Heute sind etwas mehr als 75 000 schädliche Programme bekannt und erfasst. Glücklicherweise befinden sich davon nur 1200 "in the wild", also aktiv im Umlauf. Schädliche Programme existieren nicht nur, wie häufig angenommen wird, für Windows, sondern auch für 32Bit-Plattformen wie OS oder Linux. Die häufigsten werden im Folgenden beschrieben.

Die Bedrohung durch Makroviren hat heute eine völlig neue Qualität erreicht. Durch die Implementierung von sehr leistungsfähigen, vor allem aber programmübergreifenden Makro-Sprachen lassen sich fast alle Anwendungen unter Windows mit Hilfe von Visual Basic for Application steuern. Dies gilt demnach schon lange nicht mehr ausschließlich für Word und Excel. Fasst alle Programme der Office-Gruppe ab der Version 2000. Alle die über eine VBA-Schnittstelle verfügen. Auch andere Software Hersteller implementieren zunehmend VBA in ihre Programme.
Somit ist es möglich geworden, die Schadensfunktion und die Reproduktion in einer höheren Programmier- oder Scriptsprache zu schreiben. Makroviren benötigen daher keine eigenen ausführbaren Dateien, sondern benutzen andere Programme als Laufzeitumgebung. Hiermit steht ihnen in der Regel auch der volle Funktionsumfang der jeweiligen genutzten Programme zur Verfügung. Die Programmierung von Makroviren mit hoher Schadenswirkung, zusätzlich unterstützt durch einen Makrorekorder, wird zu einem Kinderspiel.
In der jetzigen Situation sind die schadhaften Programme in Form von "Würmer" von zentraler Bedeutung. Sowohl das Schadenspotential, vor allem aber die Verbreitungs- geschwindigkeit dieser Art von "malicious codes", stellt die Hersteller von Antiviren-Software vor bis heute ungelöste Probleme.
Würmer verbreiten sich nicht von Datei zu Datei, sondern von System zu System. Da sie sich selbst auf den einzelnen Computer in einem Netzwerk vervielfältigen. Hierfür ist nicht einmal eine Aktion des Benutzers notwendig.
Trojaner werden in der Regel als Freeware getarnt und durch das Herunterladen eingeschleppt. Wird das Programm ausgeführt, beginnt das Programm! Trojaner unterscheiden sich von Viren dadurch, dass sie sich nicht selbständig vermehren oder verbreiten. Sie werden mit einer zielabsicht, die auf das Auspionieren der Unternehmens-, Benutzer- und Systemdaten ausgelegt ist, eingesetzt. In der Regel ist die Schadenswahrscheinlichkeit durch Trojaner daher geringer, die Schadenswirkung allerdings höher als bei Viren.
Die heutigen schadhaften Programme und ihre jeweilige Funktion- und Verbreitungsart stellen die Abwehr vor das Problem der schnellen und globalen Verbreitung, der vielfältigen Eintrittspunkte und der Wirkung auf Systeme, auf die sie keinen direkte Einfluss haben.
Beispielsweise hat sich der Wurm "I love you" innerhalb von 5 Stunden weltweit durch alle Systeme verbreitet. Durch die Auswirkung von "I love you" sind die öffentliche Datennetze zusammengebrochen. In dieser Situation war es den Antiviren-Software- Herstellern noch nicht einmal mehr möglich, ihre Kunden via Mail zu informieren, geschweige denn, die dringend benönigten Updates online zur Verfügung zu stellen.
Eine weitere Problematik stellt die zunehmende und durchaus wünschenswerte Verwendung von Verschlüsselungsprogrammen dar. Die Verschlüsselung verhindert die Entdeckung und die Beseitigung von schädlichen Programmen auf dem Mailserver durch eine Antiviren Software. Erst auf dem PC-Client und nach der Entschlüsselung ist die Entdeckung möglich. Der Eintrittspunkt hat sich demnach von dem Mailserver auf den Client verlagert.
Um der veränderten Bedrohungssituation zu begegnen, benötigen Sie eine tiefengestaffelte Virenabwehr-Infrastruktur, die den Haupteintrittspunkt, in vielen Fällen der Mailserver, die Server und die PC Arbeitssituationen, berücksichtigt. Ein monatliches Update der Virensignaturen der Antivirensoftware ist heute völlig unzureichend. Vielmehr empfiehlt sich ein automatischer und vor allem täglicher Update der Virendatenbanken via Internet. Durch die Wirkung von schädlichen Programmen auf Bereich, auf die wir keinen direkten Einfluss nehmen können, wird eine schriftlich fixierte Notfallroutine unerlässlich. In Notfallroutinen werden die Kriterien für die Einschätzung einer Bedrohungssituation sowie die angepassten und abgestuften Reaktionsempfehlung festgelegt. Beispielsweise kann in einer Ausnahmesituation, wie sie die Verbreitung von "I love you" dargestellt hat, das einzige Mittel der Wahl das Abschalten der Mailsysteme sein. In einem solchen Fall ist es natürlich von großem Vorteil, schriftliche Vorgaben darüber zu haben, unter welchen Bedingungen der Zeitpunkt zum Abschalten der Mailserver gekommen ist, wer und auf welchem Weg hierüber informiert werden muss und wie ein Mindestmaß an Kommunikation aufrecht erhalten werden kann.
Durch schädliche Programme ergeben sich jeden Tag neue Bedrohungspotentiale. Strategien gegen "malicious codes" müssen daher immer wieder überprüft und angepasst werden.

Quelle: ILS-Fernstudium, "Internet Security" | zurück