Zur Ausgabe
Artikel 67 / 96
Vorheriger Artikel
Nächster Artikel

COMPUTER Klingelstreich im Netz

Bausätze für Viren machen es immer leichter, das Internet zu infizieren. Mit dem Schöpfer des Kurnikowa-Virus steht erstmals ein Amateur vor Gericht, der gar nicht programmieren kann.
aus DER SPIEGEL 39/2001

Eine Lawine infizierter E-Mails wälzte sich am 12. Februar durchs Internet. Mehrere Millionen Computer wurden angesteckt. Und alles nur wegen Anna Kurnikowa.

Das Computervirus gleichen Namens verführte die Nutzer mit einem angeblichen Digitalbild der russischen Tennisspielerin. An die zerstörerische Botschaft war eine Datei mit dem vielversprechenden Namen »AnnaKournikova.jpg.vbs« angehängt. Ein Pin-up-Foto? Ein peinlicher Schnappschuss unterhalb der Gürtellinie? Viele Empfänger konnten der E-Mail-Versuchung nicht widerstehen. Mit einem Doppelklick versuchten sie, die Bilddatei zu öffnen. Doch kein Kurnikowa-Foto erschien.

Stattdessen erwachte unbemerkt ein besonderes Virus zum Leben. »Wurm« nennen Spezialisten den bösartigen Code. Denn anders als gewöhnliche Computerviren reiste er nicht als blinder Passagier mit einer anderen Datei, sondern wand sich selbständig durch die Netze. Der Kurnikowa-Wurm durchstöberte die Festplatte des Nutzers und verschickte Kopien von sich selbst an Empfänger im Adressbuch des weit verbreiteten E-Mail-Programms Outlook von Microsoft.

Internet-Epidemien breiten sich meist mit der Morgensonne aus. Als

in den USA die Büroangestellten ihre Rechner starteten, fanden viele von ihnen den Kurnikowa-Wurm in ihrem Mailkonto - und traten dann eine Lawine sinnloser Massenmails los, die weltweit Firmennetze überfluteten und einige E-Mail-Server lahm legten. Nach Schätzungen des FBI betrug der Schaden allein bei 55 gemeldeten Opfern über 160 000 Dollar.

Derzeit steht der Urheber des Kurnikowa-Wurms vor Gericht. Es ist wohl das erste Mal, dass ein Virenautor angeklagt wird, der gar nicht programmieren kann.

40 Beobachter und Neugierige verfolgen den Prozess. Ein seltener Ansturm in Leeuwarden, der Provinzhauptstadt von Friesland hoch oben im Norden der Niederlande, wo schwerer Güllegeruch von den satten Weiden herüberzieht.

Wer allerdings ein böses Genie erwartet, wird gründlich enttäuscht. Jan de W. ist ein kräftiger Bursche in T-Shirt, schwarzen Jeans und Turnschuhen. Gerade ist er 21 Jahre alt geworden. »Reden Sie lauter«, muss der Vorsitzende Richter ihn immer wieder auffordern, oder auch: »Haben Sie die Frage verstanden?«

Doch der Angeklagte sitzt meist so teilnahmslos da wie ein abgestürzter Rechner. Trotzig verschränkt er seine Arme und ähnelt einem Bauernlümmel, der beim Äpfelklauen erwischt worden ist. »Sie müssen jetzt etwas antworten«, erinnert ihn der Vorsitzende Richter schließlich und versucht, eine strenge Miene zu machen.

Drei Richter werden über den einmaligen Fall befinden. Erstmals soll in dem Musterprozess ein neuer Straftatbestand zur Anwendung kommen, der das Verbreiten von Computerviren verbietet. Maximales Strafmaß: vier Jahre Freiheitsentzug. Deutschland hat keinen vergleichbaren Paragrafen. Hier zu Lande ist lediglich das Ausspähen und Verändern von Daten verboten, nicht aber ihre Verbreitung.

