Schwachstellen in den Netzwerkprotokollen

Die TCP/IP-Protokollfamilie, die Standard„sprache“ für Datenübertragungen im Internet, wurde vor etwa 20 Jahren entwickelt. Damals wurden Computernetze nahezu ausschließlich für wissenschaftliche Zwecke eingesetzt, so dass die Entwickler Sicherheitsaspekte getrost zu Gunsten von Fehlertoleranzeigenschaften vernachlässigen konnten. Heutzutage dominieren kommerzielle Inhalte das Internet, deren Übertragung verstärkte Sicherheitsmaßnahmen er-fordert. Die wesentliche Anforderung an Datenübertragungen in großen Netzwerken besteht darin, plattformunabhängig (Hard- und Software) Verbindungen zwischen unterschiedlichen Hosts zu ermöglichen. Um dies zu gewährleisten, erfolgt eine Schematisierung und Gliede-rung des Kommunikationsprozesses in wohl definierte, hierarchische Ebenen.⁷¹ Die einzelnen Kommunikationsfunktionen werden bestimmten logischen Schichten zugeordnet. Änderun-gen auf einer Schicht haben daher keine AuswirkunÄnderun-gen auf die anderen Ebenen. Angriffe sind grundsätzlich über alle Schichten denkbar und sollen deshalb in dieser Reihenfolge systemati-siert werden. Daher zunächst ein Überblick über die TCP/IP-Netzwerkprotokolle anhand des siebenschichtigen ISO-Referenzmodells:

Application Layer Schichten 5- 7 WWW, Email, etc.

Transport Layer Schicht 4

TCP, UDP Network Layer Schicht 3 IP

Data Link Layer Schicht 1 und 2

LLC, Hardwareinterface

Abbildung bei Plate/Holzmann, Sicherheit in Netzen, 2.6.

68 Beschreibung der Funktionsweise von IP-, DNS- und Webspoofing bei Hoeren/Sieber – Sieber 19 Rn 36-38

69 http://www.multimania.com/ilikeit/ (01.01.2004)

70 Fuhrberg, Sicherheit im Internet, 3 ff., Plate/Holzmann, Sicherheit in Netzen, 2.3.; Wolf/Häger/Schorn, 3.3

71 Sog. 7-Schichten-Modell der „International Standard Organisation“ (ISO)

Auf der hierarchisch niedrigsten Ebene erfolgt die physikalische Verbindungserstellung (engl.

physical layer). Hierfür müssen Parameter für die Bit-Übertragung festgelegt werden, wie beispielsweise Pegel, Verkabelung, Stecker, usw. In TCP/IP wird diese Ebene gewöhnlich mit der Sicherungsschicht (engl. data link layer) zusammengefasst. Diese ist für die Herstellung einer funktionierenden Verbindung zwischen zwei benachbarten Stationen verantwortlich.⁷² Dazu stellt sie einen definierten Rahmen für den Datentransport zur Verfügung und über-nimmt die Fehlererkennung und Datensynchronisation. Informationen werden in Blöcke ge-eigneter Länge zerlegt, die als Datenrahmen (engl. frames) bezeichnet und mit einer Prüfin-formation für die Fehlererkennung und -korrektur versehen werden.⁷³ In der hierarchisch nächst höheren Schicht (engl. network layer) wird Sorge getragen für die Übertragung der in Schicht 2 erstellten Datenpakete. Dafür werden Datenwege gewählt (engl. routing), Verbin-dungen vor Überlastung geschützt (Flusskontrolle) sowie eine nochmalige, auf die in Schicht 2 aufbauende, Überprüfung einer fehlerfreien Übertragung vorgenommen.⁷⁴

Auf dieser dritten Ebene können komplette Datenübertragungen, einschließlich (unverschlüs-selter) Passwörter, durch sog. Sniffing (dt. schnüffeln) mitgelesen werden. Ein (Packet-) Snif-fer ist ein Programm, das den Datenverkehr im Netzwerk abhört. Technisch wird dies dadurch ermöglicht, dass Datenpakete in Netzwerken grundsätzlich an alle Rechner geschickt werden.

Diejenigen Rechner, an die der Datenstrom nicht adressiert ist, verwerfen jedoch die nicht für sie bestimmten Pakete. An dieser Stelle können „Sniffer” ansetzen. Sie speichern die verwor-fenen Daten und ermöglichen unter Zuhilfenahme entsprechender Filter, ganze Verbindungen zu protokollieren. Auf diese Weise können Passwörter abgehört und fremde Emails mitgele-sen werden, sofern diese unverschlüsselt übertragen werden. Sniffer sind nicht etwa obskure Hacker-Tools, sondern gehören bei vielen Betriebssystemen zum Lieferumfang, da sie zum Test und der Fehlersuche in Netzwerken notwendig sind. Bekannte Vertreter sind z.B. „Snif-fIt“, „Etherload“, „Netman“, „LinkView“ oder „LANWatch“. Abhilfe kann, wie bereits ange-deutet, durch Verschlüsselung (Kryptographie) geschaffen werden.

Die Transportschicht erfüllt – wie der Name schon sagt – eine reine Transportfunktion. Damit alle Datenpakete den richtigen Empfänger erreichen, stellt Schicht 4 eine Datenverbindung zwischen zwei Partnern her, übernimmt den Datentransport, die Flusskontrolle, die Fehlerer-kennung und Korrektur. Diese Schicht verbirgt die Charakteristika des Netzes (LAN, WAN, usw.) vor den darüber liegenden Schichten. Bei einer Forderung nach höherem Datendurch-satz kann die Transportschicht mehrere Verbindungen zum Partner aufbauen und die Daten in Teilströmen leiten (engl. splitting/combining).⁷⁵

Auf dieser Ebene können Kommunikationspartner über die Identität ihres Gegenübers ge-täuscht werden. Beim sog. IP-Spoofing (to spoof, dt. hereinlegen) werden IP-Adressen der beteiligten Rechner gefälscht. IP-Adressen (engl. internet protocol address) sind eindeutige viergliedrige Zahlen, die jedem mit dem Internet verbundenen Rechner vom Zugangsanbieter (z.B. T-Online, AOL, Universitäten, usw.) zugewiesen werden. Dadurch kann er von anderen Rechnern im Netz zweifelsfrei lokalisiert werden, so dass man von einer „elektronischen Hausnummer“ sprechen kann. Beim IP-Spoofing wird die ungenügende Überprüfung des Kommunikationspartners unter TCP/IP ausgenutzt, um mit gefälschten IP-Adressen einem Rechner falsche Informationen unterzuschieben. Ermöglicht wird dies durch einen Konzepti-onsfehler im TCP/IP-Protokoll, der bereits 1985 entdeckt wurde.⁷⁶ Oft werden diese Attacken

72 Taschenbuch der Informatik – Löffler, Kap. 6, S. 208 ff., 216

73 Taschenbuch der Informatik – Löffler, Kap. 6, S. 168, 184, 208, 216

74 Plate, Grundlagen Computernetze, 1.2

75 Plate, Grundlagen Computernetze, 1.2

76 Morris, A Weakness in the 4.2BSD UNIX TCP/IP Software, S. 2 ff.

Einleitung

benutzt, um falsche Routing Informationen an ein System weiterzugeben. Aber auch bei ein-zelnen Verbindungen kann das Fälschen von IP-Adressen Anwendung finden, wie z.B. beim Hijacking (vgl. weiter unten). Dem Eindringling ermöglicht diese Attacke, sich in eine frem-de Verbindung „einzuklinken“, infrem-dem er eine falsche Ifrem-dentität vortäuscht. Ganze Verbindun-gen können, sofern sie unverschlüsselt erfolVerbindun-gen, abgehört werden.

