Computerviren und Hacking-Angriffe sind in aller Munde. Für die Opfer ist es meistens unbegreiflich, wie sich jemand dazu hinreissen lassen kann, eine schädliche Software zu programmieren. Dieser Artikel versucht die sozialen und psychologischen Hintergründe dieses kulturellen Entwicklung aufzuzeigen.
Vor zwei Wochen erhielt ich ein Mail einer Kollegin. In diesem schickte sie mir ein englischsprachiges Posting, dass sie gefunden hatte. In diesem ist von einem neuen Wurm die Rede, der eine Schwachstelle im Microsoft SQL-Server ausnutzt, um sich selber zu verbreiten und Denial of Service-Attacken durchzuführen. 24 Stunden wird mir bewusst, dass diese Meldung einschlagen würde wie eine Bombe. Eine Protokoll-Analyse und die Einsicht in meine Firewall-Logs zeigten mir, dass der Verkehr, der durch diesen Wurm verursacht werden würde, enorm ist. Erinnerungen an Nimda und CodeRed werden wach. In den gängigen Security-Mailinglisten (z.B. Bugtraq) ist eine hitzige Diskussion entfacht, wie dieser neuartige Computerwurm, der von nun an SQLjammer oder SQLslammer genannt wurde, arbeiten würde [Maiffret 2003]. Mit hochdruck arbeiten Spezialisten auf der ganzen Welt an einer Lösung, um das jüngste Problem der Internet-Generation in den Griff zu kriegen. Von neuen Antiviren-Updates über Firewall-Tipps [Bacarella 2003] bis hin zu hilfreichen IDS-Regeln [Wu 2003], versucht man SQLjammer auf allen Ebenen zu bekämpfen.
In diesem digitalen Kampf geht vorerst ein Blickwinkel unter: Niemand hat in der Hitze des Gefechts die Zeit, sich die Frage zu stellen, warum schon wieder jemand eine solch schädliche Computersoftware ausgesetzt hat. Nur wenige Leute interessieren sich wirklich für die psychologischen und sozialen Hintergründe dieser Frage [Ruef et al. 2002]; sie wird durch die Faszination der Technik verdrängt. Das aktuelle Geschehen zeigt uns eindrücklich, dass wir momentan nicht in der Lage sind, dem Problem von Computerviren auf technischer Ebene Herr zu werden.
Narzissmus, Profilierung und Popularität
Sendungen wie „Deutschland sucht den Superstar“ (http://deutschlandsuchtdensuperstar.rtl.de/) lassen einen eindeutigen Trend im neuen Millenium erkennen: Jeder möchte berüht werden, gewisse Popularität erreichen und sich dadurch profilieren. Dies ist mitunter eine Hauptmotivation für Leute, die sich in der IT-Branche betätigen und nicht das Geld ihr direktes Ziel ist. In diese Kategorie fallen Hacker, die neue Angriffssoftware oder –techniken entwickeln sowie Attacken durchführen. Aber auch Entwickler von open-source Software könnte man hierzu zählen. Es ist nicht zu verleugnen, dass einige Programmierer aus diesen Kreisen ein gutes Ansehen in der Branche geniessen.
Doch auch Virenprogrammierer gehen ihrer Leidenschaft vorwiegend aus diesen Gründen nach. Für sie ist es ein Spass, wenn sie der Verbreitung ihrer Software zuschauen können. In Kreisen von Computerviren-Programmierern geniesst unter anderem derjenige hohes Ansehen, dessen Schädlinge den grössten Verbreitungsgrad aufzuweisen in der Lage sind. Die Entwickler von Programmen wie Melissa, ILOVEYOU, CodeRed [Ruef 2002], Nimda und SQLjammer stehen hier ganz an der Spitze.
