Antivirenprogramme sind eine Art Schutzimpfung für Computer. Sie helfen dem PC, infizierte Dateien zu erkennen und verhindern, dass diese sich im System ausbreiten. Es gibt aber Hackerattacken, gegen die Virenscanner machtlos sind.

Der Berliner IT-Sicherheitsforscher Karsten Nohl hat solch eine Angriffsmethode entdeckt. Er zeigte, dass jedes USB-Gerät zur Waffe werden kann. Nohl erklärt, in jedem USB-Stick sei ein sogenannter Controller-Chip eingebaut. Der informiere den PC unter anderem darüber, zu welchem Gerät der USB-Anschluss gehöre, sprich ob eine Tastatur oder ein Speichermedium angeschlossen wurde.

"Wir haben die Software, die auf dem Controller-Chip läuft, umprogrammiert. Ein gewöhnlicher USB-Speicherstick kann sich dadurch beispielsweise als Tastatur ausgeben", erläutert Nohl. Der Hacker kann dem USB-Stick auch beibringen, über die Tastatur unbemerkt Befehle einzugeben. "Das ist so, als würde man sich einen Hacker direkt vor den Computer setzen", sagt der Forscher. Wer auf Nummer sicher gehen möchte, sollte USB-Sticks vermeiden und auf SD-Speicherkarten umsteigen. Eine andere Lösung für das Problem gebe es zurzeit noch nicht, denn es sei nicht möglich, sich einen Einblick in die Software auf dem Controller Chip zu beschaffen. Karsten Nohl rät daher: "Jeder sollte sich, bevor er einen USB-Stick an seinen Rechner anschließt, fragen, ob das Gerät aus einer vertrauenswürdigen Quelle kommt."

Warum auch Virenscanner bei manipulierten Speicher-Sticks versagen, weiß Stefan Nürnberger, Mitarbeiter am Zentrum für IT-Sicherheit (CISPA) an der Universität des Saarlandes : "Wenn ein umprogrammierter Stick benutzt wird, gibt es keine infizierte Datei, die das Antivirenprogramm ausfindig machen kann. Der Scanner wird erst auf den Virus aufmerksam, wenn er sich schon auf dem Computer eingenistet hat."

Schwachstelle USB-Anschluss

Die Schwachstelle, die manipulierte USB-Sticks ausnutzen, ergibt sich aus der Funktionsweise von Virenscannern. Nürnberger erklärt: "Hersteller von Antivirenprogrammen stellen sogenannte Honeypots (Honigtöpfe) auf. Das sind mit dem Internet verbundene Rechner, die sich absichtlich mit Viren infizieren lassen. Sie analysieren die bösartigen Dateien und merken sich, wie diese aussehen." Jeder Virus habe so etwas wie einen einzigartigen Fingerabdruck. IT-Forscher nennen diese Fingerabdrücke Signaturen. Sie werden in einer riesigen Datenbank abgelegt. Der Virenscanner lade diese Datenbank mehrmals täglich aus dem Internet herunter. "Wenn ein Nutzer ein Programm auf dem PC öffnen möchte, kontrolliert der Scanner, ob die Signatur dieser Datei in der Datenbank liegt. Ist das der Fall, weiß er, dass es sich um einen Virus handeln muss", sagt der Experte.

Allerdings hat diese Methode einen entscheidenden Nachteil: Sie schützt den Computer nur vor bekannten Viren. Was aber, wenn die Schadsoftware noch nicht in der Datenbank hinterlegt ist? "Dann bedienen sich die Virenscanner sogenannter Heuristiken", erläutert Nürnberger. Auf Antivirenprogramme übertragen bedeutet das, sie beobachten das Verhalten eines Programmes und schlagen Alarm, wenn sie Auffälligkeiten feststellen. Startet ein Nutzer zum Beispiel ein Textverarbeitungsprogramm und die Anwendung beginnt, unzählige Dateien anzulegen und Dokumente zu löschen, ist das ein "untypisches Verhalten", erklärt Nürnberger. "Das Antivirenprogramm erkennt das und macht den Nutzer darauf aufmerksam."

Eine weitere Möglichkeit, Virenscanner zu überlisten, hat Joxean Koret vom singapurischen Sicherheitsdienst COSEINC gefunden. Er hat Schwachstellen in Antivirenprogrammen selbst entdeckt und konnte Computer über diese Lücken attackieren. Der Experte fand in Tests heraus, dass 14 von 17 Antivirenprogrammen Schwachstellen aufweisen. Um welche Software es sich dabei handelt, will Koret nicht verraten. Er empfiehlt aber, keinem Virenscanner blind zu vertrauen.