Eine globale e-Mail-Bombe erschüttert die Computerwelt

Der Liebes-Virus

Anfang Mai legte der Computervirus "I Love You" per elektronischer Post binnen weniger Stunden weltweit Millionen von Computern lahm und führte zu enormen Schäden in Höhe von bis zu 10 Milliarden Dollar. Ein 23-jähriger Student aus Manila scheint die Kettenreaktion in Gang gesetzt zu haben. In zahlreichen Sondersendungen und auf den Titelseiten der meisten Gazetten wurde ein neues Bild von einer weltweiten terroristischen Bedrohung gemalt, während Computerexperten im Internet vor allem auf die Unbesonnenheit der meisten Anwender und die Monokultur der Betriebssysteme schimpften.

Am frühen Donnerstag morgen in der ersten Maiwoche kamen die Warnmeldungen per Radio und Fernsehen. Eine e-Mail mit dem Betreff "I Love You" enthalte einen neuen, sich rasend schnell ausbreitenden Virus. Stunden zuvor hatte ein PC-Benutzer in Hong Kong den der e-Mail angefügten vermeintlichen Text lesen wollen und mithin unwissentlich an etliche andere Rechner weitergeleitet. Die Lawine geriet ins Rollen.

In Hunderten von Firmen weltweit öffneten Benutzer die elektronische Post und kaum einer war sich der Gefahr bewusst. Ständig kursieren Witze, Bilder und Spiele wie die berühmte Moorhuhn-Ballerei im weltweiten Kommunikationssystem des Internets. Doch diesmal lief das Programm in Inneren der Rechner ab und nicht vor den Augen der Anwender. Der Virus zerstörte Multimedia-Dateien, versuchte aus dem Internet ein Spionageprogramm herunterzuladen und verschickte sich an andere Empfänger. Sein Inhalt, ein kleines Programm mit dem Namen "Loveletter-for-you", gab ihm seinen Namen. Gerade durch seine unglaubliche Fortpflanzungsfreude richtete der "Loveletter" globalen Schaden an, Mailserver brachen unter der schieren Menge an Daten zusammen. Noch nie zuvor war eine derart rasante Ausbreitung eines Virus festgestellt worden. Dies hatte mehrere Gründe.

Microsoft als Monokultur

Zum einen gab es noch nie so viele potenzielle Opfer für Viren. Vermutlich mehr als 300 Millionen Computer weltweit sind im Internet zusammengeschlossen, viele nur zeitweise über normale Telefonleitungen, doch insbesondere Firmenrechner häufig auch dauerhaft über teure Hochleistungsdatenleitungen.

Zum anderen arbeitet ein Grossteil dieser Rechner mit dem Betriebssystem Windows und vielen anderen Produkten der Firma Microsoft des bekanntesten Ex-Hackers der Welt, Bill Gates. Der Mechanismus des Virus "I Love You" machte sich diese Tatsache zunutze, indem er die automatisierten Funktionen der verschiedenen Programme von Microsoft ausnutzte. Ursprünglich waren die Möglichkeiten der aus sogenannten Makros entwickelten Script-Sprache Visual Basic zur Arbeitserleichterung für unerfahrene Anwender konzipiert worden. Mögliche Sicherheitsmechanismen wurden außer Funktion gesetzt, um die Produkte von Microsoft noch besser aufeinander abzustimmen. Dies rächt sich nun, indem das Virus von einer Anwendung zur anderen springt.

Wer den der e-Mail mit dem so erfreulich klingenden Titel beigefügten Text zu lesen versuchte, öffnete dem Virus alle Zugänge zum eigenen Rechner. Der vermeintliche Liebesbrief war nämlich keiner, sondern ein kleines, unheilstiftendes Programm. Die Täuschung funktionierte perfekt, da sich kaum ein gewöhnlicher Anwender noch mit den vielen Funktionen seines Computers auskennt. Statt des Kürzels .txt für ein Textdokument führte "I Love You" auch noch eine zweite, nahezu unbekannte Abkürzung mit sich: .vbs. Dies steht für Visual Basic Script und ist unter bestimmten Windows-Systemen so ausführbar wie sonst nur die bekannten exe-Dateien. Unerfahrenheit paarte sich so mit grober Fahrlässigkeit.

