SPIEGEL ONLINE

SPIEGEL ONLINE

23. Januar 2009, 16:31 Uhr

Conficker/Downadup

Fachleute befürchten 50 Millionen verseuchte Rechner

Von

Bisher hat der Conficker-Wurm nicht mehr getan, als sich zu vermehren. Das aber kann er so gut, dass die Warnungen davor immer schriller werden: Eine Epidemie sei das, der größte PC-Virenbefall seit Jahren. Weil er auch einer der unnötigsten ist, gerät einmal mehr Microsoft in die Kritik.

Anfang der Woche erntete das finnische IT-Sicherheitsunternehmen F-Secure, Entwickler von Anti-Viren-Software, weltweit Schlagzeilen mit der Nachricht, der bereits seit November 2008 bekannte Conficker-Wurm verbreite sich immer schneller, habe mittlerweile fast zehn Millionen Rechner befallen. Am Donnerstag legte der F-Secure-Konkurrent Panda Security, auch bekannt als PandaLabs, noch ein Scheit auf und veröffentlichte eine Statistik, wonach rund sechs Prozent aller Windows-PC von dem Wurm befallen seien.

Was ist hier los? Ob ein Rechner befallen ist oder nicht, bekommt der normale Nutzer im Fall Conficker gar nicht mit, bis der Wurm irgendwann aktiviert wird
DPA

Was ist hier los? Ob ein Rechner befallen ist oder nicht, bekommt der normale Nutzer im Fall Conficker gar nicht mit, bis der Wurm irgendwann aktiviert wird

Das wäre eine Menge Holz: Seit 1999 werden alljährlich mehr als hundert Millionen neue PC verkauft, über den Gesamtbestand gibt es wild divergierende Schätzungen. Die sind sich zumindest darin einig, dass man hier über eine Zahl zwischen einer und 1,5 Milliarden Maschinen spricht, von denen aktuell rund 89 Prozent unter Windows laufen. Wenn Panda recht hätte, wären demnach aktuell nicht zehn, sondern mehr als 50 Millionen PC verseucht.

Die sechs Prozent, kommentierten umgehend IT-Sicherheitsexperten, könnten trotzdem noch als zurückhaltende Schätzung durchgehen, denn die Statistik beruhe nur auf einem Online-Scan, den Panda im Web anbietet: Es seien darum nur die Besorgten und Verantwortungsvollen, die ihren Rechner vorsorglich untersuchen ließen, die hier erfasst worden - eine Minderheit der PC-Nutzer.

Da aber verschiedenen Messungen zufolge noch immer rund 30 Prozent aller Windows-Rechner für den Wurm anfällig seien, könnte die reale Verseuchungsquote auch entsprechend hoch liegen - zwischen 20 und 30 Prozent. Das ergäbe dann summa summarum bemerkenswerte 450 Millionen verseuchte PC. Das ist schwer zu glauben und wohl kaum wahrscheinlich.

Das derzeitige Zahlen-Stapeln grenzt also schon an Hysterie - insbesondere, da der Wurm zumindest in der ersten Phase seiner Verbreitung seine eigentlichen Aufgaben möglicherweise gar nicht erfüllte: Manche IT-Experten halten zumindest die ersten zwei Versionen des Wurms für Rohrkrepierer. Conficker sorgt trotzdem für eine Menge Nervosität, weil er über Eigenschaften verfügt, die ihn zu einem potentiell erheblichen Sicherheitsrisiko machen:

Wie viele Netzwerke Conficker bisher unterwandert hat, ist nicht bekannt: Mit so etwas gehen weder Firmen noch Behörden gern hausieren. Zu den bekannten Fällen gehört das Netzwerk der Gesundheitsbehörden in Neuseeland, die zwei Wochen brauchten, den Schädling wieder loszuwerden. Die Hose herunter ließen dann am Dienstag auch die Gesundheitsbehörden der britischen Stadt Sheffield, die den PC-Krankheitserreger auf rund zehn Prozent ihrer Rechner gefunden hatten.

Der spektakulärste Fall aber dürfte der Befall der Computersysteme der britischen Marine und des britischen Verteidigungsministeriums sein: Zeitweilig sollen über 70 Prozent aller Rechner auf ihren Schiffen und U-Booten betroffen gewesen sein. Verseucht wurden angeblich auch Teile von anderen Netzwerken des Verteidigungsministeriums.

Das will offiziell nicht bestätigen, dass es um Conficker geht, gibt aber genügend Details bekannt, um kaum einen anderen Schluss zuzulassen. Auch hier arbeiten die IT-Sicherheitsexperten bereits seit mehr als zwei Wochen daran, die Systeme wieder sauber zu bekommen. Schwierig ist das, weil es offenbar wiederholt zu Neuverseuchungen bereits gesäuberter Rechner kam. Das Verteidigungsministerium in London veröffentlichte einige beruhigende Statements, die Gerüchte darüber, dass auch die Luftwaffe betroffen sei, aber nicht eindämmen konnten.

Das Problem wiegt so schwer, dass sich das Ministerium bemüßigt fühlte, offiziell bekanntzugeben, dass die Rechner zwar versenkt seien, nicht jedoch die Marine ihrer Majestät: Die Einsatzfähigkeit sei voll gewährleistet - auch, wenn dieser vermaledeite Wurm gerade irgendwelche Daten nach Russland schicke.

