Manfred Kloiber: Die Hersteller von Schutzsoftware und Antivirenprogrammen machen mobil und kündigen an, dass sie die Pläne für den Bundestrojaner nicht unterstützen wollen. Sind Online-Hausdurchsuchungen damit überhaupt noch durchführbar, Peter Welchering?
Peter Welchering: Das hängt von der gewählten Methode der Online-Hausdurchsuchung ab. Pläne mit Hilfe der Service Provider, also einfach Schadsoftware auf die Personal Computer und Festplatten zu schicken, dürften damit vom Tisch sein. Denn das würde die Schutzsoftware der Antivirenhersteller zu einem Gutteil erkennen. Schadsoftware sehr gezielt über Betriebssystemlücken und fehlerhaft programmierte Anwendungssoftware auf einzelne Rechner zu bringen, das kann klappen. Der Erfolg dieser Methode hängt von mehreren Faktoren ab. Beispielsweise davon, wie der Rechner überwacht wird.
Kloiber: Seitens der Antivirenhersteller hört man hier viel von einem verhaltensbasierten Ansatz der Schutzsoftware. Wie sieht der aus?
Welchering: So klassische Virenscanner, die schauen sich Programm-Muster an, das sind errechnete Virensignaturen. Und diese Signaturen vergleichen sie mit den Dateien, die da auf einen Rechner gespielt werden sollten. Weist eine Datei Ähnlichkeiten mit einer bekannten Schadsoftware auf, wird Alarm geschlagen, die Datei blockiert, in Quarantäne gesetzt oder gelöscht. Beim verhaltensbasierten Ansatz wird beobachtet, was einzelne Programme genau tun, wie sie sich verhalten. Weicht dieses Verhalten von einem Standardverhalten ab, dann wird Alarm geschlagen, der Rechner auf Einträge in der Betriebssystemsteuerung überprüft auf Software, die ungewöhnlich ist, auf Dateien, die an einer Stelle sind, an der sie nichts zu suchen haben. Damit kann einer Online-Hausdurchsuchung schon wirkungsvoller begegnet werden. Allerdings ist das Sicherungsverfahren auch viel aufwändiger als das reine Viren scannen.
Kloiber: Einige Hersteller von Schutzsoftware haben die Kooperation in Sachen Bundestrojaner in dieser Woche verweigert. Steht dem Bundesinnenminister damit so etwas wie eine große Koalition der Antivirenhersteller ins Haus?
Welchering: Das könnte durchaus passieren. Denn Hersteller wie F-Secure organisieren gerade tatsächlich so etwas wie eine ethische Diskussion in Sachen Bundestrojaner. Das ist keine Kampfansage an das Bundesinnenministerium, sondern hat ganz einfach mit der Geschäftsgrundlage der Antivirenhersteller zu tun. Wenn Kunden, die Schutzsoftware dieser Firmen einsetzen, nicht sicher sein können, dass diese Schutzsoftware keine Hintertüren für Sicherheitsbehörden und Regierungen hat, werden sie sich auf diese Software nicht mehr verlassen. Und dann kaufen sie die natürlich auch nicht mehr. Die Hersteller von Schutzsoftware müssen hier in die Offensive gehen, weil sie sich das Vertrauen ihrer Kunden sichern müssen. Und deshalb machen sie dem Innenminister gerade zwei Dinge klar: Erstens, auf eine Zusammenarbeit mit uns in Sachen Bundestrojaner kannst Du nicht rechnen. Und zweitens Wir wollen möglichst alle Arten von Schadsoftware verhindern, egal woher sie stammt. Klaus Jetter, der Deutschlandchef von F-Secure hat da die Frage gestellt: Wenn wir mit der Regierung der Bundesrepublik Deutschland zusammen arbeiten, wo ziehen die Hersteller dann bei der Zusammenarbeit mit Regierungen die Grenze? Bei der US-amerikanischen Regierung, bei der russischen Regierung, bei der iranischen Regierung? Und Kasperksky hat hier ja auch noch mal nachgelegt und darauf hingewiesen, dass Schadsoftware Schadsoftware ist, egal ob sie für den Bundesnachrichtendienst eine Festplatte ausspioniert oder Wirtschaftsspionage für ein Unternehmen aus St. Petersburg betreibt.