Neben der Frustrations-Theorie könnte man an dieser Stelle auch die Lerntheorie-Theorie aus der Aggressionsforschung einbringen [Nolting 1997]. So lassen sich viele Jugendliche durch Medienberichte und Filme über Hacker für das Thema faszinieren. Durch Nachahmung entsteht das sogenannte „Lernen am Modell“. Man möchte halt irgendwie auch so sein wie ZeroCool/AcidBurn aus dem Film „Hackers“ (1995) oder Neo aus dem Film „The Matrix“ (1999).
Umso mehr Aufmerksamkeit die Öffentlichkeit und Medien ihrem Computervirus schenken, desto eher wird ihre narzisstische Neigung befriedigt. Ob diese Befriedigung Ansporn für weitere Taten mit ähnlichen Ausgang ist, kann nicht mit Sicherheit bestimmt werden [Fromm 1996]. Die soll jedoch keine subtile Aufforderung sein, nie mehr über Computerviren und Hacking-Angriffe in den Medien zu berichten. Dies wäre sogleich ein Nachteil für die Benutzer, die gar nicht wissen würden, in welcher Gefahr sich ihre Systeme eigentlich befinden.
Doch nicht nur der Verbreitungsgrad eines Virus bringt seinem Vater Ruhm und Ehre. So werden besonders ausgeklügelte Entwicklungen geschätzt. Polymorphe Viren oder Würmer, die ausgeklügelte Techniken einsetzen, sind aus dieser Sicht top. Meines Erachtens hat man diesem Kriterium mehr Gewicht beizumessen, weder dem Verbreitungsgrad. Denn die technische Umsetzung eines Computervirus verrät das Können seines Entwicklers. Dabei sind etwaige Schadensroutinen eher Nebensache. Alles was zählt, ist ein ausgeklügeltes, gut umgesetztes Stück Software. Sieht man sich solche Entwicklungen an, dann würde man sich oft wünschen, dass die Virenprogrammierer den Applikationsentwicklern ein bisschen unter die Arnei greifen würden. Die akribische Vorgehensweise würde wunderbare Software hervorbringen, die in punkto Effizienz nur sehr schwer zu überbieten wäre.
Frustration, Wut und Zerstörungsdrang
Ein anderes, durchaus gebräuchliches Motiv für destruktive Attacken sind Frustration, Wut und Zerstörungsdrang [Fromm 1996]. Mir sind Fälle bekannt, bei denen ein ehemaliger Mitarbeiter absichtlich Attacken gegen seinen ehemaligen Arbeitgeben umgesetzt hat, um die fristlose Entlassung zu rächen. Dabei verspürt der Angreifer genugtuun, wenn er seinem Opfer schaden kann. Ist aus seiner Sicht genügend Vergeltung geübt worden, lässt er in der Regel vom Opfer ab. Kurzweilige Denial of Service-Attacken [Ruef 2000] oder einmalige Viren-Angriffe sind die beliebtiste Form dieser Übergriffe.
Kommen Computerviren oder –würmer zum Einsatz, dann stehen die Möglichkeiten der Schadensroutine im Mittelpunkt. Effizient und effektiv sollte das gewünschte Ziel penetriert werden. Die wenigsten Viren-Entwickler werden dabei Acht darauf geben, keine unschuldigen Systeme zu attackieren. Die Wut wird die Kontrolle übernehmen und etwaige Schäden an Unbeteiligte gern in kauf genommen werden. Ganz besonders sind Rache-Akte gefährlich, denn sie sind sehr zielgerichtet und können gar ausarten. Dabei kann eine Einzelperson oder eine Firma im Visier des Angreifers sein.
Bei exzessiven Angriffen, bei dem sich der Angreifer fortwährend über sein destruktives Handeln freut, könnte man durchaus als sadistisch bezeichnen [Fromm 1996]. Dazu zählen zum Beispiel fortwährende Denial of Service-Attacken, die sich nicht so leicht unterbinden lassen. Zum Beispiel auf eine komplizierte Web-Applikation, die für das Zielunternehmen zwingend erforderlich ist, jedoch eine schwere Sicherheitslücke aufweist.
Wie ist das Problem in den Griff zu kriegen?
