Der 4.Mai 2000 hatte für Büroangestellte auf der ganzen Welt mit einer freundlichen Überraschung begonnen. "Kindly check the attached LOVELETTER coming from me" - Millionen klickten auf den Anhang von E-Mails mit diesem Text, die dem Anschein nach von Bekannten oder Kollegen abgeschickt worden waren.
In Flammen stehen Computerbildschirme nur selten - doch manchmal reicht es, wenn das System mit Schadsoftware infiziert ist.
(Foto: Foto: iStock)Doch die Freude währte nur kurz. Erst wurde der Computer immer langsamer, dann ging plötzlich nichts mehr. Später zeigte sich, dass zahlreiche wichtige Dateien von den Rechnern gelöscht worden waren.
Computerviren, die sich per E-Mail verbreiteten, hatte es zwar schon zuvor gegeben. Aber noch nie war es einem Schädling aus der Digitalwelt gelungen, derart schnell von PC zu PC zu hüpfen wie dem "Lovebug".
Das "I love you"-Virus kombinierte erstmals social engineering - den angeblichen Liebesbrief - mit raffinierter Technik, die sich im E-Mail- Adressbuch neue Opfer suchte. Und keiner hatte bisher so viel Schaden angerichtet: Geschätzte 5,5 Milliarden Dollar kostete es, die 50 Millionen befallenen Computer wieder instand zu setzen.
Werkzeug Viele Computerbenutzer halten Viren wie diese - Fachleute nennen sie lieber Würmer, weil sie sich selbständig verbreiten können - für die größte Gefahr. Wenn ihre Maschine langsamer läuft, vermuten sie gleich ein Virus als Ursache.
Aber das ist falsch, denn wenn ein Rechner schlecht funktioniert, kann das viele Ursachen haben - ein Virus gehört heute in aller Regel nicht dazu. Moderne Digitalschädlinge werden nicht wie "I love you" von Heranwachsenden programmiert. Sie sind Werkzeuge organisierter Verbrecher, und Spezialisten trimmen ihre Viren auf zwei Eigenschaften: effektiv zu arbeiten - und geräuschlos.
Etwa 20 Prozent aller Computer weltweit, schätzt der renommierte finnische Sicherheitsdienstleister F-Secure, sind inzwischen mit Schadprogrammen verseucht. Mit ihrer Hilfe lassen sich befallene Rechner fernsteuern, ohne dass ihre Besitzer etwas davon mitbekommen.
Viele dieser ferngelenkten Computer, Bots genannt, stehen gar in Diensten mehrerer Dunkelmänner: "Ein PC kann zu mehreren Bot-Netzen gehören", sagt Robert Rothe von der Sicherheitsfirma Eleven, "trotzdem kann man darauf noch Spiele spielen, ohne was zu merken."
Eleven ist eine jener Firmen, die normale Computernutzer zwar kaum kennen, deren Dienste sie aber mit hoher Wahrscheinlichkeit nutzen. Für mehr als 40000 Unternehmen weltweit, darunter bekannte Namen wie Siemens, Porsche und T-Online, scannt sie den Mailverkehr, etwa eine Milliarde E-Mails pro Tag.
Rothe schätzt die Zahl infizierter Computer auch in Deutschland hoch ein: "Wir reden hier nicht von einer Randerscheinung", sagt er, "es geht auf jeden Fall um eine siebenstellige Zahl."
Wie die Kriminellen heute arbeiten
Mittlerweile hat das Problem auch die Politik auf den Plan gerufen. Im Rahmen der sogenannten Botnetz-Initiative sollen Nutzer künftig von ihrem Internetanbieter gewarnt werden, wenn ihr Rechner verdächtige Aktivitäten zeigt.
Das können zum Beispiel Massenmails sein, Spam, den die Betreiber der Botnetze von gekaperten Rechnern aus verschicken. Oder aber der ferngelenkte Rechner wird eingegliedert in eine Armee, die den Internetauftritt einer Firma im Auftrag der Konkurrenz "aus dem Internet löscht", wie Robert Rothe sagt: "Das ist eine massive Waffe, wenn 50.000 Computer gleichzeitig angreifen."
In jüngster Zeit habe es wieder vermehrt Attacken dieser Art gegeben, bestätigt auch Eugene Kaspersky, Chef der gleichnamigen russischen Firma für Internetsicherheit. Die Sicherheitsunternehmen könnten zwar immer nur über einzelne Ausschnitte aus dem Gesamtbild verlässliche Angaben machen, sagt Kaspersky, aber der Schaden, der in der illegalen Branche angerichtet wird, entspreche mindestens den Umsätzen großer Unternehmen.
