Computerviren: Liebesbriefe aus der Hölle
Vor 25 Jahren schickte ein Student das erste Virus in die freie Wildbahn. Was als unbedachter Scherz begann, hat sich zum virtuellen Kleinkrieg auf den Netzen entwickelt - und zum Milliardengeschäft mit «Security».
Zu Beginn war es noch reine Fiktion. Im Mai 1980 taucht in der Computerabteilung eines Schweizer Grossunternehmens ein rätselhaftes Programm auf: die «Höllenroutine». Unbekannte haben einen subversiven Code eingeschleust, der Verwirrung stiftet und Daten löscht.
Die Geschichte hatte sich ein Autor ausgedacht, der sich «Little Brother» nannte, sein «Computer-Politkrimi» wurde zum Bestseller in der von der Achtzigerbewegung aufgeheizten Zürcher Szene. Später outete sich der kleine Bruder als Daniel de Roulet, Computerexperte, Schriftsteller und Politaktivist mit einem Hang zum Klandestinen.
Die literarische Idee lag in der Luft, die massenhafte Verbreitung von Heimcomputern hatte eben begonnen. Im Sommer 1980 kam IBM mit einem gewissen Bill Gates ins Geschäft, er lieferte das Betriebssystem für den IBM-PC. Damit begann die globale Verbreitung der Microsoft-Betriebssysteme, der Nährboden für Generationen von Höllenroutinen war bereitet.
Zu Weihnachten 1981, so will es der Mythos, bekam Richard Skrenta, ein fünfzehnjähriger Highschoolstudent aus Pittsburgh, einen der damals verbreiteten Apple-II-Kleincomputer geschenkt. Um seine Schulkollegen zu ärgern, schrieb er im Jahr darauf ein kleines, sich selbst reproduzierendes Programm, das sich über Floppydisketten verbreitete. Der «Elk Cloner» gilt als erstes Computervirus «in freier Wildbahn». Schaden richtete es keinen an, die Infektion tat sich beim Aufstarten hin und wieder mit einem kleinen Gedicht kund:
Elk Cloner: The program with a personality
It will get on all your disks
It will infiltrate your chips
Yes it's Cloner!
It will stick to you like glue
It will modify RAM too
Send in the Cloner!
Der Lausbubenstreich fand in der Folge unzählige Nachahmer. Programme via Disketten austauschen war damals ein gängiger Sport, alles war offen, nichts geschützt. Kein Mensch dachte daran, für Software zu bezahlen. Ein Student namens Joe Dellinger aus Texas nannte seine Kreationen «Virus 1», «Virus 2» und so weiter. Ihm verdanken wir die treffende Metapher. Auch sie lag in der Luft. Im August 1982 bekam ein neu entdecktes biologisches Virus den Namen Aids. In Zukunft galt es also, sich zu schützen, beim Daten- wie beim Geschlechtsverkehr.
Programme statt Bomben basteln
Sich selbst reproduzierende Systeme haben Science-Fiction-AutorInnen, Bastler und Wissenschaftlerinnen schon seit je fasziniert. John von Neumann, Schöpfer der modernen Computerarchitektur, spielte schon Ende der vierziger Jahre mit dem Gedanken. Auch der deutsche Computerpionier Konrad Zuse dachte über eine «Vereinigung technischer und biologischer Organismen», die sich fortpflanzen, nach. Der Science-Fiction-Autor John Brunner erfand in seinem 1975 erschienenen Roman «The Shockwave Rider» den «Tape Worm» - ein sich selbst vervielfältigendes Programm, mit dem der Held das Computersystem einer totalitären Regierung zum Absturz bringt.
Fred Cohen, heute ein führender Experte für Computersicherheit, experimentierte für seine Doktorarbeit 1984 mit Computerviren, definierte ihre Eigenschaften und befasste sich bereits mit Schutzmechanismen. Er warnte schon früh vor Epidemien: «Wenn ein Computervirus sich weltweit verbreitet, könnte es alle Computeraktivitäten für eine gewisse Zeit stoppen und in Staatsverwaltungen, Finanz- und Geschäftswelt und akademischen Institutionen verheerenden Schaden anrichten.» Das klingt wie eine Einladung an Chaotinnen und Terroristen, programmieren zu lernen statt Bomben zu basteln.
Eine erste Schockwelle ging im Januar 1986 durch die Computerwelt, in biologischer Analogie nannte man sie die «pakistanische Grippe». Ein Virus namens «Brain», freigesetzt von den Brüdern Basit und Amjad Faruk Alvi in Lahore, verbreitete sich über die Bootsektoren von Microsofts MS-DOS weltweit und veränderte die Inhaltsverzeichnisse der Disketten.
Wurminfektion und Datendurchfall
Sie würden damit das Raubkopieren von Software verhindern, behaupteten die Brüder, die eine Computerfirma betrieben und, nicht auf Geheimniskrämerei bedacht, ihre Adresse im Code des Virus gleich mitlieferten. Es gab die Vermutung, sie wollten bloss Werbung für ihre Firma machen. Aber auch antiwestliche Motive wurden ihnen unterstellt.
