14. Januar 2009 - IT-Sicherheit von innen, Teil 1

Wettlauf zwischen Virenforscher und Virenschreiber

Jeden Tag werden 3.000 neue Varianten von Schadsoftware entdeckt, hundertmal so viele wie noch vor zehn Jahren. Wurden Anti-Virus-Programme früher einmal pro Woche und später dann täglich aktualisiert, werden jetzt bereits Signaturupdates im Stundentakt empfohlen. Der Wettstreit zwischen Virenanalysten und Internetkriminellen wird immer härter. Doch wie arbeiten Virenforscher eigentlich? Wie können sie so schnell auf neue Bedrohungen reagieren? Datenschutz PRAXIS sprach mit Magnus Kalkuhl, Virus Analyst bei Kaspersky Labs.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

„Weiße Kittel tragen Virenforscher in der IT nicht, das machen sie nur in der Werbung“, erklärt Magnus Kalkuhl, Virenanalyst bei Kaspersky Labs in Ingolstadt. Auch auf einen Mundschutz kann man hier verzichten.

Virtuelle Forschung, reale Gefahren

Die Büroräume, in denen die Computerexperten sitzen, wirken nicht ungewöhnlich. Nichts deutet darauf hin, dass hier keine normale Büroarbeit geschieht. Und doch werden hier wie an den anderen Standorten von Kaspersky Labs die neusten Bedrohungen aus dem Internet untersucht und Abwehrstrategien entwickelt.

Rund 100 Virenanalysten beschäftigt der russische Sicherheitsanbieter, die meisten davon in der Moskauer Zentrale. Weltweit arbeiten wohl einige Tausend Virenforscher in der IT-Sicherheitsbranche.

Wie man Virenforscher wird

Doch wie wird man eigentlich Virusanalyst? „Ein Ausbildungsberuf ist es nicht, jedenfalls noch nicht“, so der 33-jährige Spezialist für Malware. „Einzelne Universitäten bieten jedoch bereits spezielle Ausbildungsprogramme an, denn die Bedeutung der Sicherheitsforschung in der IT wird weiter zunehmen“, ist sich Kalkuhl sicher.

Er selbst habe einen beinahe klassischen Werdegang als Virus Analyst. „Ich war ein Computerkind und hatte natürlich einen C64. Übrigens habe ich heute noch einen C64-Virus auf Diskette“, strahlt Kalkuhl.

Dieser sei aber im Vergleich zu den heutigen Schadprogrammen einfach nur lästig gewesen. Er kopierte sich automatisch und gab hin und wieder eine Beleidigung auf dem Monitor aus. Diese Zeiten sind längst vorbei. Heute ist Schadsoftware eine echte Bedrohung.

Sicherheitsentwickler haben sich professionalisiert

Anfangs machte Kalkuhl Computerspiele, mit dem Einzug des Internets begann er mit eigenen Entwicklungen. Bei seinen ersten Auftragsarbeiten für Unternehmen kam bald das Thema Sicherheit auf den Tisch. „Kein Wunder, schließlich hat ein moderner Computeranwender fast sein halbes Leben auf der Festplatte“, gibt Magnus Kalkuhl zu bedenken.

Die damals verfügbaren Lösungen reichten Kalkuhl nicht aus, die eigenen Entwicklungsarbeiten in der IT-Sicherheit nahmen einen immer größeren Teil seiner Arbeitszeit ein. So fasste er den Entschluss, IT-Sicherheit als Hauptberuf zu versuchen.

Zu dieser Zeit gründete Kaspersky Lab ein Unternehmen in Ingolstadt, Magnus Kalkuhl bewarb sich und ist nun seit rund drei Jahren für den Bereich Forschung & Entwicklung im deutschsprachigen Raum zuständig.

Doch die Schattenwirtschaft hat sich ebenfalls professionalisiert

So mancher Hacker und Virenschreiber wird eine ähnliche Laufbahn genommen haben, hat sich dann aber für die andere Seite, für das Internetverbrechen entschieden.

