Das erste bekannte Boot-Virus war Elk Cloner. 1982 wurde es vom damals 15-jährigen Schüler Rich Skrenta geschrieben und verbreitete sich – anders als seine Urenkel – ausschließlich über infizierte Disketten. Skrenta schrieb eine Art Huckepack-Software, die sich auf Disketten versteckte und in den Speicher jedes Computers kopierte, in den die Diskette eingeschoben wurde. So konnte sich Elk Cloner– noch ganz ohne Internet – verbreiten, in dem er alle weiteren Disketten infizierte, die im Laufwerk des befallenen Rechners landeten. Der Virus selbst blieb vom Nutzer so lange Zeit unbemerkt. Erst bei jedem 50. Disketteneinschub bekam der Nutzer ein Gedicht zu lesen, in dem der Schüler seinen Streich humorvoll offenbart.
Aus Spaß wird Ernst
Es dauerte nicht lange, bis aus Spaß schließlich Ernst wurde: In den späten 80er Jahren begannen Entwickler von Malware, Schwachstellen, die bereits in der Computerarchitektur angelegt waren, für sich zu entdecken und darauf aufbauend spezielle Angriffstechniken zu entwickeln – getrieben von krimineller Energie.
Bei der sogenannten Buffer-Overflow-Attacke, die erstmals beim Wurm „Morris“ ab 1988 zu beobachten war, wird eine fehlende Überprüfung der Speichergrenzen ausgenutzt. Dadurch wird es möglich, mehr Eingabedaten in einen vom Programm reservierten Speicherbereich zu kopieren, als das Programm dafür vorgesehen hat. Ohne die Überprüfung der Eingabelänge kann ein Angreifer auf diese Weise Steuerdaten, die hinter dem reservierten Speicherbereich liegen, überschreiben und so die Kontrolle über den weiteren Programmablauf übernehmen. So gelingt es dem Wurm, sich beispielsweise über das Netzwerk nach Belieben auszubreiten. Noch heute ist diese Technik gebräuchlich, da einige Programmiersprachen über keinerlei Schutzmaßnahmen gegen derartige Attacken verfügen.
Eine Lösung musste her: Neben der Anpassung von Computerarchitekturen gibt es seit Ende der 80er Jahre kommerzielle Antivirensoftware. Die Anbieter hatten damit begonnen, Signaturen und Hash-Werte bekannter Bedrohungen zu erfassen, um diese wiedererkennen und deren Ausführung verhindern zu können.
Die wilden 90er
Die ersten polymorphen Viren Anfang der 90er Jahre waren die Antwort. Mark Washburn entwickelte die ersten Versionen, die in der Lage waren, ihr Erscheinungsbild von Generation zu Generation zu verändern. Das Programm des Virus wurde dabei mit leicht veränderter Befehlsabfolge immer wieder neu codiert. Damit blieben diese Viren nahezu unentdeckt von Antivirensoftware, die ausschließlich nach statischen Malware-Signaturen suchte.
Andere Entwickler spezialisierten sich darauf, ihre Schadsoftware in Dokumenten zu verstecken, statt ihre Opfer mit ausführbaren Programmen anzugreifen. Mit den ersten Makroviren nutzen die Entwickler ab 1995 die Fähigkeit von Microsoft Word und Excel aus, ausführbare Dateien in Dokumente einzubinden. Mithilfe dieser Makros können zahlreiche schädliche Aktivitäten in Gang gesetzt werden, wie z. B. der Download von Schadsoftware.
Die Nullerjahre
Zur Jahrtausendwende wurde schließlich ganz viel Liebe verbreitet: Das ILOVEYOU-Virus versteckte sich in einem E-Mail-Anhang, bei dem es sich laut Benennung scheinbar um einen Liebesbrief handelte. Statt romantischer Geständnisse hagelte es allerdings entsetzte Flüche, als die Nutzer feststellen mussten, dass das Virus zahlreiche Dateien gelöscht hatte. Über das Adressbuch von Microsoft Outlook hat es sich anschließend rasant weiterverbreitet.
Einen weiteren Meilenstein in der Geschichte der Malware bildet Stuxnet aus dem Jahr 2010. Dabei handelt es sich um den ersten Computerwurm, der gezielt für Angriffe auf Industrie- und Steuerungsanlagen eingesetzt wurde. Im Fokus standen damals iranische Atomanlagen, deren Urananreicherungsanlagen mithilfe des Wurms sabotiert wurden. Infolge der Entdeckung von Stuxnet tauchte in den Medien schließlich vermehrt der Begriff „Cyberwar“ auf.
Besonders in Mode gekommen in den vergangenen Jahren sind Angriffe mit Verschlüsselungstrojanern. Dabei handelt es sich um Programme, die in der Lage sind, Dateien, Computer und ganze Netzwerke zu verschlüsseln. Bei sogenannten Ransomware-Attacken sollen die Opfer dann einer Lösegeldforderung nachkommen, um den Schlüssel zur Entschlüsselung der Dateien zu erhalten. Schlagzeilen schrieb hier vor allem WANNACRY, der sich innerhalb von 24 Stunden in über 150 Ländern auf über 230.000 Computern verbreitete, was ein bis dato nie dagewesenes Ausmaß darstellte.
Status quo
Aktuell prägt ein Name das Geschehen besonders: Emotet. Hierbei handelt es sich in der Urform um einen sogenannten Banking-Trojaner, der zunächst auf das Abfangen von Onlinebanking-Zugangsdaten spezialisiert war. Da das Schadprogramm darüber hinaus die Fähigkeit besitzt, eine Vielzahl weiterer Module nachzuladen, wird es immer öfter genutzt, um auch andere Angriffe auszuführen. Besonders perfide ist außerdem, dass jüngste Malware-Generationen die Fähigkeit besitzen, E-Mail-Kontakte auszulesen und sich in bestehende Konversationen einzuschalten. So kann die eigene Weiterverbreitung per E-Mail selbständig organisiert werden.
Im Bereich der zielgerichteten Angriffe stellen Advanced Persistent Threats (APTs) derzeit die größte Bedrohung dar. Ziel dieser besonders komplexen Cyberangriffe ist es, nach der Erstinfektion eines Rechners weiter in die IT-Infrastruktur einzudringen und möglichst viele Informationen zu sammeln oder Schritt für Schritt weiteren Schaden anzurichten. Mittlerweile konnten verschiedene APT-Gruppen identifiziert werden, deren ausgeklügelten Cyberattacken von Regierungen beauftragt oder unterstützt werden und teilweise jahrelang unentdeckt blieben.
Betrachtet man die durch Cyberkriminalität in Deutschland verursachten Schäden in den Jahren 2007 (31 Millionen Euro/BKA) und 2017 (71,8 Millionen Euro) sowie die Anzahl neuer Schadprogrammtypen in den jeweiligen Jahren (2007=0,13 Millionen; 2017= 8,40 Millionen), wird klar, welche Bedeutung Schadsoftware für den Bereich Cyberkriminalität mittlerweile einnimmt. Die Geschichte von Malware wird daher auch in den kommenden Jahren fortgeschrieben.