(SZ vom 10.11.2003) - Es ist das Schreckensszenario aller EDV-Sicherheitschefs großer Unternehmen: Ein unbedarfter Mitarbeiter klickt am Computer auf eine elektronische Grußkarte, die ihm ein Bekannter per E-Mail geschickt hat. Sekunden später ist nicht nur sein PC tot, sondern auch der seines Kollegen, auf dem gesamten Flur geht nichts mehr, die Filiale in Hongkong meldet ein unbekanntes EDV-Problem und es wird klar: Lebenswichtige Daten der gesamten Firma sind zerstört oder gestohlen, der wirtschaftliche Schaden ist immens.
Zu 90 Prozent und mehr ist die Wirtschaft, vom Konzern bis zum Kleinbetrieb, in der industrialisierten Welt mittlerweile von einer funktionierenden EDV abhängig. Auch bei Regierungen und Verwaltungen geht nichts mehr ohne Computer und Internet.
Dessen Stärke, ein Datenaustausch in Sekundenschnelle dank weltweiter Vernetzung, ist gleichzeitig auch die größte Gefahr. Immer schneller rasen immer mehr bösartige Programme, so genannte Viren und Würmer, um den Erdball.
Dauerte es beim "I love you"-Virus noch Stunden, bis er von den Philippinen nach Europa schwappte, lassen neue Viren und Würmer den Sicherheitsfirmen kaum noch die Zeit, elektronisches Gegengift in ihre Schutz-Software einzubauen: "Einer drückt auf den Knopf, und es verteilt sich schlagartig", sagt der Karlsruher IT- Sicherheitsexperte Christoph Fischer.
Rasantes Wachstum
Auch die Masse der Schädlinge wächst ins Unüberschaubare. Der erste Computer-Virus überhaupt wurde 1987 bekannt, mittlerweile schwanken die Schätzungen über die Zahl der bekannten Schadprogramme zwischen 70.000 und 90.000.
Allein von 1992 bis 2002 wuchs nach einer Untersuchung des Computer Emergency Response Teams (Cert) an der Carnegie Mellon University Pittsburgh (USA) die Zahl der gemeldeten Computer-Angriffe um das 63-fache von gut 1300 auf 82.000. Wenn sich der Trend für 2003 fortsetzt, wird die Zahl noch einmal auf den doppelten Wert steigen.
Experten wie Fischer zeigen sich aber vor allem besorgt über die technischen Fortschritte, die manche dieser elektronischen Eindringlinge gemacht haben. Die Versender ungefragter E-Mail-Massenwerbung, im Jargon Spam genannt, bedienen sich mittlerweile offenbar Hacker-Methoden, um ihre Botschaften von den Rechnern nichts ahnender Internet-Nutzer aus zu verschicken.
So genannte trojanische Pferde nisten sich völlig unbemerkt auf Rechnern ein und machen Lieschen Müllers Aldi-PC zu einer elektronischen Müllschleuder.
Manche der Programme seien schon so raffiniert, sagt Fischer, dass sie Informationen sogar aus Unternehmensnetzen schleusen können, obwohl die Firmen ihr internes Netz durch einen elektronischen Schutzwall gesichert haben. Sind die "Krieger" erst einmal innerhalb dieser Mauern, können Hacker im Extremfall Computer fernsteuern, als säßen sie selbst vor dem Gerät.
"Randvoll mit Fehlern"
Zwei Gründe sieht Fischer vor allem, die es Hackern nach wie vor einfach machen: die "extrem schlechte Software-Qualität" und menschliche Dummheit. Die Programme, die heute auf Computern laufen, hätten zwar einen hohen Grad an Komplexität erreicht, steckten aber "randvoll mit Fehlern".
Woran es bei bestimmten Programmiertechniken hapert, sei seit Jahren, wenn nicht Jahrzehnten bekannt. Die immer wieder reproduzierten Fehler würden aber aus Zeit- und Kostendruck oder Schlamperei nicht geändert. So werden altbekannte Sicherheitslöcher von einer Software-Generation an die nächste vererbt.
Einen Gutteil der Probleme verursacht auch die Microsoft-Monokultur im Bereich der Personal-Computer. Wie in der Biologie vermehren sich die Schädlinge dort am besten, wo sie sich ohne Mühe weiterverbreiten können. Schon lange fordern Kritiker von Softwareherstellern eine Produkthaftung, wie sie in anderen Industriezweigen längst Standard ist.
Doch die Software-Industrie weigert sich bisher mit Erfolg. Microsoft immerhin hat vor wenigen Tagen eine Initiative gestartet, die Hacker-Jäger anspornen soll: Wer die Ermittlung eines Virenschöpfers ermöglicht, erhält eine Belohnung von bis zu 250.000 Dollar.
Wie hoch der Schaden ist, den Viren und Würmer inklusive aller Folgekosten wie etwa Verlust sensibler Unternehmensdaten an die Konkurrenz jährlich tatsächlich verursachen, lässt sich nur sehr schwer beziffern. Allein die Kosten für die Vorbeugung gegen Attacken über das Internet belaufen sich nach Schätzungen von Experten europaweit auf etwa 250 Millionen Euro pro Jahr.
Diese Zahl nimmt sich aber noch bescheiden aus, setzt man die 600 Millionen US-Dollar daneben, die nach Berechnungen der Virenschutzfirma McAfee allein die Würmer weltweit an Schaden verursacht haben sollen, die im September dieses Jahres kursierten.
Das Hauptproblem in Sicherheitsfragen aber sitzt nach wie vor in den Rechnern. Privatanwender ignorieren weiterhin in großer Zahl die Aufrufe, wenigstens die Grundregeln der Sicherheit im Internet zu befolgen. In Unternehmen sieht es nicht viel besser aus. Kleinere Betriebe haben meist keine EDV-Abteilung und sparen oft an der Sicherheit.
Aber auch in Großfirmen gibt es oft Monate nach Warnungen vor neuen Viren oftmals noch haarsträubende Sicherheitslücken. Dabei ist bekannt, dass die wenigsten Schädlinge auf neuen Wegen zum Ziel zu gelangen versuchen. Und niemand ist gefeit vor Mitarbeitern, die mit Gottvertrauen auf jeden Mail-Anhang klicken, der in ihrem elektronischen Briefkasten landet - ohne auch nur zu ahnen, was sie damit anrichten können.