Der Computervirus "Code Red" sorgt weiter für Aufsehen. Wie gefährlich sind der Virus und seine Varianten? n-tv.de sprach mit Frank W. Felzmann, Referatsleiter im Bundesamt für Sicherheit in der Informationstechnik (BSI).

n-tv.de: Die neue Variante von "Code Red" verbreitet sich offenbar schneller als das Original. Wieviele Rechner sind schätzungsweise schon befallen?

Frank W. Felzmann: Zurzeit geht man davon aus, dass rund 600.000 Rechner von dem Wurm infiziert sind. Davon sind etwa 500.000 von der alten "Code Red"-Variante befallen und etwa 100.000 von der neuen Variante.

n-tv.de: Die mutierte Version hinterlässt auf den befallenen Servern "Trojanische Pferde", die Angriffe von außen ermöglichen. Sind bereits Server angegriffen worden?

Frank W. Felzmann: Ein "Trojanisches Pferd" ist ein Programm mit einer verborgenen Funktion, das auf dem Rechner schlummert. Wenn es jedoch von außen aufgerufen werden kann, hat man alle Rechte über den betroffenen Computer, also Administratorenrechte. Jeder Rechner, der mit der neuen Variante des Virus infiziert ist, hat auch automatisch das "Trojanische Pferd ". Wie viele Server tatsächlich von außen anegriffen worden sind, weiß man noch nicht.

n-tv.de: Rechnen Sie damit, dass noch weitere "Code Red"-Varianten auftreten werden?

Frank W. Felzmann: Ja, das hat man auch schon im Vorfeld der zweiten Variante gesagt. Nun ist diese Vermutung bestätigt worden. Eigentlich gibt es schon drei Varianten.

Die erste ist im Juli aufgetaucht. Damals wurden die Websites der Opfer-Rechner mit dem Text "Hacked by Chinese" für 10 Stunden verändert. Dadurch ist der Wurm jedoch vorzeitig aufgeflogen. Von dieser ersten Version gab es dann zwei weitere Varianten, die den Hinweis nicht enthielten. Aber auch diese lösen die Denial-of-Service-Attacken auf die Website der US-Regierung aus, also die Überschwemmung mit "Datenmüll".

Die neue Version von "Code Red" verändert weder die Website der Betroffenen, noch wird die des Weißen Hauses angegriffen. Auf den infizierten Rechnern wird jedoch das "Trojanische Pferd " abgelegt. Die Verbreitung dieser Version funktioniert aber durch Ausnutzen der gleichen Sicherheitsschwachstelle wie die der vorherigen.

n-tv.de: Am 20. August wird eine neue "aktive Phase" des Originals erwartet. Glauben Sie, dass diese größere Beeinträchtigungen des Internet-Verkehrs als die vorherige mit sich bringen wird, weil der Virus inzwischen weiter verbreitet ist?

Frank W. Felzmann: Von "Das Internet lahmgelegt " kann keine Rede sein. Ich habe bereits im Vorfeld gesagt, dass das Internet durch die Versendung der vielen Datenpakete nur beeinträchtigt werden könnte. Mittlerweile haben wir Kontakt zu den Internet-Provider aufgenommen, um die Angriffe ins Leere laufen zu lassen. Versucht der Wurm vom 20. bis 27. August, die alte IP-Adresse des Weisses Hauses aufzurufen, soll die Anfrage mit Hilfe von Filtern gar nicht erst nach außen dringen können. Damit soll verhindert werden, dass der Traffic im Internet beeinträchtigt wird.

Leider sind viele Administratoren bisher zu nachlässig oder unerfahren, den Patch aufzuspielen, um die Sicherheitslücke zu schließen, besonders an Universitäten. Die Server der deutschen Regierung sind alle - soweit ich weiß - okay. Man hatte ja auch genug Zeit zum Vorsorgen.

n-tv.de: Weiß man bereits etwas über den Ursprung von "Code Red" oder seiner Varianten?

Frank W. Felzmann: Nein. Jetzt irgendwelche Aussagen über die Herkunft zu machen, das wäre wie Lesen im Kaffeesatz. Auch der Hinweis "Hacked by Chinese" kann eine falsche Fährte sein.

n-tv.de: Der Computer-Wurm und seine Versionen nutzen ja eine Sicherheitslücke in der Server-Software IIS von Microsoft. Ist es für Angreifer weltweit einfacher, größere Schäden anzurichten, weil Microsoft-Software quasi flächendeckend eingesetzt wird?

Frank W. Felzmann: IIS ist schätzungsweise auf sechs bis acht Millionen Servern weltweit installiert. Davon muss man die abziehen, die nicht am Internet sind, sondern nur für hausinterne Netze verwendet werden. Auf eine weitere Anzahl von Rechnern ist bereits der Patch aufgespielt worden. Damit bleiben wohl eine bis 2 Millionen Server übrig, die erfolgreich angegriffen werdenkönnen.

Das Problem der schnelleren Verbreitung eines Schadens hat man ja bei jeder Monokultur. Ein Angreifer hat natürlich weniger Erfolg, wenn es verschiedene Systeme gibt.

Vielen Dank für das Interview.

(Die Fragen stellte Tatjana Brode.)