Wie konnten Kriminelle 16 Millionen Internet-Identitäten erbeuten? Haben die betroffenen Nutzer keine Antiviren-Software installiert oder schützen die Programme gar nicht so gut, wie man glauben möchte?

Viren und Trojanern sind für alle Internet-Nutzer eine alltägliche Bedrohung. Aber wenn man eine gute Antiviren-Software installiert hat und sein System mit Updates auf dem neuesten Stand hält, muss man sich eigentlich keine Sorgen machen, oder? Dass das nicht so ist, beweisen die 16 Millionen Datensätze, die das Bundesamt für Sicherheit in der Informationstechnologie (BSI) von Ermittlern erhalten hat. Die E-Mail-Adressen und Passwörter gehören fast alle deutschen Nutzern, deren Rechner von Malware gekapert und zu einem Botnetz zusammengeschaltet wurden.

Andreas Marx vom unabhängigen Institut AV-Test schätzt die Zahl der Betroffenen auf acht bis zehn Millionen, das BSI rechnet mit acht Millionen. "Viele nutzen mehr als eine E-Mail-Adresse", sagt er. Laut einer ARD-Statistik waren im vergangenen Jahr rund 54 Millionen Deutsche online. Eine unfassbare hoh e Zahl, die viele kaum für möglich gehalten hätten.

Zwar gibt es auch in Deutschland immer noch Nutzer, die keinen funktionierenden Viren-Scanner haben - vorsichtig geschätzt gehen vielleicht rund fünf Prozent mit einem Windows-Rechner ohne Schutz ins Internet. Bei acht bis zehn Millionen betroffenen Nutzern muss man aber davon ausgehen, dass auch gut geschützte Systeme von der Malware befallen wurden. Wie ist das möglich?

"Es ist ein Katz-und-Maus-Spiel"

"Meistens fängt man sich einen Virus über infizierte Webseiten oder E-Mail-Anhänge ein", sagt Andreas Marx. Etwa 220.000 neue Viren zähle sein Institut pro Tag, wobei die meisten nur leicht modifizierte Varianten bekannter Malware seien. Nur rund 1000 seien "echte Neuheiten". Die Kriminellen würden sich dabei ein Katz-und-Maus-Spiel mit den Herstellern von Schutz-Software liefern, sagt er. Zum einen verändern die Programmierer den Schad-Code ständig leicht, damit die Antiviren-Wächter ihre Signaturen nicht in ihren Datenbanken finden. Andererseits stellen sie ihre Schädlinge so ein, dass sie möglichst nicht auffallen und so von der verhaltensbasierten (heuristischen) Erkennung der Antiviren-Programe nicht erwischt werden.

"Sie versuchen unter dem Radar zu bleiben", erklärt Marx. "Beispielsweise bleiben sie ein oder mehrere Tage inaktiv, bevor sie loslegen. Irgendwann stuft sie dann die Schutz-Software vielleicht als harmloses System-Programm ein." Dabei machen sich die Cyberkriminellen zunutze, dass auch Fehlalarme sehr gefährlich sein können, beispielsweise wenn eine System-Datei als Virus erkannt und gelöscht wird.

Die größten Probleme bereitet Schutz-Programmen ganz "frische" Malware, deren Signatur und Verhalten sie nicht kennen. "In unserem jüngsten Test haben nur zwei von 40 Scannern innerhalb der ersten 24 Stunden nach Erscheinen eines neuen Virus angeschlagen", sagt Marx, "die von Kaspersky und Avira". Sein Tipp: "Wenn Ihnen eine E-Mail verdächtig erscheint, lassen Sie sie einen Tag liegen." Drei Viertel der Wächter hätten dann im Test den infizierten Anhang herausgefiltert, unter ihnen alle bekannteren Programme, sagt Marx. Im aktuellen Fall könne außerdem eine Rolle spielen, dass viele Hersteller von Antiviren-Software im Ausland sitzen und nicht auf Deutschland fokussiert seien. Vieles deute aber darauf hin, dass ganz gezielt deutsche Nutzer attackiert wurden.

Auch Spam-Filter sind wichtig

Offensichtlich darf man sich auch bei der besten Antiviren-Software nicht allzu sicher fühlen. Man muss immer wachsam sein und vor allem sehr gut überlegen, was man anklickt und welche Anhänge man öffnet. Etwas mehr Sicherheit als reine Viren-Scanner bieten sogenannte Suits, die zusätzliche Schutzmaßnahmen bieten. So blockt ihr Spam-Filter die meisten E-Mails mit gefährlichem Anhang, die dann erst gar nicht im Posteingang landen.

Zur Zeit ist unter anderem höchste Vorsicht bei Post von Vodafone, der Telekom und Paypal geboten. Derzeit verschicken Kriminelle massenhaft gefälschte Rechnungen mit einem Trojaner im Anhang. Wie Kaspersky aktuell meldet, wurden im vergangenen Jahr elf Prozent aller schädlichen Spam-Mails an deutsche Nutzer verschickt. Deutschland liegt damit hinter den USA (zwölf Prozent) weltweit auf dem zweiten Platz.

Ein zusätzlicher Spam-Schutz ist vor allem bei Anbietern wie GMX oder Web.de ratsam, die kostenlos nur ungenügend vorab filtern. Googles Gmail oder Microsofts Outlook bieten dagegen auch gratis bereits einen sehr guten Spam-Schutz. Zwar muss man bei diesen US-Diensten damit rechnen, dass die NSA die E-Mails ebenfalls filtert. Aber wahrscheinlich sind die ganz gewöhnlichen Ganoven für Otto-Normal-Nutzer immer noch gefährlicher als Spitzel im Staatsdienst.