Zu den Nachfolgern aus dem Nahen Osten gehörte das «Jerusalem-Virus», auch «PLO-Virus» genannt, das in bösartigen Varianten ab 1987 auftauchte und eine Art Zeitbombe enthielt: Jeden Freitag, den 13., löschte es alle laufenden Programme auf MS-DOS.
Ab Mitte der neuziger Jahre bot sich den Viren mit dem Internet ein schnelleres und flexibleres Verbreitungsmedium an, als die Diskette es war. Die weltweite Netzeuphorie bekam einen ersten Dämpfer, als man feststellte, dass sich die virtuellen Parasiten im Anhang von E-Mails verbreiten konnten.
Netzwerke und Softwareschädlinge bildeten von Anfang an ein inniges Gespann: Schon auf den ersten militärischen Vorläufern des Internets hatten Informatiker in den siebziger Jahren mit virenartigen Routinen und Abwehrsoftware experimentiert.
Der erste «Internet worm» war im November 1988 vom experimentierfreudigen Informatikstudenten Robert Tappan Morris ausgesetzt worden, er legte unverzüglich Tausende von Computern lahm. Morris war der erste Virenprogrammierer, der verurteilt wurde. Nach dem Ableisten von 400 Stunden gemeinnütziger Arbeit machte er, wie viele ehemalige Hacker und Virenprogrammierer, Karriere als Sicherheitsexperte und bekam schliesslich einen Lehrstuhl am renommierten Massachusetts Institute of Technology - dort, wo er einst seinen Wurm freigesetzt hatte.
Würmer sind aggressivere Schädlinge als Viren, sie verbreiten sich aktiv und vermehren sich entsprechend rascher. Ein «Loveletter»- oder «I-Love-You»-Virus genannter Wurm verbreitete sich im Mai 2000 rasend schnell per E-Mail, indem er die Adressbücher der befallenen Computer benutzte und sich so vervielfachte. Eine eigentliche Medienhysterie war die Folge, man schrieb von Milliardenschäden weltweit. Die Bemerkung in einer Kopfzeile des Codes «I hate go to school», führte schliesslich auf die Spur eines frustrierten Informatikstudenten aus Manila.
Viele VirenprogrammiererInnen der ersten Generation waren clevere StudentInnen oder Freaks, die ohne böse Absicht ihre Fähigkeiten beweisen und sich in der Szene wichtig machen wollten. Oft rieben sie sich selber die Augen ob der Schäden, die ihre Parasiten anrichteten. Gleichzeitig führten sie damit den Beweis, wie verletzbar das weltweit vernetzte Informatiksystem ist: Programmfehler und absichtlich eingebaute Falltüren, die in den Kern der Betriebssysteme (vor allem bei Windows) führten, Schwachstellen in den Schutzsystemen der Virenscanner und Firewalls.
Bald war die Plage so akut geworden, dass parallel zu den immer heftigeren Attacken eine Sicherheitsindustrie mit Milliardenumsätzen heranwuchs. Für 2005 schätzte ein Experte des russischen Softwareherstellers Kaspersky die jährlichen Umsätze der Antivirusindustrie auf gegen vier Milliarden Dollar, die verursachten Schäden auf achtzehn Milliarden. Täglich infiltrieren Hunderte neuer Würmer und Viren das Internet. Teilweise sind es mafiöse Profis, bandenmässig organisierte Hacker wie etwa die brasilianischen Silver Lords, die gezielt Netzwerke infiltrieren, um Unternehmen zu schädigen oder zu erpressen.
Kleinkrieg im Cyberspace
Jedes neue Virus bedingt eine Anpassung der Schutzsoftware, jede Anpassung ist eine Herausforderung, sie zu knacken. Ein professioneller Hacker schaffe das in einem oder zwei Tagen, meint obiger Experte. Ein täglicher Kleinkrieg, bei dem immer mehr professionelle Terroristen und staatliche Antiterroreinheiten mitmischen - die Zeit der Lausbubenstreiche und Chaosfreaks ist endgültig vorbei.
Eine Woche nach dem Terroranschlag 2001 in New York infizierte ein Virus namens «Nimda» das Internet. US-Justizminister John Ashcroft wiegelte ab, es gebe keine Beweise, dass «Nimda» mit den Anschlägen gegen das World Trade Center und das Pentagon in Zusammenhang stehe. Nimda wird, umgekehrt gelesen, zu Admin, was auf die US-Administration als Ziel des virtuellen Anschlags hindeuten könnte. «Nimda» war äusserst aggressiv, ein sogenanntes Clustervirus, das mehrere bösartige Funktionen in sich vereinigt. Sein Vorläufer «Code Red» stammte vermutlich aus den Philippinen, setzte im Juli 2001 die Website des amerikanischen Präsidenten ausser Gefecht und infizierte weltweit 350 000 Computer. In der Schweiz legte es für einige Stunden das Finanzportal der Post lahm.
