I survived Code Red

Medienhype um einen Wurm

Der Code Red hat Karriere gemacht. Er hat nicht nur Hunderttausende von Rechnern infiziert, sondern ist auch Thema des Tages. Leider hat die Medienpräsenz nicht unbedingt zu einem höheren Sicherheitsbewusstsein gesorgt. Dafür ranken sich Gerüchte und Legenden um den Virus, der in Wirklichkeit ein Wurm ist.

Es fing vor zwei Wochen relativ harmlos mit einer Bugtraq-Meldung an. Ein neuer Virus - genauer gesagt: ein Wurm – befällt den Webserver IIS aus dem Hause Microsoft. Die Sicherheitslücke ist längst bekannt, trotzdem registrieren viele Administratoren Tausende von Infektionsversuchen. Der Wurm verbreitet sich rasant und selbsttätig. Der Nutzer muss nicht mal einen Email-Anhang anklicken, um den Virus zu aktivieren. Allerdings richtet er kaum Schäden an: die Server laufen in der Regel problemlos weiter, der verursachte Datenverkehr hält sich in Grenzen. Eine Variante des Virus ist nicht so nett und verändert Websites. Als Krönung prangt sogar auf der Windows-Update-Seite von Microsoft der Schriftzug: "Hacked by Chinese".

Am 20. Juli schaltet der Wurm um, wie das Bundesamt für Sicherheit in der Informationstechnik dokumentiert. Er hört auf, sich zu verbreiten, und attackiert stattdessen die Webseite des Weißen Hauses. Allerdings ist der Angriff nur schlampig vorbereitet – die Netzwerkadministratoren der US-Regierung können den Distributed Denial of Service-Angriff ins Leere laufen lassen. Am 27. Juli stellt Code Red sogar diese Aktivität ein. Allerdings nur für vier Tage. Seit dem ersten August verbreitet er sich wieder. Und am 20. August wird er auch wieder seine vergeblichen Angriffe gegen das Weiße Haus starten – sofern keine effektiven Gegenmaßnahmen ergriffen werden. Drei Wochen sind eine Ewigkeit, um Code Red den Garaus zu machen. Sollte man meinen.

So ganz sicher ist man sich aber nicht. Auf alle Fälle macht der Wurm eine Medienkarriere. Pünktlich zur zweiten Ausbreitungswelle liefern sich FBI, Microsoft, selbsternannte und wirkliche Virenexperten eine Schlacht der Prognosen und Parolen. Dabei geht es zu wie in Brehms Tierleben: War eben der Wurm noch eine lahme Ente, wird er ein paar Stunden wieder zum reißenden Tiger, um kurz darauf wieder zum Stubentiger zu degenerieren.

Der martialische Name kann zur Panikmache beigetragen haben. "Code Red" – das klingt nach Rotem Alarm, nach DEFCON 1, nach "Alle Mann auf Gefechtsstation". Aber in Wirklichkeit kommt der Name von einem Softdrink namens "Mountain Dew Code Red", den die Entdecker des Wurms zufällig gerne trinken. So informiert uns zumindest Spiegel Online.

Sogar die Tagesschau widmet dem Phänomen einen Zwei-Minuten-Beitrag und lässt Experten zu Wort kommen. Allerdings darf Jens Ohlig, Pressesprecher des Chaos Computer Club (CCC) nur kurz erläutern, dass Webserver - also die Rechner, "wo www davorsteht" – Sicherheitslücken aufweisen. Soweit korrekt. Da das nicht dramatisch genug klingt, lässt die Tagesschau-Redaktion auch gleich Hunderttausende von infizierten Rechnern abstürzen, ebenso wie die Server des Weißen Hauses. In der gesamten Presse kam es zu leichten Irritationen. Der Nachrichtenklau-Service Shortnews titelt sogar "Code Red: Das gesamte Internet könnte wegen ihm zusammenbrechen".

Die Netzeitung versorgt uns mit einer ersten Schadenseinschätzung nicht näher benannter amerikanischer Forscher. 395.000 Server seien befallen gewesen – die Entwurmungskur koste 740 Millionen Dollar. Das macht mehr als 1800 Dollar pro Rechner – ein stolzer Preis, wenn man bedenkt, dass sich der Wurm gar nicht auf die Festplatte schreibt. Der Computerfachmann muss den Patch installieren und den Server neu starten. Selbst bei dem veranschlagten Stundenlohn von stolzen 300 Dollar kommt man so auf sechs Stunden hochqualifizierte Arbeitszeit pro Rechner. Dazu kommen noch einmal 450 Millionen Dollar, um die Systeme sicher zu machen. Ohne den Wurm hätte man sich die Arbeit offenbar gespart. Insofern war Code Red ein echter Sicherheitsgewinn.

Offenbar machen sich auch weiterhin wenige Administratoren Sorgen um das Weiße Haus, solange die eigenen Webseiten nicht gelöscht werden. Auch die zweite Infektionswelle soll am ersten Tag Zehntausende von Servern infiziert haben.

Solche Dimensionen locken natürlich auch Verschwörungstheorien auf den Plan. Reuters zitiert ICANN-Direktor und CCC-Mitglied Andreas Müller-Maguhn mit der These, der Virus könne aus einem Waffenlabor kommen. Diese Angriffsthese ist allerdings so logisch wie ein atomarer Erstschlag mit Castor-Behältern.

Einleuchtender ist da die These, dass die Meldungen über die Gefahr gezielt übertrieben wurden (Code-Red-Wurm: Alarmstufe Rot, Teil Zwei). Das FBI hat im Bereich Cyberkriminalität eine Serie von Pannen zu verzeichnen. Sogar vermeintliche Internetexperten der Bundespolizei waren nicht im Stande, sich gegen einen simplen Mailvirus zu schützen. Je größer die Bedrohung aus dem Netz ist, desto größer wird das Budget im Cyberwar.

Dass Microsoft bei dem imageschädlichen Halali mitmacht, kann wiederum einen ganz einfachen Grund haben: So werden alle User nachdrücklich aufgefordert, die Sicherheitspatches von Microsoft zu installieren. Auf diese Weise werden die Redmonder nur noch für die eigenen Fehler und nicht die Nachlässigkeit der Kunden verantwortlich gemacht – zumindest für einige Monate. Denn es ist kaum zu erwarten, dass die Masse der Nutzer auch in Zukunft brav die Sicherheitsupdates einspielt. (Torsten Kleinz)

Anzeige