2 D I E N STAG , 21 . O KTO B E R 2 0 0 3 I N F O R M AT I O N S T E C H N I K F I N A N C I A L T I M E S D E U T S C H L A N D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Vorsorge ist die beste

Verteidigung Vor Würmern bewahrt ein gut

gepflegtes Computersystem

Von Christian Ewers

Der vergangene Sommer war an-strengend für Mensch und Ma-

schine. Schuld daran war nicht alleindie Sonne, auch so mancher Rechnersorgte bei seinem Benutzer für Hitze-wallungen. Im August ließ erst derWurm „Lovesan“, auch „Blaster“ ge-nannt, weltweit Millionen von Com-putern abstürzen. Kaum war er un-schädlich gemacht, schlängelte sichder nächste Wurm durch die digitaleWelt. „Sobig.F“ schleuste sich ins Ad-ressbuch und versendete sich mas-senhaft.

Was lässt sich nun aus diesemSommer der Würmer lernen? „Es istwie bei der menschlichen Gesund-heit: Eine solide Vorsorge machtSinn“, sagt Oliver Göbel, Leiter derStabsstelle für Datenverarbeitungssi-cherheit an der Universität Stuttgart.„Man ist zwar nicht gegen alle Krank-heiten gefeit, bekommt aber auchnicht jede Woche einen Schnupfen“,meint der Experte. Zur Vorsorgegehört laut Göbel, die Computer vonfachkundigen Systemverwaltern be-treuen zu lassen. Sie könnten auchdafür sorgen, dass Firewalls undFilter, die das Betriebssystem bietet,ausgeschöpft werden. Neben Linux,das mit seinen umfangreichen Fire-wall-Optionen hervorsticht, bietetunter den Betriebssystemen vonMicrosoft auch Windows XP erstmalseinfache Filtermöglichkeiten.

Ein stets frisch aktualisiertes Sys-tem kann der beste Schutz vor Wür-mern sein. Sicherheitspatches soll-ten schnellstmöglich installiert wer-den, denn sie korrigieren Program-mierfehler, auf die Würmer sich mitVorliebe stürzen.

System abschottenMöglichst restriktive Zugangsbe-rechtigungen für jeden Nutzer könn-ten das System zusätzlich abschot-ten. „Selbst der Administrator solltemit größter Vorsicht arbeiten“, rätGöbel. „Wenn er im Internet surftoder E-Mails verschickt, sollte er sichals einfacher Benutzer anmelden.“Denn ein angemeldeter Administra-tor könnte einem besondersschlauen Wurm helfen, sich seinenWeg ins Herz des Systems zu bahnen.

Ist dann doch der Wurm im Sys-tem, hilft ein Anti-Virus-Programm.Die meisten Anbieter stellen außer-dem kostenlos Nothilfe-Programmezum Herunterladen bereit.

Die Würmer der jüngsten Genera-tion sind weit mobiler als ihre Vor-gänger. Ende der 90er Jahre nutztenWürmer vor allem den Mail-Verkehr,um sich auszubreiten. Nutzer konn-ten sich in Sicherheit wähnen, wennsie ihre E-Mails mit Vorsicht lasen,unbekannte Post einfach nicht öff-neten. Heute manövrieren Würmergeschickt durch das Netz. Sie suchenaktiv und gezielt nach Schwach-stellen im System, fügen ihm sofortSchaden zu und lassen am Tatortkaum Indizien zurück. Dem Laienfällt es daher oft schwer zu unter-scheiden, ob ein Wurm zugeschlagenhat, oder ob ein Cracker, also einHacker mit bösen Absichten, in dasSystem eingedrungen ist.

Hilfe bei der Klärung dieser undanderer Fragen bietet die Homepagedes Computer Emergency ResponseTeams der Universität Stuttgart(www.rus-cert.de). Dort finden sichauch Hinweise auf Schwachstellen inSoftware und Betriebssystemen. DasBundesamt für Sicherheit in der In-formationstechnik warnt auf seinerHomepage (www.bsi.de) vor denjeweils bedrohlichsten Würmern.Wem ein gefräßiger Wurm den Zu-gang zum Internet zerstört hat, demhilft die Hotline: 01888/958 24 44.