„Die meisten Menschen glauben, dass Hacker nach einem gelungenen Angriff oder der Entwicklung eines gefährlichen Virus ausgesorgt hätten“, beschreibt Kalkuhl auch ein in der Öffentlichkeit bestehendes Klischee.

„Wir würden jedoch nie einen Seitenwechsler einstellen, die Gefahr eines Rückfalls wäre zu hoch. Bei uns gibt es auch eine Probezeit, in der man zeigen muss, dass man vertrauenswürdig ist“, so der Virenanalyst weiter.

Würde eine Sicherheitslücke bei einem Anti-Viren-(AV)-Hersteller gefunden und ausgenutzt, könnte dies ein echter GAU im Internet werden. Aber die Schattenwirtschaft findet auch so genug Angriffsziele und arbeitet fast so professionell für die Sicherheitsbranche.

Schichtbetrieb bei Virenforschern

In den letzten zehn Jahren ist die Anzahl der neu entdeckten Malware-Varianten um einen Faktor 100 gestiegen. Tägliche Signaturupdates für die installierte Anti-Virus-Software reichen kaum noch aus. Inzwischen werden bereits Aktualisierungen im Stundentakt angeboten.

Dazu müssen die Virusanalysten jedoch auch rund um die Uhr arbeiten. „Es gibt einen Schichtbetrieb und einen sportlichen Wettbewerb zwischen den Analysten, wer die meisten neuen Malware-Varianten entdeckt hat“, erläutert Kalkuhl die moderne Forschungsarbeit.

„Wer zum ersten mal im Moskauer Virenlabor arbeitet, denkt angesichts der hohen Betriebsamkeit oft, an diesem Tag sei eine neue Epidemie ausgebrochen – doch schon bald lernt man, dass dies der Alltag im Antivirengeschäft ist.“

So werden neue Bedrohungen erkannt

Ein Blick auf den Computermonitor des Virenforschers zeigt zuerst eine Programmoberfläche, die an einen Mail-Client erinnert. Tatsächlich ist es ein Tracking-Programm, ähnlich wie es bei einer Hotline für Supportfälle genutzt wird. Dort befinden sich die neuen Meldungen über Malware-Verdacht.

Die Analysten nehmen sich dann eine Meldung nach der anderen vor und prüfen die tatsächliche Gefahr. „Um potenzielle Schadsoftware bewerten zu können, analysieren wir den Programmcode. Dazu werden die Programmzeilen in eine für Menschen lesbare Form gebracht. Einige Analysten haben eine Art fotografisches Gedächtnis und erkennen die gefährlichen Codestellen auf einen Blick. Andere nutzen zusätzlich die Hinweise des Spezialprogramms“, beschreibt Kalkuhl die Arbeit der Virenanalysten.

Livetests sind möglich

Livetests auf präparierten Testsystemen seien ebenfalls möglich, um sehen zu können, was ein Virus so anrichten kann. „Auch der Einsatz eines Multiscanners gehört dazu. Dieser nutzt die Erkennungsroutinen zahlreicher Mitbewerber, um eine möglichst hohe Erkennungsrate für neue Malware zu haben“, so Kalkuhl weiter.

Neue Schadsoftware darf der Entdecker im Rahmen gewisser Konventionen selbst benennen, ähnlich wie in der Biologie. „Einige Virenschreiber geben sogar Namen vor, doch diese übernehmen wir nicht. Schließlich wollen wir den Virenautoren nicht zu mehr Öffentlichkeit verhelfen, ein Ziel, das viele auf der Gegenseite haben“.

Im nächsten Teil der Serie „IT-Sicherheit von innen“ stehen die Kooperationen zwischen den AV-Anbietern untereinander und mit den polizeilichen Internetermittlern im Mittelpunkt.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln