Zeitraubende Fehlinformationen und die Vergeudung von Ressourcen sind die ärgerlichen Hauptfolgen von Hoaxes. Eine Mischung, die ebenso schädlich und gefährlich ist wie ein tatsächlicher zerstörerischer Computervirus.
Hoaxes sind nicht neu, aber ihre Erstellung scheint sich als eine Art Volkssport zu etablieren, da für den "Schöpfungsakt" nichts weiter als eine Idee und etwas Zeit erforderlich ist. Programmierkenntnisse oder gar detailliertes Fachwissen über Abläufe eines Betriebssystems sind nicht notwendig: Man nehme eine Virenwarnung, verpacke diese in ein plausibel klingendes Gewand und verteile diese dann per E-Mail an alle möglichen Bekannten oder poste diese Nachricht in einer Newsgroup – das ist das Rezept von Hoaxes. Der "Erfolg" lässt dann nicht lange auf sich warten, denn die Empfänger verteilen diese Nachricht weiter und setzen so eine Lawine in Gang, die sich unabwendbar ihren Weg durch die Netzwerke bahnt.
So war es auch bei dem legendären "Good-Times"-Hoax der Fall. Bei diesem Hoax wird der Anwender eindringlich davor gewarnt, falls er eine E-Mail mit dem Betreff "Good Times" erhält, diese zu öffnen. Denn ansonsten würde ein in der E-Mail verborgener Computervirus aktiviert werden, der sofort die Festplatte des Computers löscht. Dieser Warnmitteilung ist dann noch der Passus hinzugefügt, diese Warnmitteilung an alle Freunde und Bekannten weiterzugeben, um so alle vor Schäden zu bewahren. Ein einfaches Prinzip, welches noch dazu auf Verantwortungsbewusstsein und Menschenfreundlichkeit baut. Und die Minute, die man braucht, um die E-Mail weiter zu schicken, hat man ja doch immer übrig, und es kostet ja nicht viel – oder?
Doch. Die Kosten für derartige Fehlinformationen können recht ordentlich zu Buche schlagen, wie ein kurzes Rechenexempel zeigt. Nimmt man an, der Mitarbeiter eines Unternehmens erhält eine solche Nachricht. Diese verteilt er [a] dann an zehn [b] seiner Kollegen, um diese zu warnen. Jeder der zehn Empfänger schickt die Nachricht auch an acht [c] Arbeitskollegen weiter und diese ihrerseits an fünf [d] weitere Personen. So ergibt sich eine Verteilerkette, die 1a x 10b x 8c x 5d lautet. So kommen schon nach der dritten Verteilerstufe rund 400 benachrichtigte Personen zusammen, die vor der vermeintlichen Bedrohung geschützt sind. Kalkuliert man nun, dass jeder Empfänger etwa drei Minuten mit dieser Nachricht beschäftigt ist (lesen und ggf. weiter verteilen), so kostet eine Firma diese Pseudowarnung etwa 1200 Minuten Arbeitsleistung, also 20 Stunden, rund 2,5 Arbeitstage – für buchstäblich Nichts.
Abhängig von der Firmen- oder Behördenkultur kann dieses Rechenbeispiel noch ganz anders ausgehen. In Bereichen, in denen eine E-Mail-Verteilung üblich ist, wird der Hoax natürlich noch schneller verteilt. Auf jeden Fall aber werden wiederum Arbeitszeit und auch Ressourcen vergeudet. Dies um so mehr, wenn zu dem benachrichtigten Personenkreis auch externe Teilnehmer gehören, die außerhalb des Firmennetzes angesiedelt sind. Also beispielsweise Kollegen in anderen Firmen und Behörden oder eben auch Freunde im privaten Bekanntenkreis, die auch einen E-Mail-Anschluss haben. Denn in diesem Fall müssen natürlich auch Transportkosten für die Weiterleitung der Nachricht an den jeweiligen Provider bezahlt werden. Kosten, die der Arbeitgeber des Absenders zu tragen hat.
Aber es muss ja nicht immer die vermeintliche Viruswarnung sein, die als "Ente" durch die Netze geistert. Eine höchst gefährliche Hoax-Variante stellt "Freibier" dar. Dabei handelt es sich eigentlich um ein Scherzprogramm.
