Früher hat man noch gern darüber gewitzelt, dass vermeintlich uninformierte Menschen bei Schnupfen fürchteten, ihren Computer mit einem Virus zu infizieren. Nun wird die biologische Ansteckung technischer Geräte real: Wie »Wired« berichtet, hat eine Gruppe von Fachleuten um Tadayoshi Kohno von der University of Washington erstmals gezeigt, dass man Schadsoftware in DNA-Strängen codieren kann. Wenn ein Gerät das Erbgut dann sequenziert, greift das in der DNA codierte Programm die Software des Sequenzierautomaten an und übernimmt die Kontrolle über den Computer. Die Details der Technik wird das Team auf dem USENIX Security Symposium vom 16. bis zum 18. August in Vancouver vorstellen.

Derzeit ist ein derartiger Angriff unrealistisch. Der Aufwand, eine entsprechende DNA-Sequenz zu designen, herzustellen und in das gewünschte Sequenziersystem einzuschleusen, dürfte weit größer sein als für andere Angriffsstrategien. Vor allem die physischen Grenzen der DNA machten es schwierig, einen funktionierenden Code zu erzeugen, heißt es im Pressebericht. Außerdem fügte die Gruppe um Kohno gezielt eine verwundbare Stelle in die Software des Sequenzierautomaten ein, die das Schadprogramm in der DNA dann ausnutzen durfte. Kohno fand jedoch vergleichbare Schwachstellen in kommerzieller Sequenzierungssoftware.

Außerdem identifizierte das Team eine Reihe von bekannten Datenverarbeitungsproblemen wie zum Beispiel »sample bleeding«, bei denen Genomdaten an unerwünschten Speicherorten abgelegt werden, als Sicherheitsrisiko. Einen solchen Mechanismus nutzte die Gruppe dann auch für ihren Angriff. Ihre künstlich erzeugte DNA rief einen »Buffer overflow« hervor, bei dem der Computer des Sequencers quasi die Kontrolle über die Zuordnung der Daten verliert. Durch dieses Phänomen lassen sich, wie das Experiment zeigt, prinzipiell Schadkodes einschleusen oder sensitive Informationen auslesen.

»Der beschriebene DNA-Hack ist besonders elegant, weil es keine Datei gibt und die Daten biologisch vorliegen«, sagt Ulrich Greveler, Professor für Angewandte Informatik und IT-Sicherheit an der Universität Rhein-Waal. Wie Kohnos Arbeitsgruppe sieht auch er ein grundsätzliches Sicherheitsproblem bei Systemen, die auf solche nicht-digitalen Daten zugreifen: »In gleicher Weise wäre denkbar, dass Fingerabdruck- oder Iris-Scanner auf diese Weise gehackt werden. Ein Gerät könnte übernommen werden, um nicht-autorisierte Personen zuzulassen oder weitere Rechner im Netzwerk anzugreifen«. Kohnos Team jedenfalls fand bei seiner Untersuchung, wie es in ihrem Abstract auf der Konferenzwebseite heißt, »konkrete Belege für schlechte Sicherheitspraxis im gesamten DNA-Prozessierungssektor«. Auf der Basis dieser Befunde will die Arbeitsgruppe nun Grundlagen für mehr Datensicherheit in der Bioinformatik formulieren.