CME-24 ist nicht sexy
Sicherheitsexperten sind keine Biologen
„Ich habe mich oft gefragt, was Biologen wohl machen würden, wenn sie jede Woche Hunderte von neuen Arten entdecken würden, überall auf der Welt und alle gleichzeitig“, versuchte Sicherheitsexperte Joe Wells von der US-Sicherheitsfirma Sunbelt Software das Namenschaos auf dem Antivirenmarkt zu erklären. „Sie hätten vermutlich die gleichen Probleme, die auch wir haben.“ Oberflächlich betrachtet mag Wells durchaus Recht haben. Das Aufspüren neuer Schadprogramme betreiben die großen Antivirenfirmen gleichzeitig, ohne sich gegenseitig über ihre Arbeit zu informieren. Eine – wie auch immer konstruierte - Koordinierungsstelle gibt es nicht. Jede Firma arbeitet für sich allein – und das aus gutem Grund. Wer einen Wurm zuerst entdeckt und seine Virensignaturen entsprechend updaten kann, hat in den Medien und bei den Verbrauchern tendenziell die Nase vorn.
Wer zuerst kommt, wirbt am besten
Handelt es sich um ein potenziell überdurchschnittlich gefährliches Schadprogramm, greifen die Medien dieses Thema gerne auf, informieren über diesen neuen Schädling und greifen dabei gern auf die Presseerklärungen der Antivirenfirmen zurück. Diese Presseerklärungen sind meist mit griffigen Statements der Sicherheitsexperten der jeweiligen Unternehmen von Symantec über Sophos bis zu Trend Micro oder Kaspersky Lab gespickt. In den jeweiligen Berichten heißt es dann, Sicherheitsexperte XY von der Firma YZ habe dies und jenes gesagt – die Werbewirkung solcher Berichte ist enorm.
Blackmal=Nyxem=MyWife=KamaSutra
Wenn es um die Entdeckung neuer Schadprogramme geht, arbeiten die großen Antivirenfirmen in aller Regel gleich schnell. Die fraglichen Schädlinge bleiben in ihren Filtern hängen und werden so schnell wie möglich analysiert. Von Ausnahmen abgesehen gibt es im Entdeckerrennen um den neuesten Schädling heutzutage keine Gewinner und Verlierer mehr. Sobald ein Schädling wenigstens halbwegs analysiert wurde, treten die Firmen mit neuen Signaturen und ihren Warnungen vor dem neuen Schadprogramm an die Öffentlichkeit. Vorher haben sie dem Schädling natürlich einen Namen gegeben. Die firmenspezifischen Schädlingstaufen sorgen anschließend für Verwirrung wie im Falle Nyxem. Denn der Verbraucher wird, sofern er überhaupt etwas vom Prozedere der Namensgebung weiß, schwerlich ahnen können, dass Nyxem, MyWife, KamaSutra oder Blackworm ein und dasselbe Wurmgeschöpf bezeichnen, vor dem das Bundesamt für Sicherheit in der Informationstechnologie mit dem Namen Blackmal warnt.
Einheitliche Namensgebung
Unter Federführung des US-CERT sollte dieses Namenschaos eigentlich beseitigt werden. Seit knapp einem Jahr läuft dort das Projekt Common-Malware-Enumeration-Website (CME). Ziel sollte sein, allen Viren, Würmern und Trojanern einen einheitlichen Namen zu geben, eine systematisch zu generierende ID, die von allen Antivirenfirmen übernommen wird. Zu diesem Zweck werden die Antivirenfirmen aufgefordert, neu entdeckte Schädlinge an die CME-Initiative einzuschicken. Die Schädlings-Samples werden für zwei Stunden gesammelt. Dann wird eine verbindliche CME-Nummer vergeben. Treffen mehrere Samples und Schadprogrammbeschreibungen ein, die nicht übereinstimmen, werden die betreffenden Antivirenfirmen auf die Konflikte in ihren Beschreibungen mit der Bitte hingewiesen, das Problem zu lösen, das Schadprogramm also einer genaueren Analyse zu unterziehen.
CME-24 = Nyxem
Bei Nyxem hat diese Namensgebung zumindest formal geklappt. CME-24 lautet die ID für dieses Wurmprogramm. Doch in den Medien las und liest man andere Namen. Ursache ist, dass die Antivirenfirmen in Sachen Nyxem an die Öffentlichkeit gegangen sind, bevor die CME-Initiative einen einheitlichen Namen vergeben hatte. Das sei ja auch ganz selbstverständlich und geschehe einzig und allein im Dienst am Kunden, entgegnen Vertreter der Antivirenindustrie. Wann immer ein Schadprogramm gefunden werde, habe die Information der gefährdeten Nutzer absolute Priorität. Da könne man nicht warten, bis ein einheitlicher Name gefunden worden sei.
Konkurrenzkampf
Nicht alle Sicherheitsexperten der großen Antivirenfirmen können sich hinter diese Behauptung stellen. So brachte beispielsweise Jimmy Kuo von der Antivirenfirma McAfee in seltener Offenheit und Selbstkritik die gesamte Angelegenheit auf den Punkt „Konkurrenzkampf“. Der nämlich verhindere letztlich die einheitliche Namensgebung. „Jede Firma versucht, die andere in den Medien zu schlagen. Deshalb gibt es keine Zeit, die Namen untereinander anzupassen“, erklärte Kuo.
KamaSutra macht neugierig
CME-24, dieser Name klinge viel zu technisch und wenig interessant. Kaum ein Durchschnittsnutzer werde dadurch motiviert, einen Artikel zu diesem Schädling zu lesen, erklärt Desiree Beck von der CME-Initiative den Umstand, dass der einheitliche technische Name in den Medien nur äußerst selten zu lesen war. „CME-24 klingt sehr funktional, aber der Name ist nicht besonders sexy“ – ganz im Gegensatz zu Namen wie KamaSutra. Artikel, die diesen Begriff schon in ihrer Überschrift nennen, würden wesentlich häufiger gelesen als Berichte desselben Inhaltes, die das Schadprogramm mit seinem „technischen“ Namen bezeichnen. Mehr Leser bedeutet auch entsprechend mehr geschützte Rechner. Und so warnte beispielsweise das Computer Emergency Response Team von Indien, wo Nyxem besonders häufig aufgetaucht war, nicht vor CME-24, sondern vor Computerwurm Nyxem. Der Name „KamaSutra“ erschien den indischen Virenwarnern offenbar zu anrüchig.
Zurück zur News-Übersicht