(SZ vom 1.8.2001) - Glaubt man den amerikanischen Sicherheitsbehörden, allen voran der Bundespolizei FBI (Federal Bureau of Investigations), steht dem Internet am Mittwoch eine neue Bewährungsprobe bevor. Wie bereits im Vormonat, sollen auch dieses Mal wieder 300.000 mit dem Internet verbundene Rechner durch den heimtückischen Internetwurm "Code Red" infiziert werden. Ob von "Code Red" tatsächlich eine große Gefahr ausgeht, wie vom FBI behauptet, oder ob die amerikanischen Gesetzeshüter vor allem Werbung in eigener Sache betreiben, wie Kritiker Rob Rosenberg vermutet, werden die nächsten Tage zeigen.
Die Geschwindigkeit im Netz wird durch "Code Red" am Mittwoch kurzfristig abnehmen.
(Foto: Collage: Susanne Meidl / Martin Wallner)Dass "Code Red" wieder zuschlagen wird, darin sind sich die Experten einig. Jose Lopez, Analyst bei Frost & Sullivan, rechnet ebenso mit 300.000 Neuinfektionen wie Mikko Hyppönen, Virenjäger der finnischen Softwareschmiede F-Secure. Unmittelbar betroffen von "Code Red" sind nicht die Anwender, die direkt am PC arbeiten. Der Wurm hat es bisher nur auf Unternehmensrechner abgesehen, die unmittelbar mit dem Internet verbunden sind (Server), und das Microsoft-Betriebssystem "NT" oder "Windows 2000" zusammen mit dem Serverprogramm "Internet Information Server (IIS)" verwenden. In Letzterem war Mitte Juni eine Sicherheitslücke entdeckt und öffentlich gemacht worden, auf die Microsoft umgehend mit einem kleinen Programm zur Fehlerbehebung ("patch") reagierte. Allerdings reagierte auch die Hackerszene - mit dem Computerwurm "Code Red".
Obwohl der Software-Patch von Microsoft kostenlos zur Verfügung gestellt wird, haben ihn nur wenige Systemadministratoren auf ihre Systeme gespielt. "Dabei ist das Ganze so einfach", sagt Hyppönen, "den Patch ausspielen, den Rechner neu starten, fertig." Durch das Aus- und Einschalten verschwindet auch der Wurm aus dem Hauptspeicher des Servers.
Hyppönen schätzt, dass gerade zehn bis 15 Prozent der Administratoren die Sicherheitlücke behoben haben. "Wenn es hochkommt, haben vielleicht 50 Prozent den Patch aufgespielt, aber das ist eine sehr optimistische Schätzung", sagt der Virenjäger unter Berufung auf seine langjährige Berufserfahrung. "Die meisten Administratoren merken nicht einmal, dass ihr Server infiziert ist. Das System wird langsam, sie machen einen Neustart und das wars." Das ist auch der Grund, weshalb sich das ganze Ausmaß der Infektion kaum abschätzen lässt.
Code Red verbreitet sich immer nur vom ersten bis zum 20. jeden Monats. Anschließend versuchen alle Kopien des Wurms, die Homepage des Weißen Hauses in Washington mit massenhaften Anfragen in die Knie zu zwingen. Vom 28. jeden Monats an ruhen die Würmer, und "sie wachen auch nicht mehr auf", sagt Hyppönen. Seiner Ansicht nach werden ab morgen nur diejenigen Würmer aktiv, deren Server mit falscher Systemzeit läuft. Solange der 20. des eingestellten Monats nicht erreicht ist, versucht der Wurm, alle Server zu infizieren, die mit einem korrekt eingestellten Systemdatum arbeiten.
Auch die Hersteller von Antivirus-Software schätzen die Gefahr einer neuen großen Infektionswelle als gering ein. Raimund Genis von Trend Micro rechnet sogar damit, dass auf den meisten der weltweit rund sieben Millionen bedrohter IIS-Server mittlerweile die Sicherheitslücke geschlossen wurde. "Da der Wurm keine Schadfunktion und auch kein Hintertürchen für Hacker eingebaut hat, hält sich auch der wirtschaftliche Schaden in Grenzen", meinen sowohl Pino von Kienlin vom britischen Antivirenhersteller Sophos als auch Dirk Kollberg, von amerikanischen Unternehmen Network Associates.
Neuer Virus SirCam
Die Geschwindigkeit im Netz wird durch "Code Red" am Mittwoch zwar kurzfristig abnehmen, aber das Netz wird nicht zusammenbrechen. Die zentralen Knotenrechner von Cisco sind entsprechend abgesichert, erklärt Thomas Boele von Cisco in Deutschland. Laut Mikko Hyppönen kann ein zweiter Wurm, der derzeit im Schatten von "Code Red" steht, in Unternehmen mehr Schaden anrichten. "SirCam" kommt per E-Mail auf die Rechner der Anwender und verschickt vertrauliche Dokumente an Fremde. "Ich habe selbst schon 20 Briefe bekommen", sagt Hyppönen.