Das Wochenende im Januar, an dem der Computerwurm zuschlug, war für Rainer Harpf, den Chief Information Officer der Kärntner Landeskrankenanstalten (Kabeg), ein Albtraum. Blitzschnell hatte der Schädling, den Sicherheitsfachleute Conficker getauft haben, am Samstagmorgen seine Arbeit aufgenommen, nachdem er irgendwo auf einen Rechner des Klinikverbunds geschlüpft war. Das Hackerprogramm sammelte die Passwörter, die auf dem Rechner zu finden waren, es kopierte Daten und versuchte, all diese Informationen an eine Adresse im Internet zu schicken. Conficker infizierte alle Computer, die er über das Netzwerk des Krankenhauses erreichen konnte. "In unsere medizinischen Systeme, in denen die Patienteninformationen und Röntgenbilder abgelegt sind, konnte der Wurm nicht eindringen", sagt Harpf. "Aber er hat all unsere Computerarbeitsplätze lahmgelegt."

Am Ende fand sich der Schädlingscode auf 3000 Computern wieder. E-Mails zu verschicken, im Internet zu surfen, ja sich überhaupt nur an ihrem Rechner anzumelden war für die Kabeg-Mitarbeiter unmöglich. Conficker versuchte, ihre Benutzerkonten aufzubrechen, indem er wahllos Millionen von Passwörtern ausprobierte. Bis zu 200 Mal pro Sekunde setzte er dazu an, über das Internet Computer irgendwo auf der Welt anzugreifen.

Um den Schädling aufzuhalten, kappte Harpf die Netzwerkverbindungen aller Arbeitsplatzrechner. Dann begann das Aufräumen: Von Samstagmorgen um sieben Uhr bis Sonntagabend um elf neutralisierten er und seine Mitarbeiter den Hackercode auf jedem einzelnen Computer. Das Wochenende über arbeiteten die Ärzte notgedrungen wieder wie in der Vergangenheit: mit Fieberkurven und Krankenberichten auf Papier.

In wenigen Stunden drang der Wurm in tausende deutsche Unternehmen ein

Nicht nur in Kärnten machten Computerfachleute in den vergangenen Wochen unliebsame Bekanntschaft mit dem verheerendsten Internetwurm seit Jahren. In Hamburg schlug er im Albertinen-Krankenhaus und im dazugehörigen Schulungszentrum für Pflegekräfte zu. In mehr als 4300 Unternehmen und Organisationen in Deutschland und weltweit auf mehr als sieben Millionen Rechner ist der Wurm nach Schätzungen des finnischen Antivirensoftware-Herstellers F-Secure eingedrungen. Bei der Bundeswehr hat der Computerschädling mehrere Hundert Rechner lahmgelegt. Die französische Marine musste Teile ihres Netzwerks abschalten; die Kampfjets der Luftstreitkräfte blieben zwei Tage auf dem Boden. Auch Computer des bulgarischen Innenministeriums und der finnischen Regierung sind von dem Superwurmangriff betroffen. "Was genau hinter der Attacke steckt und wo der Wurm herkommt, ist unbekannt", sagt Thomas Hungenberg, Computersicherheitsexperte beim Bundesamt für Sicherheit in der Informationstechnik (BSI). "Aber er hat sich massiv ausgebreitet. Auch wir gehen davon aus, dass es weltweit mehrere Millionen betroffene Computer gibt."

Die Conficker-Welle ruft in Erinnerung, dass ein Wirtschaftszweig trotz der weltweiten Krise weiter blüht: die Cyberkriminalität. Viele Jahre lang trieben vor allem Neugier und Nervenkitzel die Programmierer von Viren und Netzwerkwürmern an. Doch seit der Jahrtausendwende werden die Hobbyhacker von einer neuen Generation von Virenautoren abgelöst: professionellen Programmierern, die ihre Kenntnisse an den Meistbietenden verkaufen. Das Schreiben von Programmen, die sich auf fremde Rechner schleichen und dort die Kontrolle übernehmen, ist zu einem einträglichen Geschäft geworden. Denn insgeheim gekaperte Computer lassen sich hervorragend zu riesigen Netzen zusammenschließen. Diese sogenannten Botnetze, die oft eine Million und mehr Computer umfassen, sind die Infrastruktur der Cyberkriminellen. Sie werden vermietet, um zum Beispiel Spammails zu verschicken. Oder sie legen als Rechnerverbund mit pausenlosen Anfragen Internetseiten lahm.

Doch die Schattenwirtschaft im Cyberuntergrund handelt in ihren anonymen Kommunikationsforen nicht nur mit Botnetz-Kapazitäten. Verkauft werden Kreditkartendaten, Informationen über Bankkunden, Zugangsdaten für E-Mail- oder eBay-Konten. "In der Untergrundwirtschaft lässt sich viel Geld verdienen", sagt BSI-Experte Hungenberg. Mitarbeiter des Sicherheitssoftwareunternehmens Symantec beobachteten im vergangenen Jahr, wie binnen zwölf Monaten über geheime Internetforen Waren wie Botnetz-Kapazitäten, Hackersoftware oder Kontoinformationen für insgesamt 276 Millionen Dollar verkauft wurden. Allein mit den dort gehandelten Kreditkarteninformationen könnten bis zu 1,7 Milliarden Dollar unrechtmäßig abgehoben werden.