Beim sog. Route-Spoofing versucht ein Angreifer, den Weg der Datenpakete in einem Netz-werk zu beeinflussen. Routing (dt. senden, steuern) bezeichnet das Senden von Datenpaketen über bestimmte Wege im Netzwerk vom Sender zum Empfänger. Gelingt es einem Hacker falsche Informationen an einen Router (Gerät, das den Datenfluss steuert) zu übermitteln, dann kann er Verbindungen auf seinen oder einen anderen Rechner umleiten. Technisch mög-lich ist die vor allem durch Manipulationen des Routing Information Protocol (RIP) und das Internet Control Message Protocol (ICMP).⁷⁷

DNS-Spoofing zielt auf Manipulationen am Namenssystem des Internets ab. Durch einen Domain Name Server erfolgt die Übersetzung des Trivialnamens eines Hosts im Internet in die weltweit eindeutige numerische IP-Adresse (z.B. hat der WWW Server der Uni Regens-burg die IP Adresse 132.199.1.205, die man statt http://www.uni-regensRegens-burg.de in die Ad-resszeile des Browsers eingeben kann). Bei jedem Zugriff im Internet liefert der DNS die dem symbolischen Namen entsprechende numerische Kennung der Rechner. Gelingt es einem Ha-cker die Kommunikation zwischen Client und DNS abzuhören, kann er versuchen, dem an-fragenden Rechner eine falsche IP-Adresse zukommen zu lassen und so die Verbindung auf eine andere Seite umzulenken. Es ist aber auch möglich, dass der Eindringling die Kontrolle über einen DNS erlangt, beispielsweise durch eine Denial of Service-Attacke (mehr dazu weiter unten).⁷⁸

Hijacking (dt. Entführung) stellt eine Kombination der Sniffing- und Spoofing-Angriffe dar.

Dabei werden bestehende Verbindungen – im Unterschied zum Spoofing, die auf neue „ge-fälschte“ Verbindungen abzielen – zwischen zwei Rechnern „entführt“, d. h. der Angreifer übernimmt die Stelle eines Kommunikationspartners innerhalb einer Verbindung. Da bei ei-ner solchen Übernahme eiei-ner Verbindung keine Authentifizierung des Gegenübers mehr durchgeführt wird, kann ein Angreifer großen Schaden anrichten.⁷⁹

Im siebenschichtigen ISO/OSI-Schema bezeichnet die Anwendungsschicht (engl. application layer) nur die oberste Ebene. Im TCP/IP-Modell werden die obersten drei Schichten unter dieser Bezeichnung zusammengefasst.⁸⁰ Dies bedingt funktionell jedoch keine Unterschiede.

Schicht 7 stellt die Verbindung zur jeweiligen Anwendung (Applikation) dar und ist für den Dialog mit den Programmen verantwortlich. Daraus wird deutlich, dass es sich bei dieser E-bene – trotz der missverständlichen Namensgebung – nicht selbst um ein Programm handeln kann, sondern lediglich um eine funktionelle Einheit in einem Kommunikationsschema.⁸¹ Eine Standardisierung ist aber bislang noch in weiter Ferne. Die Anwendungsebene bietet vielfältige Möglichkeiten für Angreifer in ein (geschütztes) Netzwerk einzudringen. Sicher-heitslücken ergeben sich sowohl aus Mängeln in der Konzeption und Implementation als auch aus Fehlern in der Konfiguration einzelner Anwendungen.⁸²

77 Taschenbuch der Informatik – Löffler, Kap. 6, S. 167, 184 ff.; Plate/Holzmann, Sicherheit in Netzen, 2.7

78 Hoeren/Sieber – Sieber § 19 Rn 36 ff.; Plate/Holzmann, Sicherheit in Netzen, 2.7

79 Plate/Holzmann, Sicherheit in Netzen, 2.7

80 Plate, Grundlagen Computernetze, 8; Taschenbuch der Informatik – Löffler, Kap. 6, S. 217 f.

81 Plate, Grundlagen Computernetze, 1.2; Taschenbuch der Informatik – Löffler, Kap. 6, S. 210, 212 ff.

82 Plate/Holzmann, Sicherheit in Netzen, 2.7; Taschenbuch der Informatik – Plate/Henning, Kap. 21, S. 710 ff.

Gefahren resultieren vor allem aus der Nutzung aktiver Komponenten im Web, wie z.B. CGI- Skripten, ActiveX, Java, usw.⁸³ WWW-Seiten können aus passiven (z.B. Text, Grafik, Sound, usw.) wie aktiven Inhalten (Programme, die entweder auf dem WWW-Server oder dem Browser ausgeführt werden) bestehen. Vor letzteren wird in der Presse und Literatur zu Recht gewarnt, da sie schon mehrfach für missbräuchliche Zwecke eingesetzt wurden. Auf Server-seite entstehen Sicherheitsrisiken vor allem bei der Verwendung von CGI-Skripten.⁸⁴ Da-durch, dass diese nicht beim Anwender, sondern auf dem Server ausgeführt werden, besteht die Gefahr, dass ein Hacker in der Position eines Benutzers Zugriffsrechte auf den Server be-kommt. Auf Anwenderseite bereitet vor allem das Microsoft Produkt „ActiveX“ Probleme.

