Der badBIOS genannte Virus befällt Computer vermutlich über infizierte USB-Sticks. © ODD ANDERSEN/AFP/Getty Images

Ein Virus, der fast jedes Betriebssystem angreift, sich bei Schäden selbst heilt und sogar vom Internet getrennte Computer dazu bringt, Daten auszutauschen: Was sich wahlweise anhört, wie ein schlechter Scherz oder der Albtraum eines jeden Computer-Sicherheitsexperten, könnte Realität sein. Zumindest diskutiert die internationale IT-Sicherheitsszene seit einigen Tagen heftig über solch einen Supervirus. Die Experten sind sich uneins, ob es sich dabei um Science-Fiction handelt oder aber um eines der gefährlichsten Schadprogramme, das die Welt bisher gesehen hat.

Auslöser der Debatte ist der renommierte Sicherheitsexperte Dragos Ruiu. Er ist unter anderem Veranstalter der Sicherheitskonferenz PacSec, die am 13. und 14. November in Tokio stattfindet. Ruiu hat den Virus entdeckt und ihn wegen seiner Eigenschaften "badBIOS" getauft.

Die Geschichte reicht drei Jahre zurück: Damals war Ruiu auf Unregelmäßigkeiten aufmerksam geworden, als er auf seinem MacBook Air das Betriebssystem OS X neu installierte. Plötzlich, so beschreibt er es im Gespräch mit Ars Technica, erneuerte sich die vorinstallierte Firmware wie von Geisterhand. Als er versuchte, die Maschine von einer CD-ROM zu starten, um die Fehlerquelle zu finden, weigerte sich der Computer. Der Techniker begab sich auf Spurensuche. Dabei beobachtete er Sonderbares. 

Wie der Name "badBIOS" schon sagt, infiziert die Schadsoftware nach Meinung von Ruiu das BIOS (Basic Input Output System) beziehungsweise den BIOS-Nachfolger UEFI (United Extensible Firmware Interface). Dabei handelt es sich sozusagen um den "Start-Code" für den Computer. Schadsoftware, die dort verankert ist, operiert also potentiell auf verschiedenen Computern – egal, ob sie mit Windows, Mac OS, Linux oder OpenBSD betrieben sind. Dies ist bei Schadsoftware selten der Fall. Viren sind meist auf Windows spezialisiert, seltener auf OS X oder andere, wenig verbreitete Betriebssysteme.

Datenübertragung ohne Internet

Eine Neuinstallation der Betriebssoftware hilft deshalb nicht weiter. Tage oder Wochen später tauche der Virus plötzlich wieder auf, berichtet Ruiu. Versuche der Nutzer ihn zu beseitigen, greife die Schadsoftware überdies die Analysesoftware an. 

Und damit nicht genug. Bei einem mit badBIOS infizierten Rechner, der mit dem Internet verbunden war, konnte Ruiu eine verschlüsselte Internetverbindung über das neue Netzwerkprotokoll IPv6 zu unbekannten Kontrollservern finden. Dies war selbst dann noch der Fall, als IPv6 auf dem Computer deaktiviert war.

Zudem will Ruiu beobachtet haben, dass infizierte Rechner sich gegenseitig Datenpakete zuschickten, sobald sie in unmittelbarer Nähe zueinander standen. Das geschehe selbst dann, wenn die Rechner "air gapped" waren, wenn also WLAN- und Bluetooth-Modul entfernt und sowohl das Ethernetkabel als auch das Stromkabel abgezogen waren, um jeden Verbindung zum Internet auszuschließen. Der Datenaustausch habe erst geendet, nachdem er die Lautsprecher und Mikrofone der Rechner ausgebaut hätte, sagt Ruiu. Seine Erklärung: badBIOS könne kleine Datenmengen über hochfrequente Audiosignale transportieren. 

Forscher sind geschockt oder skeptisch

Wie die Erstinfektion abläuft, kann Ruiu nicht sicher sagen. Er geht davon aus, dass sie über USB-Medien geschieht. Sei der Virus einmal auf einem Rechner, könnte er weitere dort angesteckte USB-Sticks befallen, mit denen wiederum weiter Rechner infiziert würden. Nicht möglich ist die Infektion über Ultraschall, dafür sind die Übertragungsraten zu gering.

Ruius Beobachtungen lösten in der Szene Entsetzen, aber auch Argwohn aus, zumal seine Funde bisher nicht von anderen überprüft werden konnten. Zwei Forscher, denen Ruiu erste Daten übergab, konnten darin nichts Verdächtiges feststellen. Auch Paul Ducklin von Sophos ist skeptisch, und der BIOS-Experte Philip Jaenke meint, dass eine wie von Ruiu beschriebene Schadsoftware sich auf jeden Fall auf der Betriebssystemebene einnisten müsse.

Trotzdem tut sich die IT-Community schwer, badBIOS als Unsinn abzutun. Robert Graham von Errata Security aus Atlanta ist überzeugt, dass alles, was Ruiu beschreibt, plausibel ist. Es handele sich um "Hacking-Mainstream wie auch Virus-Mainstream", sagte er ZEIT ONLINE. Dass andere den Virus bisher nicht entdeckt hätten, liege wohl vor allem daran, dass sie nicht richtig nachgeschaut hätten. Ein Virus, der das BIOS angreift, sei sehr schwer aufzuspüren.