„Wir schlafenerheblichruhiger“

Karl May, FujitsuSiemens, zur Quellcode-

Hinterlegung

Der verborgene Quellcode istdas Herzstück einer jedenSoftware. Deshalb sichernihn seine Urheber sorgfältig

Ingo

Kuz

ia/P

eter

Wes

tpha

l

Treuhänder hüten den Schlüssel zur Software Quellcode-Verträge greifen, wenn der Programmentwickler pleite ist. Für seine Kunden werden sie zum Rettungsanker

Von Ilona Hörath

Was tun, wenn der Software-lieferant plötzlich pleite ist?Unbesorgt sein darf in so ei-

nem Fall derjenige, der über einen sogenannten Escrow-Vertrag verfügt.Denn darin haben Softwarelieferantund Kunde die Hinterlegung desQuellcodes, dem Herzstück jederSoftware, bei einem Treuhänder ver-fügt. Dieser Treuhänder, ein Notaroder eine unabhängige Escrow-Agentur, wird den Code im Notfall anden Anwender aushändigen.

Der Quellcode, oder auch Source-code, ist der Schlüssel zu jederAnwendung. Nur wer über ihn ver-fügt, kann ein Programm anpassenoder modifizieren. Für den Software-entwickler ist dieser verborgeneCode wertvolles Kapital und deshalbsein streng gehütetes Geheimnis.Eben nur im Notfall soll der Code andie Kunden herausgegeben werden.Mit dem Schlüssel zur Software inder Hand kann der Lizenznehmerdann auch ohne Hilfe des Lieferan-ten die Anwendungen weiterverwen-den, entwickeln und verändern.

Software-Escrow ist in den USAseit rund 20 Jahren gängige Praxis.In Deutschland befindet sich Escrowin einem „Dornröschenschlaf“, wieStephan Peters, Geschäftsführer desMünchner Escrow-Anbieters De-posix, sagt. Doch der Markt entwi-ckele sich: „Inzwischen taucht dasThema überall auf“, bemerkt Peters.Mit der zunehmenden Zahl derFirmeninsolvenzen und dem wach-senden Bedürfnis nach Sicherheitmöchten immer mehr Software-

lizenznehmer den Quell-code hinterlegt sehen. Siesichern damit ihre Software-investitionen ab. Etwa wenn sievon einem kleinen Softwareanbieteroder einem Startup-Unternehmeneine Speziallösung erworben habenund nicht ganz darauf vertrauen,dass die Entwickler auch später inder Lage sein werden, den nötigenSupport zu leisten. „Die Quellcode-Hinterlegung gibt Sicherheit aufbeiden Seiten: Für den Lizenzgeber,etwa den Softwarelieferanten, bleibtder Sourcecode geschütztes Ge-schäftsgeheimnis. Und der Lizenz-nehmer, ob Anwender oder Reseller,verfügt dennoch über Zugriffsrechtebeim Ausfall des Liefe-ranten“, erklärt VolkerSiegel, Justiziar derMünchener NCC EscrowInternational.

Ein Escrow-Vertraglohne sich überall dort,wo unternehmenswich-tige Software eingesetztwerde und die Lizenz-gebühren 70 000 € undmehr betragen, erklärt Peters. DieKosten eines Escrow-Vertrags, dieder Anwender trägt, sind im Ver-gleich zur eigentlichen Software-investition dann vergleichsweiseniedrig: Basisverträge sind ab etwa700 bis 1000 € zu bekommen.

Um wichtige Software abzusi-chern, empfiehlt Peters frühzeitigeVorsorge: „Der beste Zeitpunkt, ei-nen Escrow-Vertrag abzuschließen,ist bei der Unterzeichnung des Soft-ware-Lizenzvertrags.“ Die Überein-kunft sollte dabei genau regeln, in

welchen Fällen die Herausgabe desCodes gefordert werden kann.