Diese Technologie wurde nicht primär für den Einsatz im Internet entwickelt, sondern ist eine Art Nebenprodukt zu Microsofts „Component Objekt Model“ (COM) Entwicklung, die eine wichtige Komponente in der Windows-Architektur geworden ist. Teile dieser Technologie (z.B. OLE) werden von den meisten Windows-Anwendern, ohne dass sie es wüssten, fast tagtäglich eingesetzt. „Objekt Linking and Embedding“ ist ein von Microsoft entwickeltes Verfahren, das es erlaubt, Dokumente – wie z.B. Excel-Sheets – in Microsoft Office Doku-mente einzufügen. „ActiveX“-EleDoku-mente werden derzeit nahezu ausschließlich von Microsoft Windows Plattformen in Verbindung mit dem Microsoft Internet Explorer unterstützt. Mit Hilfe von Plug-Ins kann „ActiveX“ mittlerweile auch mit Netscape-Browsern genutzt werden.

Die von „ActiveX“ ausgehenden Gefahren hat der Chaos Computer Club (CCC) bereits 1997 medienwirksam vor Augen geführt. Dazu gingen Vertreter des CCC wie folgt vor:

Zunächst wurde auf einem WWW-Server mit dem sinnigen Titel „Millionär in fünf Minu-ten“ ein manipuliertes ActiveX-Control installiert. Betrachtete ein Anwender diese Seite mit dem Internet Explorer und hatte er die Homebanking-Software „Quicken“ auf seinem Rechner installiert, so startete das Control diese im Hintergrund und schleuste unbemerkt einen Überweisungsauftrag ein. Bei der nächsten Sammelüberweisung mit „Quicken“

wurde das Konto dann um DM 20,- erleichtert.⁸⁵

„Java“ überzeugt im Gegensatz dazu mit fundierteren Überlegungen zum Thema Sicherheit.

Dies ist auch nicht weiter verwunderlich, denn im Gegensatz zu „ActiveX“ handelt es sich um eine Programmiersprache, die speziell zur Erzeugung interaktiver Inhalte im Internet entwor-fen wurde.⁸⁶ Darüber hinaus wird die von Netscape entwickelte Script-Sprache „JavaScript“

zur Erzeugung interaktiver Web-Inhalte benutzt. Sie hat mit dem von Sun entwickelten Java im Grunde nur einen Namensbestandteil gemeinsam und erreicht keinen vergleichbaren Si-cherheitsstandard. „JavaScript“ wird nicht kompiliert⁸⁷, sondern zur Laufzeit interpretiert. Das erleichtert zwar das Programmieren, schafft jedoch auch Risiken, da keine Fehlerprüfung im Kompilierungslauf erfolgt, durch die sich schwere Programmfehler, die zum Systemabsturz führen können, entdecken ließen.

83 BSI, „Ausführbare Inhalte – Sicherheitsrisiken und Lösungen“,

http://www.bsi.bund.de/taskforce/literatur/aktivinh.htm#Ausblick; Informationen des CCC zu ActiveX, http://www.ccc.de/activex/ (01.03.2004); Mack DuD 1999, S. 192 ff.; Sicherheitsinfos auf der Homepage von Sun: http://java.sun.com/products/jdk/1.1/knownbugs/index.html (01.03.2004); Sicherheitsratschläge des Rechenzentrums der Universität Münster, http://www.uni-muenster.de/WWW/Sicherheit.html (01.03.2004)

84 „Common Gateway Interface“: Standardisierte Programmierschnittstelle zum Datenaustausch zwischen Brow-ser und Programmen auf dem WebBrow-server. Diese Programme sind überwiegend in „Perl“ geschrieben und dienen hauptsächlich der Auswertung von HTML-Formularen.

