News: Virenprophylaxe in großen Netzen
Mit Loveletter und seinen Abkömmlingen änderte sich das jedoch schlagartig. Da diese Viren einen neuen Verbreitungsweg nutzten – das Internet –, dehnte sich die Epidemie schnell über den ganzen Erdball aus. Dabei bedienten sich die Viren in geschickter Weise der Monokultur des E-Mail-Programms Outlook, indem sie dessen internes Adressbuch anzapften. Schon das versehentliche Öffnen des vermeintlichen Liebesbriefs startete den zerstörerischen Code und den Verbreitungsmechanismus. Der volkswirtschaftliche Schaden – allein in Deutschland – war deshalb immens: kaum ein Unternehmen, dass nicht irgendwelche Daten verloren hatte.
Seit dem bösen Erwachen im Mai 2000 versuchen sich viele Firmen wie auch mancher private Anwender verstärkt mit Anti-Virenprogrammen zu schützen. Aber längst nicht jeder setzt auf den Softwareschutz, und einige Viren haben sich schneller verbreitet, als die Hersteller der Schutzsoftware ihre Updates anbieten können. Lässt sich mit einer derart lückenhaften Prophylaxe dann überhaupt einer Epidemie vorbeugen?
Mark Newman und Stephanie Forrest vom Santa Fe Institute sowie ihr Kollege Justin Balthrop von der University of New Mexico in Albuquerque simulierten an einer realen Netzwerkstruktur die Verbreitung von E-Mail-Viren. Dazu untersuchten sie die Adressbücher von zwanzig verschiedenen E-Mail-Systemen auf dem Rechnernetz einer Universität. Insgesamt 27 841 Nutzer waren hier angelegt, wobei jedoch Newman und seine Kollegen nur die 16 881 Anwender berücksichtigten, die innerhalb der letzten 90 Tage ihr Postfach überprüften. Der Rest ist für die Verbreitung von Viren nicht mehr relevant, da sich in dieser Zeit genügend Abwehrmaßnahmen einleiten lassen.
Anders als andere Netze, wie beispielsweise die realen Verbindungen aus Glasfasern oder die Datenleitungen des Internets, spiegeln die E-Mail-Adressbücher eine soziale Netzstruktur wider, die sich deutlich von den physischen Varianten unterscheiden kann. So ist eine Besonderheit des E-Mail-Netzwerks, dass alle Verbindungen gerichtet sind. Denn wenn Frank in Sonjas Kontaktliste auftaucht, dann heißt das noch lange nicht, dass Sonja auch in Franks Verteiler steht. Diese gerichtete Natur des Netzes unterscheidet die Verbreitung von E-Mail-Viren auch deutlich von dem Auftreten von Plagegeistern, die Menschen befallen. Hier sind Virusinfektionen in aller Regel nicht gerichtet.
Wie schon zuvor Wissenschaftler zeigen konnten, lässt sich die Struktur eines gerichteten Netzwerks durch ein so genanntes bowtie diagram darstellen, das graphisch einer Fliege zum Umbinden entspricht – daher der Name. Demnach besteht das Netzwerk aus einer großen stark verknüpften Komponente (giant strongly connected component, GSCC), das heißt einer Teilmenge des Netzes, bei der alle Nutzer über ihre Adressbücher miteinander verknüpft sind – und zwar in beide Richtungen. Im betrachteten Uni-Netz waren das 20 Prozent der User – dargestellt durch einen Kreis in der Mitte der Fliege.
Eine Gruppe von Nutzern, die zwar die Mitglieder der GSCC im Adressbuch aufführt, aber selbst nicht von diesen gelistet wird, bildet eine zweite große Gruppe. Im vorliegenden Beispiel gehörten allerdings nur zwei Prozent dieser Gruppe an, welche die linke Schleife der Fliege bildete. Zusammen mit der GSCC wird sie die Eingangs-Komponente. Die dritte Hauptgruppe setzt sich schließlich aus denjenigen zusammen, die zwar im Adressbuch der GSCC auftauchen, selbst aber keine Kontaktdaten dieser Gruppe gespeichert haben – im Diagramm ist das die rechte Schleife der Fliege. Im Uni-Netz gehörten ihr 34 Prozent an. Zusammen mit der GSCC bildet diese Gruppe die Ausgangs-Komponente.
Die Fliege ist also recht unsymmetrisch gebunden. Ein kleiner Teil eingehender Verbindungen steht einem großen Teil ausgehender gegenüber. Geht man von dem pessimistischen Fall aus, dass jeder E-Mail-Absender einen Empfänger infiziert, so ist wenigstens die gesamte Ausgangskomponente betroffen – im speziellen Fall des untersuchten Netzwerkes also etwa 54 Prozent der Anwender. Zusätzlich kommt ein kleiner Teil der Eingangskomponente hinzu. Von den übrigen Usern des Netzwerks (44 Prozent) war nur ein Teil mit der GSCC verbunden, zu einem Großteil bestand jedoch gar keine Verbindung, sodass diese Gruppe kaum gefährdet war.
Newman und seine Kollegen untersuchten nun, wie viele Anwender betroffen sind, wenn die Eingangskomponente infiziert wurde – denn nur über diese Gruppe kann eine Masseninfektion stattfinden. Wie erwartet, erstreckte sich die Infektion auf rund 54 Prozent beziehungsweise etwa 9100 Anwender. Die Forscher prüften, inwieweit sich an dieser Bilanz etwas ändern ließ, wenn einzelne, willkürlich ausgewählte User aus dem Netzwerk entfernt wurden – Anwender beispielsweise, deren Antivirenprogramm erfolgreich den Eindringling abwehren konnte. Doch die Zahl der befallenen Konten änderte sich dadurch kaum, fast 9000 betroffene Anwender waren es selbst dann noch, wenn zehn Prozent der Konten abgestellt wurden.
Doch mit einer solch verheerenden Bilanz müssen wir uns nicht abfinden, denn die Forscher fanden heraus, dass mit einer ausgeklügelteren Strategie einer möglichen Epidemie beizukommen ist. Dazu werden nur Rechner entfernt beziehungsweise geimpft, die der Eingangs-Komponente angehören. Denn nur über diese Gruppe kann sich der Virus in das Netzwerk schleichen und im großen Stil verbreiten. Newman, Forrest und Balthrop fanden heraus, dass der effektive Schutz von zehn Prozent dieser Gruppe eine Virenverbreitung fast gänzlich unterbindet.
Die Forscher schlagen deshalb vor, dass Strategien zur Virenbekämpfung auf jeden Fall auch die Netzwerkstruktur berücksichtigen sollten. Systemadministratoren könnten mit ähnlichen Konzepten zunächst einmal eine gewisse Risikogruppe im Netz ausmachen und dann gezielt dafür sorgen, dass gerade auf den Rechnern dieser Nutzer die neuesten Sicherheitsupdates installiert werden. So könnte ein E-Mail-Virus zumindest nicht mehr einen so großen Schaden anrichten wie seinerzeit der Loveletter.
Wenn Sie inhaltliche Anmerkungen zu diesem Artikel haben, können Sie die Redaktion per E-Mail informieren. Wir lesen Ihre Zuschrift, bitten jedoch um Verständnis, dass wir nicht jede beantworten können.