Drucksache 14/5555
– 72 –
E-Mail und nutzte die Kenntnis der weiten Verbreitung
und einheitlichen E-Mail-Strukturen eines bestimmten EMailprodukts gnadenlos derart aus, indem die betroffenen
Adressbücher wiederum zur weiteren Verbreitung benutzt
wurden. Die Vorgehensweise des Virus war schlichtweg
einfach und enthielt in verschiedenen Varianten grundsätzlich folgende Merkmale:
Betreff:
ILOVEYOU
Inhalt:
LOVELETTER coming from me.
Anhang:
LOVE-LETTER-FOR-YOU.TXT.vbs
Die Dateiendung „TXT“ im Anhang sollte der E-Mail einen unverfänglichen Anschein geben, um dem Benutzer
vorzugaukeln, sie hätten es nur mit einer – harmlosen –
Textdatei zu tun. In Wirklichkeit war der Anhang aber ein
gefährliches Programm, das, einmal ausgeführt, die Kontrolle über einen Teil des Betriebssystems übernahm.
Nach Öffnung des Anhangs stellte der Virus Kontakt mit
dem E-Mail-Programm her und sendete an alle Einträge
im Adressbuch eine E-Mail mit dem entsprechenden
LOVE-LETTER-FOR-YOU-Anhang. Dadurch wurde er
garantiert weiterverbreitet und konnte sich in einem solch
enormen Tempo über die globale Internetwelt verbreiten.
Das Erschreckende an diesem Virus war nicht nur die Verbreitungsgeschwindigkeit, sondern auch das Verhalten etlicher Benutzer. Das böse Wort vom „DAU“ – dem
dümmsten anzunehmenden User – machte allenthalben
die Runde. Trotz Warnungen öffneten Benutzer nämlich
den „Loveletter“ und lösten damit das Chaos im betroffenen Netzwerk aus. Hier zeigte sich wiederum, dass Anwenderschulung eine wesentliche Voraussetzung für ein
sicheres Funktionieren einer IT-Landschaft ist.
Die von mir immer wieder beklagte Laissez-faire-Haltung
vieler Behörden und Unternehmen in Fragen der IT-Sicherheit führte ferner dazu, dass der Virus den „Nährboden“ fand, den er für seine Verbreitung brauchte. Diejenigen, die die Schuld allein auf den von „ILOVEYOU“
betroffenen Softwarehersteller Microsoft schieben wollten,
machen es sich zu einfach. Immerhin benötigte der Virus
Schwachstellen im Sicherheitskonzept, um sich in diesem
Umfang verbreiten zu können. Die Schädigung schlug auch
auf die Kommunikationspartner über, indem deren MailServer und Leitungen restlos überlastet wurden. Die MailLawinen solcher unsicherer Internet-Teilnehmer schädigten somit auch Dritte mitunter in ganz erheblichem Maße.
Die Behörden, die über ein Notfallkonzept verfügten und
kurze Alarmwege organisiert haben, blieben von einer
größeren Attacke verschont.
8.7.2
Deutscher Bundestag – 14. Wahlperiode
Notfallkonzept statt Hektik!
Der „ILOVEYOU“-Virus (s. o. Nr. 8.7.1) brachte es an
den Tag: In vielen Behörden und Unternehmen existieren
zwar Sicherheitskonzepte, doch für den „Fall der Fälle“
ist man nicht gewappnet. Erfolgt eine Attacke, z. B. durch
einen Virus, weiß niemand so genau, was zu tun ist. Unkoordiniertes Handeln bestimmt dann den weiteren Ablauf, mit der Folge, dass planlos gehandelt wird, ohne die
Konsequenzen zu überlegen. Auch Regressforderungen
an den Verursacher können nicht erhoben werden, weil
der Schaden nicht in ausreichendem Maße dokumentiert
wird. Eine Notfallplanung existiert in vielen Fällen nicht.
In der Folge weiß beispielsweise der Anwender nicht, an
wen er sich wenden soll, wenn bei ihm ein Virus auftritt.
In vielen Fällen kennt die Systemverwaltung weder eine
Telefonnummer noch eine Internetadresse, um sich bei einem Virenbefall oder einem Angriff etwa aus dem Internet Rat zu holen. Aktuelle Virenwarnmitteilungen in den
Internetseiten des Computer Emergency Response Teams
(CERT) oder des Computer Emergency Response Teams
des Bundesamtes für Sicherheit in der Informationstechnik (BSI-CERT) werden oft auch nicht gelesen. Dies ist
deshalb zu bedauern, weil es gerade in diesen kritischen
Situationen auf Schnelligkeit ankommt, um größere
Schäden zu verhindern.
Aufgrund der Erfahrungen mit dem „ILOVEYOU“-Virus
empfehle ich deshalb dringend, ein Notfallkonzept aufzustellen und dieses ständig der technologischen Entwicklung und der Veränderung der Systeme anzupassen.
Das Notfallkonzept sollte in jedem Fall folgende Teile
enthalten:
1. Eine interne Hotline-Nummer, an die sich Anwender
wenden können, wenn ein Virus aufgetreten ist, unplausibles Systemverhalten vorliegt oder eine Attacke
aus dem Internet erkannt wird.
2. Die externe Hotline-Telefonnummer des für die
Behörde oder das Unternehmen zuständige CERT; für
Stellen in meinem Zuständigkeitsbereichs ist dies das
Bundesamt für Sicherheit in der Informationstechnik,
Referat V2/BSI-CERT, Postfach 20 03 63, 53133
Bonn, Tel. 0228 9582 444, FAX: 0228 9582 427
3. Sinnvoll ist auch, die Internetadresse des BSI-CERT in
die Planungen mit aufzunehmen (www.bsi-cert.de).
4. Festlegung der Alarmmeldewege, die bei einem Virusbefall und/oder Eindringen eines Hackers zu beachten
sind.
Auch die Reaktionszeit von verschiedenen Institutionen,
die sich mit Sicherheitsfragen befassen, muss nach diesem
Angriff überdacht werden, insbesondere die Vorwarnzeiten müssen im erheblichen Umfang verkürzt werden.
5. Genaue Festlegung, wer in einem System welche Entscheidung – beispielsweise das Herunterfahren von
Systemteilen – treffen darf. Auch sollte festgelegt werden, wie die Benutzer über das Beenden des Systembetriebs unterrichtet werden.
Vielleicht war „ILOVEYOU“ auch schlichtweg überfällig, um vielen Verantwortlichen die Fahrlässigkeit und
fehlenden Konzepte, solchen Fällen zu begegnen, vor Augen zu führen.
6. Das Starten des Systems ist ebenso an Bedingungen
zu knüpfen, damit beispielsweise sichergestellt ist,
dass der Virus in einem Netz vollständig beseitigt
wurde.