"Würmer? Viren? - Betrifft mich nicht, ich arbeite ja mit einem Mac." Lange Zeit galt dies wie eine unumstößliche Wahrheit unter Computernutzern. Nicht weil die Software von Apple-Rechnern so viel sicherer gewesen wäre als die weiter verbreiteten Windows-Programme des Marktführers Microsoft. Es gab einfach weltweit zu wenige der schicken Kisten mit dem Mac-Betriebssystem, um die Sache für Hacker mit Ego-Defizit oder für organisierte Internetkriminelle interessant zu machen. Doch im Sog der Erfolgsprodukte iPod und iPhone verkaufen sich neuerdings auch die Designcomputer der kalifornischen Computerschmiede bestens. In den USA liegt ihr Anteil inzwischen bei zehn Prozent. Und plötzlich werden auch Rechner von Apple von Internetgaunern angegriffen.
"Der Marktanteil des Apple Mac ist mittlerweile groß genug, um als Ziel herzuhalten", heißt es im jüngsten Bericht zur Sicherheitslage im Internet, den der finnische Anti-Viren-Spezialist F-Secure halbjährlich herausbringt. Deren Nutzer wähnen sich oft noch in Sicherheit. Deshalb könnte es sich als "handfester Nachteil" erweisen, dass es bisher kaum Viren und sogenannte Trojaner speziell für das Apple-Betriebssysteme OS-X gab, warnen Sicherheitsexperten.
Apple ist, was die Sicherheit angeht, aber auch mit seinem neuen Betriebssystem Leopard unangenehm aufgefallen. Zu den wichtigsten Empfehlungen von Sicherheitsexperten zählt es, stets eine Firewall einzurichten, also eine Schutzsoftware, die wie eine Brandmauer unbefugte Zugriffe aus dem Internet ausschließt. Doch auch wer das vor kurzem auf den Markt gebrachte Betriebssystem auf "Alle eingehenden Verbindungen blockieren" stellte, war dennoch angreifbar. Hinzu kam, dass man diese Änderung überhaupt als Nutzer von Hand vornehmen musste. Die Werkseinstellung lautete "alles offen".
Einladung für Gauner
Wer also das neue Betriebssystem installierte und nicht aufpasste, dessen Rechner stand offen wie ein Scheunentor. Apple hat inzwischen "Missverständnisse" eingeräumt und die Bezeichnung des Schalters korrigiert in "Nur wichtige Dienste zulassen". Ziemlich peinlich war auch die Einführung des Apple-eigenen Internetbrowsers Safari in einer Windows-Version, die vor Fehlern nur so strotzte. Einige davon fanden sich sogar in der Version für das Mac-Betriebssystem wieder.
Derselbe Browser kommt - in einer etwas abgespeckten Version - auch auf dem iPhone zum Einsatz. Und schon warnen Sicherheitsexperten davor, das Kultobjekt könnte zum Angriffsziel werden. Als wahrscheinlichste Methode nannte das Arbor securitry engineering and response team (Asert) vor kurzem sogenannte drive-by-downloads, gemeint sind damit Webseiten, die Schwachstellen in Browsern ausnutzen, um ahnungslosen Surfern quasi "im Vorbeifahren" schädliche Software auf den Rechner zu spielen. Es reicht schon, eine solche Webseite nur aufzurufen, man muss dafür gar nicht mehr klicken.
Für den Fall, dass das nicht klappt, gibt es inzwischen "sehr subtile Methoden", wie Sean Sullivan, Experte für Schadsoftware bei F-Secure, sagt. Diese funktionieren - anders als noch vor kurzem - auch auf Apple-Betriebssystemen. Der wichtigste Schlüssel, berichtet er, ist dabei die Maskerade der Schadsoftware, mit der sie die Benutzer überhaupt dazu kriegt, die Bedenken fallenzulassen und auf die entscheidenden Knöpfe zu drücken.
