Conficker Wer hat Angst vorm bösen Wurm?

Conficker ist ein Phänomen. Der Computerwurm hat in den Medien innerhalb weniger Wochen eine steile Karriere gemacht, ohne irgendjemand etwas Böses getan zu haben. Die Medien haben ihn erst groß gemacht. Die Meldungen über ihn reißen nicht ab. Schon im Januar berichtet „Spiegel Online“, dass 50 Millionen PCs infiziert seien. „PC-Welt“ hält neun Millionen Rechner für wahrscheinlich. Mittlerweile wird Conficker „Super-Wurm“ („Handelsblatt“) genannt, der auf seinen „Einsatzbefehl“ warte und die „Computerwelt in Atem“ („Welt“) halte. Die „Zeit“ schreibt, dass Conficker „auf spektakuläre Weise Millionen Systeme niederwalzt.“ „Taz“ und Süddeutsche melden: „Conficker greift die Bundeswehr an“. Und „Spiegel Online“ berichtet: „Conficker legt deutsche Hochschule lahm.“ Noch in dieser Woche ist bei Heise Online zu lesen: „Wurm rüstet auf“. Einzig „Computer-Bild“ zweifelt an Confickers Macht und spricht von „reiner Medien-Hysterie“.

Doch Conficker wird maßlos überschätzt. Schuld für diese übertriebene Darstellung des Computerwurms ist vermutlich eine Pressemitteilung des Anti-Viren-Herstellers F-Secure vom 7. Januar 2009. In dieser warnt das Unternehmen vor einer neuen Version des „Downadup“-Wurms. Er sei auch unter dem Namen „Conficker“ bekannt und bezeichnet eine große Familie von Netzwerk-Würmern. Conficker (von manchen später auch Kido genannt) infiziere sowohl Windows PCs als auch Server. Seit Neujahr seien mehrere Unternehmensnetzwerke bereits mit verschiedenen Varianten des Wurms infiziert. Ein Experte von F-Secure sorgt in einem BBC-Interview für zusätzliche Panikmache: „Es ist beängstigend, wenn man sich vorstellt, wie sie die Millionen Computer kontrollieren.“

Nichts zerstört oder gestohlen

Dass sich Conficker auf mehreren Millionen Rechnern befindet, ist sehr wahrscheinlich. Zumindest schätzen das verschiedene Anti-Viren-Firmen. „Wir gehen von zehn Millionen Rechnern aus“, sagt Kaspersky-Virenanalyst Christian Funk gegenüber FAZ.NET. Anti-Viren-Herstellern kann es nur recht sein, wenn sich die Zahl von Millionen infizierten PCs in der Öffentlichkeit festsetzt. Aus Angst vor der Seuche dürfte sicherlich das Interesse an Anti-Viren-Programmen enorm steigen. Doch bisher hat der Wurm noch nichts zerstört, gestohlen oder ausspioniert. Conficker hat weder eine Hochschule lahmgelegt noch die Bundeswehr angegriffen. Er hat lediglich den dortigen Systemadministratoren viel Arbeit gemacht und dadurch Nutzer vom Arbeiten abgehalten.

So war es jedenfalls an der „lahmgelegten“ Fachhochschule in Mecklenburg-Vorpommern. Zirka 200 Rechner wurden vorsorglich vom Netz genommen, weil das Anti-Viren-Programm Alarm geschlagen hatte. Jeder einzelne PC wurden daraufhin durchgecheckt, gegebenenfalls desinfiziert und wieder mit dem Internet verbunden. Eine Vorgehensweise, die notwendig und üblich ist, und von den Administratoren der Bundeswehr ebenfalls angewandt wurde. „Die für den Betrieb des befallenen Netzwerks zuständige BWI Informationstechnik GmbH hat mit Unterstützung des Computer Emergency Response Team der Bundeswehr (CertBw) die infizierten Computer von der Schadsoftware befreit“, sagt ein Sprecher des Bundesministeriums für Verteidigung.

Wieso wurde die Lücke nicht zeitig gestopft?

