Als Sascha Hanke, Datenschutzbeauftragter bei Microsoft, am Mittag des 5. Mai den Hörer abhob, ahnte er nicht, was ihn erwartete. Es meldeten sich zwei junge Leute; sie wüssten, sagten sie, wer den Sasser-Wurm geschrieben habe.
Den Mann jagten FBI und CIA seit einigen Tagen vergeblich. Für Hanke begann damit ein Krimi.
Um die Geschichte jedoch verstehen zu können, muss man am 13.April beginnen. "Das war der Patch Day", sagt Tobias Mertens. An diesem Tag gibt Microsoft jeden Monat gebündelt Sicherheitshinweise zu seinen Programmen heraus.
Erst einmal warten
Für Mertens, Microsofts Krisenmanager, und seine Mitarbeiter Thomas Baumgärtner und Thomas Mörgenthaler begann die Sasser-Epidemie schon an jenem Dienstag - und zwar mit Warten.
Denn erst gegen 19 Uhr deutscher Zeit veröffentlicht die Microsoft-Zentrale in Seattle an der US-Westküste die so genannten Patches im Netz. Diese virtuellen Pflaster sollen den Computer vor neuen Würmern und Viren schützen.
Mit jeder Veröffentlichung "läuft der Wettlauf mit der internationalen Hackerszene", sagt Thomas Baumgärtner. "Ab dann tickt die Uhr." Denn erst durch die Sicherheitspatches erfahren Computerfreaks auf der ganzen Welt, an welcher Stelle die Windows-Betriebssysteme eine Sicherheitslücke besitzen.
Hektische Zeit
Erst dann können sie anfangen, einen Wurm zu programmieren. Durch das Bereitstellen der Medizin macht Microsoft die Welt sozusagen auf die Krankheit aufmerksam.
Für das Krisenteam begann nach dem Patch Day eine hektische Zeit. "Wir können uns ja schlecht zurücklehnen und sagen, jetzt hat Microsoft eine weiße Weste", sagt Mertens.
Und so koordinierte er, dass die deutschen Kunden informiert wurden, durch warnende E-mails, Hinweise auf Internetseiten oder bei größeren Kunden auch durch persönliche Anrufe.
Trotzdem bleiben erschreckend viele Rechner ungeschützt, auch bei Banken und anderen Großunternehmen. Mertens kennt das Problem: "Es ist uns noch nicht gelungen, bei allen Kunden die ausreichende Aufmerksamkeit für dieses Thema zu erlangen."
Diesen impliziten Vorwurf lassen viele Kunden aber nicht auf sich sitzen: Bisweilen, klagen sie, haben die Patches ihrerseits Fehler. Manchmal passen sie nicht in die virtuelle Architektur einer Firma. Dann funktioniert womöglich ein wichtiges Programm nicht mehr - es kann selbst Microsofts eigenen "Internet Explorer" treffen.
Zweieinhalb Wochen nach dem Patch Day begann die Uhr lauter zu ticken. Auf einer Hacker-Webseite fand sich ein so genannter Exploit. "Das muss man sich vorstellen wie eine Analyse der Sicherheitslücke mit der Bauanleitung für einen Wurm", erklärt Thomas Baumgärtner.
"Das Veröffentlichen dieser Anleitung ist nicht strafbar." Nun war der Wurm nur noch ein paar Klicks entfernt. "Auch Programmierer, die nicht genial sind, können dann mit krimineller Energie einen solchen Wurm bauen", sagt Baumgärtner.
Drei Fehler in 1000 Zeilen
Am 1.Mai war es soweit. Der Wurm Sasser war entdeckt worden; es galt "Alarmstufe neun", die höchste der internen Kategorien. Innerhalb von zehn Minuten trommelte der Krisenmanager sein Team zusammen. Thomas Baumgärtner steckte gerade im Umzug.
Gemeinsam informierten sie dann alle anderen Stellen, übersetzten Warnmails für deutsche Kunden und stellten ein Werkzeug ins Netz, mit dem man den Wurm vom Rechner entfernen konnte. Jede Minute zählt, die genauen Abläufe sind straff organisiert. Um diese zu trainieren, hatte Microsoft im Januar sogar eine weltweite Trockenübung mit einem erfundenen Wurm gemacht.
"Andere Betriebssysteme haben auch Lücken"
Doch trotz aller Vorkehrungen - sie lösen nicht das generelle Problem. "Die Sicherheitslücken sind natürlich sehr unerfreulich", sagt Tobias Mertens. "Aber andere Betriebssysteme wie zum Beispiel Linux haben auch solche Lücken."