85 Die ursprüngliche CCC Pressemitteilung befindet sich auf folgender Mirror-Seite: http://www.iks-jena.de/mitarb/lutz/security/activex.html (01.03.2004)

86 Ausführliche Darstellung bei Mack DuD 1999, 192 ff.

87 Ein Kompiler (von engl. compile) ist ein Programm, das den Quelltext eines anderen Programms, das in einer bestimmten Programmiersprache vorliegt, in eine für den Computer verständliche Zeichenfolgen übersetzt.

Einleitung 1.7.1.2 Cookies⁸⁸

Cookies (dt. Kekse) können ähnlich wie die Aktivitäten von Hackern den individuellen Ge-heimbereich verletzen. Es handelt sich um kleine Datenpakete, die beim Besuch einer Websi-te zunächst im Arbeitsspeicher des heimischen CompuWebsi-ters gespeichert werden. ÜbersWebsi-teigt ihre programmierte Lebensdauer die Dauer der Verbindung mit der besuchten Seite, so wer-den sie als Textdatei auf die Festplatte geschrieben (sog. persistente Cookies). Mit Hilfe von Cookies können Besucher einer Webseite identifiziert werden, was die Bereitstellung von Komfortfunktionen, wie beispielsweise individualisierte „Warenkörbe“, ermöglicht.⁸⁹ Sie wurden von Netscape⁹⁰ entwickelt und erstmals im Browser „Navigator 1.0“ verwendet.

Strafrechtliche Relevanz erlangen vor allem persistente Cookies, die ohne Wissen und Wollen des Betroffenen auf der Festplatte deponiert werden und die Erhebung und Sammlung perso-nenbezogener Daten in großem Umfang ermöglichen (engl. data mining). Unternehmen wie

„DoubleClick“⁹¹, „Adfly“⁹² usw. haben sich darauf spezialisiert, detailliert Kundenprofile zu erstellen und diese gegen Entgelt an Dritte zu überlassen. Dazu werden vor allem kommer-zielle Webseiten so präpariert, dass der Browser eines Besuchers Cookies von „Doubleclick“

usw. anfordert, ohne die Webseiten jener Unternehmen jemals besucht zu haben. Aus den Cookies können „DoubleClick“ usw. auf die Identität und das Konsumverhalten des Betroffe-nen schließen und diese InformatioBetroffe-nen an Werbeunternehmen verkaufen.⁹³ Bedenklich an dieser Praxis ist, dass personenbezogene Daten ohne Wissen und Wollen der Betroffenen und ohne Rücksicht auf Belange des Datenschutzes erhoben, verarbeitet und weitergegeben wer-den.

Bei der Entwicklung der neusten Browser Generation wurde diese Problematik erkannt. Der Benutzer kann beispielsweise ab dem MS IE 6.0 Sicherheitszonen definieren und Cookies nach programmierter Lebensdauer, Anbieter usw. annehmen oder verweigern. Die neueren Mozilla Browser enthalten einen eigenständigen „Cookie Manager“, der die Kontrolle und Verwaltung eines jeden einzelnen Cookies ermöglicht. In Unix/Linux Systemen genügt es, die Leseberechtigung des Browsers in Bezug auf die Cookie-Dateien aufzuheben.

1.7.1.3 Echelon

Die Kommunikation über die weltweiten Datennetze ist nicht nur durch private Eindringlinge, sondern auch von staatlicher Seite gefährdet. Unter dem Codewort Echelon betreiben die Un-terzeichnerstaaten der sog. UKUSA-Vereinbarung von 1948, die USA, Kanada, Großbritan-nien, Australien und Neuseeland, das wohl größte weltweite Satellitenabhörsystem. Bis vor kurzem wurde sowohl die Existenz des zu Grunde liegenden Vertragswerkswerks als auch die des Abhörsystems in der Öffentlichkeit vehement bestritten. Das Europaparlament setzte schließlich nach jahrelangem Drängen verschiedener Bürgerrechtsvereinigungen einen nicht-ständigen Ausschuss ein, dessen Berichterstatter Gerhard Schmid am 11.07.2001 seinen knapp 200 Seiten umfassenden Abschlussbericht⁹⁴ vorlegte. Als Ergebnis des Berichts bleibt

