1ATTACKEN VON VIELEN SEITEN

Der Computervirus – ein selbstreproduzierendes Programm, das Schaden stiften kann – als Urform und Vorläufer aller heute existierenden Bedrohungen der Cybersicherheit ist schon relativ alt. Anno 1949 veröffentlichte der Mathematiker John von Neumann seine These, dass sich Computerprogramme selbst replizieren können.1 Es dauerte aber noch bis zum Beginn der 1960er-Jahre, bis in den Bell Labs, einem berühmten Forschungszentrum im Silicon Valley, ein Computerspiel namens »Darwin« entwickelt wurde (später unter »Core Wars« bekannt), in dem zwei Algorithmen gegeneinander kämpften: Sie versuchen, sich gegenseitig zu überschreiben und so die Vorherrschaft über das Rechnersystem zu gewinnen.2 Unter dem etwas sperrigen Titel »Selbstreproduzierende Automaten mit minimaler Informationsübertragung« beschrieb der österreichische Ingenieur Veith Risak 1972 dann einen zu Forschungszwecken geschriebenen Virus in einem Fachartikel. Das Programm selbst lief einwandfrei auf einem damals gängigen Siemens-Großrechner Typ 4004/35 und brachte alle grundlegenden Funktionen mit, die man heute mit einem Computervirus assoziiert.3 Es konnte sich selbst reproduzieren und so weiter ausbreiten und war in der Lage, Veränderungen an den befallenen Systemen vorzunehmen.

Im selben Jahr tauchte auch der Begriff »Computervirus« erstmals auf – in einer Science-Fiction-Geschichte des (Drehbuch-)Autors David Gerrold mit dem Titel »When Harlie Was One«. Sowohl der Begriff als auch der Gedanke dahinter wurden in der Folge vielfach aufgegriffen, 1975 etwa in dem Roman Der Schockwellenreiter. Darin beschreibt der Autor John Brunner viele heute gängige Konzepte bis hin zur Grundidee der Schwarmintelligenz, aber eben auch die Gefahren von Computerviren und anderen selbstreproduzierenden Algorithmen. Die Büchse der Pandora war geöffnet und Wissenschaftler wie Praktiker stürzten sich auf dieses neue Konzept.

Im Jahr 1980 entstand am Informatik-Lehrstuhl der Universität Dortmund eine Diplomarbeit, in welcher der Vergleich angestellt wurde, dass sich bestimmte Programme ähnlich wie biologische Viren verhalten können. Zwei Jahre später schrieb ein damals 15-jähriger US-amerikanischer Schüler ein Computerprogramm namens »Elk Cloner«, das sich auf Apple-II-Systemen via Diskettenaustausch verbreitete. Die eigentliche Schadfunktion von Elk Cloner war überschaubar, so ist überliefert, dass das Programm bei jeder fünfzigsten eingeschobenen Diskette die Meldung ausgab:

Wann genau der erste Computervirus, der diesen Namen wirklich verdient, weil er wirkliche Schäden anrichtete, in freier Wildbahn entdeckt wurde, ist unklar. 1986 jedenfalls wurde die erste Vireninfektion auf Rechnern der Freien Universität Berlin entdeckt.5

Seither haben wir eine beinahe lawinenartige Zunahme verschiedenster Schadprogramme erlebt, die sich von System zu System, das heißt meist von Computer zu Computer, aber auch von Mobiltelefon zu Mobiltelefon verbreiten. Während früher die Datenübertragung von Schadsoftware zumeist per Diskette erfolgte, stehen nun schnellere und weitreichendere Übertragungswege offen, sodass sich Schadprogramme binnen weniger Stunden rund um den Globus verbreiten können.

Um die Begriffsverwirrung komplett zu machen, ist vielfach auch die Rede von einem weiteren Schädling: der Trojaner. Der Begriff ist entstanden in Anlehnung an das hölzerne Trojanische Pferd aus der griechischen Mythologie, das zur Eroberung des als uneinnehmbar geltenden Troja diente, indem sich griechische Soldaten in seinem Bauch versteckt hielten, die nachts – nachdem das als Geschenk präsentierte Pferd von den Trojanern in die Stadt gebracht worden war – die Tore der Stadt von innen öffneten und ihr Heer hineinließen. Als »Trojanisches Pferd« oder »Trojan Horse« oder eben meist kurz als »Trojaner« bezeichnet man in der IT entsprechend Programme, die unerwünschte Funktionen mitbringen und dazu auf fremde Rechner geschleust werden, bei denen der Betroffene vielfach unbewusst bei der Verbreitung mithilft, indem er Programme aus zweifelhaften Quellen herunterlädt und installiert. Aber auch wenn der Nutzer sich nur auf offizielle Quellen verlässt, ist er nicht vor der Gefahr, an Schadsoftware zu geraten, gefeit, denn immer wieder tauchen etwa im offiziellen Google Play Store trojanerverseuchte Apps auf.6 Teilweise treiben Kriminelle erheblichen Aufwand, um die Sicherheitsmechanismen der Appstores zu umgehen. Vielfach mit Erfolg. Im Ergebnis hat der Nutzer zumeist eine App oder eine Software, die neben den gewünschten Funktionen auch unerwünschte mitbringen oder unerwünschte Programmteile nach Bedarf nachladen.

In der Praxis ist die Unterscheidung zwischen Virus, Wurm und Trojaner nicht mehr wirklich relevant. Fortgeschrittene Schadsoftware integriert Verbreitungs- wie Schadfunktionen aus unterschiedlichen Konzepten, deswegen spricht man heute besser insgesamt von Malware als wichtigstem Oberbegriff und unterscheidet lediglich, ob die Verbreitung mit oder ohne Nutzerinteraktion geschieht. Der erstere Fall ist der Regelfall. Typischerweise etwa klickt der Anwender auf einen verseuchten E-Mail-Anhang, bei Variante zwei spricht man von »Zero click Malware«.

Egal welche Malware sich eingenistet hat, im Ergebnis ist der Rechner und manchmal in Folge das ganze Netzwerk kompromittiert und ein geschickter Angreifer kann entweder auf lange Zeit unbemerkt Daten entwenden oder manipulieren oder ganz simpel Sabotage betreiben. Das in der Praxis häufigste Problem ist dabei die später noch näher beschriebene Ransomware, bei der die auf dem Rechner gespeicherten Daten dem Anwender durch Verschlüsselung entzogen und nur gegen Lösegeld freigegeben werden.

Aber egal wie man die über Jahrzehnte entwickelte Nomenklatur rund um Schadsoftware sieht: Wichtig für das Verständnis ist das damit einhergehende Risiko und Schadenspotenzial. Und das kann – weltweit gesehen – in die Milliarden gehen. Auch wenn die meisten Schadensereignisse nur lokale Folgen haben, machen doch immer wieder einzelne Cybersicherheitsvorfälle ...