: Alle Räder stehen still
Heute wird Sven J. verurteilt. Mit dem von ihm geschaffenen „Sasser“-Wurm hat er im Sommer 2004 viele tausend Computer lahm gelegt. Dennoch wird er wohl eine milde Strafe bekommen. Er war noch jung, und eigentlich wollte er Gutes tun. Die wirklich perfiden Computerverseucher sind auf freiem Fuß – und werden immer zahlreicher
VON DIETER GRÖNLING
Genauso stellt man sich das Heim der Familie Saubermann vor: traumhafte Idylle im niedersächsischen Rotenburg an der Wümme, Ortsteil Waffensen. Hier könnte man wunderbar Werbespots drehen – für Hypotheken, Hundefutter, Haushaltsreiniger. Niemand käme auf die Idee, dass genau hier im Keller des geklinkerten Einfamilienhauses vor anderthalb Jahren der berüchtigte „Sasser“-Wurm entstand und sich über Nacht um den ganzen Erdball schlängelte.
Auf seinem Weg infizierte der Schädling weltweit Millionen Computer und löste massenhaft Rechnerabstürze aus. Betroffen waren unter anderem die US-amerikanische Fluggesellschaft Delta Airlines, die Britische Küstenwache und die Eisenbahn in Australien. Die Europäische Kommission hat es erwischt, sowie in Deutschland den Hessischen Rundfunk und die Postbank, wo wegen des abgestürzten Systems zeitweise keine Überweisungen mehr möglich waren. Die Deutsche Bahn soll in letzter Sekunde verhindert haben, dass „Sasser“ in ihr System eindringt.
Das alles hat Sven J. nicht gewollt. Dennoch musste er lachen, als ein Virenexperte im Interview der TV-Spätnachrichten „osteuropäische Spezialisten“ oder gar die „russische Mafia“ hinter all dem vermutete. Dabei hat der damals 17-jährige Schüler nichts anderes beabsichtigt, als – wie schon zuvor mit dem Wurm „Netsky“ – mit einer Art Antiwurm den aus seiner Sicht feindlichen Wurm „Mydoom“ weltweit auszumerzen, indem er ihn von infizierten PCs löscht. „Sasser“ sollte ein guter Wurm werden – einer der nichts weiter tut, als die schlechten und destruktiven Würmer der Feinde zu bekämpfen. Sein Ziel war Netzhygiene nach Saubermannart, die konsequente elektronische Reinigung wurmverseuchter Systeme durch einen wackeren Gegenwurm. Dass er dabei Schäden in Millionenhöhe anrichtete, weil sein übereifriger Wurm die befallenen Windows-Rechner nach jedem Neustart gleich wieder zum Absturz brachte, war keinesfalls beabsichtigt.
Das hat er bei seinem Geständnis vor der Jugendstrafkammer des Landgerichts im niedersächsischen Verden eingeräumt, die ihm in diesen Tagen den Prozess macht. Das für heute erwartete Urteil dürfte trotz des weltweit immensen Schadens recht milde ausfallen.
Und Sven J. dürfte inzwischen begriffen haben: Gute Würmer gibt es nicht. Wurm bleibt Wurm und Virus bleibt Virus – auch wenn den Eindringlingen von ihren Schöpfern noch so gute Absichten mit auf den Weg gegeben sein mögen. Stets werden sie ohne Wissen und Einverständnis des jeweiligen Nutzers aktiv, verändern Daten, bremsen Systeme aus – und verursachen mitunter seltsame Abstürze. Im Gegensatz zum Virus, der erst durch (zumeist unbeabsichtigtes) Zutun des Users zum Leben erweckt wird – etwa durch vorschnelles Öffnen eines Mailanhangs ohne vorherigen Virencheck –, wird ein Wurm von selbst aktiv. Eine infizierte E-Mail oder eine verseuchte Webseite braucht ein Wurm nicht. Das ist der einzige Unterschied zum Virus; die Schäden, die diese Eindringlinge dann anrichten, sind vom Programmierer vorgegeben. Neuere Varianten wie der berüchtigte Wurm „Sober“, der zu Pfingsten die Welt mit Nazi-Spam beglückte, sind in der Lage, Programmteile von Internetservern nachzuladen, um dann mit neuen Instruktionen zum festgelegten Zeitpunkt aktiv zu werden.
Wie Rapper aus der Bronx
Aktive Viren und Würmer können sich blitzschnell weiterverbreiten, indem sie beispielsweise das Mail-Adressbuch des „Gastrechners“ plündern und sich als Kopie an die dort vorhandenen Adressen verschicken. Deshalb ist es so wichtig, auch bei bekannten Absendern niemals einen Mailanhang zu öffnen, bei dem man nicht ganz genau weiß, was er beinhaltet. Überprüfen oder nachfragen ist besser, als sich einen Schädling einzufangen, der einem womöglich sofort und unwiderruflich die Festplatte löscht.
Doch die perfiden Sachen sind selten geworden. Auch von den einst so berüchtigten weil mitunter destruktiven Virenurhebern vom Balkan und dem Nahen Osten hört man kaum noch. Bei heutigen Virus- und Wurmbastlern handelt es sich oft um Jugendliche, die sich bisweilen in ihren Programmcodes gegenseitig beschimpfen und mit ihren Leistungen prahlen. Auch Sven J. hat geprahlt – und machte keinen Hehl aus seiner Absicht, feindliche Würmer (im Jargon: Malware) zu vernichten. Die Antwort folgte prompt, der Programmcode von Bagle.I enthielt folgende Zeile: „Hey, NetSky, fuck off you bitch, don’t ruine our business, wanna start a war?“ Das erinnert ein wenig an die Rapper aus der Bronx. Dort klingt es ganz ähnlich, nur geht es meist um andere Dinge: Autos, Waffen und Weiber.
Das bedeutet jedoch nicht, dass solche Viren und Würmer harmlos sind. Der ungebetene Eindringling besteht immer aus zwei Segmenten: Der eine Teil ist für Vervielfältigung und Transport zuständig und kann auch mal Botschaften wie die obige enthalten, der andere birgt den eigentlichen Übeltäter. Wenn sich der Rechner plötzlich seltsam verhält, unerträglich langsam wird oder öfter ohne nachvollziehbaren Grund abstürzt, dann ist es an der Zeit, mal ein (aktuelles!) Virensuchprogramm zu starten.
Für Ahnungslose: Generatoren
Das weithin verbreitete Bild, Computerviren würden nur von gemeinen pickligen Jungs geschrieben, die in finsteren Kemenaten einsam vor der Kiste hocken, stimmt schon seit langem nicht mehr. Heute muss man noch nicht einmal programmieren können. Viren und Würmer basteln – das ist wie Ikea-Regale zusammenschrauben. Die dazu nötigen Werkzeuge und Bausätze gibt’s auf einschlägigen Seiten im Netz oder auf CD-ROM. Das erste Werkzeug dieser Art war das „Virus Construction Set“. Entwickelt wurde es bereits 1990 – von einer Gruppe, die sich „Verband Deutscher Virenliebhaber“ nannte. Die Möglichkeiten waren noch arg eingeschränkt, doch schon bald folgten NuKE’s Randomic Life Generator, Odysseus, Senna Spy Internet Worm Generator und andere. Heute gibt es etwa 1.500 Virenwerkzeuge, die meisten davon beschränken sich jedoch aufs Modifizieren bereits verbreiteter Viren. In der Szene sind generierte Viren äußerst unbeliebt. Leute, die so was machen, werden abfällig Script-Kiddies genannt.
Trüber Ausblick
Seit einiger Zeit verbreitet sich eine ganz neue Variante, und wie es aussieht, wird das Netz bald noch mehr von seinem inzwischen arg lädierten Ruf verlieren: Einige Virenprogrammierer haben sich von kriminellen Marketing- und anderen Firmen als Lohnschreiber anheuern lassen. Mit Hilfe eines eingeschleusten Wurms werden beispielsweise Rechner unbescholtener Leute als Verteiler für Spam-Mails missbraucht. Mit einer DSL-Leitung fällt das nicht weiter auf, und beim Empfänger werden diese Mails nicht gleich aussortiert, weil sie nicht von einem Absender stammen, der in der „Blacklist“ steht.
Viren, die persönliche Vorlieben und Gewohnheiten übermitteln, Kreditkarten-Nummern und Bankdaten ausspähen, so genannte Keylogger, die jeden Tastendruck aufzeichnen und regelmäßig „zu Hause“ abliefern, Erpressung mit Absturzdrohung – all das ist schon real. „Spyware“ ist längst Bestandteil regulärer Gratis-Software – der Schutz vor ungebetenen Spionen wird von den Viren-Schutzprogrammen bislang nur sehr unzureichend geboten.
Von all dem betroffen sind wieder mal (fast) ausschließlich Windows-Rechner. Schuld daran sind jedoch nicht nur die vielen Schwachstellen der Microsoft-Systeme, wie einige Linux-Fans behaupten. Sondern der überdimensional hohe Marktanteil, denn der bietet eine breite Angriffsfläche. Sven J. hat mit einem einzigen Mausklick ein paar Millionen Rechner lahm gelegt. Vielleicht ist genau das die Faszination.