im vergangenen Jahr die beliebtesten Ziele von Virenattacken?

Ujen: Entsprechend der allgemeinen Verbreitung stehen die Microsoft-Betriebssysteme beziehungsweise -produkte an der Spitze. Aber auch Linux-Betriebssysteme wurden von Trojanern befallen. Sogar PDAs (von Palm) waren betroffen. Generell nutzen viele Viren Sicherheitslücken aus, die schon seit längerer Zeit bekannt sind. Dabei hilft der Umstand, dass viele Anwender ihre Systeme nicht aktualisieren und wichtige Sicherheitspatches, die von den Herstellern regelmäßig zur Verfügung gestellt werden, nicht einspielen.

Woran lässt sich der durch einen Virus entstandene Schaden für ein Unternehmen genau festmachen?

Ujen: Die direkten Schäden lassen sich vergleichsweise einfach beziffern. Hierbei ist in erster Linie der Administrationsaufwand für die Sicherung, Aufrechterhaltung und Wiederherstellung der Funktionsfähigkeit der Netzstruktur eines Unternehmens zu nennen. Aber auch indirekte Schäden können entstehen, beispielsweise die Blockierung eines Online-Bestellsystems oder Kosten für neue Hard- und Software, um die bestehenden Systeme in Zukunft besser abzusichern. Beim massenhaften Senden und Empfangen verseuchter E-Mails fallen zudem erhöhte Kosten für die Internetverbindung an. Diese Schäden lassen sich nur beziffern, wenn ein gewisses Bewusstsein für die Kosten der IT im Unternehmen verankert ist und auch wirklich erkannt wird, dass ein Virus Ursache der Betriebsausfälle ist.

Wenden sich Betroffene (Unternehmen, Privatpersonen) direkt an die Polizei?

Ujen: Die Polizei wird nur selten direkt, beispielsweise in Form einer Strafanzeige, durch den Geschädigten eingeschaltet. Laut einem Hamburger Forschungs- und Beratungsunternehmen wurden im Jahre 2000 etwa 21 Prozent der mit Computern ausgestatteten Arbeitsplätze in Deutschland mit dem Virus “I LoveYou” infiziert. Dem Bundeskriminalamt sind aber in diesem Jahr bundesweit insgesamt nur vier Anzeigen wegen Computersabotage bekannt geworden. Unternehmen richten sich bei technischen Problemfällen eher an IT-Sicherheitsunternehmen oder die jeweiligen CERTs (Computer Emergency Response Team), das sind branchenspezifische Sicherheitszentren. In den USA wurde das erste CERT 1988 gegründet, nachdem der Wurm Morris für beträchtlichen Schaden gesorgt hatte. Für Deutschland gibt es beispielsweise die DFN-CERT Services GmbH (http://www.cert.dfn.de/). Sie zeigt prophylaktisch auf, wie Sicherheitslücken zu schließen sind, und hilft Unternehmen im Krisenfall, Rat von internationalen Experten zu erhalten. CERTs und IT-Sicherheitsfirmen wenden sich in der Regel nicht an die Polizei.

Ist das nicht unbefriedigend? Sollten nicht mehr Anzeigen erstattet werden, um das Bewusstsein für den kriminellen Charakter einer Virenverseuchung zu schärfen?

Das ist in der Tat – sowohl für die Strafverfolgungsbehörden als auch für die Firmen selbst – unbefriedigend. Denn jeder nicht angezeigte und damit nicht der Strafverfolgung zugeführte Fall führt letztlich dazu, dass der oder die Täter lernen, dass ihr Handeln folgenlos bleibt. Neben den natürlich unumgänglichen Sicherheitsaktivitäten kann nur konsequente Strafverfolgung dazu führen, dass dieser Kriminalitätsbereich zurückgedrängt wird. Der Verzicht auf eine Anzeige, wenn diese auch zunächst für die Betroffenen mit zusätzlichem Aufwand verbunden sein mag, ist daher auch für ein Wirtschaftsunternehmen kontraproduktiv.

Welche Strategie verfolgt das BKA bei der Bekämpfung dieser Art von Kriminalität?

Ujen: Das BKA hat zur Bekämpfung der Computerkriminalität eine eigene Spezialdienststelle mit Kriminalbeamten, Wissenschaftlern und Technikern aufgebaut. Sie ist in der Lage, auf aktuelle sowie künftige technische Entwicklungen zu reagieren. Zusätzlich findet eine enge Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) statt. Daneben werden Ansätze im Sinne des “Public Private Partnership” künftig intensiviert. Damit wollen wir das Bewusstsein und die Bereitschaft bei den Firmen wecken, mit den Strafverfolgungsbehörden zusammenzuarbeiten.