88 Weiterführende Informationen unter: http://www.cookiecentral.com/ (01.03.2004)

89 Taschenbuch der Informatik – Plate/Henning, Kap. 21, S. 702; Plate/Holzmann, Sicherheit in Netzen, 7.3

90 http://www.netscape.com/ (01.03.2004)

91 http://www.doubleclick.com/ (01.03.2004)

92 http://www.adfly.com/ (01.03.2004)

93 Mayer-Schönberger, http://www.cookiecentral.com/content.phtml?area=2&id=1 (01.03.2004); Pla-te/Holzmann, Sicherheit in Netzen, 7.3

94 Europaparlament; http://www.europarl.eu.int/tempcom/echelon/rrechelon_en.htm (01.03.2004)

festzuhalten, dass „Echelon“ nunmehr von offizieller Seite bestätigt existiert⁹⁵, dass „wahr-scheinlich“ Art. 8 EMRK⁹⁶ sowie Europa- und Völkerrecht verletzt werden⁹⁷, die jährlichen Spionageschäden sich auf ca. 7 Milliarden US $⁹⁸ belaufen und dass von staatlicher Seite Aufforderungen⁹⁹ an die Betreiber des Spionagesystems ausgesprochen wurden, bis zu deren Umsetzung sich die Betroffenen besser selbst schützen¹⁰⁰ sollen.

1.7.2 Integritätsverletzungen

Nach dem Wortlaut erfassen „Integritätsverletzungen“ Handlungen, die die Unversehrtheit eines Systems oder von Daten beeinträchtigen. Dabei handelt es sich um Fälle der Compu-termanipulation und -sabotage. Exemplarisch für die zahlreichen Fallgestaltungen soll an die-ser Stelle auf die Phänomene „Computerviren“ sowie „0190-Dialer“ eingegangen werden.

1.7.2.1 Viren, Würmer, Hoaxes und Trojaner

Computerviren sind eine Erscheinung, die Mitte der 1980er Jahre zum ersten Mal auftrat. Der Begriff im engeren Sinne geht zurück auf den amerikanischen Wissenschaftler Lenn Adleman von der Universität von Südkalifornien. Die erste umfangreichere Untersuchung stammt von Fred Cohen vom selben Institut, der im Rahmen seiner Dissertation¹⁰¹ Pionierarbeit auf dem Gebiet leistete. Man vermutet, dass das erste Virus („Brain“) von zwei Brüdern aus Pakistan stammt, die frustriert von dem Umstand der Piraterie an ihrer Software ein Programm erstell-ten, das eine Kopie von sich selbst und einen Copyrightvermerk auf jeder kopierten Diskette erstellte. Mittlerweile haben sich Viren – vor allem über Emails – epidemisch verbreitet.

Kommerzielle Schutzprogramme¹⁰² geben an, über ein Archiv von etwa 75.000 Viren, Wür-mer und Trojaner zu verfügen. Es vergeht fast kein Tag, an dem nicht vor neuen Schadpro-grammen „in the wild“ (ITW) gewarnt wird.¹⁰³ Eine aussagekräftige Statistik hierzu führt das Rechenzentrum der Universität Bern. Ein- und ausgehende Emails werden auf dem zentralen Mailserver gescannt und die Ergebnisse werden im 15-Minuten-Takt aktualisiert im Internet publiziert.¹⁰⁴ Allein im Mai 2002 wurden auf diese Weise über 8.100 Viren entdeckt und un-schädlich gemacht.

