Ach wie gut, dass niemand weiß...

Heißt er Bagle.B, Alua, Tanx oder Yourid? Oder doch HLLM.Strato.16896? Fünf Namen für den gleichen Mail-Wurm -- wer soll da noch den Überblick behalten?

Normalerweise benennen die Antiviren-Hersteller Schädlinge nach deren Eigenschaften (Backdoor-SG), Klartextpassagen im Quellcode (Beagle) oder Namen der Dateianhänge (Loveletter). Ein vernünftiger oder rechtzeitiger Abgleich zwischen den einzelnen Antiviren-Herstellern findet aber nicht statt -- so erhält der gleiche Schädling mehrere Namen, die oft in keiner Verbindung zueinander stehen. Vom eigentlichen Namen des Schädlings abgesehen, gibt es nicht einmal eine einheitliche Konvention, ob man Windows-Würmer "W32/", "I-Worm.32" oder "Win32-Worm@MM" nennt -- jeder Hersteller kocht da sein eigenes Süppchen.

Zwei Anwender, die verschiedene Virenscanner benutzen, wissen daher manchmal gar nicht, dass sie sich über den gleichen Virus unterhalten. Und auch bei der Berichterstattung in den Medien führen die unterschiedlichen Namen zu Verwirrung. Besonders in den ersten Stunden nach dem Auftauchen eines neuen Schädlings sind die Beschreibungen in den Virendatenbanken oft recht spartanisch. Auch für Fachleute ist es dann schwierig, festzustellen, ob zwei Einträge in unterschiedlichen Datenbanken tatsächlich den gleichen Schädling beschreiben.

Immerhin sorgen einige Antiviren-Hersteller dafür, dass die Schädlings-Bezeichnungen der Konkurrenten als Alias in der eigenen Schädlingsdatenbank mit aufgeführt werden. Besser wäre zweifellos, sich gleich auf einen einheitlichen Namen zu einigen. Es wäre logistisch wohl kein großer Aufwand, eine unabhängige Instanz als zentrale Namensvergabestelle zu nutzen. Sowohl das EICAR als auch wildlist.org sind unabhängig und sorgen seit langem für einen Kommunikationsaustausch zwischen den einzelnen Antiviren-Herstellern.

Technisch ließe sich das über ein spezielles Zugangs-Interface für die Antiviren-Hersteller verwirklichen. Sendet Hersteller A ein Sample eines neuen Schädlings ein, erhalten alle nachfolgenden Einsender eine automatische Notiz, dass Hersteller A bereits ein Sample eingesandt hat und der neue Wurm damit W32.Beispiel heißt.

Das würde zudem auch den ständigen, hinter vorgehaltener Hand geführten Streit der Antiviren-Hersteller beilegen, wer denn einen Schädling zuerst gemeldet hat. Aber vielleicht ist genau das der Grund, weshalb sich die Antiviren-Hersteller dagegen sperren. Schließlich behält man mit der eigenen Datenbank die volle Kontrolle über Namen und Erscheinung.

Eine einheitliche Namenskonvention würde es den Medien und dem Endanwender um einiges erleichtern, den Überblick über kursierende Schädlinge zu behalten. Und das sollte besonders bei den Antiviren-Herstellern eine höhere Priorität haben als die eigene Publicity. Dass ein solches Konzept funktioniert, beweist CVE (Common Vulnerabilities and Exposures). Diese Instanz sorgt bereits seit Jahren für eine einheitliche Namensgebung bei Schwachstellen und Sicherheitslücken.

Patrick Brauch (pab)