Schatz, es wird heute später – diesen Satz werden am vergangenen Mittwoch Abertausende Büroangestellte in den Telefonhörer gesäuselt haben, nachdem sie – Übergangsjacke schon über dem Arm – nur eben noch den PC ausschalten wollten. Der aber ließ sich Zeit: Denn Microsofts größtes Sicherheits-Update der Firmengeschichte sorgte mit 16 Aktualisierungen dafür, dass summa summarum 49 Sicherheitslücken in Windows, Explorer und Office geschlossen wurden.
So viele? So wie für den Koch das Loch das wichtigste an einem Sieb ist, scheint für Hacker die Sicherheitslücke das wichtigste an Windows zu sein. Durch vier dieser Löcher kroch seit Juli der Stuxnet-Wurm, um weltweit mit Siemens-Steuerungssoftware versehene Industrieanlagen zu attackieren: Die Hauptkampflinie verlief von den USA über Großbritannien und Südkorea, nach Indien, Indonesien – und traf scheinbar gezielt den Iran und das iranische Atomprogramm. Der Iran sah sich von westlichen Mächten gezielt bedroht und die Frankfurter Allgemeine Zeitung „FAZte“ das Geschehen durchaus reißerisch zusammen: „Der digitale Erstschlag ist erfolgt.“
Im Internet verbreiten sich Verschwörungstheorien ebenso schnell wie Viren – und tatsächlich gibt es Anhaltspunkte, die zumindest eine große Organisation hinter dem Mail-Wurm vermuten lassen: Erstens, die Zeit – mindestens seit Juli 2009 beobachten die Viren-Wehren von Symantec Stuxnet-Aktivitäten. Und zweitens, das Geld – die vier Sicherheitslücken waren, solange sie unbekannt waren, Gold wert (für einen solchen Zero-Day-Exploit lassen Bösewichte schon mal eine Viertelmillion Euro springen). Beides spricht nicht gerade für eine „teenage-hacker-coding-in-his-bedroom type“ Operation, wie Symantecs Viren-Forscher Liam O Murchu in seinem Bulletin schrieb.
Was soll uns im Internet der Diebe mehr schrecken – die offensichtlich zahllosen Sicherheitslücken?, der zu unterstellende Organisationsgrad des Virenangriffs?, die Tatsache, dass zum ersten Mal Maschinen im Fertigungsprozess das Ziel einer Manipulation waren, mit der katastrophale Fehlfunktionen hätten ausgelöst werden können? Während wir darüber nachdenken, dass die Betonwände um unsere Atomreaktoren zu dünn für einen Angriff aus der Luft sein könnten, stellen wir fest, dass unsere Firewalls um unsere Anwendungsserver zu dünn sind für einen Angriff aus dem Loft, der heimlichen Hacker-Fabrik.
Die Zahl der Endgeräte, die über einen Internet-Anschluss verfügen, wächst schneller als die Zahl der Menschen, die auf das World Wide Web zugreifen können. Wir lieben das Internet auch wegen seiner Services, die schon lange nicht mehr von Menschen geleistet werden, sondern von Maschinen. Wir müssen damit leben, dass es nicht nur eine Abwärtsspirale von Angriff und Verteidigung gibt, sondern auch – und vielleicht schlimmer noch – einen Zusammenhang von Sicherheit und Risikobereitschaft. Je größer die TÜV-Plakette auf der Achterbahn, umso bereitwilliger setzen wir uns den Beschleunigungskräften des Fahrgeräts aus. Und auf das Internet bezogen: Je sorgfältiger Symantec, Kaspersky und Konsorten gegen Viren vorgehen, umso sorgloser benutzen wir USB-Sticks, öffnen wir Mail-Anhänge, akzeptieren wir Cookies oder lassen unsere Maschinen freien Lauf. Damit kein Missverständnis entsteht: Technische Überwachungsvereine und Viren-Schützer tun eine segensreiche Arbeit – aber sie vermitteln ein Gefühl des „Safer Hex“, der so nicht existiert.
Stuxnet ist letztendlich fehlgeschlagen. Die Domain, von der er seine Befehle erhalten sollte, ist beseitigt. Aber Stuxnet wird wie auch das Phänomen der Sicherheitslücken Nachfolger haben. Wir müssen uns wappnen. Auf das Internet verzichten, können wir bereits nicht mehr. Web-Sicherheit ist aber kein Glückspiel wie Lotto. Jeder Treffer ist einer zu viel. Ach übrigens, wenn Sie Ihren Sicherheitspatch noch nicht vollzogen haben – hier ist der Link: http://update.microsoft.com/