Dazu gehört zum Beispiel der Trick mit dem Internet-Video. Wer darauf klickte, um es zu sehen, erhielt einen Hinweis: Ein Decoder müsse installiert werden, um den Film abspielen zu können. Eine gängige Prozedur, und auch der Rest des Verfahrens wirkte normal. Also schnell das Administrator-Passwort eingegeben, die Frage zu den Lizenzbestimmungen mit Ja bestätigt, kurz gewartet und tatsächlich, jetzt lief das Filmchen.
Kaum merklich und vielleicht von vielen Nutzern noch heute unentdeckt: In Wirklichkeit wurde nicht ein Video-Decoder installiert, sondern ein virtueller Schädling. Dieser läuft weder Amok unter den Daten auf der Festplatte, noch versucht er wie viele andere, an kritische Daten wie Kreditkartennummern oder Passwörter zu kommen. Die Betrüger bauen stattdessen eine Art Umleitung im Internet ein. An Google gerichtete Anfragen laufen plötzlich über deren Server. Die Suchergebnisse werden dabei so manipuliert, dass ganz oben auf der Trefferliste eine Anzeige erscheint, hinter der die Betrüger stecken. Obwohl es sich erkennbar um ein kommerzielles Angebot dahinter handelt, klicken viele Google-Nutzer darauf - ein lohnendes Geschäft.
Wie man Nutzer hereinlegt
Technisch funktioniert das so: Wenn ein Internetnutzer - egal, ob unter Windows oder Apple OS-X - in seinem Browser den Namen eines Internetangebotes eintippt, beispielsweise www.sueddeutsche.de, muss der Browser erst einmal nachsehen, wie der Name dieser Domain in einer für Maschinen lesbaren Form lautet. Er wendet sich zu diesem Zweck an Computer des sogenannten Domain Name System (DNS), auf denen gespeichert ist, dass für www.sueddeutsche.de die Ziffernfolge 213.221.91.5 steht.
Die meisten Computer sind so eingestellt, dass der Internetanbieter, zum Beispiel T-Online oder Arcor, automatisch ein solches Internetadressbuch zur Verfügung stellt. Man kann aber auch manuell eines zuweisen, indem man eine Ziffernfolge hinterlegt. Genau das tut der Schädling, ja er überprüft sogar in regelmäßigen Abständen, ob diese Einstellung auch nicht geändert wurde, wie die Viren-Analysten von F-Secure herausgefunden haben.
Angriffsziel Nummer eins bleiben für die Computergangster zwar Rechner, die unter dem Betriebssystem Windows laufen. Bei einigen Schädlingen aber wird inzwischen geprüft, welches Betriebssystem vorliegt und gegebenenfalls die passende Schadsoftware bereitgestellt, die sich der Schwachstellen von Apple-Systemen bedient. Das liegt daran, dass Apple-Software es mittlerweile auch auf Rechner geschafft hat, die unter Windows laufen.
Massen an bereits bekannten Schädlingen
Sehr viele Spiele beispielsweise nutzen zum Anzeigen von Videos die Apple-Software Quicktime, und zum Verwalten ihrer elektronisch abgelegten Musiksammlung verwenden nicht nur iPod-Besitzer gerne iTunes. "Windows wird allmählich immer sicherer", sagt der Viren-Spezialist Sean Sullivan, "da greifen die Virenautoren Standardsoftware von Drittanbietern an, die fast ebenso weit verbreitet ist wie Windows."
Insgesamt stellen die Experten fest, dass es wenig neuartige Bedrohungen gibt, dafür aber Massen an bereits bekannten Schädlingen, die auch Computergauner, die gar nicht programmieren können, mithilfe von Bausätzen zusammenklicken können. Diese Bausätze werden ebenso verkauft wie die damit ergaunerten Daten - für beides gibt es im Internet international organisierte Untergrundmärkte, gegen die nationale Behörden wenig bis nichts ausrichten können.
Experten wie der russische Virenspezialist Eugene Kaspersky fordern deshalb schon lange eine Art Interpol fürs Internet. Bis dahin helfen nur die alten Ratschläge: Das Betriebssystem des Computers immer auf dem neuesten Stand zu halten, Sicherheitssoftware (Firewall, Antivirenprogramm) zu benutzen und, vor allem, eine gesunde Portion Misstrauen beim Surfen und E-Mailen.