Der Pressesprecher des für die Bundeswehr-Computer zuständigen BWI, Jochen Reinhardt, sagt gegenüber FAZ.NET, dass lediglich ein Prozent aller Bundeswehr-Rechner infiziert gewesen seien. Das CertBw, gewissermaßen die ständigen Beobachter des Militär-Computernetzwerkes, hatten den Wurm entdeckt und entsprechend gehandelt. In Zusammenarbeit mit dem BWI wurden die infizierten Rechner vorsichtshalber vom Netz genommen, gereinigt und wieder angeklemmt. Wie mittlerweile bekannt ist, macht sich Conficker auf den Betriebssystemen indirekt bemerkbar, indem der Wurm die Aktualisierung des Anti-Viren-Programms und das Windows-Update blockiert. Er schleust sich durch eine Windows-Lücke ein, die seit Oktober 2008 bekannt ist und für die Microsoft seitdem ein Patch, also eine Softwarenachbesserung zum Lückenstopfen, bereitstellt. Nutzer schleppen Conficker ins sichere Netzwerk unbeabsichtigt auch mit ihren USB-Sticks, externen Festplatten oder Notebooks ein.

BWI-Pressesprecher Reinhardt kennt die Vorwürfe an die Administratoren von Unternehmensnetzwerken in den Medien und die Frage liegt zunächst auch auf der Hand: Wieso konnte sich Conficker ausbreiten und die Windows-Lücke nutzen, wenn die Gefahr und das helfende Patch seit Oktober 2008 bekannt sind? „Ein Patch muss immer erst an das System angepasst werden. Die vertragen sich häufig nicht mit dem konfigurierten Betriebssystem.“ Daher würden diese Nachbesserungen erst nach einem positiven Test aufgespielt. Manchmal aber auch gar nicht. Das Cert entscheide - wie in vielen großen Unternehmen - von Fall zu Fall, ob noch genügend Handlungsspielraum für diese Tests da sei oder ob man den möglichen Systemabsturz riskiere. Dies sei etwa bei großen Online-Shops umso notwendiger. Wenn dort wegen eines Patches die Homepage abstürze, gingen innerhalb von Minuten einige Tausend Euro verloren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI), wie auch viele Anti-Viren-Hersteller, bietet auf seiner Homepage eine Anleitung zur Desinfektion von Conficker an. Beim BSI zeigt man Verständnis dafür, dass die Verwalter von Unternehmensnetzwerken mit Patches zurückhaltend umgehen. „Die Leute schlafen nicht“, sagt BSI-Pressesprecher Matthias Gärtner und weist auf die „heterogene Anwendungslandschaft“ der Unternehmenssoftware hin. Es bedürfe immer einer Abwägung, wie aufwändig das Aufspielen und wie groß die Sicherheitslücke sei. Wie die Administratoren der Bundeswehr und der Hochschule vorgegangen seien, sei das, „was man ganz normal macht.“

Eine große Show nützt diesen Kriminellen wenig

Die Begeisterung bei den Spezialisten für den Conficker-Wurm ist jedenfalls groß. „Kido ist richtig gut programmiert und wird sehr stark gepflegt“, sagt Kaspersky-Virenanalyst Funk. Der Wurm habe sehr viele Möglichkeiten sich einzunisten. Es sei gefährlich, weil es immerzu neue Versionen gebe und diese auf den schon infizierten Servern ständig nachlade. „Kido ist präsent wie selten zu vor. Er hat geradezu einen Lauf.“ Doch der schlaue Wurm tat bisher nichts wirklich Schlimmes, er hat sich nur verbreitet. Die Experten warten gewissermaßen noch darauf. Der Schädling habe bisher nur viel Arbeitszeit gekostet, sagt BSI-Pressesprecher Gärtner und somit habe er momentan nur eine mittelbare Schadfunktion. „Doch was ist seine Motivation? Warum machen sich die Programmiere so viel Mühe?“

Das Rätselhafte an diesem Wurm ist vermutlich mit ein Grund, warum Conficker so in der Öffentlichkeit bekannt wurde. Einen interessanten Nebeneffekt hat die großflächige Berichterstattung. Es ist eigentlich das Schlimmste, was den Herstellern von Viren, Würmern oder Trojanern passieren kann. Bei Kaspersky geht man davon aus, dass die Hersteller „geschockt“ sind. „Die wollen die Popularität gar nicht, weil Viren mittlerweile unbekannt bleiben sollen“, sagt Viren-Analyst Christian Funk. Heutzutage wollen Viren-Programmierer keine Aufmerksamkeit mehr erregen, um ihr Ego zu stärken und Festplatten zu löschen. Aktuelle Viren, Trojaner oder Würmer infizieren schnell, still und leise ihre Opfer, um Überweisungen beim Online-Banking umzuleiten oder Kreditkartendaten zu stehlen. Eine große Show nützt diesen Kriminellen wenig.