Dieses Programm wird per E-Mail versendet und dann vom Empfänger gestartet, da dieser sich natürlich denkt: "Kollege X wird mir ja wohl keinen gefährlichen Computervirus zuschicken". Nachdem ein "witziges" Bild (Abb.1) eingeblendet wurde, ist das Scherzprogramm damit beendet.
Abbildung 1: Freibier-Start-Einblendung
Aber Freibier ist nur scheinbar vom Schirm. Denn das Programm ist nach wie vor aktiv und blendet nach einiger Zeit Mitteilungsfenster ein, die doch einen etwas "besorgniserregenden" Inhalt haben.
Da die Mitteilungsfenster realistisch aussehen, mag es den einen oder anderen Anwender geben, der diese Einblendungen für bare Münze nimmt. Nun gibt es vermutlich keine Firma, die, würde sie die Mitarbeiter tatsächlich überwachen, dies auch noch so plump bekannt gibt. Aber der Anwender ist erschreckt und neigt zu einer Kurzschlussreaktion. Diese ist um so wahrscheinlicher, je größer die Distanz zur EDV und zum Wissen über deren Möglichkeiten ist. Und eine Reaktion könnte darin bestehen, dass schnell alle verräterischen (privaten) Dateien gelöscht werden. Und wenn dabei auch noch versehentlich ein wichtiges berufliches Dokument gelöscht wurde, wird dies unter Pech abgebucht. Dennoch: Falschmeldungen, egal ob sie unmittelbar per E-Mail oder über ein Trägerprogramm verteilt werden, sind eine ernste Gefahr für die innere Stabilität eines Unternehmens. Ein Punkt, an dem der Sicherheitsverantwortliche nicht vorbei kann und seinen Beitrag leisten sollte, um dieser Bedrohung Herr zu werden.
Am sinnvollsten scheint es, die Anwender über diese Gefahr umfassend zu informieren. Denn Aufklärung tut not, da anscheinend viele Anwender im ersten Ansatz bereit sind, jede noch so unglaublich klingende Nachricht als seriös zu akzeptieren.
Auch ein Hoax wie "Microsoft-Money" konnte und kann im Netz überleben, obwohl eigentlich jeder wissen sollte, dass man nur höchst selten etwas geschenkt bekommt. Bei diesem Hoax wurde behauptet, das man von der Firma Microsoft bezahlt wird, wenn die E-Mail, die man eben erhalten hat, an Freunde und Bekannte verteilt wird. Diese an Kettenbriefe erinnernde Strategie wird dabei benutzt, um für ein Produkt zu werden. Und wer fleißig E-Mails weiter verteilt – so der Hoax – könne so binnen kürzester Zeit Tausende von US$ verdienen (siehe Abb. 2)
Ist dies wahr? Ich hoffe es. Ich sende dies, weil die Person, die mir diese Mail schickte, ein professioneller Geschaeftsmann ist und ein guter Freund, der mir keinen Muell verschickt.
Microsoft und AOL sind jetzt die groesste Internet-Gesellschaft. Und um sicher zu gehen, dass der Internet-Explorer wirklich das am meisten verwendete Programm ist, haben Microsoft und AOL jetzt den E-Mail beta Test gestartet.
Wenn Du diese mail an Freunde weiterschickst, kann und wird Microsoft das ueber eine Periode von zwei Wochen notieren (wenn Du Microsoft Windows User bist). Fuer jede Person, der Du dieses E-Mail schickt, wird Dir Microsoft $245,00 zahlen. Fuer jede Person, der du das sendest und die es weitersendet, zahlt Microsoft Dir $243,00; und fuer jede dritte Person, die das bekommt, bekommst Du $241,00 von Microsoft. Innerhalb von zwei Wochen wird Microsoft Dich wegen Deiner Adresse kontaktieren und Dir dann einen Scheck senden. Ich dachte selbst, das sei Bloedsinn,aber zwei Wochen, nachdem ich diese mail bekam, kontaktierte mich Microsoft und innerhalb von ein paar Tagen erhielt ich einen Scheck ueber $24.800,00. Du musst antworten, bevor der beta Test vorbei ist. Wenn sich irgendwer so was leisten kann, dann ist Bill Gates der Mann fuer sowas. Das ist alles Marketing Strategie von ihm. Machts gut.
