Govware

Enterprise

Früher hätte man in solchen Fällen erwogen, das ganze System plattzumachen und ein neues aufzusetzen.

So so, Bundesinnenminister Wolfgang Schäuble (CDU) will es also seinem nordrhein-westfälischen Kollegen Ingo Wolf von der FDP gleichtun und die Online-Durchsuchung von Computern gesetzlich regeln. Dann wird das wohl so kommen.

Schließlich sind die beiden gelernte Juristen. Die werden das Recht schon so hindrehen, dass selbst das legal möglich wird. Darüber braucht man sich gar nicht erst den Kopf zu zerbrechen.

Interessanter ist da schon die Frage, wie das technisch gehen soll. Dazu allerdings sagt das Berliner Innenministerium nichts. “Sonst könnten sich die Betroffenen ja drauf einstellen”, so ein Sprecher diese Woche. – Eben drum.

Aber eigentlich braucht’s dafür gar keine regierungsamtlichen Erklärungen. Viele Möglichkeiten gibt’s ja eh nicht.

Genau besehen, sogar nur eine: Von alleine geben Rechner die auf ihnen abgespeicherten Daten schließlich nicht preis. Das tun sie nur, wenn sie mit Malware infiziert sind. Also wird künftig die Entwicklung und Verbreitung von Trojanern wohl ganz offiziell zur Staatsaufgabe erhoben werden.

Zu Spyware – von spy, Spitzel – und adware – von advertisement, Werbung – gesellt sich dann govware – von government, Regierung. Und die wird wahrscheinlich von verbeamteten Staatsdienern vorzugsweise per Mail verschickt.

Deshalb gilt es künftig, verstärkt die bewährte Sicherheitsregel zu beachten: Keine Mail aus nichtvertrauenswürdiger Quelle öffnen! Also keine, als deren Absender beispielsweise Wolfgang Schäuble, Ingo Wolf, Otto Schily, Brigitte Zypries oder Günther Beckstein angegeben sind. Da könnte nämlich Govware drinstecken.

Der BMI.Schaeub.W etwa. Ein echter Trojaner! Er sammelt alle Daten, die er bekommen kann, egal aus welcher Quelle. Auch solche, die lediglich für die Berechnung der Autobahnmaut erhoben worden sind. Selbst mit Gewalt erpresste möchte er haben.

Der BMI.Schaeub.W versucht laufend, wichtige Systemkomponenten abzuschalten, vor allem jene, die die Anzahl der dem olivgrünen Modul zugewiesenen Tasks begrenzen. Die User täuscht er dabei, mit fingierten Meldungen wie: “Das Grundgesetz ist nicht verhandelbar” (Wolfgang Schäuble am 28. September 2006 im Bundestag). Die bringt er allerdings nur mit verändertem Kontextmenü.

Eine jüngere und harmlosere Variante aus der Schaeub-Familie ist der MI.Schaeub.T. Er trieb nach dem großen Vorbild von BMI.Schaeub.W zwischen 1996 und 2004 in Baden-Württemberg sein Unwesen. Durch eine Rothaus-Bier-basierte Policy aber war es möglich, ihn aus dem dortigen System zu entfernen. Der BMI.Schaeub.W hingegen kann vermutlich erst 2009 wieder von der Platte geputzt werden.

Sehr viel harmloser ist da schon der MI.Wolf.FDP. Jede Govware mit dem Suffix .FDP kann ja leicht bekämpft werden, indem man sie unter der kritischen Schwelle von 5 Prozent hält. Sie befällt ein System auch nur dann, wenn sie genügend viele so genannte Micro-Positions (deutsch: Pöstchen) vorfindet.

Ihre Schadensroutinen allerdings sind hochentwickelt. Ihre Verbreitung hingegen zum Glück gering.

Govware dieser Gattung ist äußerst polymorph: Während der MI.Wolf.FDP darauf programmiert ist, möglichst effizient in fremde Rechner einzubrechen, tarnen sich die Berliner Varianten sogar als Anti-Govware.

Der BMI.Schil.Y – alias Becky.Red, alias Roter Raunzer – ist der Klassiker unter der Govware. Wenn er sich im System festgesetzt hat, versucht er, sich sofort die uneingeschränkten Administratorenrechte zu verschaffen. Sein Funktionsprinzip wurde einmal auf einer Fachtagung wie folgt auf den Punkt gebracht: “In meinem Ministerium darf jeder machen, was ich will” (Otto Schily am 12. Januar 2004 beim Deutschen Beamtenbund).

Offene Systeme, versucht BMI.Schil.Y, mit Hilfe von Katalogdateien, Otto-Katalog genannt, zu manipulieren. Darüber hinaus besteht die Gefahr von Denial-of-Service-Attacken: “Ich bin nicht der Erfüllungsgehilfe der Staatsanwaltschaft” (Otto Schily zum Vorwurf, er habe Informationen im Fall Al-Masri verschwiegen, am 15. Dezember 2005 im Tagesspiegel).

BMI.Schil.Y ist aus den Vorgängerversionen SDS.Schil.Y und Green.Schil.Y entstanden. Theorien, wonach es sich dabei lediglich um eine Mutation des zwischen 2001 und 2003 in Hamburg grassierenden SI.Schill.Ro handelt, beziehungsweise um eine von MI.Becky.Guen (siehe unten), sind unbewiesen, aber plausibel.

Seit dem 22. November 2005 ist BMI.Schil.Y ausgemerkelt. Sollte er dennoch wieder auftauchen, so empfiehlt es sich, ihn in einer toskanischen Sandbox zu isolieren.

Die Govware BMJ.Zypr.Bri war ursprünglich nur als Add-on zu BMI.Schil.Y konzipiert. Sie tarnt sich als Software-Instanz, die den User vor Dialern und Spam schützt, was sie aber natürlich nicht tut. Ein Hoax, mehr nicht.

MI.Becky.Guen hingegen gehört zusammen mit BMI.Schaeub.W zu den aggressivsten Govware-Varianten, die aktuell aktiv sind. Technisch gesehen, handelt es sich dabei um eine Kombination aus Backdoor – “Nachdem Stoiber noch nichts gesagt hat, weiß ich nicht, was mein Wille ist” (Günther Beckstein am 22. September 2005 in den Nürnberger Nachrichten) – und Dialer: MI.Becky.Guen stellt als erstes immer eine Verbindung zum Internet her, egal, ob es um Terrorismus, Gewalt an Schulen oder Drogenhandel geht.

Er versucht, brutale Computerspiele zu beenden, darüber hinaus aber auch die meisten Schutzmechanismen offener Systeme auszuhebeln. Trotz der Attribute “ev.” und “frank.” benötigt MI.Becky.Guen eine weiß-blaue und zugleich tiefschwarze Laufzeitumgebung, die herunterzufahren, in seinem Verbreitungsgebiet seit Jahrzehnten nicht mehr gelungen ist.

Ja. So sieht’s aus. Und Patchday ist erst wieder in drei Jahren.

Früher hätte man in solchen Fällen erwogen, das ganze System plattzumachen und ein neues aufzusetzen. Das aber erscheint mittlerweile auch als aussichtslos. An der Entwicklung des Roten Raunzers sieht man’s ja.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen