Seit vielen Jahren gelten Security-Tools wie Firewalls und Virenscanner als Rückgrat für die Absicherung von Computern gegen Hacker. Systeme also, die auf Basis von angesammeltem Wissen, respektive den Signaturen von Attacken der Vergangenheit, arbeiten.

Doch diese Methode hat zwei Schwachstellen: Erstens sind die Tools in der Regel ausserstande, neue Gefahren zu identifizieren, zweitens können sie gar nicht schnell genug aktua-lisiert werden, um mit der -neuesten Malware, die sich üblicherweise rasend schnell verbreitet, Schritt halten zu können. Darum denken IT-Forscher intensiv über andersartige Tools nach, die Rechner lernfähig machen und Sicherheitsfragen flexibel handhaben können. «Signaturbasierte Techniken stossen klar an ihre Grenzen», sagt etwa Robert Ghanea-Hercock, Forscher bei British Telecom in London. Um einen jederzeit tagesaktuellen Schutz zu realisieren braucht es lernfähige respektive anpassungs-fähige Software, die beobachtet, was in Echtzeit auf dem Netzwerk abläuft.»

Genau an solchen Tools arbeitet Intel. Detektoren spüren Abweichungen oder -Unregelmässigkeiten an lokalen Knoten im Netz auf, welche auf die Existenz von Würmern hinweisen würden. Solche Anomalien können etwa plötzliche Spitzen der Netz-aktivitäten sein. Ein Rechner, der normalerweise nur einige wenige Netzwerkverbindungen pro Sekunde aufbaut, kann Verdacht schöpfen, dass etwas faul sein könnte, wenn er plötzlich Befehle erhält, weitaus mehr Verbindungen als üblich aufzubauen. Über ein «Gedankenaustausch»-Protokoll gemäss dem Peer-to-Peer-Modell könnte er den anderen Rechnern im Verbund seinen Verdacht mitteilen, dass das Netzwerk wahr-scheinlich momentan von einer Hacker-attacke betroffen ist. Wenn den übrigen Rech-nern mehrfach ein solcher Verdacht von einem anderen Knoten kommuniziert wird, gehen sie davon aus, dass tatsächlich ein Angriff stattfindet und lösen vordefi-nier-te Schutzmassnahmen aus. Zum Beispiel wird ein akustischer Alarm ausgelöst oder die Verbindung zum Netzwerk wird gekappt.

Intrusion-Detection-Systeme, die nach solch abnormalem Verhalten im Netz suchen, sind nichts Neues. Auch ist es nicht schwierig, das Eindringen eines sich rasant verbreitenden Wurms - wie etwa der berüchtigte SWL Slammer, der zehntausend Rechner pro Sekunde infizierte - zu detektieren. Doch wissen dies auch die Hacker - und reduzieren deshalb in jüngster Zeit die Geschwindigkeit ihrer Malware, damit diese den konventionellen Überwachungsdetektoren nicht auffällt.

«Das Zeitalter der massiven, leicht erkennbaren Wurmangriffe ist mehr oder weniger vorbei», bestätigt auch Richard Ford, Informatikprofessor am Florida Institute of Technology und international anerkannter Security-Spezialist. «Heutzutage setzen Hacker ihre Exploits sehr viel sparsamer und gezielter ein», erläutert er. -«Dadurch verändert sich das Bedrohungsszenario grundlegend.»

Intels Prototyp namens Distributed Detection and Interference (DDI) baut auf dem so genannten Bayesschen Wahrscheinlichkeitsbegriff auf, um die versteckten Würmer zu entlarven. Die Idee dahinter: Wenn nur ein einziger Knoten eine plötzliche Spitze der Netzverbindungen registriert, kann es sich um eine vorübergehende, zufällige Fluktuation handeln. Aber wenn fünfzig Knoten auch nur einen vergleichsweise -geringen Anstieg der Verbindungen registrieren, ist es ziemlich wahrscheinlich, dass ein Angriff auf das Netz stattfindet und es daher ratsam ist, mit geeigneten Schutzmassnahmen zu reagieren.