Um global verbreitete Viren zu bekämpfen, muss das BKA auch global agieren. Kann und tut es das?

Ujen: Das BKA ist jetzt schon eine international ausgerichtete Polizeibehörde und verfügt über exzellente ausländische Verbindungen. Zur Verbesserung der Kooperation sind auf politischer Ebene bereits internationale Vereinbarungen, beispielsweise die “Cyber Crime Convention” des Europarates, verabschiedet worden. In dieser zwischenstaatlichen Vereinbarung werden insbesondere rechtliche Mindeststandards festgelegt, die eine wirksame Strafverfolgung im Bereich der so genannten Computerkriminalität gewährleisten sollen. Das BKA knüpft und pflegt Kontakte zu ausländischen Behörden im Rahmen der internationalen polizeilichen Zusammenarbeit bei Europol und Interpol sowie der internationalen Gremienarbeit. Beispielsweise gründeten die G8-Staaten bereits vor einigen Jahren das G8 24/7-High-Tech Crime Netzwerk, um untereinander alle relevanten Informationen austauschen zu können. Darüber hinaus gewährleisten gute bilaterale Kontakte mit Spezialdienststellen für “High Tech Crime” eine schnelle Zusammenarbeit. Seit Jahren qualifiziert das BKA auch sein eigenes Personal ständig weiter. Derzeit stellen wir weitere Informatiker und Ingenieure ein.

Wie hoch ist die Quote erfolgreicher Aufklärung von Virenverseuchungen?

Ujen: Über die Aufklärungsquote von Straftaten im Zusammenhang mit der Verbreitung von Viren lassen sich nur schwer Angaben machen. Da in den meisten Fällen eine Weiterleitung von virenverseuchten E-Mails ohne Wissen und Einverständnis des Betroffenen geschieht, ist eine Rückverfolgung bis zu dem Täter, der den Virus tatsächlich bewusst verbreitet hat, schwierig. Viren der neueren Generationen besitzen zudem eigene Verbreitungs- und Verschleierungsroutinen, so dass hier eine Identifizierung des Absenders schwer ist.

Gibt es bereits Täterprofile oder typische Motive der Hacker, die Würmer produzieren?

Ujen: Es ist bekannt, dass jugendliche Hacker aus Interesse und zum Ausprobieren ihrer Fähigkeiten in fremde Rechner eindringen, ohne eigentlich damit Schaden anrichten zu wollen. Andere Hacker wollen Unternehmen oder Softwarehersteller auf Schwachstellen in ihren Systemen aufmerksam machen. Kriminell veranlagte Hacker wiederum versuchen, aus diesen Umständen Kapital zu schlagen, indem sie Unternehmen erpressen oder ihre Mitarbeit gegen entsprechende Bezahlung anbieten. Schließlich gibt es hochkriminelle Täter, die zu Zwecken der Wirtschaftsspionage oder der geheimdienstlichen Spionage ebenfalls in fremde Systeme eindringen.

Wie werden Hacker bestraft?

Ujen: Die Festlegung eines Strafmaßes ist nicht Aufgabe der Polizei, sondern der Gerichte. Diese orientieren sich an den Vorgaben des Strafgesetzbuches, in dem die Strafrahmen festgelegt sind. Es gibt dabei keine prinzipielle Unterscheidung zwischen einem harmlosen “Spaß-Virus” und einer bewusst bösartigen kriminellen Handlung. Die Verbreitung eines Computervirus stellt gemäß Paragraph 303 a/b Strafgesetzbuch (Tatbestand Datenveränderung/Computersabotage) eine Straftat dar, unabhängig davon, mit welcher Absicht das geschieht. Die Intention kann bestenfalls bei der Strafzumessung eine Rolle spielen.

Muss der Begriff “Verbrechen” im Zeitalter von Computerwürmern neu definiert werden?

Ujen: Nein. Der kriminologische Bereich “Computerkriminalität” ist im Strafgesetzbuch in all seinen Erscheinungsformen hinreichend definiert, eine angemessene Strafverfolgung ist also möglich. Die Allgemeinheit muss allerdings eine neue Sensibilität für diese Art von Verbrechen entwickeln. Ein unauffälliger Jugendlicher, der nie auf die Idee käme, im Kaufhaus zu stehlen, kann zu Hause mit der Computertastatur Milliardenschäden verursachen, während sich seine Eltern im Wohnzimmer nichtsahnend den neuesten “Tatort” ansehen. Dabei hat gerade auch der Fall des Computerwurms “Sasser” gezeigt, dass sich die Täter der Tragweite ihres Handelns möglicherweise nicht bewusst sind und vom potenziellen Schadensausmaß keine Vorstellung haben.

Leave a Reply