Peter Welchering: Das hängt von der gewählten Methode der Online-Hausdurchsuchung ab. Pläne mit Hilfe der Service Provider, also einfach Schadsoftware auf die Personal Computer und Festplatten zu schicken, dürften damit vom Tisch sein. Denn das würde die Schutzsoftware der Antivirenhersteller zu einem Gutteil erkennen. Schadsoftware sehr gezielt über Betriebssystemlücken und fehlerhaft programmierte Anwendungssoftware auf einzelne Rechner zu bringen, das kann klappen. Der Erfolg dieser Methode hängt von mehreren Faktoren ab. Beispielsweise davon, wie der Rechner überwacht wird.
Kloiber: Seitens der Antivirenhersteller hört man hier viel von einem verhaltensbasierten Ansatz der Schutzsoftware. Wie sieht der aus?
Welchering: So klassische Virenscanner, die schauen sich Programm-Muster an, das sind errechnete Virensignaturen. Und diese Signaturen vergleichen sie mit den Dateien, die da auf einen Rechner gespielt werden sollten. Weist eine Datei Ähnlichkeiten mit einer bekannten Schadsoftware auf, wird Alarm geschlagen, die Datei blockiert, in Quarantäne gesetzt oder gelöscht. Beim verhaltensbasierten Ansatz wird beobachtet, was einzelne Programme genau tun, wie sie sich verhalten. Weicht dieses Verhalten von einem Standardverhalten ab, dann wird Alarm geschlagen, der Rechner auf Einträge in der Betriebssystemsteuerung überprüft auf Software, die ungewöhnlich ist, auf Dateien, die an einer Stelle sind, an der sie nichts zu suchen haben. Damit kann einer Online-Hausdurchsuchung schon wirkungsvoller begegnet werden. Allerdings ist das Sicherungsverfahren auch viel aufwändiger als das reine Viren scannen.
Kloiber: Einige Hersteller von Schutzsoftware haben die Kooperation in Sachen Bundestrojaner in dieser Woche verweigert. Steht dem Bundesinnenminister damit so etwas wie eine große Koalition der Antivirenhersteller ins Haus?
Welchering: Das könnte durchaus passieren. Denn Hersteller wie F-Secure organisieren gerade tatsächlich so etwas wie eine ethische Diskussion in Sachen Bundestrojaner. Das ist keine Kampfansage an das Bundesinnenministerium, sondern hat ganz einfach mit der Geschäftsgrundlage der Antivirenhersteller zu tun. Wenn Kunden, die Schutzsoftware dieser Firmen einsetzen, nicht sicher sein können, dass diese Schutzsoftware keine Hintertüren für Sicherheitsbehörden und Regierungen hat, werden sie sich auf diese Software nicht mehr verlassen. Und dann kaufen sie die natürlich auch nicht mehr. Die Hersteller von Schutzsoftware müssen hier in die Offensive gehen, weil sie sich das Vertrauen ihrer Kunden sichern müssen. Und deshalb machen sie dem Innenminister gerade zwei Dinge klar: Erstens, auf eine Zusammenarbeit mit uns in Sachen Bundestrojaner kannst Du nicht rechnen. Und zweitens Wir wollen möglichst alle Arten von Schadsoftware verhindern, egal woher sie stammt. Klaus Jetter, der Deutschlandchef von F-Secure hat da die Frage gestellt: Wenn wir mit der Regierung der Bundesrepublik Deutschland zusammen arbeiten, wo ziehen die Hersteller dann bei der Zusammenarbeit mit Regierungen die Grenze? Bei der US-amerikanischen Regierung, bei der russischen Regierung, bei der iranischen Regierung? Und Kasperksky hat hier ja auch noch mal nachgelegt und darauf hingewiesen, dass Schadsoftware Schadsoftware ist, egal ob sie für den Bundesnachrichtendienst eine Festplatte ausspioniert oder Wirtschaftsspionage für ein Unternehmen aus St. Petersburg betreibt.