Computervirenjäger Toralv Dirro über die Bedrohung durch Schadprogramme für Smartphone und PC

Hamburg. So sieht also einer von den Guten aus. Ein Virenjäger. Toralv Dirro, 41, gebürtiger Hamburger mit norwegischen Wurzeln, ist erst am Morgen aus den USA gekommen und wirkt noch etwas müde vom langen Flug. Jetlag eben. Doch kaum fällt das Wort "Trojaner", ist Dirro hellwach. "Die Bedrohung durch schadhafte Programme ist allgegenwärtig", sagt der Sicherheitsstratege und Sprecher der McAfee Labs für Europa, den Nahen Osten und Afrika. Sein Arbeitgeber, der zum amerikanischen Computerchiphersteller Intel gehört, ist weltweiter Marktführer für Antivirenprogramme, und Dirro gilt in der internationalen Szene als einer der vielleicht gerade mal zwei Dutzend Spezialisten, die einen genauen Überblick über den Stand der Cyberkriminalität besitzen - und die neuesten Schutztechnologien.

"Zurzeit erkennen wir bis zu 100 000 neue Trojaner am Tag", sagt Dirro. Trojaner sind Schadprogramme, die dem Opfer einen Nutzen vortäuschen und nach der Installation ihr tückisches Werk verrichten, etwa den Computer unter die Kontrolle des Angreifers bringen oder Daten stehlen. Da reicht bereits ein Klick auf das infizierte Angebot zum Herunterladen eines Programms. Auch Apps, kleine Zusatzprogramme für Smartphones, können solche Schädlinge bergen: "Gerade die mobilen Geräte werden zunehmend zu Angriffszielen", sagt der McAfee-Mann. Denn ein modernes Smartphone sei ja im Prinzip auch nichts anderes als ein PC im Hosentaschenformat.

"In den letzten drei Quartalen haben wir einen massiven Anstieg von Trojanerangriffen auf Smartphones registriert", sagt Dirro. "Das fängt mit einfachen Geschichten an, wenn etwa SMS an Premiumdienste verschickt werden. Andere Trojaner können das Mobiltelefon in ein sogenanntes Botnet (siehe Infokasten) integrieren und Massen-SMS zum finanziellen Schaden des Handynutzers versenden. Andere Trojaner verleihen dem Angreifer die komplette Kontrolle über das Gerät, indem sie Telefongespräche aufzeichnen und auf einen Server hochladen, was für Erpressungen genutzt werden kann."

Was Dirro, der bereits Anfang der 1990er-Jahre als Informatikstudent für das legendäre VTC (Virus Test Center) an der Universität Hamburg arbeitete, Sorgen bereitet, ist die rasend schnelle technische Entwicklung, die es Kriminellen (aber auch Scherzbolden) inzwischen möglich macht, eigene Trojaner aus Baukastensystemen zu programmieren, die mehr oder weniger offen im Internet angeboten werden. Und wer bereit ist, noch etwas mehr Geld zu investieren, kann zum Beispiel auf virustotal.com sogar prüfen lassen, welche Antivirussoftware die selbst gebastelte Schadsoftware erkannt hätte.

"Allerdings ist diese Plattform für Kriminelle, die Banken, große Konzerne oder staatliche Stellen angreifen wollen, kaum brauchbar, weil die Betreiber von virustotal.com alle bisher unbekannten Signaturen an uns weiterleiten", sagt Dirro. Mit Signaturen meint er charakteristische Merkmale von Viren, anhand derer Antivirenprogramme die Schädlinge erkennen.

Es gebe aber weitere vergleichbare Seiten im digitalen Untergrund, die den Programmierern von Trojanern eine solche Qualitätskontrolle ihrer Software ermöglichten, sagt Dirro. Ein Angreifer könne seinen Trojaner dann so lange modifizieren, bis kein Scanner ihn mehr findet. "Er kann dort sogar dafür bezahlen, dass sein Trojaner einmal am Tag modifiziert wird und bekommt die Garantie, dass die neue Version dann zunächst von keinem Programm auf virustotal.com gefunden wird."

Die ersten Virenprogramme Mitte der 1980er-Jahre waren zumeist zur Zerstörung von Daten geschrieben worden, oder sie waren manchmal auch als lustiger und harmloser Scherz gedacht. Doch mit der zunehmenden wirtschaftlichen Bedeutung des Internets änderten sich auch die Motive der Hacker und Cracker. "Da geht es praktisch nur noch um Geld", sagt Dirro, der die Jagd nach schadhafter Software mit der Fahndung nach Dopingsündern im Sport vergleicht. "Man kann ja immer nur nach etwas suchen, das bereits bekannt bösartig ist. Die modifizierte Signatur eines Trojaners, die wir so vorher noch nicht gesehen haben, kann eine normale Antivirensoftware dementsprechend nicht erkennen." Es komme daher vor allem auf Reaktionsgeschwindigkeit an.

"Unsere heuristischen Verfahren zum Erkennen von Signaturen funktionieren für Computerviren sehr gut. Bei Trojanern dagegen funktionieren sie nicht so gut, denn die sind so etwas wie ein Fernwartungsprogramm, das nur für etwas anderes verwendet wird", sagt Dirro. Fernwartungsprogramme ermöglichen es zum Beispiel Informatikern in Unternehmen, die Computer der Angestellten zu warten. "Auch bekannte Fernwartungsprogramme wie VNC lassen sich nicht sicher von einem bösartigen Überwachungstrojaner unterscheiden", erläutert Dirro. Das sei das Hauptproblem: "Die Angreifer verfügen über alle Waffen der Verteidiger."

Doch die Virenjäger rüsten auf. McAfee nutzt eine Technik bestimmter Prozessoren, die virtuelle Maschinen voneinander abschotten kann. "So können wir am Betriebssystem vorbei Dateizugriffe überwachen und verdächtige Änderungen blockieren", sagt Dirro. Das Programm namens Deep Defender wurde dieses Jahres eingeführt und werde zurzeit von Unternehmenskunden getestet.

Antivirenspezialisten wie Dirro wünschen sich einerseits eine wirksamere internationale Zusammenarbeit der Ermittlungsbehörden. Auf der anderen Seite böten jedoch nicht nur sorgsam gepflegte Firewalls und Antivirenprogramme einen guten Schutz, sondern vor allem das Bauchgefühl der Nutzer, sagt Dirro: "Es geht ja darum, irgendjemanden zu finden, der in die Falle tappt und auf einen Anhang klickt, ohne den Absender zu kennen. Man sollte daher jedem Angebot zum Download misstrauisch gegenüberstehen. Denn genau darauf spekulieren die Kriminellen: dass die Verlockung das Gehirn des Nutzers ausschaltet."