Conficker/Downadup Fachleute befürchten 50 Millionen verseuchte Rechner

Von

2. Teil: Woher kommt der Wurm - und was ist sein Zweck?


Denn zumindest in Richtung Osten vermuten IT-Experten die Urheber. Nicht nur weil die Programmierung des Wurms die Handschrift einer notorischen, auf Erpressungssoftware spezialisierten kriminellen Bande aus Russland und der Ukraine trüge; nicht nur weil der Wurm versuche, Befehle und Updates von russischen Servern zu beziehen; auch weil die erste Version eine Sicherung enthielt, die dafür sorgte, dass ein Rechner nicht befallen wurde, wenn er auf einen ukrainischen Zeichensatz konfiguriert war. So was ist schon fast ein Absender.

Die Lösung war da, bevor das Problem entstand

Doch die Schuldigen im Fall Conficker entdecken Kommentatoren nicht nur in obskuren Malware-Schmieden im ehemaligen Ostblock, sondern auch in Redmond, USA. Da sitzt Microsoft, Hersteller aller Windows-Betriebssysteme und Quasi-Monopolist auch in Bezug auf die Verseuchung von Rechnern mit Würmern und Viren.

Auch im aktuellen Fall sieht sich Microsoft wieder mit Vorwürfen konfrontiert, eine Mitschuld am Erfolg von Conficker zu tragen. Manche davon muss sich das Unternehmen allerdings wirklich nicht zu Herzen nehmen: Die Sicherheitslücke in der Windows-Server-Software, die Conficker als primäres Einfalltor in Rechnernetze nutzt, hatte Microsoft bereits Mitte Oktober per Update geschlossen - und damit fünf Wochen, bevor Conficker seine Attacke begann.

Die erste Ursache für die ersten Verseuchungen lag also - man muss das so klar sagen - im ungesunden Büroschlaf manches IT-Verantwortlichen. Wer heute über ein Unternehmensnetzwerk zu wachen hat und sich fünf Wochen Zeit lässt, bevor er als gefährlich gekennzeichnete Sicherheitslücken schließt, muss sich mit Recht ein paar Fragen gefallen lassen. Dass noch immer bis zu 30 Prozent aller Rechner die nötigen Updates nicht empfangen haben sollen, ist mehr als fahrlässig.

Trotzdem: Ein erheblicher Imageschaden

Seit der zweiten Welle aber verbreitet sich Conficker auch horizontal unter Ausnutzung einer systemimmanenten Schwäche aller Windows-Systeme: Es geht um die Autorun-Funktionen, die Windows als Voreinstellung anbietet, um Anwendungen von externen Laufwerken zu starten.

Wer etwa einen verseuchten USB-Stick an einen Rechner anschließt, braucht sonst nichts mehr zu unternehmen: Der Wurm wandert selbsttätig auf den nächsten PC. Jetzt fällt zum ersten Mal seit dem Rootkit-Skandal der Firma Sony massiv auf, dass Microsoft schlicht verpennt hat, diese so herrlich bequeme wie fatal gefährliche Funktion abschaltbar zu gestalten. Im Jahr 2005 hatte Sony CDs mit einem Rootkit ausgeliefert, der sich mit Hilfe der Autorun-Funktion heimlich auf Rechnern einnistete. Schon damals war auch die Autorun-Funktion massiv in die Kritik geraten, die diese Verseuchung erst ermöglichte. Geändert hat Microsoft seitdem nichts daran. Wer das Autorun unterbinden will, muss händisch in die System-Registry eingreifen - und das ist wahrlich kein Job für Laien.

Am Montag gab das amerikanische Computer Emergency Response Team (CERT) auch noch eine Warnung vor der Anleitung heraus, die Microsoft im Mai 2008 herausgegeben hatte, um zu erklären, wie man Autorun desaktiviert. Das CERT dokumentierte, dass das Problem so wie beschrieben nicht zu lösen war. Microsoft reagierte kurz darauf pikiert mit dem Hinweis, dass es doch längst eine Ergänzung zur Erklärung gäbe, die das Problem löse. Eine Peinlichkeit für beide Seiten, weil es klarmacht, dass sich selbst Experten da nur noch schwer zurechtfinden. Kritiker fragen da zurecht, warum Microsoft Betriebssysteme an Laien verkauft, bei denen potentiell riskante Einstellungen nur von Experten oder - mit entsprechenden Risiken - mit Hilfe komplizierter Anleitungen geändert werden können.

Denn nach wie vor ist die Entfernung des Wurms mit Hilfe eines der Removal-Tools verschiedener Anbieter (siehe Linkkasten) einfacher zu bewerkstelligen als die präventive Absicherung der Windows-Betriebssysteme. In Foren und in den Leserbrief-Postfächern der Medien hat der Wurm Conficker darum noch eine andere Epidemie ausgelöst: Eine Flut hämischer Postings mit dem Grundmotto "Mit Mac OS X oder Linux wäre das nicht passiert".

Egal wie differenziert man das Thema auch betrachtet: Das stimmt.

© SPIEGEL ONLINE 2009
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.