2001 10 SZ: Vermehre mich

From Mark Benecke Forensic Wiki
Jump to: navigation, search
Sz logo.jpg

Quelle: Süddeutsche Zeitung (darin: Wissenschaft), Nr. 227 vom 2./3. Oktober 2001, Seite V2/13

"Vermehre mich und gib mich weiter!"

[Weitere Artikel von MB] [Artikel über MB]

Von: Christoph Schrader, Mark Benecke und Klaus Fehling

Klick für's PDF!


Wie biologische Erreger zwingen digitale Viren dem Wirt ihr Programm auf - nun entwickeln Forscher ein Immunsystem für Computer.


"Nimda" ist ein nervtötendes Mischwesen. Vor zwei Wochen hat der Computer-Schädling die Experten in den Schaltzentralen der Computernetze zur Weißglut getrieben. Vier verschiedene Methoden hatte Nimda, sich auszubreiten, manche glichen den Methoden eines Virus, andere denen eines Wurms. Die Natur hat noch nie so einen fähigen Erreger hervorgebracht.


Längst haben sich Computer-Nutzer und -Experten daran gewöhnt, eine medizinische Metapher zu benutzen. Sie nennen schädliche Programme Viren, sprechen von Ansteckung und Epidemien. Der Vergleich scheint berechtigt, denn wie Erreger aus Eiweiß und Nukleinsäuren sind Erreger aus Quellcode und Subroutinen allein nicht lebensfähig. Beide kapern eine Maschinerie, befehlen ihr: "Vermehre mich und gib mich weiter!" und fügen ihr dabei zum Teil tödliche Schäden zu.


Auch die gängige Form der Vorsorge lässt sich medizinisch verstehen. Anti- Virus-Programme sind wie Impfungen: Sie geben dem Computer die Mittel an die Hand, bekannte Schädlinge zu bekämpfen und zu vernichten. Doch sie müssen mühselig entwickelt werden. In Labors bemühen sich Experten, die Erreger zu isolieren, ihre Schwachstellen zu finden und ein charakteristisches Stück zu isoliren. Wer es bekommt, kann diesen Erreger bekämpfen, erinnert sich für immer daran – und ist immun.


Auf Patrouille

Das dauert in der Computerwelt bestenfalls Stunden, während es in der Medizin gegen Erreger wie den Aids-Virus oder den Malaria-Parasiten keinen Impfschutz gibt. Und dennoch, erkennen Computerforscher, hat die Medizin der Computer-Welt eines voraus, was nachahmenswert ist: das Immunsystem. Es kann sich auch gegen unbekannte Erreger wehren, erkennt Schädlinge ohne Hilfe von außen und sucht nach Gegenmaßnahmen. "Es gibt zwar viele Unterschiede zwischen lebenden Organismen und Computern", sagt Stephanie Forrest von der University of New Mexico. "Aber wir glauben, dass die faszinierenden Ähnlichkeiten einen Weg zu verbesserter Computer-Sicherheit weisen könnten."


Das Immunsystem des Menschen arbeitet in vier Schritten: Es erzeugt zunächst Myriaden von Abwehrzellen, die alle auf verschiedene Eiweiß-Sequenzen reagieren können. In der Thymus-Drüse werden all diese Zellen mit der Grundausstattung des Körpers konfrontiert. Jede Zelle, die jetzt reagiert, wird kaltgestellt, damit sie später nicht das eigene Gewebe angreift. Im dritten Schritt patroullieren die übrig gebliebenen Zellen durch den Körper. Finden sie etwas, auf das sie reagieren, bedarf es noch diverser Bestätigungen, bevor das Immunsystem einen konzertierten Schlag auslöst. Und im vierten Schritt werden Zellen, die einmal fremdes Material erkannt haben, zu Speicherzellen, damit der nächste Angriff des gleichen Keims umso schneller abgewehrt werden kann.