Es kann jeden erwischen
Die "Geschäftsmodelle" sind sehr unterschiedlich. Neben den bestellten Attacken auf Konkurrenten beobachtet Kaspersky vor allem einen Anstieg bei Bank-Betrügereien. Angegriffen würden sowohl die Kunden als auch die Institute. Einer besonders raffinierten russischen Bande gelang es, in einen Geldwechselautomaten eine Software einzuschleusen, mit der sie einen Netzwerkzugriff auf die Maschine bekam.
Die Betrüger änderten den Dollar-Rubel-Wechselkurs zu ihren Gunsten und zogen sich so viele Dollar, wie der Automat hergab.
Die Bankkunden werden in der Regel über verseuchte Webseiten attackiert. Erwischen kann es heute jeden, der nur ein wenig abseits der großen Informations- und Shopping-Angebote im Internet unterwegs ist. "Eine von 300 Webseiten ist verseucht", sagt Kaspersky.
Sind auf dem PC nicht die allerjüngsten Updates für das Betriebssystem, den Browser oder Hilfsprogramme wie etwa Videoabspielsoftware aufgespielt, kann es schnell gefährlich werden. Völlig unbemerkt installiert sich auf dem Computer eine Software, die sich verhält wie die Griechen im Trojanischen Pferd Homers: Sie öffnen eine Pforte, durch die ihre Kameraden in die als uneinnehmbar geltende Stadt eindringen.
Hohe Dunkelziffer
In der virtuellen Welt ist es die Software, die Sicherheitsschleusen im attackierten Rechner öffnet. So kann schließlich von außen weitere Software nachgeladen werden, die den Rechner übernimmt.
Oder die Kriminellen installieren sogenannte Keylogger. Diese Software protokolliert sämtliche Tastenanschläge und schickt die Dateien an die Angreifer. Diese können sich daraus nach Belieben herausfiltern, was zu verwerten ist: Passwörter und Kreditkartennummern zum Beispiel. "Wir beobachten mit großer Sorge, dass im Internet immer mehr persönliche Daten abgegriffen werden", ließ sich Jörg Zielcke, Chef des Bundeskriminalamtes, jüngst zitieren.
Allein in Deutschland registrierte das BKA im vergangenen Jahr knapp 7000 Fälle, bei denen solche Daten erbeutet wurden, besonders stark stieg die Zahl der Angriffe auf Bankkonten, 2900 waren es im Jahr 2009. Dies aber sind nur die bekannt gewordenen Fälle. Die Dunkelziffer liegt weitaus höher.
Die Sicherheitsfirmen hecheln hinterher
Die Sicherheitsfirmen hecheln angesichts der Professionalität des Gewerbes mit ihrer Software hinterher. Weil Anti-Viren-Software zuverlässig nur finden kann, was sie schon kennt, verändern die Kriminellen ihre Malware - zu deutsch etwa: bösartige Programme - in so schneller Folge, dass die herkömmlichen Suchmechanismen häufig zu spät kommen.
Zehntausende neue Malware-Programme fischen Antiviren-Firmen heute pro Tag aus dem Netz. In ihren Rechenzentren wird der Löwenanteil davon automatisch klassifiziert und schließlich gehen die Informationen darüber an die Nutzer hinaus - bis dahin kann der Rechner sich aber schon infiziert haben.
Programme, die Malware auf dem Rechner der Nutzer am Verhalten erkennen sollen, gibt es zwar auch, aber sie schlagen zu oft falschen Alarm.
"Damit könnte man Deutschland lahmlegen"
Viele Firmen lassen daher ihren Internetverkehr bereits über die Rechenzentren von Dienstleistern laufen, wobei die Datenströme der Kunden auf mögliche Bedrohungen durchleuchtet werden.
Findigen Hackern gelingt es trotzdem immer wieder, unbekannte Schlupflöcher zu entdecken. So wie die Erfinder des raffinierten Wurms "Conficker", den Sicherheitsexperten auf Millionen Computern weltweit vermuten. Schaden wurde damit aber bisher seltsamerweise nicht angerichtet.
Überrascht vom Medienecho hätten die Urheber "wohl Angst gekriegt", vermutet Eugene Kaspersky. Oder aber sie warten geduldig auf ihren großen Tag. "Damit", sagt Kaspersky, "könnte man Deutschland lahmlegen."