Mindestens drei Millionen Windows-Computer sind mit dem Wurm Conficker infiziert. Nach einigen Schätzungen von Herstellern für Sicherheitssoftware sollen es sogar zehn bis zwölf Millionen oder noch mehr sein. Bisher ist nicht viel passiert, außer dass Techniker in aller Welt versuchen, den Wurm wieder von den befallen Geräten zu bekommen.

Am Mittwoch aber, dem 1. April, wollen die unbekannten Programmierer von Conficker offenbar zuschlagen. Sie sind möglicherweise in der Lage, die befallenen Rechner fernzusteuern - mit welcher Absicht, ist unbekannt. Die infizierten Rechner bilden ein «Botnetz», das dazu verwendet werden kann, massenhaft Spam-Mails zu versenden, weitere Schadenssoftware zu verbreiten oder Internet-Angebote zu blockieren.

Mit «Denial-of-Service»-Attacken könnte eine Flut von Anfragen auf beliebte Webangebote gestartet werden, sodass deren Server unter der plötzlichen Belastung zusammenbrechen. Denkbar ist auch eine Cyberattacke auf Regierungsbehörden - zu den Angriffszielen von Conficker gehörten unter anderem die Bundeswehr und das britische Verteidigungsministerium.

Am wahrscheinlichsten aber ist, dass sich der Wurm am Mittwoch lediglich ein neues Update holt, um sich im Wettbewerb mit den Sicherheitsexperten zumindest für kurze Zeit einen Vorsprung zu verschaffen. Experten, die seit Wochen das Conficker-Treiben mit seinen verschiedenen in Umlauf gebrachten Versionen beobachten, sind relativ gelassen.

«Ich glaube nicht, dass es zu verhängnisvollen Ereignissen im Netz kommen wird», sagt Richard Wang, der in den USA die Forschungsabteilung des Software-Herstellers Sophos leitet. «Für die Leute hinter Conficker ist es nicht sinnvoll, das Netz vor größere Probleme zu stellen, weil sie kein Geld machen können, wenn sie einen Teil des Internet zum Zusammenbruch bringen.»

In der Vergangenheit richteten ähnliche Bedrohungen ein eher planlos wirkendes Zerstörungswerk an. Im Jahr 2003 verstopfte der Wurm Slammer Internet-Verbindungen mit derart zahlreichen Datenpaketen, dass Netze von Unternehmen und Behörden abstürzten. Betroffen waren auch Geldautomaten von mehreren Banken.

Inzwischen aber geht es den Computerkriminellen vor allem ums Geld. Die Kontrolle von zahllosen infizierten PCs wird auf dem Schwarzen Markt gehandelt und als Spam-Schleuder genutzt oder zur Suche nach Sicherheitslücken von Websites, die sich ausnutzen lassen, um etwa an die Daten von Kunden zu gelangen.

Das Botnetz der infizierten Rechner ist wie ein Supercomputer, der die Ressourcen der angeschlossenen Rechner bündelt. Um aktiviert zu werden, müssen die entsprechenden Anweisungen losgeschickt werden. Der Wurm erzeugt mit einem inzwischen bekannten Algorithmus wahllos Internet-Adressen, die dann vom infizierten Rechner aufgerufen werden. So hat Conficker bislang jeden Tag versucht, Verbindung zu etwa 250 tatsächlich bestehenden Internet-Domains aufzunehmen - der Name des Wurms resultiert aus einer der Adressen, die zuerst aufgesucht wurden.

Die Cyberkriminellen müssen nur eine dieser Sites unter ihre Kontrolle bringen, um Anweisungen an das Botnetz zu schicken. Allerdings ist Conficker in gewisser Weise ein Opfer des eigenen Erfolgs: Wegen der raschen Verbreitung haben die Internet-Sicherheitsfirmen Kontakt mit den Domain-Registrierungsstellen aufgenommen, um eine Domain zeitweise abzuschalten und so deren Übernahme zu verhindern.

Am 1. April soll sich die Zahl der attackierten Domains auf 500 verdoppeln. «Wir erwarten, dass dann irgendetwas passieren wird, wissen aber noch nicht genau, wie das aussehen wird», sagt Jose Nazario von Arbor Networks, einer von mehreren Sicherheitsfirmen, die sich zum Abwehrverbund der «Conficker Cabal» zusammengeschlossen haben und die Urheber des Wurms jagen. «Mit jedem Schritt, den sie unternehmen, gibt es die Möglichkeit, dass wir sie identifizieren», sagt Nazario.

Die große Herausforderung aber bestehe in der globalen Koordination der Abwehr. «Das ist kein technisches Problem, aber eine logistische Schwierigkeit.» Die Autoren von Conficker haben den Wurm inzwischen so verändert, dass die infizierten Maschinen neue Möglichkeiten haben, um miteinander zu kommunizieren. Sie können jetzt Anweisungen untereinander austauschen und müssen nicht unbedingt eine gehackte Website kontaktieren.

Damit sei es den Urhebern von Conficker gelungen, die Kontrolle über ihr Botnetz zu behaupten, sagt Michael La Pilla von der Abteilung iDefense der Internet-Firma VeriSign. Die Conficker-Seuche demonstriert einmal mehr, wie wichtig es ist, stets die aktuellsten Sicherheits-Updates zu installieren.

Der Wurm nutzt eine Lücke im RPC-Dienst (Remote Procedure Call) von Windows, die Microsoft bereits im Oktober vergangenen Jahres geschlossen hat. Gleichwohl zogen sich danach noch zahllose Rechner den Wurm zu, weil das Update nicht rechtzeitig vorgenommen wurde. Conficker hat sich auch deshalb so schnell verbreitet, weil es die Computer mit der Sicherheitslücke von selbst findet.

Einmal angekommen, setzt sich der Wurm fest: Er richtet einen HTTP-Server ein, über den er sich selbst weiterverbreitet, und versucht unter anderem, das Passwort des Administrators auszuspionieren, Sicherheitsprogramme zu deaktivieren, den Zugang zu den Websites von Sicherheitssoftware zu blockieren und weitere Einfallstore zu öffnen. Der sicherste Weg, Conficker wirklich loszuwerden, besteht darin, Windows neu zu installieren. (Jordan Robertson/AP)