Woher kommt der Wurm - und was ist sein Zweck?

Denn zumindest in Richtung Osten vermuten IT-Experten die Urheber. Nicht nur weil die Programmierung des Wurms die Handschrift einer notorischen, auf Erpressungssoftware spezialisierten kriminellen Bande aus Russland und der Ukraine trüge; nicht nur weil der Wurm versuche, Befehle und Updates von russischen Servern zu beziehen; auch weil die erste Version eine Sicherung enthielt, die dafür sorgte, dass ein Rechner nicht befallen wurde, wenn er auf einen ukrainischen Zeichensatz konfiguriert war. So was ist schon fast ein Absender.

Die Lösung war da, bevor das Problem entstand

Doch die Schuldigen im Fall Conficker entdecken Kommentatoren nicht nur in obskuren Malware-Schmieden im ehemaligen Ostblock, sondern auch in Redmond, USA. Da sitzt Microsoft, Hersteller aller Windows-Betriebssysteme und Quasi-Monopolist auch in Bezug auf die Verseuchung von Rechnern mit Würmern und Viren.

Auch im aktuellen Fall sieht sich Microsoft wieder mit Vorwürfen konfrontiert, eine Mitschuld am Erfolg von Conficker zu tragen. Manche davon muss sich das Unternehmen allerdings wirklich nicht zu Herzen nehmen: Die Sicherheitslücke in der Windows-Server-Software, die Conficker als primäres Einfalltor in Rechnernetze nutzt, hatte Microsoft bereits Mitte Oktober per Update geschlossen - und damit fünf Wochen, bevor Conficker seine Attacke begann.

Die erste Ursache für die ersten Verseuchungen lag also - man muss das so klar sagen - im ungesunden Büroschlaf manches IT-Verantwortlichen. Wer heute über ein Unternehmensnetzwerk zu wachen hat und sich fünf Wochen Zeit lässt, bevor er als gefährlich gekennzeichnete Sicherheitslücken schließt, muss sich mit Recht ein paar Fragen gefallen lassen. Dass noch immer bis zu 30 Prozent aller Rechner die nötigen Updates nicht empfangen haben sollen, ist mehr als fahrlässig.

Trotzdem: Ein erheblicher Imageschaden

Seit der zweiten Welle aber verbreitet sich Conficker auch horizontal unter Ausnutzung einer systemimmanenten Schwäche aller Windows-Systeme: Es geht um die Autorun-Funktionen, die Windows als Voreinstellung anbietet, um Anwendungen von externen Laufwerken zu starten.

Wer etwa einen verseuchten USB-Stick an einen Rechner anschließt, braucht sonst nichts mehr zu unternehmen: Der Wurm wandert selbsttätig auf den nächsten PC. Jetzt fällt zum ersten Mal seit dem Rootkit-Skandal der Firma Sony massiv auf, dass Microsoft schlicht verpennt hat, diese so herrlich bequeme wie fatal gefährliche Funktion abschaltbar zu gestalten. Im Jahr 2005 hatte Sony CDs mit einem Rootkit ausgeliefert, der sich mit Hilfe der Autorun-Funktion heimlich auf Rechnern einnistete. Schon damals war auch die Autorun-Funktion massiv in die Kritik geraten, die diese Verseuchung erst ermöglichte. Geändert hat Microsoft seitdem nichts daran. Wer das Autorun unterbinden will, muss händisch in die System-Registry eingreifen - und das ist wahrlich kein Job für Laien.

Am Montag gab das amerikanische Computer Emergency Response Team (CERT) auch noch eine Warnung vor der Anleitung heraus, die Microsoft im Mai 2008 herausgegeben hatte, um zu erklären, wie man Autorun desaktiviert. Das CERT dokumentierte, dass das Problem so wie beschrieben nicht zu lösen war. Microsoft reagierte kurz darauf pikiert mit dem Hinweis, dass es doch längst eine Ergänzung zur Erklärung gäbe, die das Problem löse. Eine Peinlichkeit für beide Seiten, weil es klarmacht, dass sich selbst Experten da nur noch schwer zurechtfinden. Kritiker fragen da zurecht, warum Microsoft Betriebssysteme an Laien verkauft, bei denen potentiell riskante Einstellungen nur von Experten oder - mit entsprechenden Risiken - mit Hilfe komplizierter Anleitungen geändert werden können.

Denn nach wie vor ist die Entfernung des Wurms mit Hilfe eines der Removal-Tools verschiedener Anbieter (siehe Linkkasten) einfacher zu bewerkstelligen als die präventive Absicherung der Windows-Betriebssysteme. In Foren und in den Leserbrief-Postfächern der Medien hat der Wurm Conficker darum noch eine andere Epidemie ausgelöst: Eine Flut hämischer Postings mit dem Grundmotto "Mit Mac OS X oder Linux wäre das nicht passiert".

Egal wie differenziert man das Thema auch betrachtet: Das stimmt.

URL:

Verwandte Artikel:

Mehr im Internet


© SPIEGEL ONLINE 2009
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung