Hunderttausende, sagen die einen. Millionen, sagen die anderen. Doch egal wie viele PC weltweit der Computerwurm Conficker bereits befallen hat, einen ernsten Schaden hat er bislang nicht angerichtet. Bis dato haben die Programmierer das Potential des seit einigen Monaten grassierenden Digitalschädlings nicht böswillig genutzt.
Das könnte sich am 1.April ändern. Sicherheitsexperten haben eine neue, gefährliche Variante von Conficker analysiert und dabei entdeckt, dass sie an diesem Tag aktiv wird. Aktiv, das heißt, dass die Software sich eigenständig neue Instruktionen irgendwo im Internet besorgen wird.
Lücke in Windows
Schon seit November 2008 hält Conficker Sicherheits-Firmen und Systemverwalter auf Trab. Zunächst nutzte der Wurm eine Lücke in Windows-Betriebssystemen, um viele an das Internet angeschlossene Rechner zu infizieren.
Um das zu unterbinden, gab es zwar schon seit dem Oktober einen sogenannten Patch, eine Reparatur-Software. Nur wurde diese in vielen Firmen nicht eingespielt, weil Systemverwalter vor solchen Eingriffen zuerst testen müssen, ob ihre firmenrelevanten Programme problemlos weiter funktionieren.
Das kam dem Computerwurm zugute. Mittlerweile verbreitet er sich auch über interne Netze und über Datenträger wie USB-Sticks oder externe Festplatten. Die Bundeswehr hatte ebenso damit zu kämpfen wie die britischen Streitkräfte. Auf Computern in Krankenhäusern und in Behörden wurde der Wurm bereits gefunden.
Was die Fachwelt an Conficker vor allem beunruhigt: Niemand weiß, was seine Programmierer oder deren Hintermänner damit vorhaben. "Es ist ein Rätsel", sagt der langgediente Virenexperte Mikko Hyppönen von der finnischen Sicherheitsfirma F-Secure, "damit haben die Urheber vollen Zugriff auf Millionen Rechner weltweit, und sie machen nichts damit." Das Rätsel lösen konnte bis jetzt auch nicht die 250000-Dollar-Belohnung, die der Software-Konzern Microsoft für Hinweise auf den Täter ausgesetzt hat.
Im ständigen Hase-und-Igel-Wettlauf liegen die Programmierer des Wurms vorne. Jeder der mit der neuen Conficker- Variante befallenen Rechner wird am 1.April so viele Internet-Adressen nach neuen Instruktionen absuchen, dass es nicht mehr möglich ist, all die fraglichen Rechner zu blockieren. Bei den ersten Conficker-Varianten hatte das noch funktioniert.
Infizierte Rechner in China, Russland und Brasilien
"Am besten wäre es, infizierte Rechner zu säubern, bevor sie von der Bande neue Software bekommen", sagt Hyppönen. Die meisten der infizierten Rechner aber stehen in China, Russland und Brasilien, wo viel raubkopierte Software im Umlauf ist und Sicherheit keine große Rolle spielt.
Was passieren könnte, wenn ein weltweiter, von dem Wurm befallener Rechnerverbund losschlägt, deutete Hartmut Isselhorst vom Bundesamt für Sicherheit in der Informationstechnik auf der Cebit an. Koordinierte Attacken einer derartigen Masse an Computern könne die gesamte Internet-Infrastruktur eines kleineren Staates lahmlegen, sagt er.
Seit Jahren beobachte seine Behörde, wie das Internet immer gefährlicher für Surfer wird, die sich dort sorglos wie eh und je bewegen: "Wir sind in einem ständigen Kampf", sagt er. Seine Behörde rät dazu, den Virenschutz auf dem neuesten Stand zu halten, die Windows-Firewall einzuschalten und Programme laufend zu aktualisieren.