Muss ein Softwarelieferant Insol-venz anmelden, wird für dessenKunden ein Escrow-Vertrag oft zumRettungsanker. Wie zum Beispiel imFall der Insolvenz des deutschenSoftwareherstellers Brokat: Der Düs-seldorfer Anbieter Escrow Europeübergab so manchem Brokat-Kun-den den Quellcode – Voraussetzung

dafür, dass deren soft-waregesteuerte Unter-nehmensprozesse wei-ter rund liefen. Aller-dings streiten Juristennoch über die so ge-nannte „Insolvenzfestig-keit“ eines Escrow-Vertrages. Ob der Insol-venzverwalter das Rechthat, den Escrow-Vertrag

aufzulösen oder die Software derKonkursmasse zuzuschlagen, sei dieFrage, erläutert Siegel.

Als Herausgabegründe gelten auchder Verkauf des Unternehmens, einEigentümerwechsel oder die Einstel-lung der Produkte. Wenn der Lizenz-geber Wartungs- und Pflegeverträgenicht mehr einhalten kann oder will,lohnt sich ein Escrow-Abkommenebenfalls.

Fujitsu Siemens Computers (FSC)arbeitet seit 1998 mit Escrow-Agen-ten zusammen, um sich als Lizenz-

nehmer abzusichern. FSC lasse „aus-schließlich systemnahe Software fürGeschäftskunden im Serverbereich“hinterlegen, für die der Computer-hersteller keinen Quellcode besitzt.„Seit wir das Verfahren einsetzen,sind wir sicher, dass wir unseren Sup-port-Verpflichtungen nachkommenkönnen. Vereinfacht: Wir schlafenerheblich ruhiger“, sagt Karl May, derim Vorstand von FSC für denweltweiten Einkauf zuständig ist.

Norbert Fritz von der DüsseldorferEscrow Europe diagnostiziert aller-dings ein Defizit, das bei Vertragsab-schluss oft übersehen wird: „Die aus-reichende Überprüfung der Daten-träger.“ Nur so kann ausgeschlossenwerden, dass es im Fall der Fälle einböses Erwachen gibt und sich auf derverwahrten CD nur Madonna-Hitsfinden. Escrow-Dienstleister neh-men in dieser Frage einen Vorsprunggegenüber Notaren und Rechtsan-wälten für sich in Anspruch. „EinNotar übernimmt eine Blackbox undkann den Quellcode technisch nichtüberprüfen. Die technische Verifika-tion ist wichtig, denn die hinterlegteSoftware muss dem aktuellen Standentsprechen“, erläutert Peters.

Escrow-Agenturen bieten häufigan, den Code nicht nur auf Vollstän-digkeit, Lesbarkeit und Virenfreiheitzu überprüfen, sondern die Kopie desCodes auch regelmäßig mit der Kun-densoftware abzugleichen. Zudemspielen sie auf Wunsch Berichtigun-gen und Updates ein. Bei FSC zum

Beispiel nutzt man diesen Service,wie Vorstand May erläutert: „Mög-liche Varianten reichen von der ein-fachen Hinterlegung von Datenträ-gern über die Plausibilitätsprüfungder Inhalte bis hin zur probeweisenÜbersetzung der Programme.“

Aber auch die Lizenzgeber vonSoftware können von einem Escrow-Abkommen profitieren. So hat sichzum Beispiel der börsennotierte,1989 gegründete Spiele-Verlag CDVin diesem Jahr zum ersten Mal zueinem Escrow-Verfahren entschlos-sen. CDV produziert seine Echtzeit-Strategiespiele mit Hilfe von weltweitverteilten Entwicklerteams und ver-langt, dass diese den jeweils neues-ten Entwicklungsstand hinterlegen.„Damit sichern wir die Vorfinanzie-rung der Entwicklerfirmen ab“, sagtCDV-Firmenanwalt Ulf Neumann.Die Escrow-Agentur und CDV erhal-ten zeitgleich jeweils die neuesteSoftware. „Quellcode-Escrow ist einzusätzliches Werkzeug für unser Risi-komanagement, gerade wenn klei-nere Entwicklerfirmen nicht mehr inder Lage sein sollten, das Spiel fertigzu entwickeln“, so Neumann weiter.„Im Notfall können wir zumindestauf den letzten Entwicklungsstandzurückgreifen.“

