Motiv Gier
Avira-Entwickler: WannaCry-Angriff war nicht politisch
- Der Name Nordkorea ist in den vergangenen Tagen oft zu hören gewesen, wenn es um die Herkunft der Virus WannaCry gegangen ist. Das Schadprogramm hatte am Wochenende Daten von Privatnutzern und Firmen verschlüsselt. Die Programmierer wollen ein Lösegeld erpressen, indem sie versprechen, die Daten gegen Zahlung wieder freizugeben.
Alexander Vukcevic ist vom wirtschaftlichen Kalkül der Täter überzeugt, politische Hintergründe sieht er nicht. Vukcevic ist Direktor des Virenlabors beim weltweit bekannten Hersteller von Antivirensoftware Avira mit Sitz in Tettnang (Bodenseekreis). „Wir können nicht feststellen, ob WannaCry aus Nordkorea kommt“, sagt Vukcevic. Der Code könne lediglich einer Gruppe zugeordnet werden. Doch auch dabei gebe es Unschärfen: „Es ist schwierig zu sagen, von welcher Gruppe das stammt, weil dieser Malwarecode im Darknet gehandelt und auch von anderen Malwareautoren in ihre Software verwendet wird.“
500 000 neue Viren am Tag
Aus diesem Grund müssen Programmierer von Schadsoftware nicht mehr jede Zeile selbst programmieren. Stattdessen kaufen sie vorhandene Module und stellen sie immer wieder neu zusammen, um so neue Angriffe starten, erläutert der AviraChefentwickler. Die Herkunft der Viren sei schwer nachzuvollziehen. Gab es vor einigen Jahren noch zehn bis zwanzig neue Viren am Tag, sind es heute 500 000. Die Zahl steigt rasant. Das hängt auch damit zusammen, dass sich Viren-Entwickler zunehmend professionalisieren.
Die Programmierer von Schadsoftware organisierten sich heutzutage quasi in Firmen mit Standardarbeitstagen und Betriebsferien: „Wir nehmen zum Beispiel wahr, dass die Zahl neuer Viren zu Weihnachten und im Sommer immer abnimmt.“Die Strukturen seien ähnlich wie in normalen Unternehmen: „Das ist für die wie ein normaler Entwicklerjob.“
Die Entwickler von WannaCry, sagt Vukcevic, seien scheinbar von der hohen medialen Aufmerksamkeit überrascht gewesen. Sie hätten sich vermutlich zurückgezogen, aber andere Entwickler würden so sehen, dass sie die Lücke auch nutzen können. „Es gibt einen Trojaner, einen Bitcoin-Miner, der die gleiche Lücke nutzt“, erläutert Vukcevic. Dieser sperrt keine Daten, sondern produziert eine digitale Währung. Nutzern fällt nur auf, dass der Rechner immer auf Hochtouren läuft. Sie wissen gar nicht, dass ihr Rechner befallen ist.
Wo Privatleute nur fleißig Updates machen können, rüsten Firmen mittlerweile auf, sagt Vukcevic: „Es gibt immer mehr Analysten. Viele Firmen haben die Gefahr erkannt.“