Umgang mit Computerviren

In der heutigen vernetzten Welt gibt es in der Medizin praktisch keine alleinstehenden Rechner. In Arztpraxen werden die Abrechnungsdaten elektronisch zur Abrechnungsstelle übermittelt, Labordaten werden über LDT direkt in das Arztpraxissystem eingetragen usw. Gleiches gilt für die Krankenhäuser, die oftmals sogar direkt mit dem Internet verbunden sind. Bei allen Vorteilen, welche die Vernetzung zu bieten hat, existiert jedoch der Nachteil, dass Computer-Kriminelle zerstörerische Computerprogramme, oftmals Viren genannt, in die Computernetze einspeisen können. Diese Viren können dann relevante Daten, d.h. Patientendaten, zerstören. Auf diese Gefahren wurde schon bei der Einführung der MikroComputer, heute „Personal Computer“ (PC) genannt, in den medizinischen Bereich hingewiesen1)2). Ab 2006 ist die elektronische Erfassung der Gesundheitsdaten durch das Gesetz zur Modernisierung der Krankenversicherung (GMG) vorgeschrieben: nach § 295 Abs. 4 GMG dürfen künftig die „an der vertragsärztlichen Versorgung teilnehmenden Ärzte, ärztlich geleiteten Einrichtungen und medizinischen Versorgungszentren“ nur noch „im Wege elektronischer Datenübertragung oder maschinell verwertbar auf Datenträgern“ abrechnen3). Zudem steht ab 2006 die flächendeckende Einführung der elektronischen Gesundheitskarte und des elektronischen Heilberufsausweises im Rahmen des „BIT4Health“-Projekts der Bundesregierung an4). Spätestens zu diesem Zeitpunkt müssen sich deutsche Ärztinnen und Ärzte sich mit der elektronischen Datenerfassung und -übermittlung sowie dem Schutz dieser Daten auseinandersetzen. Ziel dieser Arbeit ist es, dem Arzt bzw. dem EDV-Verantwortlichen eine Verfahrensanleitung zum Schutz vor Viren an die Hand zu geben.

Definition

Es werden verschiedene Formen von Computerschädlingen unterschieden: Viren, Trojaner und Würmer5).

  • Viren sind Programme, die sich durch Infektion eines anderen Programms (= Wirt) vervielfältigen. Viren haben häufig eine zerstörerische Wirkung.
  • Ein Trojaner (= trojanisches Pferd) ist ein Programm, welches eine versteckte Spionage- und/oder Schadensfunktion enthält. BackDoors (= „Hintertür“), welche einem Angreifer die vollständige Kontrolle über einen infizierten PC geben und diverse Funktionen auf dem PC ausführen können, fallen ebenfalls in diese Kategorie.
  • Würmer sind (oftmals schädliche) Programme, die sich selbstständig über Netzwerkverbindungen (häufig via eMail-Programme) vervielfältigen6).

Unter den Viren werden wiederum verschiedene Formen unterschieden:

