Reinigen oder Plattmachen?
Reinigungs-Tools für Viren versprechen schnelle Hilfe im Ernstfall. Doch wer garantiert, dass nach der Sasser-Reinigung nicht unbemerkt eine Hintertür zurückbleibt. Also lieber gleich neu formatieren?
In den letzten Wochen war sehr viel von kostenlosen Reinigungs-Tools die Rede. Stinger & Co erkennen aktuelle Schädlinge und entfernen sie. Gerade bei Epedemien wie Sasser sind sie ein wahrer Segen für geplagte Administratoren und Power-User, die "mal eben schnell" bei Freunden und Bekannten den Rechner säubern müssen - zumindest auf den ersten Blick. Runterladen, starten und alles ist wieder im grünen Bereich.
Doch die Reinigungs-Tools sind ein zweischneidiges Schwert. Einfach gestrickte Schädlinge wie Sasser können sie tatsächlich sehr schnell und rückstandsfrei beseitigen. Aber wenn der Rechner einmal "offen" war - wer garantiert dann, dass sich im Gefolge von Sasser nicht gleich auch noch ein Phatbot breit gemacht hat? Dass die spezialisierten Reinigungswerkzeuge alle der weit über 1000 existierenden Varianten dieses heimtückischen Wurms erkennen, darf man getrost vergessen - das leisten oft nicht einmal vollständige AV-Programme. Wer garantiert, dass nicht irgendwer die von Sasser installierte Hintertür (oder den im Wurm-Code enthaltenen Buffer-Overflow) ausgenutzt hat, um sich Zugang zum Rechner zu verschaffen und Daten zu manipulieren?
Wer auf Nummer sicher gehen will oder muss, dem bleibt kaum eine Wahl: Er muss das infizierte System formatieren und komplett neu aufsetzen. So sieht das offensichtlich auch Jesper M. Johanssonso, Ph.D., CISSP, MCSE, MCP+I und Security Program Manager bei Microsoft. Es klingt allerdings schon ein wenig zynisch, wenn der Sicherheitsverantwortliche von Microsoft angesichts von Millionen Sasser-infizierten Rechnern feststellt: "The only way to clean a compromised system is to flatten and rebuild."
In der Realität hält sich Microsoft jedoch nicht an diese Alles-oder-Nichts-Doktrin: Die Redmonder haben an prominenter Stelle ein spezielles Sasser-Removal-Tool veröffentlicht. Auch heise Security hat die Reinigungswerkzeuge verschiedener Hersteller verlinkt und prompt dafür die Kritik geerntet, dass man ein kompromittiertes System grundsätzlich nicht reinigen sondern neu aufsetzen sollte.
Doch dieser Ansatz ist zu einfach, ihm liegt ein falsches Konzept von Sicherheit zugrunde. Sicherheit ist in den seltensten Fällen eine einfache Entscheidung zwischen Richtig oder Falsch sondern sehr viel öfter eine Risikoanalyse verschiedener Lösungen mit konkreter Kosten/Nutzen-Abschätzung. Und da kann das offensichtlich "Richtige" schon mal zu teuer sein.
4000 Arbeitsplätze erstmal von Grund auf neu zu installieren, weil sie möglicherweise kompromittiert sein könnten und damit den Bankrott der Firma sicherzustellen, ist keine akzeptable Lösung. Die PCs zunächst mal mit einem Reinigungs-Tool zu säubern, damit die Arbeit weitergehen kann, und anschließend das Notebook, über das der Wurm ins Firmennetz kam, detailliert auf weitere Schädlinge zu untersuchen, schon eher.
Welche Maßnahmen man zur Beseitigung eines Virus ergreifen sollte, hängt sehr stark vom Einzelfall ab. Eine Bank wird da (hoffentlich) andere Schwerpunkte setzen als ein Privatanwender bei seinem Spiele-PC. In vielen Fällen kann es durchaus sinnvoll sein, mit einem Reinigungs-Tool zunächst den akuten Schaden zu beseitigen, um sich dann in Ruhe Gedanken über das weitere Vorgehen zu machen. Dazu gehört dann allerdings auch, zu überlegen, welche bisher übersehenen Konsequenzen der Vorfall gehabt haben könnte. Und vor allem: Wie verhindere ich, dass es wieder soweit kommt.