Denkbar ist, dass Terroristen oder feindliche Nationen in Zukunft nicht nur physisch, sondern auch auf den Datennetzen zuschlagen werden, auch in Kombination mit konventionellen Attentaten. «Im Infokrieg haben ärmere Länder mit kleinen Armeen im Kampf gegen eine hoch technisierte Grossmacht wie die USA nicht nur eine Chance», meint der Zukunftsforscher Alvin Toffler, «sie sind sogar im Vorteil, weil sie wegen ihres geringeren Technikstandards selbst weniger verwundbar sind.»
Das Jahr des Irakkriegs 2003 wurde zum eigentlichen «Virenjahr», nebst dem Krieg am Boden tobten auch Gefechte im Cyberspace. Besonderen Schrecken verbreitete ein aggressiver Massenmailwurm namens «Sobig.F», der Windows-Betriebssysteme befiel, enormen Datenverkehr produzierte und die Leitungen überlastete. Unter anderen störte er die Website der SBB. Macintosh-Benutzer konnten sich, wie meistens, zurücklehnen. Ihr System ist weit resistenter und wegen der geringeren Zahl der BenutzerInnen weniger interessant für Hacker als die Microsoft-Monokultur.
Im Lauf der Entwicklung sind die Viren immer «intelligenter» und anpassungsfähiger geworden. «Dark Avenger» mit Ursprung in Rumänien beispielsweise ist ein polymorphes Virus, das heisst, es verändert ständig seinen Code und kann so unerkannt durch die Firewalls schlüpfen.
In den USA gab es vor der Jahrtausendwende eine ziemliche Aufregung, als bekannt wurde, dass ein grosser Teil der Softwarekorrekturen im Zusammenhang mit dem Millennium Bug in Indien, Pakistan, Indonesien und Irland gemacht wurde - unter anderem also auch in Ländern, in denen man terroristisches Potenzial vermutete. Man befürchtete, dass ProgrammiererInnen im Sold von Osama Bin Laden «Falltüren» in die Software einbauen würden, die später für Anschläge auf Rechenzentren der USA benutzt werden könnten. Im Dezember 2006 meldeten Medien, al-Kaida drohe mit Cyberattacken gegen US-Finanzinstitute.
Bei solchen Warnungen handelt es sich allerdings oft um «hoaxes», um Internetgerüchte. Die Falschmeldungen werden von irgendjemandem im Netz verbreitet und richten vor allem in den Köpfen Schaden an. Die Grenzen zwischen Realität und Fiktion sind längst verwischt.
Apokalyptisch gesinnte ExpertInnen prophezeien vernichtende terroristische Attacken, ein sogenanntes «elektronisches Pearl Harbour» oder gar einen «ersten Cyber-Weltkrieg». In Estland waren diesen Mai über Wochen viele wichtige Server der Regierung und von Finanzinstituten blockiert. Der estnische Verteidigungsminister sprach von einem feindlichen Angriff, es gab Mutmassungen, dass Russland hinter der Attacke steckte. Es stand die Frage im Raum, wie es sich mit der Zuständigkeit der Nato bei solch gezielten Angriffen auf eine Nation verhält.
Sogar die Schweizer Armee plant, so liess sie diesen Juli verlauten, eine Truppe von 500 bis 600 Mann, um «die eigene Kommandoinfrastruktur zu schützen und gegebenenfalls entsprechende gegnerische Mittel auszuschalten.»
Ende der «Netiquette»
Die ursprüngliche Euphorie über das Internet als freies Netzwerk der globalen Kommunikation hat jedenfalls längst einer realistischeren Einschätzung Platz gemacht. Viele BenutzerInnen der ersten Stunde glaubten, im Netz verwirkliche sich das Postulat der Aufklärung, dass das «Wissen der Welt» allen Menschen frei zugänglich werde. Viel war auch von einer «Netiquette» die Rede, von fairen Umgangsformen unter der Netzgemeinschaft, die sich als Vorreiter für eine bessere Welt verstand. Bald aber begann man, sich einzumauern, mit hohen Kosten und beträchtlichem Aufwand an Zeit und Geld Schutzwälle gegen fremde Eindringlinge zu errichten.
Die Hersteller von Firewalls, Virenscannern und Spamfiltern können sich ob der Entwicklung die Hände reiben - dass sie selber die Viren und Würmer in die Welt setzen, die sie von uns fernhalten, ist unwahrscheinlich, doch das Gerücht hält sich hartnäckig. Es zeigt, welches Misstrauen unter den NetzbenutzerInnen herrscht. Selbst E-Mails von Bekannten öffnen wir nur mehr zögernd, auch sie könnten unser System mit einem Virus infizieren, gegen das wir uns noch nicht geschützt haben. Ernüchtert stellen wir fest: Die Netzrealität ist auch nicht besser als der Rest der Welt.