Die Wahrscheinlichkeits-Grenzwerte in DDI lassen sich individuell definieren, um Fehlalarme so weit als möglich auszuschliessen. Denn treten diese gehäuft auf und wird deshalb das Netz heruntergefahren, verärgert man die Anwender, gibt Intel-Forscher John Mark Agosta zu bedenken.

«Basis für die Parametrisierung ist eine grosse Anzahl Erfahrungswerte», präzisiert er. «Kennt man viele Signalwerte, kann man sogar schwache Signale aus Störungen herausfiltern.»

Falscher Alarm, der den Benutzern -Unannehmlichkeiten bereitet und manchmal sogar dazu führen kann, dass sie die Warnsignale komplett ignorieren ist, genauso wie ein nicht erfolgender Alarm im wirklichen Ernstfall, die grösste Schwachstelle in den lernfähigen Detektorenmechanismen. Das macht die Implementierung derartiger Mechanismen so überaus schwierig, erklärt Ghanea-Hercock das Dilemma.

Dennoch hat er beobachtet, dass sich kommerzielle Anwender zunehmend auf Security-Massnahmen stützen, die auf anpassungsfähigen Komponenten basieren. So beinhaltet zum Beispiel Windows Vista die Funktion «Address Space Layout Randomization (ASLR)». Sie soll es Malware schwer machen, Code ausfindig zu machen, der infiziert werden soll. ASLR verteilt bei jedem Boot-Vorgang bestimmten heiklen Code in unterschiedlichen Memory-Bereichen. Damit sieht jeder Rechner für den Angreifer anders aus.

ASLR ist ein gutes Beispiel für ein Prinzip, das Computerwissenschaftler aus der Biologie abgeschaut haben: Systeme, egal ob aus Organismen oder aus Rechnern bestehend, sind robuster, wenn sie vielfältig sind. Oder anders ausgedrückt: Eine Gruppe von Lebewesen geht am ehesten in einer Katastrophe unter, wenn sie genetisch homogen ist. In gleicher Weise kann ein Netz sicherer werden, wenn es vielfältiger ist: Beispielsweise, wenn es neben PCs auch Mac-Maschinen integriert oder wenn es verschiedene Versionen einer Software einsetzt. Allerdings geht der Trend in der IT genau in die gegensätzliche Richtung: hin zur Standardisierung. Doch mit der Einheitlichkeit wächst das Risiko, sagen die Vertreter der anpassungsfähigen Sicherheitsmethoden.

Vorerst beschäftigen sie sich schwerpunktmässig mit der Frage, wie Systeme lern- und anpassungfähig sowie robust gemacht werden können. Richard Ford hingegen will lieber die Benutzer lernfähig sehen. Diese Idee basiert auf der Beobachtung, dass gelegentliche kleine Waldbrände, die wohl ein paar Bäume versengen, diese aber nicht abtöten, durchaus förderlich sind. Deshalb nämlich, weil sie kontinuierlich das ohnehin brandgefährdete Material vernichten - noch bevor sich so viel davon ansammeln kann, dass der Wald als Ganzes von einem verheerenden Brand bedroht werden kann.

Ford schlägt deshalb vor, relativ harmlose Viren oder Würmer dazu einzusetzen, um das Gesamtsystem gegen katastrophale Abstürze zu stärken. In vielen biologischen Systemen führen regelmässige und moderate Unterbrechungen der Normalität zu Vielfältigkeit und damit Widerstandsfähigkeit, erklärt er. Dagegen seien Computersysteme indes meistens sehr labil.

Also macht sich der Informatikprofessor für «kontrollierte Brände» stark: sprich, für das gezielte Freisetzen von Würmern im Internet, die keinen grossen Schaden anrichten können. So würden die Adminstratoren dazu gezwungen, ihre Schutzmassnahmen auszubauen und à jour zu halten.

«Die technischen Aspekte einer solchen Methode sind lächerlich simpel im Vergleich zu den ethischen und rechtlichen Aspekten», weiss er allerdings selbst. «Da wagt sich öffentlich keiner ran.» Und ergänzt: «Ich verlange ja auch gar nicht, dass wir schon ab morgen so vorgehen. Aber wir müssen unbedingt nach neuartigen Lösungen suchen. Denn so, wie wir uns bisher absichern, können wir nicht weitermachen. Auf lange Sicht funktioniert das einfach nicht mehr.»