«Im Liebesbrief steckte der Wurm drin!»

Erlebnisbericht einer Vireninfektion

Epidemieartig befiel der philippinische E-Mail-Wurm «Loveletter» am 4. Mai auch die ETH Zürich. Er zwang die Systemdienste und die zentralen Organe ihre Mail-Server aus Sicherheitsgründen vom Netz abzukoppeln. Dadurch wurde der E-Mail-Verkehr für einige Stunden unterbrochen. Ein persönlicher Erlebnisbericht beleuchtet subjektiv einige Hintergründe und Ursachen dieser Wurminfektion.

Archivbild: Virenbefall und Computerschäden lassen sich durch einfache Massnahmen reduzieren.

Von Jakob Lindenmeyer

Haben Sie am ersten Donnerstag im Mai auch einen dieser heimtückischen Liebesbriefe erhalten? Im Nachhinein war es ja klar, dass da der Wurm drin stecken musste. Noch nie hatte ich in derart kurzer Zeit so viele amouröse Beschwörungen erhalten; noch dazu in der Mehrzahl von Männern! Obwohl die Frühlingszeit die Gefühle weckt, erregte besonders eine der ersten Liebeserklärungen mein Misstrauen: Einer unser Informatik-Sicherheitsspezialisten sandte mir völlig überraschend Liebesgrüsse per E-Mail. Dies erstaunte mich in mehrfacher Hinsicht. Normalerweise kommunizieren wir in deutsch. Seine englische Aufforderung «Kindly check the attached LOVELETTER coming from me» liess mich stutzen. Ebenso das unerwartete Liebesglück. Umso mehr, als er bei unserem letzten Kontakt feststellte: «Eure Macs sind ein Sicherheitsloch in unserem NT-Netzwerk und werden darum nicht eingebunden». «Microsoft only» lautet die Devise in den zentralen Organen. Dass eine Software-Monokultur auch ein idealer Nährboden für Schädlinge ist, bewies er mir durch seinen Liebesbrief gleich selbst.

Es gibt zahlreiche Ursachen für die epidemieartige Ausbreitung der weltweit 17 Milliarden teuren Wurm-Infektion von 45 Millionen Benutzern in 20 Ländern. Am meisten Handlungsbedarf besteht bei den ungenügenden Sicherheitseinstellungen, der Microsoft-Monokultur, der Neugier der Opfer sowie fehlenden Kommunikationskanälen.

Schädlingsanfälligkeit durch Monokultur

Eine starke Abstützung auf Microsoft-Produkte in Unternehmens-Netzwerken bietet wegen der homogenen Verzahnung von Office-Applikationen und Outlook-Mailclients mit dem Betriebssystem Windows sicher viele Vorteile. Die Software ist oft mit wenigen Mausklicks installiert und bietet für alle Funktionen schöne grafische Assistenten im Comic-Stil. Ob Karl Klammer*, Einstein* oder Hüpfer*: Sie alle erleichtern mir das Leben. Dank Ihnen muss ich nicht in dicken Handbüchern, Online-Manuals oder endlosen Mail-Listen nach Detailkonfigurationen von Open Source Software suchen. Der Preis für meine Bequemlichkeit ist aber neben den beachtlichen Lizenzgebühren auch eine hohe Anfälligkeit für Attacken aller Art, die bevorzugt auf den Marktführer zugeschnitten werden; im aktuellen Wurmbefall auf einen ominösen Windows Scripting Host. Wie in der Landwirtschaft sind Monokulturen anfälliger für Schädlinge. Eine Diversifizierung und Vielfalt der Betriebssysteme und Applikationen würde den Virenautoren das Handwerk erschweren und somit die Sicherheit erhöhen.

Bequemlichkeit vor Sicherheit

Zwar bieten Microsoft-Produkte zahlreiche Sicherheitsfunktionen. In vielen Fällen sind diese jedoch standardmässig inaktiv; meist aus Marketing- und Spargründen. Bei Aktivierung aller Schutzmassnahmen häufen sich die Warnhinweise, Befehlsverweigerungen und somit auch die Anfragen und Reklamationen von Kunden. Hier sparen nicht nur die Software-Produzenten am falschen Ort mit Auskünften und Ressourcen. Auch die Support-Abteilungen von Providern und Unternehmen sind aufgrund von Rationalisierungen oft nur auf die kurzfristige Zufriedenstellung der Kunden getrimmt.

Nur schon die Konfiguration der Sicherheitsebenen im Internet-Browser will gelernt sein und beansprucht viel Zeit. Die Sicherheitsfunktionen sind so komplex, dass viele Anwender nach endloser Auswahl zwischen unbekannten Fachbegriffen konsterniert ein unsicheres Surfen in den Standard-Einstellungen vorziehen. Und wer sich, wie der Autor, die Mühe macht, nach einer detaillierten Anleitung (1) einen sicheren Browser zu konfigurieren, den zwingt bald die Bequemlichkeit zurück in die Unsicherheit. Viele Internet-Angebote verwenden Technologien, die nur mit «ungesicherten» Browsern zugänglich sind. Wie bei den überraschenden Liebesbriefen von alten Bekannten letzten Donnerstag gilt im Internet generell: «Etwas riskieren - ...oder draussen bleiben.»

Sträfliche Neugier

Mit leeren Versprechungen wie «Joke», «Very Funny», «Important!» oder «Read Carefully» versuchen seit letztem Donnerstag adaptierte Loveletter-Würmer Neugierige zu verführen. Der grösste Unsicherheitsfaktor in der Informatik ist immer noch der Mensch. Die Neugier ist schon Manchen zum Verhängnis geworden. Selbst Experten überraschten mich nach der Wurmattacke mit ihrer Einschätzung: «Zum Teil sind sie ja doch ganz lustig, diese kleinen Programme, die mir Freunde jeweils zusenden. Da muss man halt hin und wieder ein gewisses Risiko eingehen.» Kurz: No risk - no fun!

Neben der Neugier appellierte der Loveletter-Wurm noch an einen andern Instinkt: Zur Begründung des Wurmbefalls der Kantonspolizei Zürich erklärte der Pressechef gegenüber dem Tages-Anzeiger: «So etwas ist doch hinterhältig. Gerade bei der Polizei, wo man selten Streicheleinheiten bekommt. Da will man einen Brief mit «I love you» natürlich lesen.»

Auf solche Gefühle zielten Loveletter und seine kurz danach auftauchenden Abkömmlinge, Trittbrettfahrer und Mutanten. Mit Titeln wie «I love you», «Let's meet this evening for a cup of coffee» oder «Mothers Day Order Confirmation» (kurz vor dem Muttertag) und einer bekannten Absender-Adresse heucheln die Wurm-E-Mails einen Anhang voll Nächstenliebe vor. Diese Zeichen des persönlichen Interesses werden in unserer anonymen und gleichgültigen Informationsgesellschaft gerne entgegengenommen - und geöffnet. «Brilliant social engineering» nennt Virenjäger David Perry diese Strategie des Wurm-Autors. «Wer könnte einer E-Mail mit einem solchen Titel widerstehen? Noch dazu, wenn es einem die eigene Frau schickt?»

Da bereits Mittelschüler problemlos solche Würmer schreiben können und deren Adaptation wegen dem frei einsichtbaren Programmcode noch viel einfacher ist, rechnen Virenspezialisten in den nächsten Tagen mit Dutzenden von Loveletter-Abkömmlingen. Generell gilt: Öffnen Sie nur einen Anhang, von dem Sie wissen, worum es sich handelt, und dass Sie ihn wirklich brauchen! Öffnen Sie ihn nur nach einem Virencheck. Dadurch tragen Sie zum Unterbruch der Wurmlawine bei. Ob die Weiterverbreitung von Viren auch rechtliche Konsequenzen hat (z.B. wegen Datenbeschädigung), wäre abzuklären.

Neue Kommunikationskanäle

Wer entscheidet, wann ein allgemeiner Virenalarm ausgelöst wird? Kurz nach den ersten Würmern trudelten gutgemeinte Warnrufe von Freunden ein: ausgestattet mit Grossbuchstaben und vielen Ausrufzeichen, aber ohne Details zu Schutz und Abwehr. Normalerweise handelt es sich bei solchen Meldungen meist um Hoaxes (falsche Viruswarnungen, die selber ein Virus sind, weil sie sich epidemieartig verbreiten.) In den schlimmeren Fällen sind es verkappte Würmer wie die Loveletter-Abkömmlinge «Virus Alert», «Virus Warning» oder «Bug Fix». Zum ersten Mal trafen aber auch Vorwürfe ein, warum das Web Office nicht alle ETH-Angehörigen informiert hat.