  • Kompressionsbomben entstehen beim komprimieren sehr großer (1 bis 2 Gigabyte), gut komprimierbarer (z.B. nur aus Nullen bestehende) Dateien. Ein Virenscanner muss eine gepackte Datei zur Überprüfung temporär dekomprimieren. Einige Virenschutz-Produkte überprüfen jedoch nicht, ob bei der Dekomprimierung eine zuvor definierte Größe überschritten wird und entpacken die zu überprüfende Datei bis diese vollständig dekomprimiert ist oder die Festplatte keinen Speicherplatz mehr bietet7). Daraus resultiert ein so genannter „Denial-of-Service“: die Nicht-Verfügbarkeit des Rechners.
  • Im Gegensatz zu den herkömmlichen Dateiviren infizieren Makroviren keine Programme wie etwa .EXE oder .COM-Dateien, sondern übertragen ihren Programmcode mittels einer Makrosprache in andere Dokumente oder Datenbanken. Damit sind Makroviren nicht mehr abhängig von der CPU und vom Betriebssystem. Word-Makroviren können z.B. problemlos Word unter Windows 3.1, Windows 95, Windows NT, OS/2 oder auf Macintosh-Computern infizieren. Makroviren sind damit also „Applikationsabhängig“, d.h. sie benötigen ein bestimmtes Anwenderprogramm, um sich zu vermehren und ihre Schadensfunktionen durchzuführen. Mittlerweile gibt es Makroviren für eine ganze Anzahl von bekannten Anwenderprogrammen. - * Multipartite-Viren infizieren nicht nur Dateien, sondern auch noch den Master Boot Record (MBR) einer Festplatte oder den Bootsektor einer Diskette oder auch alle drei Elemente. Bei der Reinigung muss daher darauf geachtet werden das der Virus aus allen befallenen Bereichen entfernt wird.
  • Partition- oder MBR-Viren verändern den Master Boot Record entweder direkt oder sie befallen den logischen Sektor und werden daher sofort beim Starten des Rechners aktiv.
  • Polymorphe Viren sind verschlüsselt und ändern bei jedem infiziertem Programm den Aufbau der Entschlüsselungsroutine. Damit ist eine Suche mittels Suchstrings unmöglich. Die Mutation Engine (MtE) erzeugt mehrere Millionen Arten von Verschlüsselungen. Polymorphe Viren können nur durch eine algorithmische Suche oder durch heuristische Analyse-/Codeemulation gefunden werden.
  • Ein residenter Virus sitzt aktiv im Speicher, ohne dass es der Anwender merkt. Der Virus modifiziert permanent Daten bzw. überwacht die Funktionen des Betriebssystems, um zu einem bestimmten Zeitpunkt aktiv zu werden.
  • Stealth- oder Tarnkappenviren verbergen die Tatsache, dass infizierte Dateien oder Sektoren verlängert bzw. verändert werden, und können damit so gut wie alle Virensuchprogramme und Prüfsummenchecker täuschen. Man unterscheidet zwischen Semi- und Vollstealthviren. Semistealth-Viren verbergen nur die Dateiverlängerung, nicht aber die eigentliche Dateiveränderung. Um Stealthviren zu entfernen, muss der Rechner von einer sauberen Bootdiskette bzw. CD aus gestartet werden, da sonst der Virus noch aktiv im Speicher ist.

Heute werden überwiegend Kombinationen von Schädlingsprogrammen vorgefunden: ein Trojaner, der einen oder mehrere Makroviren beinhaltet und sich über einen Wurm-Mechanismus verteilt. Ein frühes Beispiel war der Computer-Virus „LoveLetter“ alias „ILOVEYOU“, welcher sich Anfang Mai 2000 weltweit äußerst schnell mit Hilfe des Microsoft E-Mail-Programms Outlook auf Millionen von Windows-Rechnern verbreitet und auch viele andere Mail-Systeme (Lotus Notes, Eudora, etc.) erreicht und bei unachtsamen Benutzern Schaden angerichtet hat. Eine aktuelle Studie des Anti-Viren-Tool Herstellers Network Associates bzgl. des durch Viren in europäischen Unternehmen, die von der Unternehmensgröße einem mittleren Krankenhaus entsprechen, angerichteten Schadens ergab, dass aufgrund schlechter oder fehlender Schutzmaßnahmen die zunehmende Flut von Computerviren- und Wurmattacken jährliche Schäden in Höhe von 22 Milliarden Euro verursacht, wobei die durchschnittlichen Kosten für lahm gelegte Rechner pro Virenattacke 5000 Euro erreichen8). Die ansteigende Gefahr durch Würmer zeigen auch die Umfragen des Bundesamtes für Sicherheit in der Informationstechnologie9)

Während die Kombinationen aus Makro-Virus und Wurm immer häufiger auftritt, ist die Gefahr durch Datei- oder Bootsektorviren, die die größte Bedrohung unter dem Betriebssystem DOS oder Windows 95 darstellten, mittlerweile vernachlässigbar. Die Gefahr, die durch Computerwürmer mit Schadensroutinen ausgeht ist derart angestiegen, dass vor ihrer Verbreitung sogar in den Nachrichtendiensten des Fernsehens gewarnt wird10).

Gefahrenpotential der Viren

Im Zeitalter von elektronischer Patientenakte, medizinischen Informationssystemen wie KIS, RIS, PACS usw. verschwinden zunehmend die Papierakten in der täglichen Praxis. Basierend auf der Dokumentationspflicht bzw. der Aufbewahrungspflicht der bei der Patientenbehandlung angefallenen Dokumente ist daher das haftungsrechtliche Potential der Schädigungen durch Computerviren sehr groß. Werden die Dateien mit den Patientendaten zerstört, kann der Arzt sich bei den oben angesprochenen Zivilprozessen nicht mehr entlasten.