Darin stimmt der Karlsruher EDV-Sicherheitsexperte Christoph Fischer sogar mit dem Microsoft-Mann überein: "Software wird niemals fehlerfrei sein. Die Frage ist aber: Wie geht das Unternehmen damit um? Erst seit kurzem gibt es bei Microsoft einen Wandel."
Die Firma informiere jetzt offener, wahrscheinlich auch, weil Würmer und Viren das Ansehen des Konzerns schädigen. Das eigentliche Problem sei der enorme Produktionsdruck, so Fischer. "Um Profit zu machen und aus Angst, der Konkurrenz zu unterliegen, werden alle zwei Jahre neue Betriebssysteme auf den Markt geworfen, die mit heißen Nadeln gestrickt wurden. Da gibt es dann schnell Fehler."
Experten schätzen, dass generell auf 1000 Programmierzeilen drei Fehler kommen - unabhängig von der Firma. Da zum Beispiel Windows XP aus mehr als 30 Millionen solcher Zeilen besteht, bietet sich Hackern eine enorme Angriffsfläche.
Neue Strategie
Und sie greifen Microsoft viel häufiger als zum Beispiel Apple an, weil sie möglichst viel Schaden anrichten und Aufmerksamkeit erregen wollen. Manche zeigen auf Webseiten offen ihren Hass auf den Marktführer.
Microsoft hat darauf mit einer neuen Strategie reagiert. Seit November 2003 setzt es Belohnungen für Tipps aus, die zur Ergreifung eines Wurm-Autors führen. Bei Sasser scheint dieses System zum ersten Mal gegriffen zu haben - genau in jenem Moment, als bei Sascha Hanke das Telefon klingelte.
"Oft erzählen die Leute bei solchen Anrufen Unsinn", sagt er. "Dass Sasser zum Beispiel in der russischen Untergrundszene oder von Marsmenschen programmiert worden sei. Aber bei den beiden jungen Leuten hatte ich so ein Bauchgefühl, dass der Tipp etwas sein könnte."
Hanke bat die Anrufer, ihm einen Beweis zu liefern, zum Beispiel den Quellcode des Wurms. Am nächsten Tag meldeten sich die beiden erneut mit der bis dahin unveröffentlichten Programmierung des Wurms - ein sicheres Zeichen, dass sie Zugang zum Täter haben mussten.
Noch am gleichen Abend setzte sich Hanke ins Flugzeug nach Bremen, um die Tippgeber abends heimlich in der Hotelbar des Hilton zu treffen. "Wir haben bis ein Uhr nachts geredet und den Namen des Sasser-Urhebers erfahren." Noch in der Nacht schrieb Hanke die Strafanzeige; am nächsten Morgen wurde das Elternhaus des Schülers durchsucht.
Müllhaufen Internet
In der Hackerszene hat die Festnahme des vermutlichen Sasser-Autors Empörung ausgelöst: In zahlreichen Foren zollen sie dem Tüftler Anerkennung. Hanke hat dafür kein Verständnis. "Wie kann man stolz auf etwas sein, das weltweiten Schaden anrichtet?"
Die Verhaftung soll in Zukunft weitere Täter abschrecken. Die Anrufer erhalten eine Belohnung von 250.000 US-Dollar, wenn der Täter verurteilt ist. Allerdings sind inzwischen Gerüchte aufgekommen, dass die Staatsanwaltschaft auch gegen die Tippgeber ermittelt, weil sie in das Umfeld des Programmierers verstrickt gewesen sein könnten.
Mit der Festnahme ist der Krimi jedoch noch nicht vorbei. "Manche Leute versuchen, dem Wurm zu entgehen, indem sie einfach lange genug ihren Rechner ausgeschaltet lassen", sagt Thomas Baumgärtner. Ein Wurm jedoch, einmal freigesetzt, lässt sich kaum ausrotten, weil es immer irgendwo auf der Welt noch einen "ungeimpften" Rechner gibt, der alle anderen infizieren kann.
Das Internet wird mit der Zeit also zu einem Müllhaufen, in dem es von Viren und Würmern nur so wimmelt.
Für Microsoft-Nutzer bringt das einen lästigen Termin mit sich: den zweiten Dienstag im Monat, den Patch Day. Die Alternative, den Computer diese Arbeit von alleine erledigen zu lassen, komme in Deutschland leider nicht gut an, erklärt Tobias Mertens.
Er weiß auch warum, er kennt das Image seiner Firma: "Manche Leute haben Angst, dass Microsoft die Kontrolle über ihren Computer erlangt oder sie ausspioniert." Die Leute lesen eben zu viele Krimis.