Viren, Würmer und Trojaner

Unter der Bezeichnung Virus werden verschiedene Programme zusammengefasst, die sich zwar nach ihrer Funktion unterscheiden, oftmals aber erst durch ihr Zusammenwirken ernsthafte Schäden anrichten.

Der Wurm ist dabei der Mechanismus zur Weiterverbreitung. Hierzu suchte "I Love You" nach Adressbucheinträgen im e-Mail-Programm "Outlook" von Microsoft und verschickte sich an alle eingetragenen Adressen. War der vor einem Jahr grassierende "Melissa"-Virus noch auf die ersten 50 Einträge begrenzt, so konnte der "Loveletter" Hunderte neuer Mails erzeugen. So gelang ihm seine schnelle Verbreitung über etliche kleinere und größere Mailserver, die sich die Last teilten und deswegen nur teilweise und erst in einem späteren Stadium den Dienst versagten.

Ein weiterer Bestandteil des Virus, ein trojanisches Pferd, versuchte Passwörter auszuspionieren. So wie einst Odysseus gelangen Programmteile durch ein ungefährlich erscheinendes Ganzes auf einen Rechner und beginnen ihre Arbeit. Dazu musste diesmal gleichwohl erst ein kleines Programm von dem philippinischen Server Skyinet heruntergeladen werden, der unter den massiven Anfragen schnell den Geist aufgab und somit diese Funktion außer Kraft setzte.

Zuletzt verseuchte der "Loveletter" als geradezu klassischer Virus auch viele Dateien auf dem infizierten Computer, indem er sie umbenannte oder durch Kopien von sich selbst ersetzte. So erwischte es diesmal vor allem Bild- und Tondateien und zwang einzelne Zeitungen zur Herausgabe von Notausgaben. Erst spätere Varianten des Virus wie der deutlich tückischere und seinen Betreff verändernde "Newlove" griffen auch andere Dateien an und sorgten somit für wesentlich größere Schäden auf dem einzelnen Rechner. Da war die Öffentlichkeit jedoch schon gewarnt und auffallend vorsichtiger.

Der Killer von Manila

Binnen weniger Stunden verseuchte "I Love You" so nicht nur knapp 30 Millionen Computer, es wurde auch klar, woher der Übeltäter stammte: der eigene Programmcode verriet ihn. Sein Entwickler mit dem Namen Spyder hinterließ genügend Informationen, um die international aufgescheuchten Fahnder schnell in Manila auf den Philippinen suchen zu lassen. Hier schien der als "Killer von Manila" bezeichnete Virus im März 2000 programmiert worden zu sein. Nach so einigen Pannen, die voreilig reagierenden Ermittlern weltweit immer wieder unterlaufen, wurde letztendlich Onel de Guzman der Tat bezichtigt.

Der 23-jährige ehemalige Informatikstudent, der in einem Vorort der philippinischen Hauptstadt zusammen mit seiner Schwester und ihrem Lebensgefährten wohnt, hatte das Programm als Teil seiner Diplomarbeit beim AMA Computer College in Manila eingereicht. Die Arbeit äußerte sich anschaulich über die vorhandenen Sicherheitsmängel der Software von Microsoft und zeigte, wie sich Passwörter von entfernten Rechnern stehlen lassen. Seine Arbeit wurde dennoch von der Schulleitung abgelehnt mit der Begründung, sie beschreibe illegale Aktivitäten. Dies scheint den in gebrochenem Englisch dahingeschriebenen Satz "I hate go to school" zu erklären, der den Virusquelltext einleitet.

