Ein Software-Schädling, der zur Inspiration eines globalen Pop-Hits wurde – das hat außer dem Iloveyou-Wurm kein Computervirus mehr geschafft. Das britische Popduo Pet Shop Boys mit ihrem Song „E-mail“ setzte ihm ein musikalisches Denkmal. Das per E-Mail verschickte Schadprogramm, das fast auf den Tag genau vor 20 Jahren von den Philippinen aus um die Welt raste, war eben in vielerlei Hinsicht außergewöhnlich.
Am 4. Mai 2000 vermutlich von zwei Studenten in Manila erstmals verschickt, verbreitete sich der auch als „Loveletter“ bekannte Schädling so rasch und so wirkungsvoll um den Globus wie kein Computervirus zuvor. Binnen Stunden sprang er von Kontinent zu Kontinent und infizierte dabei unter anderem IT-Systeme im US-Verteidigungsministerium, beim Geheimdienst CIA und im britischen Parlament.
Nach nur zehn Tagen hatte Iloveyou weltweit mehr als 50 Millionen Rechner infiziert – hochgerechnet rund jeden zehnten der damals mit dem Internet verbundenen Computer. Sicherheitsexperten kalkulieren die Schäden durch von dem Programm gelöschte Dateien auf mindestens 5,5 Milliarden Dollar. Dazu kamen weitere rund 15 Milliarden Dollar Kosten, um den Wurm wieder aus allen befallenen Systemen zu entfernen.
Geschickt die Opfer manipuliert
Beinahe noch bemerkenswerter war die Taktik, auf die die Saboteure setzten, um ihrem Programm den Weg um die Welt zu ebnen. Statt auf besondere technische Finessen setzten sie auf emotionale Tricks, damit die Empfänger den als E-Mail-Anhang verschickten Schädling aktivierten.
Der verbarg sich in einem als Textdokument getarnten Programm mit dem Dateinamen „Loveletter“. Daneben enthielt die E-Mail den knappen Satz „Bitte öffne meinen anhängenden Liebesbrief.“ Der Aufforderung kamen die Empfänger offenbar nur allzu gerne nach: Wer freut sich nicht über ein paar nette Worte? Doch statt Liebesschwüre anzuzeigen, begann das Programm damit, Dateien auf dem Rechner zu zerstören. Zudem kaperte der Wurm nach dem Öffnen sofort das E-Mail-Adressbuch des Opfers und leitete sich gewissermaßen selbst an alle Bekannten weiter.
Damit sah die Nachricht für alle folgenden Empfänger besonders glaubwürdig aus, weil sie ja von einer vertrauten Quelle stammte. Als Social Engineering bezeichnen Experten diese ebenso wirkungsvolle wie perfide Taktik. Denn sie macht sich das soziale Wesen der Empfänger zunutze. Und sie setzt auf einen Vertrauensvorschuss, den Nachrichten von bekannten Kontakten im privaten wie im beruflichen Posteingang immer haben.
Virenschutz und Firewalls laufen ins Leere
Iloveyou war der erste Cyberschädling, dem es gelang, das Prinzip des Social Engineering weltweit umzusetzen und zwar interessanterweise unabhängig von sprachlichen und kulturellen Grenzen. Geliebt werden wollen die Menschen eben überall.
Genau das macht diese Angriffstaktik bis heute so gefährlich: Mit technischen Mitteln, also mit Virenschutzprogrammen, Firewalls oder Netzwerkfiltern, lassen sich IT-Systeme in Unternehmen ebenso wie private Computer nur bis zu einem gewissen Maß absichern. Am Ende bleibt immer der Faktor Mensch.
Aus gutem Grund gilt unter Sicherheitsexperten das geflügelte Wort, dass die riskanteste Schwachstelle jedes IT-Systems unser Mausfinger vor dem Bildschirm ist. Denn der klickt in der Regel allzu vorschnell und unvorsichtig auf verseuchte Dateianhänge oder Links zweifelhafter Provenienz.
Vom „Vorstand“ ausgenommen
Dabei gibt es bis heute offensichtlich so gut wie keinen Lerneffekt. Speziell, wenn die elektronische Post von vermeintlich vertrauten Absendern stammt, öffnen die Menschen sorglos jeden Anhang, als hätte es Iloveyou nie gegeben.
Besonders wirkungsvoll ist die Taktik, wenn die Nachricht vom Chef zu stammen scheint. Bei der sogenannten Fake-CEO-Masche ergaunern Betrüger dank Social Engineering Jahr für Jahr Millionenbeträge. Rund jedes sechste deutsche Unternehmen, ergab eine Ende vergangenen Jahres veröffentlichte Umfrage des Digitalverbandes Bitkom, war in den vergangenen beiden Jahren Opfer von Social-Engineering-Attacken. Ein weiteres Viertel vermutet das zumindest. Tendenz steigend. Auch 20 Jahre nach Iloveyou ist Social Engineering ungebrochen eine der erfolgreichsten Angriffstaktiken.