Lizenzgeber entdecken die Quell-code-Hinterlegung zunehmendauch als Marketinginstrument. DerHamburger Spezialist für Banken-software, Netlife, etwa hat den Codeseines Produkts „Finance-Suite“ hin-terlegt. Sven Kapahnke, Firmenjuristbei Netlife erklärt: „So können wirgerade großen Kunden die Sicherheitgeben, die sie wollen.“

Dämme bauen gegen die Flut aus lästigen WerbebotschaftenWer sein Postfach sauber halten will, sollte seine Adresse hüten. Bei unerwünschten Mails raten Experten: zurückschreiben und beschweren

Von Christian Ewers

Der größte Netz-Verschmutzerhat seinen Beruf gewechselt:

Statt wehrlose Computernutzer mitinsgesamt bis zu 25 Millionen Wer-be-Mails am Tag zu überfluten, legtSanford Wallace nach Informationendes „Spiegel“ nun Platten in einemNachtclub in New Hampshire auf.Wallace’ Abschied bedeutet aberkeine Entwarnung. Es gibt genügendandere Tüftler, die die Briefkästenmit unseriösen Nachrichten überPenisverlängerungen oder fantasti-sche Geldanlagen verstopfen. Wal-lace soll Schätzungen zufolge zeit-weise für 80 Prozent des digitalenMülls verantwortlich gewesen sein.

Einer aktuellen Prognose desComputer-Fachmagazin „c ’ t“ zu-folge sind mehr als die Hälfte allerüber das Datennetz versandten Bot-schaften nichts als Spam. Um daseigene Postfach vor den lästigenE-Mails zu schützen, gilt es eineReihe von Verhaltensregeln zu be-achten. So rät der Provider T-Onlinezur Zurückhaltung bei Preisaus-schreiben und Umfragen im Inter-net. Oftmals würden diese zur Ak-quise von E-Mail-Adressen fürSpam-Attacken missbraucht.

Dagegen sei es relativ unbedenk-lich, die richtige Adresse bei seriösenShopping-Anbietern oder professio-nellen Newsletter-Betreibern zu hin-terlegen. T-Online rät zu der Faust-regel: „Firmen, denen Sie Ihre Kredit-kartennummer anvertrauen würden,können Sie ruhig auch eine gültigeE-Mail-Adresse mitteilen.“

Vorsicht ist nach Erkenntnissenvon T-Online bei der Teilnahme anOnline-Foren geboten: „Auch wennSie sicher sein können, dass derBetreiber selbst die Adresse nicht anSpammer weitergibt, Foren sind öf-fentlich und können automatischnach gültigen E-Mail-Adressendurchsucht werden.“

Wenn die E-Mail-Adresse danndoch in die Hände von Spam-Versen-dern geraten ist, rät Marc Haber,System- und Netzwerkadministratorbeim hauptsächlich für Geschäfts-kunden tätigen Provider ILK in Karls-ruhe, zu schärferen Waffen: etwazum Beschwerdebrief. „Wenn manes schafft, die Kosten für den Versand

hochzutreiben, macht man demSpammer das Geschäft kaputt“, sagtHaber, Autor des Buchs „Sicher insNetz mit freier Software“. Mit einemBrief mache man dem SpammerArbeit, die Geld koste, argumentiertder Diplom-Informatiker

Spam-Geplagte können in ihremSchreiben auf ihr Recht pochen.Denn das Bundesdatenschutzgesetz(BDSG) verbietet die Nutzung derpersönlichen Daten eines Menschenfür die Werbung oder Markt- undMeinungsforschung ausdrücklich,wenn der Betroffene dem wider-spricht. Zudem kann der Empfängerunerwünschter Mails Auskunft überArt und Umfang der gespeicherten

Daten sowie deren Vernichtungverlangen. Formulierungshilfen fürBeschwerdebriefe finden sich imInternet zum Beispiel unterschnappmatik.de/TFFFFF.