Nach der auf Cohen zurückgehenden Definition ist ein „Computervirus“ in Anlehnung an sein Pendant aus der Biologie „[...] a program that can infect other programs by modifying them to include a possibly evolved version of itself.” Diese Definition besitzt auch heute noch Gül-tigkeit und wurde nur geringfügig modifiziert: Unter einem „Computervirus“ versteht das Bundesamt für Sicherheit in der Informationstechnik (BSI) „[...] eine nicht selbständige Pro-grammroutine, die sich selbst reproduziert und dadurch vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung

95 Abschlussbericht siehe Fn 94, lit. A), S. 14

96 Abschlussbericht siehe Fn 94, lit. H), I), J) und K), S. 15 f.

97 Abschlussbericht siehe Fn 94, lit. F), G), S. 15

98 Abschlussbericht siehe Fn 94, lit. S), S. 17

99 Abschlussbericht siehe Fn 94, lit. AA), Ziff. 11 ff., S. 20 ff.

100 Abschlussbericht siehe Fn 94, lit. AA), Ziff. 27 ff., S. 21 ff.

101 Cohen, Computer viruses: theory and experiments, Ph. D. dissertation, U. of Southern California, 1984

102 Beispielsweise Sophos Anti-Virus, Version 3.59, Stand 01.06.2002

103 Sehr gründliche und aktuelle Auswertungen von Viren itw bei The WildList Organization International, http://wildlist.org/ (01.03.2004)

104 Informatikdienst der Universität Bern, http://www.id.unibe.ch/network/stats/email/viri/index.shtml (01.03.2004)

Einleitung nimmt.“¹⁰⁵

Entscheidend für ein Computervirus ist, dass es wie sein Verwandter aus der Biologie einen Träger benötigt (z.B. Bootsektor, Makro, Programmteil, usw.), um sich zu verbreiten. Darin liegt der wesentliche Unterschied zum Wurm, der sich ohne Wirt verbreiten kann, indem er von sich selbst Kopien erstellt. Die Übergänge sind allerdings fließend, da sich manche Viren wie Würmer verhalten, indem sie sich selbst per Email an andere Anwender weiterleiten (z.B.

VBS/Kakworm und VBS/LoveLet-A).¹⁰⁶ Hoaxes (dt. Scherz, Schabernack) sind keine Schadprogramme, sondern gefälschte Virenmeldungen, die den Anwender meist dazu auffor-dern, Systemdateien zu löschen, bei denen es sich angeblich um Viren, etc. handelt. Der gute Glaube des Anwenders führt dazu, dass er sich auf diese Weise selbst Schaden zufügt. Der Begriff des Trojanischen Pferdes – bzw. Trojaners – wurde bereits in Kapitel 1.7.1.1.3 er-läutert. Eine der unerwünschten Nebenfunktionen kann neben dem Öffnen einer „backdoor“

auch das Einschleusen eines Virenprogramms sein.

Die Schätzungen der von Viren verursachten Schäden gehen weit auseinander. Das EMI gibt unter Berufung auf eine von den ICSA Labs¹⁰⁷ durchgeführte Studie folgende Zahlen an:

Quelle: EMI, „Twilight Zones in Cyber Space“, S. 52

Weniger konservative Schätzungen¹⁰⁸ beziffern die Schäden noch weit höher, ohne jedoch die Grundlagen für ihre Erhebungen offen zu legen. Im Mai 2002 wurde der Schöpfer des Virus

„Melissa“, David Smith, im US-Bundesstaat New Jersey zu einer Haftstrafe von 20 Monaten sowie zu einer Geldbuße von US $ 5.000,- verurteilt. Nach Angaben des US-Justizministeriums wurde allein durch den „Melissa“-Virus Schäden in Höhe von US $ 80 Mio. verursacht.¹⁰⁹

105 BSI, http://www.bsi.bund.de/av/virbro/kap1/kap1_2.htm (01.03.2004)

106 Oldfield, Von Viren, Würmern und Trojanern, Sophos Plc, http://www.sophos.de (01.03.2004)

107 ICSA (International Computer Security Association) Labs,

http://www.icsalabs.com/html/communities/antivirus/iloveyou/testimony.shtml (01.03.2004)

108 Computer Economics: Economic Impact of Malicious Code Attacks, http://www.computereconomics.com/article.cfm?id=936 (01.03.2004)

109 U.S. Department of Justice, CCIPS, http://www.cybercrime.gov/cccases.html (01.03.2004)

Virus Jahr Typ

Z e i t r a um i n ne r ha l b

Z e i t r a um i n ne r ha l b

Im Dokument Convention on Cybercrime (ETS 185) (Seite 27-0)