Viren in der Gesetzgebung

In der Bundesrepublik Deutschland gibt es keine expliziten Gesetz gegen Computer-Viren oder Programme mit Schadensfunktion. Die einzigen einschlägigen Strafbestimmungen könnten im Einzelfall die Paragraphen 202a (Ausspähen von Daten), 303a (Datenveränderung) und 303b (Computersabotage) Strafgesetzbuch (StGB) sein. Im Schadensfall kann der Betroffene daher nur versuchen, zivilrechtlich einen Schadensersatzanspruch gem. § 823 Abs. 2 BGB durchzusetzen. Voraussetzung hierfür ist, dass ein Nachweis darüber geführt werden kann:

  1. welche Schäden wurden angerichtet
  2. welche Auswirkungen haben die verursachten Schäden
  3. wer ist für das Virus verantwortlich, d.h.
    1. wer hat das Virus programmiert - dies wird nicht immer festzustellen sein
    2. wer hat das Virus in die Arbeitsstätte - bewusst oder unbewusst - eingeschleust

Ferner besteht auch ein Beseitigungs- und Unterlassungsanspruch im Rahmen des § 1004 BGB. Anspruchsgegner ist je nach Fallgestaltung derjenige, der die Infektion verursachte. Ist eine Software von einem Hersteller bereits infiziert ausgeliefert worden, so stehen dem Käufer die üblichen Ansprüche der Sachmangelhaftung aus dem Kaufrecht zu.

Sicherheitskonzepte

Die aus einem Virenbefall resultierenden Kosten lassen sich nur schwer beziffern. Sie sind maßgeblich von der Verbreitung der Infektion abhängig, die um so geringer ausfällt, je eher sie entdeckt wird. Im Idealfall wird ein Virus frühzeitig beim Eintritt in das Unternehmensnetzwerk automatisch von einer speziellen Software erkannt und entfernt.
Ein umfassender Ansatz für ein Sicherheitskonzept gegen Viren in betrieblichen Umgebungen sollte alle möglichen Verbreitungskanäle berücksichtigen, um einen wirkungsvollen Schutz zu gewährleisten. Hierzu müssen vor allem die von den Viren bedrohten Güter identifiziert werden, in der Regel die lokalen Anwendungen und Daten auf Intel-basierten Workstations im Unternehmensnetz. Durch die Verbreitung der plattformunabhängigen Javaviren bzw. der Makroviren sind auch zunehmend Unix- und Macintosh-Workstations betroffen.
Der erste Schritt ist daher die Ernennung eines Verantwortlichen, welcher diese Erhebung durchführt und der für die Identifikation und Erfassung entsprechender Vorfälle verantwortlich ist. Diese Person muss über einen „globalen“ Blick im Unternehmen verfügen. Dieser Verantwortliche sollte auch eine Verhaltensmaßregel, eine sogenannte „Unternehmens-Policy“ aufstellen, deren Kenntnisnahme jeder Mitarbeiter mit seiner Unterschrift dokumentieren sollte. Die Policy beinhaltet wer was wann unter welchen Umständen im Netz darf. Z.B.

  • wer darf welche Programme installieren
  • wie werden eMails unterschrieben
  • wer darf FTP benutzen
  • wer darf auf welche Verzeichnisse zugreifen

Zum Schutz gegen Viren bieten eine ganze Reihe von Herstellern Anti-Viren-Programme an, welche die unerwünschten Eindringlinge nach unterschiedlichen Methoden erkennen sollen.

Virenscanner greifen auf umfangreiche Datenbanken zu, die Informationen über typische Bytemuster (= „Signaturen“) bekannter Viren enthalten. Um die Effektivität der Scanner zu gewährleisten, müssen diese Datenbanken immer aktuell gehalten werden (= regelmäßige Updates der Viren-Signaturen notwendig). Integritätsprüfer berechnen Prüfsummen auf potentiell gefährdeten Dateien, um nachträgliche Veränderungen durch eine Infektion feststellen zu können. So können auch ohne entsprechende Signaturen neuere Virenarten erkannt werden. Leider führen Manipulationen der Benutzer an den Dateien häufiger zu Fehlalarmen, die mit unnötiger Arbeit und Kosten verbunden sind.
Heuristische Analysetools reagieren im laufenden Betrieb auf typische Strukturen und Verhaltensmuster, wie z.B. verdächtige Dateioperationen. Auch hier werden des öfteren Fehlalarme ausgelöst.
Die meisten Hersteller bieten im Internet die Möglichkeit an, sich über bekannt gewordene Viren zu informieren. In diesen Datenbanken finden sich die unterschiedlichen Namen, unter denen die Viren auftreten können, wie auch ihre Verbreitungsmethode sowie das Schädigungspotential wie auch eine Beschreibung zur Entfernung der Viren.