Die ersten drei Schritte hat Stephanie Forrest in einem Netzwerk von 50 Computern nachgestellt. Ihre Immunzellen waren zufällig erzeugte Zahlenkolonnen von 49 Stellen, die für die Adressen von jeweils zwei Computern und eine bestimmte Route zwischen ihnen standen. Als Angriff sollte jede Kontaktaufnahme von außen erkannt werden. Da auch sie mit einer Zahl charakterisiert wurden, suchten die Zellen nach Übereinstimmungen in der Ziffernfolge; fanden sie 12 ihrer 49Ziffern wieder, schlugen sie Alarm. Bevor Gegenmaßnahmen eingeleitet wurden, bedurfte es mehrfacher Bestätigung. Zugleich aber genügte es, dass eine "Zelle" reagierte, damit alle anderen wachsamer wurden. Forrest und ihre Kollegen waren überrascht, wie viele Mechanismen der biologischen Abwehr sie nachbilden mussten, damit ihr System zuverlässig funktioniert.


Die Firma Symantec hingegen hat mit IBM-Forschern bereits ein "digitales Immunsystem" auf den Markt gebracht: in der Firmenversion von "Norton Antivirus 7.5". Es simuliert die schnelle, automatische Reaktion, die das biologische Pendant auszeichnet. "Man muss Computer schneller von einem Virus heilen, als sich der Virus ausbreiten kann", so das Rezept von Steve White von IBM.


Der erste Schritt ist, verdächtige Dateien zu identifizieren. Dafür haben die Anti-Viren-Firmen Erfahrungswerte gesammelt, zum Beispiel so etwas wie "Gene" bei digitalen Schädlingen identifiziert: Befehle, die immer wieder benutzt werden. Eine verdächtige Datei wird dann in Quarantäne geschickt. Ein spezieller Rechner bildet hier nach, was ein Arzt in einem Labor tun würde. Er bietet dem vermeintlichen Erreger optimale Bedingungen und animiert ihn, sich zu vermehren. Dann analysiert der Labor-Computer das Verhalten des Keims, sucht und testet ein Gegenmittel, das er schließlich automatisch um die Welt schickt. Symantec gibt für den ganzen Prozess eine Dauer von 80 Minuten an und sagt etwas rätselhaft, dass der Impfstoff bei "80 Prozent der meisten Boot-, Makro- und DOS-Viren" automatisch erzeugt werde.


Ganz egal, welche Fortschritte die Forscher machen: Eines Tages steht ihnen der CIV bevor, der Computer-Immunschwäche-Virus. Beim Menschen verändert HIV nicht nur seine Außenhülle immer wieder und entzieht sich so der Überwachung. Er greift auch die Immunabwehr selbst an. Ein solcher Erreger wird bei Computern kommen, denn auch die Virenschreiber können sich an der Natur orientieren. Doch in deren Tun offenbart sich der entscheidende Unterschied zwischen biologischer und digitaler Welt: Ein Virus wie HIV oder Ebola will seinen Wirt nicht töten, er will nur leben. Computerviren aber sind oft programmiert, neben der Fortpflanzung sinnlosen Schaden anzurichten. Sie sind kein Produkt der Natur, sondern von Hass, Neid oder Langeweile.


Mit großem Dank an die Redaktion für die Erlaubnis zur Veröffentlichung.


Dr. rer. medic. Mark Benecke · Diplombiologe (verliehen in Deutschland) · Öffentlich bestellter und vereidigter Sachverständiger für kriminaltechnische Sicherung, Untersuchung u. Auswertung von biologischen Spuren (IHK Köln) · Landsberg-Str. 16, 50678 Köln, Deutschland, E-Mail: forensic@benecke.com · www.benecke.com · Umsatzsteueridentifikationsnummer: ID: DE212749258 · Aufsichtsbehörde: Industrie- und Handelskammer zu Köln, Unter Sachsenhausen 10-26, 50667 Köln, Deutschland · Fallbearbeitung und Termine nur auf echtem Papier. Absprachen per E-mail sind nur vorläufige Gedanken und nicht bindend. 🌏 Mark Benecke, M. Sc., Ph.D. · Certified & Sworn In Forensic Biologist · International Forensic Research & Consulting · Postfach 250411 · 50520 Cologne · Germany · Emergencies: Text / SMS / text messages only (never call me): +49 171 177 1273 · Anonymous calls & suppressed numbers will never be answered. · Dies ist eine Notfall-Nummer nur für SMS in aktuellen, kriminalistischen Notfällen). Bitte rufen Sie niemals an. · If it is not a real emergency, send an e-mail, pls. · If it is an emergency, send a text message (SMS) · Facebook Fan Site · Benecke Homepage · Datenschutz-Erklärung · Impressum · Archive Page