Die wichtigste Frage bleibt: Wie ist das Problem in den Griff zu kriegen? Ist ein Angreifer durch seinen Narzissmus motiviert, bleibt dies durch sein Umfeld bestmöglich zu erkennen und in eine weniger destruktive Handlung umzuwandeln [Nolting 1997]. So können zum Beispiel Sport, Musik oder das Schreiben eine gute Alternative zum Entwickeln von Computerviren sein. Dies muss aber in erster Linie durch den Entwickler selbst erkannt werden. In den meisten Fällen spielt die Zeit eine wichtige Rolle, um das eigene Handeln richtig deuten zu können und neue Möglichkeiten zu finden.
Frustration und die daraus resultierende Wut sind präventiv zu behandeln. Dabei gilt es den freundlichen Umgang mit seinem Gegenüber zu pflegen. Wenn man nie jemanden verletzt, wird dieser auch nie Gründe für einen Rache-Akt haben. So hat man das Arbeitsverhältnis zu Mitarbeitern, die es zu entlassen gilt, mit der erforderlichen Aufrichtigkeit und Freundlichkeit zu beenden. In den seltensten Fällen wird dieser wutentbrannt am heimischen Rechner Pläne schmieden, um sich am ehemaligen Arbeitgeber zu rächen.
Wer von Provokationen lebt, der hat mit Angriffen zu rechnen. Rechtsradikale Webseiten oder Angebote mit pornographischem Inhalt sind ein beliebtes Ziel von Angreifern. Meistens sind dies Leute, die die propagierte Meinung nicht vertreten können und so den Auftritt zerstören wollen [Ruef et al. 2002]. Aber auch Firmen, die durch schlechte Produkte oder miesen Service den Frust von Kunden ernten, können zu beliebten Zielen werden. Bestes Beispiel hierzu ist die Firma Microsoft (http://www.microsoft.com), gegen die laufend Angriffe gefahren werden.
Fazit
Die Gründe für die Entwicklung eines Computervirus können vielschichtig sein. An oberste Stelle steht der narzisstische Charakter, der durch seinen Drang nach Ruhm besonders effektive oder ausgeklügelte Schädlinge zu entwickeln versucht. Als zweites kommen Übergriffe, die durch Frust und Wut motiviert werden. Besonders Rache-Akte können ausarten und in sadistischem Vorgehen enden.
In jedem Fall ist die Bekämpfung von Übergriffen ohne technische Hilfsmittel sehr schwierig. Der freundliche und aufrichtige Umgang mit seinen Mitmenschen verhindert Frustration, Wut und Rache-Akte. In diesem Sinne ist es klar, was es zu tun gilt – Auch wenn es nicht immer leicht fällt...
Literaturverzeichnis
Bacarella, Michael, 25. Januar 2003, MS SQL Worm is destroying Internet block Port 1434!, Bugtraq Mailingliste, http://online.securityfocus.com/archive/1/308306/2003-01-20/2003-01-26/0
Fromm, Erich, 1996, Die Anatomie der menschlichen Destruktivität, Rowohlt Taschenbuch, ISBN 3499170523
Maiffret, Marc, 25. Januar 2003, SQL Sapphire Worm Analysis, Bugtraq Mailingliste, http://online.securityfocus.com/archive/1/308388/2003-01-20/2003-01-26/0
Nolting, Hans-Peter, 1997, Lernfall Aggression, Rowohlt Taschenbuch, ISBN 3499602431
Ruef, Marc, 2. April 2000, DoS (Denial of Service), http://www.computec.ch/dokumente/denial_of_service/
Ruef, Marc, 2002, CodeRed Scanner – Eine Analyse, http://www.computec.ch
Ruef, Marc, Rogge, Marko, Gieseke, Wolfram, Velten, Uwe, September 2002, Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, Düsseldorf, ISBN 381582284X
Wu, Marcus, 25. Januar 2003, Slammer worm rule,
Snort Signaturen Mailingliste, http://sourceforge.net/mailarchive/forum.php?thread_id=1577234&forum_id=7141