Dale Bird Jewell Ridge, VA
Nur noch eine Ergaenzung fuer die von Euch, die mich kennen. Ich kenne Bruder Dale persönlich und wuerde meine Hand fuer ihn ins Feuer legen.
Colin
Abbildung 2: Deutscher Text des "Microsoft-Money Hoax" (Anm.: Grammatik und Rechtschreibung wurden vom Original übernommen)
Wer einmal diese Nachricht erhält und in den E-Mail-Header blickt, kann sich davon überzeugen, durch wieviel Hände diese E-Mail bereits gelaufen ist. Aber ebenso wie der "09/90-Handy-Alarm" ist die Nachricht frei erfunden. Bei dem 09/90-Hoax wird behauptet, dass es Personen möglich ist, Kosten auf dem eigenen Handy zu verursachen, wenn man eine Codesequenz eingibt.
Der Sicherheitsverantwortliche sollte sich zunächst einen genauen Überblick verschaffen, welche Falschmeldungen aktuell ihr Unwesen treiben. Dazu bietet das WWW die besten Möglichkeiten an. Empfohlen sei an dieser Stelle die Web-Page der TU Berlin (bearbeitet von Frank Ziemann), die einen ausgezeichneten Überblick bietet und sehr sorgfältig mit großem Sachverstand aufbereitet wurde (siehe Abb. 3 ); (http://www. tu-berlin.de/www/software/hoax.shtml)
Abbildung 3: WWW-Page der TU Berlin über
HOAXES
Auf dieses Wissen aufbauend, sollte man dann versuchen herauszufinden, was bei den betreuten Anwendern nun tatsächlich im elektronischen Briefkasten landet. Normalerweise genügt es dazu, im Kollegenkreis zu fragen, was denn so an Warnmitteilungen von Bekannten und Arbeitskollegen per E-Mail zugestellt wurde. So gewinnt man recht schnell einen Überblick, welche Hoaxes oder Kettenbriefe im Moment aktiv sind. Mit diesem Wissen kann man nun daran gehen, entsprechendes Informationsmaterial zu erstellen und dies an die Anwender zu verteilen. Die Wege dazu sind mannigfaltig. Denkbar sind zum Beispiel folgende Strategien:
In dieser "Hoax-Information für alle Mitarbeiter" sollte herausgestellt werden, dass es sich bei Hoaxes um Falschmeldungen handelt, die dazu verleiten sollen, irgend etwas zu machen (minimal Weitergabe der Mitteilung). Die Mitarbeiter sollten darüber informiert werden, dass Hoaxes nur Ressourcen kosten und frei erfunden sind. Wer eine Mitteilung erhält, die den Zusatz hat "die Warnung an möglichst viele Menschen weiterzuleiten", soll sich an eine interne Zentralstelle wenden. Diese kann Auskunft darüber geben, ob es sich bei der vorliegenden Meldung um einen Hoax handelt und damit den Anwender entlasten.
Eine zentrale Meldestelle (z.B. die Hotline) bietet auch den Vorteil, dass so schnell auf eine neue Flut von Falschmeldungen reagiert werden kann. So ist es dann ohne weiteres möglich, eine Präventiv-Information zu verteilen, wenn ein Hoax vermehrt aktiv wird.
Alternativ besteht auch die Möglichkeit, Hoaxes an einem E-Mail-Gateway auszusperren. Dazu wird eine Filtersoftware eingesetzt, die bekannte Hoaxes ausblendet und nicht an den Empfänger zustellt. Derartige Verfahren werden auch eingesetzt, um beispielsweise virenverseuchte E-Mails zu blockieren. Ob man aber der Hoax-Schwemme damit Herr werden kann, steht auf einem anderen Blatt. Denn Hoaxes lassen sich leider viel leichter modifizieren als Computerviren, da man lediglich einen Editor benötigt, um ein neues Gerücht in die Welt zu setzen.
Ralph Dombach ist Sicherheitsberater in München
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 3/2000, Seite 6