Dennoch scheint es fast, als sei auch die niederländische Novelle schon wieder veraltet. Denn die Welt der digitalen Plagegeister befindet sich im Umbruch. Neuerdings können selbst gewöhnliche Internet-Surfer ohne kriminelle Energie zu Schöpfern von Viren und Würmern werden - der grobe Unfug tritt ein ins Zeitalter seiner digitalen Reproduzierbarkeit.

Der Fall des Kurnikowa-Wurms ist exemplarisch. W. jobbt zwar in einem Computerladen, hat aber selbst nicht die Fähigkeiten, eigene Programme zu schreiben. Er benutzte einfach einen vorgefertigten Virenbausatz, den er von einer argentinischen Internetsite heruntergeladen hatte.

Der Bausatz VBS Worm Generator ist ein winziges Programm: nur 540 Kilobyte klein und kinderleicht zu bedienen. Mit wenigen Klicks erstellt es für den Nutzer ein maßgeschneidertes Virus. Geschrieben wurde der Bausatz von einem Programmierer mit dem Pseudonym [k]alamar, angeblich ein Teenager aus Buenos Aires. »Sie müssen zustimmen, dass [k] keine Verantwortung übernimmt für etwaige Schäden«, schützt sich der Argentinier vor den rechtlichen Folgen. »Dieses Programm ist nur zum Lernen gedacht, nicht zum Verbreiten.«

Nach wie vor ist der argentinische Wurmgenerator online, regelmäßig kommen neue Versionen heraus. Rechtlich hat [k]alamar tatsächlich nichts zu befürchten. Das Schreiben und Weiterverschenken von Computerviren stehe weder in Argentinien noch in Deutschland unter Strafe, sagt der Sicherheitsberater Howard Fuhs aus Wiesbaden. Ärger drohe erst, wenn wirtschaftlicher Schaden entstanden ist.

Virenschreiben gilt als Kavaliersdelikt. Viele Dutzend Bausätze werden kosten- und straffrei auf ungesicherten Websites angeboten, unter skurrilen Namen wie Satanic Brain Virus Tools, Instant Virus Production Kit oder Ye Olde Funky Virus Generator.

Mittlerweile beherrschen viele Bausätze allerlei Tricks und Kniffe, die früher zur höheren Schule des Virenschreibens gehörten: Sie verschlüsseln sich selbst und werden zu so genannten Tarnkappen-Viren, die von älterer Abwehrsoftware kaum erkannt werden können. Oder sie verändern von Generation zu Generation ihren eigenen Code. Dadurch wird das Aufspüren dieser so genannten polymorphen Viren ebenfalls erschwert.

Das Verbreiten von Virenbaukästen müsse gestoppt werden, fordert der US-Sicherheitsexperte Richard Smith, »das ist so, als ob man ein geladenes Gewehr an ein Kind verschenkt«.

Die Geschichte der Computerschädlinge begann spätestens 1983. In jenem Jahr definierte der Informatiker Fred Cohen an den amerikanischen Sandia National Laboratories eine neue Sorte von Programm, die in der Lage ist, sich selbst zu vervielfältigen und nannte sie Virus. Sein akademisches Hobby ist mittlerweile zu einem globalen Ärgernis mutiert, je nach Virentyp zwischen harmlosem Klingelstreich und schwerer Sachbeschädigung angesiedelt. Über 60 000 Virenvarianten wurden bislang im Internet gesichtet, Tendenz steigend. Wöchentlich kommen Dutzende hinzu - und immer mehr werden von Laien mit Fertig-Bausätzen zusammengeklickt.

Der Kurnikowa-Wurm verbreitete sich rasend schnell. Glücklicherweise war der Erreger relativ harmlos und vernichtete keine Daten oder Hardware, sondern nur Arbeitszeit. Der nächste Bausatzwurm wird möglicherweise weniger harmlos sein. »Wir haben im Schnitt alle drei Monate eine Virusepidemie im Internet«, berichtet Howard Fuhs. Im Netz gibt es bereits Kalender, auf denen ähnlich wie bei einem Wetterbericht täglich die Ausbruchsdaten von Viren vermeldet werden.