Wegen des Ausfalls unseres Mail-Servers erkundigte ich mich telefonisch bei den unter Hochdruck arbeitenden und daher schwer erreichbaren Spezialisten. Laufende Reorganisationen erschweren dabei den Durchblick: «Momentan herrscht eine Art Vakuum. Es ist noch nicht ganz klar, wer neu wofür zuständig ist», erklärt mir ein Informatiksicherheitsexperte.

«Interessierte haben eine Hol-Schuld», meint er auf meine Frage nach aktiver Information zur laufenden Wurm-Attacke. «Sie müssen sich in unsere Security-Maillisten einschreiben.» Bloss funktionieren diese nach Ausfall der Mail-Server ebenfalls nicht mehr. Generell meint er: «Wenn jemand seine Maschine schludrig aufgesetzt und konfiguriert hat, sollten wir das Recht haben, diese vom Netz zu nehmen.» Andreas Dudler, der Direktor der Informatikdienste, pflichtet ihm bei: «Das Systemmanagement des persönlichen Rechners ist keine Privatsache mehr, sondern eine der Allgemeinheit.»

Wie kommuniziert man mit allen ETH-Angehörigen? Der gute alte Serienbrief ist zwar gegen Wurmbefall immun, braucht aber mindestens einen Tag und ist daher eher schwerfällig und teuer. Als aktiver Kanal könnte neben einem «Mail an alle» auch über Fax-Verteiler kommuniziert werden. Andererseits braucht es auch einen raschen passiven Kommunikationskanal, über den sich Interessierte die benötigten Informationen holen können. Bei wichtigen Ereignissen wie der Loveletter-Wurmattacke müssten die Betroffenen auf stündliche Updates über die Lage im eigenen Betrieb zugreifen können. Die vierzehntägliche Hauszeitung ist für solche Fälle zu langsam. Dazu braucht es ein schnelles Kommunikationsorgan wie z.B. eine offizielle ETH-Webzeitung. Die Vorbereitungen dazu laufen. Der Start ist auf nächsten Herbst geplant.

In der Zwischenzeit ist mein Mailserver von 12'960 Loveletter-Würmern befreit worden und hat seine Arbeit wieder aufgenommen. Auf meiner Festplatte lösche ich die falschen Liebesgrüsse und freue mich auf die Echten in den ersten eintreffenden E-Mails.

Jakob Lindenmeyer

Fussnoten:

* Karl Klammer, Einstein und Hüpfer sind alle drei Office-Assistenten von Microsoft.

Literaturhinweise:

  1. Jo Bager, Holger Bleich, Patrick Brauch, Axel Kossel: Natürliche Abwehrkräfte. Windows und Internet-Software sicher konfigurieren. c't 4/2000, S. 214: Sicher surfen: Systemschutz.
  2. Technischen Schutzmassnahmen der ct'-Redaktion befinden sich unter: http://www.heise.de/newsticker/data/nl-04.05.00-001/
  3. Eine Analyse des Ablaufs der «Loveletter»-Wurminfektion befindet sich unter: http://www.cc.ethz.ch/n/wurm/ablauf.html

Unter www.cc.ethz.ch/n/wurm/ befinden sich Angaben zu Erkennungs- und Schutzmöglichkeiten vor der in den infizierten Dateien nach wie vor schlummernden Gefahr. Wer den Anhang des «ILOVEYOU»-Mails geöffnet hat, soll dies sicherheitshalber der zuständigen Stelle melden.

Auf der Leserbriefseite des Tages-Anzeigers gibt es einige Leserbriefe über die Anfälligkeit von Computer-Monokulturen, die in ein ähnliches Horn blasen wie der obige Erlebnisbericht.

Dieser Erlebnisbericht liegt im Web unter http://www.lindenmeyer.ch/story/erlebnis.html