Das Versenden dieser Protestpostist laut Haber allerdings wenig sinn-voll, wenn der Spammer aus demAusland agiert. Denn rechtlich istdann meist kaum etwas auszurich-ten. „Oft sind die Absender nichtgerichtsfest zu identifizieren. DerUser geht ein hohes Prozessrisiko einund muss mit enormen Anwaltskos-ten rechnen, wenn er sich außerhalbDeutschlands auf die Jagd macht.“

Wer sich schriftlich gegen Spamzur Wehr setzt, nimmt einen Nach-

teil in Kauf: Er bestätigt dem Absen-der, dass seine Mail angekommen istund gelesen wurde. Ein Spammer,der sich nicht um den deutschenDatenschutz schert, wird die Adressevon da an besonders gerne mit Postversorgen. Es kann deshalb sinnvol-ler sein, sich statt beim Absenderbeim Provider zu beschweren.

Gegen Spam-Angriffe ist eineSchutz-Software ein guter Verteidi-gungswall. Experte Haber empfiehltden so genannten „Spamassassin“.Das Programm, das hauptsächlichfür Betreiber von Mailservern unterLinux und ähnlichen Betriebssyste-men ausgelegt ist, ist kostenlos ver-fügbar (www.spamassassin.org).

@@@

@AdressenWWW wird nach „@”durchsucht, „Ernteprogramme”ZufallsgeneratorGewinnspieleListenhandel

Absenderstrategiendurch minimale Versand-kosten werden geringsteUmsätze profitabelwenig Aufwand, vieleEmpfänger

@@ @

Spam-Abwehr bei denE-Mail-Diensten

Wortfilter (erkennt Spaman verdächtigen Wörtern)schwarze Listen(Mails bekannter Spam-Server werden nicht zu-gestellt)Peer-to-Peer(intelligente Filter erken-nen nach Training automa-tisch Massen-Mails)

Spam-Abwehr beimEmpfänger

lernfähige Textfilter(individuell festlegbar)schwarze Listen(sortiert vorgegebeneAbsender aus)weiße Listen(lassen bekannte Absen-der durch, unbekannte nurnach Identifikation)Peer-to-Peer (siehe links)

Alle Verfahren zur Spam-Abwehr haben ihre Vor- und Nachteile. Es bestehtimmer die Gefahr, dass auch andere Mails eliminiert werden. Spam-Versenderversuchen, Filter zu umgehen, etwa durch bewusst falsche Schreibweise (wie„V1agra”) oder unverfängliche Betreffzeilen. Die Kombination mehrererAbwehrverfahren ist ratsam, den absoluten Schutz gibt es nicht.

FTD Grafik/jst

DA S P R O B L E M „ M Ü L L P O ST ”

@@

@@

@@

@@

I M P R E S S U M

Financial Times DeutschlandStubbenhuk 3, 20459 Hamburg, Tel. 040/319 90-0, Fax -310www.ftd.de E-Mail: leserservice@ftd.de

Redaktion: Volker BormannGestaltung: Dominik Arndt, Andreas VoltmerFotos: Bettina Lambrecht, Roberto PalmieriInfografik: Jens StorkanChef vom Dienst: Thomas KünzelKorrektorat: Lektorat der FTD

Verlag: Financial Times Deutschland GmbH & Co.KG, vertreten durch den Geschäftsführer MichaelRzesnitzek. Postanschrift: Brieffach 02, D-20444Hamburg

Verlagsleiterin Editionen: Julia JäkelLeiter Vermarktung: Dr. Christoph Weger

Druck: Druck- und Verlagszentrum GmbH & Co. KG, 58099 Hagen; G+J Berliner Zeitungsdruck GmbH,10365 Berlin