(SZ vom 2.10.2001) - Nimda ist ein nervtötendes Mischwesen. Vor zwei Wochen hat der Computer-Schädling die Experten in den Schaltzentralen der Computernetze zur Weißglut getrieben. Vier verschiedene Methoden hatte Nimda, sich auszubreiten, manche glichen den Methoden eines Virus, andere denen eines Wurms. Die Natur hat noch nie so einen fähigen Erreger hervorgebracht.
Längst haben sich Computer-Nutzer und -Experten daran gewöhnt, eine medizinische Metapher zu benutzen. Sie nennen schädliche Programme Viren, sprechen von Ansteckung und Epidemien. Der Vergleich scheint berechtigt, denn wie Erreger aus Eiweiß und Nukleinsäuren sind Erreger aus Quellcode und Subroutinen allein nicht lebensfähig. Beide kapern eine Maschinerie, befehlen ihr: "Vermehre mich und gib mich weiter!" und fügen ihr dabei zum Teil tödliche Schäden zu.
Auch die gängige Form der Vorsorge lässt sich medizinisch verstehen. Antivirus-Programme sind wie Impfungen: Sie geben dem Computer die Mittel an die Hand, bekannte Schädlinge zu bekämpfen und zu vernichten. Doch sie müssen mühselig entwickelt werden. In Labors bemühen sich Experten, die Erreger zu isolieren, ihre Schwachstellen zu finden und ein charakteristisches Stück zu isoliren. Wer es bekommt, kann diesen Erreger bekämpfen, erinnert sich für immer daran - und ist immun.
Auf Patrouille
Das dauert in der Computerwelt bestenfalls Stunden, während es in der Medizin gegen Erreger wie den Aids-Virus oder den Malaria-Parasiten keinen Impfschutz gibt. Und dennoch, erkennen Computerforscher, hat die Medizin der Computer-Welt eines voraus, was nachahmenswert ist: das Immunsystem. Es kann sich auch gegen unbekannte Erreger wehren, erkennt Schädlinge ohne Hilfe von außen und sucht nach Gegenmaßnahmen. "Es gibt zwar viele Unterschiede zwischen lebenden Organismen und Computern", sagt Stephanie Forrest von der University of New Mexico. "Aber wir glauben, dass die faszinierenden Ähnlichkeiten einen Weg zu verbesserter Computer-Sicherheit weisen könnten."
Das Immunsystem des Menschen arbeitet in vier Schritten: Es erzeugt zunächst Myriaden von Abwehrzellen, die alle auf verschiedene Eiweiß-Sequenzen reagieren können. In der Thymus-Drüse werden all diese Zellen mit der Grundausstattung des Körpers konfrontiert. Jede Zelle, die jetzt reagiert, wird kaltgestellt, damit sie später nicht das eigene Gewebe angreift. Im dritten Schritt patroullieren die übrig gebliebenen Zellen durch den Körper. Finden sie etwas, auf das sie reagieren, bedarf es noch diverser Bestätigungen, bevor das Immunsystem einen konzertierten Schlag auslöst. Und im vierten Schritt werden Zellen, die einmal fremdes Material erkannt haben, zu Speicherzellen, damit der nächste Angriff des gleichen Keims umso schneller abgewehrt werden kann.
Die ersten drei Schritte hat Stephanie Forrest in einem Netzwerk von 50 Computern nachgestellt. Ihre Immunzellen waren zufällig erzeugte Zahlenkolonnen von 49 Stellen, die für die Adressen von jeweils zwei Computern und eine bestimmte Route zwischen ihnen standen. Als Angriff sollte jede Kontaktaufnahme von außen erkannt werden. Da auch sie mit einer Zahl charakterisiert wurden, suchten die Zellen nach Übereinstimmungen in der Ziffernfolge; fanden sie 12 ihrer 49 Ziffern wieder, schlugen sie Alarm. Bevor Gegenmaßnahmen eingeleitet wurden, bedurfte es mehrfacher Bestätigung. Zugleich aber genügte es, dass eine "Zelle" reagierte, damit alle anderen wachsamer wurden. Forrest und ihre Kollegen waren überrascht, wie viele Mechanismen der biologischen Abwehr sie nachbilden mussten, damit ihr System zuverlässig funktioniert.
Die Firma Symantec hingegen hat mit IBM-Forschern bereits ein "digitales Immunsystem" auf den Markt gebracht: in der Firmenversion von "Norton Antivirus 7.5". Es simuliert die schnelle, automatische Reaktion, die das biologische Pendant auszeichnet. "Man muss Computer schneller von einem Virus heilen, als sich der Virus ausbreiten kann", so das Rezept von Steve White von IBM.
Der erste Schritt ist, verdächtige Dateien zu identifizieren. Dafür haben die Anti-Viren-Firmen Erfahrungswerte gesammelt, zum Beispiel so etwas wie "Gene" bei digitalen Schädlingen identifiziert: Befehle, die immer wieder benutzt werden. Eine verdächtige Datei wird dann in Quarantäne geschickt. Ein spezieller Rechner bildet hier nach, was ein Arzt in einem Labor tun würde. Er bietet dem vermeintlichen Erreger optimale Bedingungen und animiert ihn, sich zu vermehren. Dann analysiert der Labor-Computer das Verhalten des Keims, sucht und testet ein Gegenmittel, das er schließlich automatisch um die Welt schickt. Symantec gibt für den ganzen Prozess eine Dauer von 80 Minuten an und sagt etwas rätselhaft, dass der Impfstoff bei "80 Prozent der meisten Boot-, Makro- und DOS-Viren" automatisch erzeugt werde.
Ganz egal, welche Fortschritte die Forscher machen: Eines Tages steht ihnen der CIV bevor, der Computer-Immunschwäche-Virus. Beim Menschen verändert HIV nicht nur seine Außenhülle immer wieder und entzieht sich so der Überwachung. Er greift auch die Immunabwehr selbst an. Ein solcher Erreger wird bei Computern kommen, denn auch die Virenschreiber können sich an der Natur orientieren. Doch in deren Tun offenbart sich der entscheidende Unterschied zwischen biologischer und digitaler Welt: Ein Virus wie HIV oder Ebola will seinen Wirt nicht töten, er will nur leben. Computerviren aber sind oft programmiert, neben der Fortpflanzung sinnlosen Schaden anzurichten. Sie sind kein Produkt der Natur, sondern von Hass, Neid oder Langeweile.