DataFellows
Computer-Virus Informationen
http://www.percomp.de/virusinformationen.html
Hoax-Info Service
TU Berlin, Zentrales Rechenzentrum
http://www.tu-berlin.de/www/software/hoax.shtml
Kaspersky Lab
Virus Encyclopedia
http://www.viruslist.com/eng/viruslist.html
Network Associates Technology
Virus Information Library
http://vil.nai.com/vil/default.asp
Norman Data Defense Systems GmbHhttp://einstein.norman.no/scripts/cwisapi.dll?Service=search_virus&menulang=de
Sophos
Virenanalysen
http://www.sophos.de/virusinfo/analyses/
Symantec Corporation
Virus Encyclopedia
http://www.symantec.com/avcenter/vinfodb.html
Trend Micro, Inc.
Virus Encyclopedia Search
http://www.trendmicro.com/en/security/encyclopedia/overview.htm

Verhaltensregeln bei Auftreten eines Computervirus

Gibt es Anzeichen, dass ein Rechner von einem Computervirus befallen ist (z. B. Programmdateien werden länger, unerklärliches Systemverhalten, nicht auffindbare Dateien, veränderte Dateiinhalte, ständige Verringerung des freien Speicherplatzes, ohne dass etwas abgespeichert wurde), so sind zur Feststellung eines Computervirus und zur anschließenden Beseitigung folgende Schritte durchzuführen, unabhängig von der Art des Computervirus:

  1. Ruhe bewahren!
  2. Falls möglich, holen Sie einen fachkundigen PC-Betreuer zur Hilfe, der gegebenenfalls eine Beweissicherung durchführen kann. Zum Vorgehen bei der Beweissicherung gehört
    • Ziehen Sie Zeugen hinzu.
    • Kontaktieren Sie Ihre Rechtsabteilung.
    • Identifizieren Sie jeden Beweis.
    • Nach Möglichkeit fertigen Sie ein vollständiges Backup des infizierten Systems an.
    • Sichern Sie sich sofort die Logfiles beteiligter Router, Firewalls und anderer Systeme.
    • Überprüfen Sie Logfiles und Dateisignaturen der benachbarten Systeme.
    • Wenn ein interner Angriff in Frage kommt, sichern Sie die Zutrittsdaten.
    • Schützen Sie diese Beweise durch den Einsatz von Hilfsmitteln aus dem Bereich der forensischen Computer-Analyse!
    • Formulieren Sie eine Empfehlung, wann das System wieder in Produktion genommen werden kann.
    • Kommunizieren Sie diese Empfehlung an das Management zur Entscheidungsfindung.
  3. Beenden Sie die laufenden Programme und schalten Sie den Rechner aus.
  4. Legen Sie eine einwandfreie, schreibgeschützte Systemdiskette (die Notfalldiskette) in das Diskettenlaufwerk bzw. eine bootfähige CD-ROM zur Virensuche in das CD-Laufwerk ein.
  5. Booten Sie den Rechner von dieser Diskette / CD-ROM (evtl. vorher Bootreihenfolge im CMOS-Setup ändern).
  6. Überprüfen Sie den Rechner mit einem aktuellen Viren-Suchprogramm um festzustellen, ob und um welchen Computervirus es sich handelt.
  7. Entfernen Sie den Virus abhängig vom jeweiligen Virustyp.
  8. Überprüfen Sie mit dem Viren-Suchprogramm die Festplatte erneut.
  9. Untersuchen Sie alle anderen Datenträger (Disketten, Wechselplatten) auf Virenbefall und entfernen Sie die Computerviren.
  10. Versuchen Sie die Quelle der Vireninfektion festzustellen:

wenn erfolgreich, anschließend

  • bei Programm-Disketten: Hersteller informieren,
  • bei Daten-Disketten: Ersteller der Diskette informieren.
  1. Warnen Sie andere IT-Benutzer, wenn ein Diskettenaustausch vom infizierten Rechner erfolgte.
  2. Schicken Sie den Virusmeldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Einen entsprechenden Meldebogen gibt es unter http://www.bsi.de/av/texte/Virusmeldebogen.rtf bzw. unter http://www.bsi.de/av/virbro/anhang/anhang_f.htm

Sollte der Computervirus Daten gelöscht oder verändert haben, versuchen Sie, die Daten aus den Datensicherungen und die Programme aus den Sicherungskopien der Programme zu rekonstruieren. Anschließend sollte nochmals Schritt 8 wiederholt werden.
Nach Beseitigung des Virenbefalls ändern Sie die Administratoren-Passwörter. Wenn der Angreifer einen Sniffer installiert hat und User-Passwörter aufgezeichnet wurden, sollten auch diese Passwörter geändert werden. Informieren Sie die Anwender im angemessenem Masse über Produktionsstörungen. Überprüfen Sie, ob die Lücke die zum Vorfall führte auch auf anderen Systemen vorhanden ist und schließen Sie gegebenenfalls die Systemlücke. Führen Sie nötige Änderungen durch und überprüfen Sie deren Umsetzung. Erstellen Sie ein Management Summary und übermitteln Sie schnellstmöglich Ihre daraus resultierenden Empfehlungen an das Management. Veranstalten Sie bei Bedarf „Lessons Learned Meetings“. Das Management sollte sich folgende Kontrollfragen stellen:

  • Werden diese Verhaltensregeln allen betroffenen Mitarbeitern bekanntgegeben?
  • Wer informiert neu eingestellte Mitarbeiter?