Darüber hinaus geriet auch sein Kommilitone Michael Buen in den Verdacht der philippinischen Ermittler. Er unterstützte die These von de Guzman in seiner eigenen Examensarbeit, mit der er einen Tag nach Ausbruch des Virus graduierte. Beide haben Kontakte zu einer losen Gruppe von Computer-Hackern, die unter dem Namen "GRAMMERSoft" ebenfalls im Programmcode des "Loveletters" auftauchte. Wer den Virus letztendlich in Umlauf brachte, ist allerdings noch ungeklärt. Der Anwalt de Guzmans erklärte, sein Mandant könnte die infizierte erste e-Mail versehentlich verschickt und somit die Kettenreaktion ausgelöst haben. Der Schwere seiner Schuld ist sich de Guzman aber offensichtlich nicht bewusst, zumal auf den Philippinen keinerlei Gesetze gegen diese Form der Computerkriminalität bestehen.

Neue Sicherheitsdiskussion

Eines hat "Loveletter" trotzdem erreicht: eine neue Diskussion über die Sicherheit der weltweiten Datennetze. Viele Anwender werden nicht mehr leichtgläubig alle Inhalte, die sie per e-Mail erhalten, öffnen. Doch das allein schützt nicht. Vielmehr sind die großen Softwarehersteller, allen voran Microsoft, aufgefordert, potenzielle Gefahrenquellen auszuschließen, ohne die Attraktivität des Internets zu vermindern. Auch die Spezialisten von Virenschutzprogrammen wie "McAfee" und "Sophos" arbeiten eifrig an "intelligenter" Software, die neue Viren als Schädlinge identifizieren kann, ohne sie wie bisher einfach nur aus einer großen Datenbank herauszufiltern.

Auch ein anderer Aspekt der Sicherheitsproblematik wurde offenbar: Jeder ist angreifbar. Noch sind wir keineswegs in einer Situation des weltweiten Computer-Krieges, wie dies Bundesinnenminister Otto Schily und einige deutsche Nachrichtenblätter gerne glaubhaft machen möchten. Zwar hat "Loveletter" die Gefahren für die Wirtschaft deutlich aufgezeigt, von einer Verbindung zwischen Terroristen und Hackern sind wir aber weit entfernt. Wenn heute Internetfirmen unter Angriffen aus dem Cyberspace leiden, dann sind diese zumeist willkürlich oder einfach auf den größtmöglichen Schaden ausgerichtet. Dies bedeutet also weiterhin eine Reihe von Angriffen auf in der Szene unbeliebte Konzerne wie Microsoft. Terroristen jedoch sehen es auf Staaten oder politische Gruppierungen ab und werden auch zukünftig nach Opfern wie den 21 Geiseln der Abu Sayyaf auf Jolo suchen. Es erstaunt, dass dem ehemaligen RAF-Anwalt Schily eine solche Unterscheidung so schwer fällt. Schärfere Gesetze jedenfalls mit höheren Strafen schrecken international kaum einen Hacker ab.

Droht der Mega-Virus?

Augenblicklich wird von verschiedenen Seiten ernsthaft vor einem Mega-Virus gewarnt, der in einem halben Jahr oder einem ganzen alle Erwartungen übertreffen werde. Doch stellt nicht schon der "Loveletter" eine neue Qualität von Viren dar? Sein Vorgängervirus "Melissa" infizierte weit weniger Rechner und führte nur zu einem Schaden von grob 80 Millionen Dollar, gerade mal ein Prozent des Schadens, den "I.L.Y." anrichtete. Es bleibt also abzuwarten, was den Programmierern der Zukunft einfällt. Aber auch, was den Softwareherstellern möglichst schon vorher gelingt, um Sicherheitsrisiken auszuschalten. Freilich kann man keiner Firma mehr zumuten, ihren Mitarbeitern das Internet zu verbieten; Vorsicht allerdings wird sich mehr auszahlen, als jemals zuvor.