Um die anschwellende Virenflut einzudämmen, setzen auch die Hersteller von Antiviren-Software auf Automatisierung. Sara heißt zum Beispiel die wichtigste Mitarbeiterin bei der Firma Symantec. Sara ist eine Datenbank, die automatisch alle Virenmeldungen, die von den Kundenrechnern weltweit eingesendet werden, untersucht und umgehend die passende »Medizin« verschickt. Sara antwortet auf 95 Prozent der Virenanfragen, den Rest erledigen geschulte Programmierer. Was aus vorgefertigten Modulen zusammengeklickt wurde, wird automatisch wieder weggeputzt.

Das Erschreckende an der Kurnikowa-Episode ist die Naivität der Nutzer. Kaum jemand scheint dazugelernt zu haben, seit das verheerende »I Love You«-Virus im vergangenen Jahr mehrere Millionen Rechner attackierte.

Angesichts des viralen Dauerbeschusses geht das größte Sicherheitsrisiko allerdings von den Profis aus: von verschusselten Netzwerkbetreuern, im Fachjargon Systemadministratoren oder einfach Admin genannt, die als Hausmeister des Netzes die Server der Webseiten am Laufen halten. Auch vergangene Woche verbreitete sich wieder ein neuer Internet-Wurm mit rasender Geschwindigkeit.

Der aktuelle Nimda-Virus ist besonders heimtückisch, auch wenn er keine Daten vernichtet. Er benutzt Software aus dem Hause Microsoft, um die PC ahnungsloser Surfer zu manipulieren. Schon das Aufrufen einer Webseite genügt, und der Rechner ist infiziert. Diese Sicherheitslücke ist seit einem Jahr bekannt. Doch viele Admins verschliefen es, die Lücke mit einem kleinen Zusatzprogramm zu schließen.

Angeblich wollte der Urheber des Kurnikowa-Virenangriffs genau vor solcher Naivität warnen. Doch er selbst war genauso leichtsinnig wie die Internet-Experten und -Nutzer, denen er eine Lehre erteilen wollte. W. hatte vergessen, seine Kurnikowa-Fanpage rechtzeitig vom Netz zu nehmen, auf der er vom »besten Tennisstar der Welt« schwärmte, mit seinem vollen Namen und Wohnort: »Ich heiße Jan und wohne in Sneek (Friesland).«

Jan de W. gab auch allen möglichen Online-Zeitschriften Interviews über sein Virus. Spätestens dadurch flog er auf. Bevor er festgenommen wurde, ging er zwei Tage nach der Tat gemeinsam mit seinen Eltern zur Polizeistation von Sneek und zeigte sich an.

Mit diesem Geständnis sprang die akute Virusinfektion auf Siebold Hartkamp über, den Bürgermeister von Sneek. Spontan bot er dem Bausatz-Lümmel einen Job an. »Solche Leute können wir in unserer Computerabteilung gut gebrauchen«, schwärmte der Bürgermeister wie in einem Friesenwitz, »plötzlich steht unsere Stadt auf der digitalen Weltkarte.«

Der erste Gerichtstermin um den Bausatz-Wurm endete nach nur zwei Stunden. »Ich plädiere auf Freispruch«, sagte der Verteidiger. Bösartige Software sei heute etwas ganz Normales: »Viren sind Teil vom Internet-Game.«

Diesen Donnerstag wollen die Richter ihr Urteil verkünden. Selbst der Staatsanwalt fordert nur eine symbolische Minimalstrafe: 240 Stunden gemeinnützige Arbeit sowie die Konfiszierung des Rechners. Außerdem verlangt er die Beschlagnahme der CD mit allen Viren. Ganz so, als könnte der Staatsanwalt stellvertretend für den dusseligen Jan de W. wenigstens dessen digitale Plagegeister dingfest machen.

HILMAR SCHMUNDT

* Bei der kalifornischen Software-Firma Symantec.

Zur Ausgabe
Artikel 67 / 96
Vorheriger Artikel
Nächster Artikel
Die Wiedergabe wurde unterbrochen.