* Gibt es fachkundige Personen, die im Bedarfsfall die oben genannten Schritte durchführen können? Das öffentliche Vorgehen nach einem Schadensfall muss gut überlegt werden, da oft die schlechte Außendarstellung den eigentlichen Schaden bei einem Sicherheitsvorfall darstellt. Wer den Schaden schon hat, dem hilft vielleicht der Artikel von Prof. Isaacs das Lächeln wiederzufinden11).

Informationsquellen im Internet

Antiviral Software Evaluation FAQhttp://victoria.tc.ca/int-grps/books/techrev/avrevfaq.html
Anti-Virus und „Sicherheits“-Produkte
Mit Genehmigung der Teilnehmer der Newsgroup alt.comp.virus
http://www.claymania.com/anti-virus-de.html
Anti-Virus\\Heise Verlaghttp://www.heise.de/security/dienste/antivirus/
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Computer-Viren
http://www.bsi.bund.de/av/index.htm
EICAR
Europäisches Institut für Antivirus-Forschung
http://www.eicar.org/
Tests of Anti-Virus Software
Otto-von-Guericke-Universität Magdeburg für Technische und Betriebliche Informationssysteme
http://www.av-test.org/index.php3?lang=de
Virus Bulletin,
The Pentagon Virus Bulletin
http://www.virusbtn.com/
Virus Help Munich (VHM)
Vireninfos
http://www.vhm.haitec.de/info/
Virus Test Center
Universität Hamburg Fachbereich Informatik
http://agn-www.informatik.uni-hamburg.de/vtc/navdt.htm
WildList Organization Internationalhttp://www.wildlist.org/

Zurück zur Themenübersicht

1) Juni JE, Ponto R (1989) Computer-virus infection of a medical diagnosis computer. N.Engl.J.Med. 320: 811-2
2) Ritchie LD, Taylor MW, Milne R, Duncan R. (1991) Computer virus infection. Lancet 338: 1598
3) Krüger-Brand H (2003) Aus für EDV-Muffel. Deutsches Ärzteblatt 40: A-2541 / B-2117 / C-1993
4) Bundesministerium für Gesundheit und Soziales [Online]. 2003 [zitiert 2003 November 25]; Verfügbar unter: http://www.bmgs.bund.de/deu/gra/themen/gesundheit/geskarte/index_2011.cfm
5) Bundesamt für Sicherheit in der Informationstechnik. Computer Viren [Online]. 2004 [zitiert 2004 März 29]; Verfügbar unter: http://www.bsi.de/av/index.htm
6) Newman ME, Forrest S, Balthrop J (2002) Email networks and the spread of computer viruses. Phys.Rev.E.Stat.Nonlin.Soft.Matter Phys. 66: 035101
7) AERAsec Network Services and Security GmbH. Possible Denial-of-Service caused by bzip2 bomb. [Online]. 2004 [zitiert 2004 März 30]; Verfügbar unter: http://www.aerasec.de/security/advisories/bzip2bomb-antivirusengines.html
8) Heise online. Viren werden für Kleinunternehmen zum finanziellen Problem. [Online]. 2004 [zitiert 2004 März 30]; Verfügbar unter: http://www.heise.de/newsticker/meldung/46098
9) Bundesamt für Sicherheit in der Informationstechnik. Viren-Meldungen an das BSI [Online]. 2004 [zitiert 2004 März 29]; Verfügbar unter: http://www.bsi.de/av/virenstatistik/vaus.htm
10) Tagesschau. Computerwurm Mydoom ist nicht zu stoppen. [Online]. 28.01.2004 [zitiert 2004 März 30]; Verfügbar unter: http://www.tagesschau.de/aktuell/meldungen/0,1185,OID2867622_REF1,00.html
11) Isaacs D, Fitzgerald D A, Kilham H A (2001) Hospital acquired computervirus infections. Arch Dis Child 85:496

Navigation
QR-Code
QR-Code Umgang mit Computerviren (erstellt für aktuelle Seite)