: Seit 5.45 Uhr gibt’s E-Post
Böse Überraschung an Pfingsten: Durch das Internet rollt eine neue Welle unerwünschter Nazi-Mails. Durch einen Wurm wurden unzählige Computer zu unfreiwilligen Propagandaschleudern
„Polizeiexperten warnen: Ethnisch abgeschottete Mafia-Clans sind kaum noch zu durchdringen. Die Gerichte tragen Mitschuld.“ – schreibt ein Unbekannter aus Kanada unter der Betreffzeile „Blutige Selbstjustiz“. Dann folgt ein Link auf eine Webseite mit einem Artikel aus dem (gedruckten) Spiegel. In der Masse der täglich eintrudelnden Spam-Mails fällt diese Nachricht schon ein wenig auf, zwischen gefälschten Rolex-Uhren und billigem Viagra hat das eindeutig Signalwirkung.
Genau das ist offenbar perfekt geplant: Eine Woche vor den Wahlen in NRW und exakt an den Pfingsttagen, wenn viele Zeit und Muße haben und sich ausgiebiger als sonst der E-Mail widmen können, begannen über die ganze Welt verstreute PCs damit, rechte Propaganda-Mails zu verschicken. „Deutsche Bürger trauen sich nicht“, „Ausländer bevorzugt“ – die neue rechte Spamflut ist heftiger als die vom Juni 2004, als noch lange Hetz- und Propagandatexte verschickt wurden. Diesmal beschränkt sich der ganze Spuk auf eine auffällige Betreffzeile, ein bis zwei kurze schlagwortartige Sätze oder die (grammatikalisch falsche) Aufforderung „Lese selbst“ – und einen Link auf Artikel aus dem Spiegel, auf zdf.de, Heise Online, die taz oder direkt auf Texte der NPD-Homepage.
Auch diesmal ist es eine Variante des altbekannten Wurms Sober, der die Mails mit Hilfe einer eingebauten Hintertür, der so genannten SMTP-Engine, verbreitet. Das haben Sicherheitsfirmen herausgefunden, und alle bekannten Virenscanner werden in diesen Tagen Updates bereitstellen. Wer bereits eine Propagandamail erhalten hat, muss dennoch nicht befürchten, dass der Rechner allein deshalb mit einem Virus befallen ist.
Mit Sicherheit infiziert ist lediglich der Rechner des Absenders – der davon jedoch nichts mitbekommt. Aber der ist nicht auszumachen und kann nicht gewarnt werden, da die Absenderadressen stets gefälscht sind. Die Verbreitung funktioniert vermutlich so: Bereits mit Sober.P infizierte Rechner haben aus dem Netz die Q-Version nachgeladen, die die Texte der Propaganda-Mails enthält. Der neue Wurm verhielt sich zunächst mucksmäuschenstill – bis in der Nacht von Samstag auf Pfingstsonntag der eingebaute Timer die Aktion auslöste – und die größte rechtsextreme Spamwelle in Gang setzte, die es im Netz jemals gab.
Betroffen sind vor allem geschäftliche Mail-Accounts und solche, die im Internet etwa auf Homepages oder in Newsgroups abgreifbar sind. Nutzer von Angeboten der Freemail-Server wie GMX blieben diesmal weitgehend verschont.
Bombardiert wurden offenbar auch alle E-Mail-Adressen im Mail-Adressbuch des realen und unwissenden Absenders – gleichgültig, in welchem Land der Empfänger wohnt.
Sogar englischsprachige Betreffzeilen waren vorgesehen: „Dresden Bombing Is To Be Regrettet Enormously“ und „Turkish Tabloid Enrages Germany“ – einschließlich Links zum englischsprachigen Angebot von Spiegel Online, wo man schleunigst darauf hinwies, mit der Aktion nichts zu tun zu haben.
„Der Täter ist sicherlich ein Deutscher, der schon vor einem Jahr ähnliche Mails verschickt hat“, vermutete am Pfingstmontag der Karlsruher Computer-Virenexperte Christoph Fischer. „Es ist eine Mischung aus seriösen und unseriösen Artikeln“, sagte er. „Mit diesem absurden Zeug will der Autor offenbar sein Weltbild bestätigen“, meinte der Viren-Fachmann.
Es muss jedoch bezweifelt werden, dass ein einzelner Täter hinter der Aktion steckt. Allein das Programmieren der für das klammheimliche und massenhafte Versenden zuständigen SMTP-Engine, die aufwändige Zusammenstellung von unzähligen (und nur vermeintlich) ausländerfeindlichen und rechtsradikalen Betreffzeilen, Schlagzeilen und Links – all das erfordert, auch wenn’s sprachlich an vielen Stellen hapert, eine intellektuelle Gesamtleistung, die ganz und gar nicht mit dem Klischee eines pickeligen siebzehnjährigen Einzelgängers vereinbar ist.
Dennoch: „Das ist ein hinterhältiges Ding und eine kleine Zeitbombe“, sagte der Sprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Michael Dickopf. Der Wurm könne glücklicherweise keine technischen Schäden anrichten.
Die Spam-Mail enthält Medienberichten zufolge auch Betreffzeilen wie „Verbrechen an der Deutschen Frau“ oder „Deutsche werden künftig beim Arzt abgezockt“ und verweist im Text unter dem Hinweis „Lese selbst“ entweder auf die Website der rechtsextremistischen NPD oder aber auf Online-Artikel zu Themen, mit denen sich Stimmung gegen Ausländer machen lässt.
DIETER GRÖNLING
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen