Von Creeper zu Morris zu Zeus – eine kleine Geschichte der Malware

Die Cyberkriminalität floriert. Bis 2025 verursachen Cyberkriminelle weltweit Schäden in Höhe von rund 10,5 Billionen US-Dollar. Aktuell wachsen die Kosten jährlich um 15 Prozent, wie eine Analyse von Cybersecurity Ventures zeigt. Kein Wunder, dass Anfang 2024 auch das WEF Cyberangriffe als eines der fünf grössten Risiken der nächsten Jahre bezeichnete. Es ist davon auszugehen, dass die Bedrohungslage – zumindest in den nächsten Jahren – noch schlimmer werden wird. 

Blickt man aber zurück statt nach vorn, taucht man in eine völlig andere Welt ein. Die Anfänge von Malware lassen nämlich kaum erahnen, welch monströse Ausmasse diese technischen Spielereien annehmen werden. Die ersten Computerwürmer und -viren wurden nämlich nicht entwickelt, um Schaden anzurichten. 

Die Geschichte der Malware beginnt in den 1940er-Jahren mit einer Frage: Kann sich ein Computercode, also ein mechanischer Organismus, genauso verhalten wie ein biologisches Virus? Kann er andere Maschinen infizieren, diese beschädigen, sich selbst replizieren und neue Wirte finden? Den Denkanstoss für diese Diskussion lieferte der ungarisch-US-amerikanische Mathematiker John von Neumann. Dieser vertiefte seine Gedanken im 1966 veröffentlichten Artikel "Theory of Self-Reproducing Automata".

1971: Die ersten Würmer  

Es sollte nur fünf Jahre dauern, bis aus der Theorie schliesslich Praxis wurde. 1971 entwickelte Bob Thomas vom US-amerikanischen Unternehmen BBN den wohl ersten Computerwurm. Sein Programm namens Creeper war eigentlich ein Machbarkeitsnachweis, um zu zeigen, dass Computerprogramme sich selbst replizieren und sich auf andere Rechner ausbreiten können. Der Wurm verbreitete sich über das Arpanet, dem Vorläufer des Internets, von einem PDP-10-Mainframe des Herstellers DEC zum nächsten. Übrigens: Die Fähigkeit, sich selbst zu replizieren, wurde von Ray Tomlinson hinzugefügt, der später als "Vater der E-Mail" bekannt wurde. Gemäss Tomlinson wurden höchstens 28 Maschinen infiziert – und diese waren alle Teil des Experiments. Entsprechend richtete Creeper auch keinen Schaden an. Er blendete lediglich die Nachricht "I’m the Creeper: Catch me if you can" ein. Streng genommen erfüllte der Wurm somit nicht alle Kriterien, die von Neumann aufgelistet hatte.

Im darauffolgenden Jahr wurde der zweite Computerwurm geschrieben: Reaper. Dieser wurde von Tomlinson 1972 entwickelt, um sich über das Arpanet zu verbreiten, Creeper aufzuspüren und ihn zu löschen. Somit war der zweite Computerwurm bereits ein sogenannter Nematode – ein Computerwurm, der andere Computerwürmer fressen soll. 

1975: Der erste Trojaner

Nur wenige Jahre nach dem ersten Computerwurm entstand auch der erste Trojaner – allerdings wohl unabsichtlich und ohne böse Hintergedanken. Der Programmierer John Walker schrieb die Software Animal. Diese versuchte anhand von 20 Fragen zu erraten, an welches Tier der Benutzer beziehungsweise die Benutzerin gerade denkt. Aufgrund der hohen Nachfrage wollte Walker die Verteilung der Software vereinfachen. Also programmierte er die Subroutine namens Pervade. Dieses Unterprogramm war effektiv in einem anderen Programm versteckt, installierte sich automatisch und führte zudem weitere Aktionen aus, ohne sich bemerkbar zu machen, oder anders gesagt: ein Trojaner. Während man ahnungslos Animal spielte, legte Pervade eine Kopie der Animal-Software in allen Verzeichnissen ab, in denen noch keine Kopie vorhanden war. 

1982: Die erste unkontrollierte Verbreitung

Die Folgen der ersten Schädlinge hielten sich in Grenzen. Aber sie hatten den Damm gebrochen. In den darauffolgenden Jahren kamen immer mehr vergleichbare Programme auf. Die nächsten Schädlinge, die für Aufsehen sorgten, entstanden jedoch nicht mehr aufgrund eines akademischen Interesses: Die Zeit der Scriptkiddies war angebrochen. Junge Studierende und Schüler, die sich für die Grenzen des Machbaren und Erlaubten im Bereich der Informatik interessierten. Zu den frühen Beispielen in diesem Bereich gehört Elk Cloner. Der Schädling wurde 1982 vom damals 15-jährigen Schüler Rich Skrenta in Pennsylvania entwickelt. Elk Cloner gilt als das erste Computervirus, das sich unkontrolliert verbreitete. Es handelte sich um ein sogenanntes Bootsektor-Virus (ein Virus, das beim Start eines Rechners aktiv wird) für den Apple II. Um sich zu verbreiten, infizierte Elk Cloner 5,25-Zoll-Disketten. Grossen Schaden richtete auch Elk Cloner nicht an. Betroffene mussten infizierte Rechner neu starten, um sie wieder normal zu nutzen. Auf nicht schreibgeschützten Apple-DOS-Disketten ohne Standard-Image überschrieb Elk Cloner allerdings die reservierten Spuren. Steckten hinter dem ersten Computervirus in freier Wildbahn böse Absichten? Auf seiner Website verneinte der Entwickler dies in einem unterdessen gelöschten, aber vielzitierten Blogeintrag. "Nein, nicht böswillig. Es war ein Scherz, kombiniert mit einem Hack. Ein wunderbarer Hack", schrieb er.

Übrigens: Der wichtigste Unterschied zwischen einem Computerwurm und einem Computervirus liegt in der Art, wie sie sich verbreiten. Ein Wurm kann unabhängig agieren und sich selbstständig vermehren; ein Virus hingegen muss sich an Host-Dateien oder -Programme anhängen. 

1986: Das erste MS-DOS-Virus

Vier Jahre nach dem Apple-Virus kamen auch MS-DOS-Systeme ins Zittern. 1986 folgte Brain, das erste sich unkontrolliert verbreitende Computervirus für MS-DOS-Systeme. Brain (beziehungsweise dessen Vorläufer Ashar) war auch die erste Malware mit rudimentären Stealth-Features – obwohl die erste Antivirenlösung erst im Jahr darauf auf den Markt kam. Brain verlangsamte das Diskettenlaufwerk und blockierte 7 Kilobytes an Speicherplatz. 

Hinter der Malware steckten die pakistanischen Brüder Basit Farooq Alvi und Amjad Farooq Alvi. Diese hatten ihre Kontaktdaten im Virus eingefügt – mit der Aufforderung, dass sich Betroffene an die Brüder wenden sollten, um das Virus wieder zu entfernen. Wie sie gegenüber dem "Time Magazine" sagten, wollten sie mit Brain lediglich ihre Softwarelösung vor Raubkopien schützen. Allerdings wird auch spekuliert, dass sie damit die Bekanntheit ihres Unternehmens steigern wollten. Die beiden Brüder führen noch immer einen Internetprovider und ICT-Dienstleister namens Brain Telecommunication und werben damit, dass die Firma "von den Machern des ersten PC-Virus" gegründet wurde. Übrigens: Brain war zudem die Inspiration für den mittlerweile verstorbenen John McAfee, ins Security-Geschäft einzusteigen. Seine Anti-Virus-Lösung, eine der ersten Anti-Virus-Lösungen überhaupt, wurde entwickelt, um Brain-Infektionen abzuwehren.

1987: Das erste zerstörerische Virus 

Die Schäden dieser Erstlinge waren noch immer mehrheitlich unbeabsichtigt oder überschaubar. Daher gehen die Meinungen auseinander, ob es sich dabei wirklich um die ersten echten Beispiele von Malware handelt. Die Kehrtwende in der Malware-­Geschichte kam 1987. In dem Jahr wurde in Jerusalem ein neuartiges Computervirus entdeckt und nach der Stadt benannt. Dieser Schädling wurde ganz klar mit dem Ziel entwickelt, zu zerstören. Das Virus aktivierte sich immer an einem Freitag, dem 13. Daraufhin löschte es alle Programmdaten und infizierte wiederholt .exe-Dateien, bis sie zu gross für den Computer wurden. So reduzierte das Virus etwa eine halbe Stunde nach dem Start der infizierten Programme die Rechenleistung befallener Computer. Der hartnäckige Schädling war auch Mitte der Neunzigerjahre noch immer aktiv. Als Windows-Systeme die alten DOS-Geräte verdrängten, nahmen sie dem Jerusalem-Virus jedoch auch den Lebensraum. Gemäss der Definition, wie sie von Neumann aufgestellt hatte, war Jerusalem also wohl die erste echte Malware.

1988: Die erste Verurteilung

Mit dem Morris Worm folgten 1988 gleich zwei Premieren. Dieser wurde nach seinem Entwickler Robert Morris benannt, einem Studenten an der Cornell University und Sohn eines gleichnamigen NSA-Kryptographen. Der Morris Worm ist wohl der erste Wurm, der sich über das Internet verbreiten konnte. Gemäss Opswat infizierte er in nur 15 Stunden rund 2000 Rechner. Laut einer Schätzung sollen rund 10 Prozent aller damals mit dem Internet verbundenen Computer dem Morris Worm zum Opfer gefallen sein. Gemäss seinem Entwickler sollte der Wurm eigentlich keinen Schaden anrichten. Aufgrund eines Designfehlers legte er jedoch infizierte Rechner lahm. Der Wurm prüfte zwar, ob eine Maschine bereits infiziert ist. Aber um falsch-positive Ergebnisse und mögliche Abwehrmassnahmen zu umgehen, legte der Wurm trotzdem in 14 Prozent der Fälle eine Kopie von sich an. Computer konnten also mehrfach infiziert werden. Weil jede Infektion zusätzliche Rechenleistung frass, brachte dies die Rechner zum Abstürzen. Den Schädling zu beseitigen, dauerte bis zu zwei Tage. Die zweite Premiere, die auf den Morris Worm zurückzuführen ist: Robert Morris ist die erste Person, die nach dem Computer Fraud and Abuse Act von 1986 wegen einer Straftat verurteilt wurde. Die Folgen für Morris: drei Jahre auf Bewährung, 400 Stunden gemeinnützige Arbeit und eine Geldstrafe von 10 050 Dollar zuzüglich der Kosten für die Bewährungsaufsicht. Insgesamt also rund 13 326 Dollar Strafe. 

1989: Die erste Ransomware

Im Vergleich zu den Cyberbedrohungen, die noch kommen sollten, wirken all diese Erstlinge fast schon harmlos. Das Schadenspoten­zial, das sich bereits abzeichnete, lockte aber eine neue Art von Entwicklern an: finanziell motivierte Kriminelle. Eine der gängigsten Waffen von Cyberkriminellen heutzutage ist Ransomware. Diese Schadprogramme dringen in Rechner ein, verschlüsseln Daten und behaupten, dass sie diese nur gegen eine Lösegeldzahlung freigeben (tatsächlich ist eine Zahlung jedoch keine Garantie dafür, dass man die Daten zurückerhält). Spätestens mit Wannacry 2017 begann die Blütezeit der Ransomware. Erstaunlicherweise war die erste Ransomware zu dem Zeitpunkt schon fast 30 Jahre alt. Der Biologe Joseph Popp entwickelte 1989 den ersten Verschlüsselungstrojaner. Die Malware mit dem Namen Aids Info Disk verschlüsselte alle Dateien auf dem Laufwerk C und blendete anschliessend eine Nachricht ein. Diese forderte die Opfer auf, die "PC Cyborg Corporation" zu kontaktieren und ihre Lizenz zu erneuern. Konkret bedeutete dies, 189 Dollar an ein Postfach in Panama zu schicken. Popp verbreitete die Malware via Floppy Disks, die er per Post verschickte. Er wurde zwar wegen elffacher Erpressung angeklagt, aber nicht verurteilt, da er aufgrund seines Verhaltens nach der Verhaftung für geistig unzurechnungsfähig erklärt wurde.

2007: Der erste Banking-Trojaner 

Die Zeit der Scriptkiddies war damit noch nicht vorbei. Jugendlicher Leichtsinn respektive technische Neugier führten zu vielen weiteren Erstlingen. Wie etwa Concept 1995, das erste Virus, das Microsoft-Macros ausnutzte. Aber spätestens in den 2000er-Jahren wurden die Cyberkriminellen zur dominanten Kraft in der Malware-Szene. Mit ihnen kam ein neuer Fokus, der wiederum zu neuen Formen von Schadprogrammen führte. Gesellschaft­liche Aktivitäten verlagerten sich parallel zunehmend in den digitalen Raum. So wurde der Cyberraum auch für Cyber­kriminelle zunehmend spannender. Wohin auch immer sich die Gesellschaft entwickelte, Cybercrime folgte ihr. Die wachsende Popularität von E-Banking etwa führte 2007 zum ersten E-Banking-Trojaner: Zeus. Das Schadprogramm war zwar nicht die erste Malware, die Informationen stahl, aber sie war der erste Infostealer, der es spezifisch auf Bank- und andere Online-Finanzdaten abgesehen hatte.

2025: Das unentdeckte Land

Im digitalen Äther fanden die Cyberkriminellen ein regelrechtes Schlaraffenland vor. Das Geschäft mit Ransomware und Co. ist schon seit Jahren dermassen lukrativ, dass sich eine veritable Schattenwirtschaft entwickelt hat – inklusive Arbeitsteilung, Marketingkampagnen und einer indirekten Vertriebskette. Und mit dem Aufkommen der künstlichen Intelligenz bahnt sich die nächste Entwicklung an. Wie sich diese Technologie auf die Malware-Welt auswirken wird, ist noch nicht klar. Tools wie ChatGPT und Co. werden unerfahrenen Malware-Entwicklern sicher helfen. Es ist also davon auszugehen, dass das Volumen an Malware durch KI stark zunehmen wird. Dafür greifen KI-Tools aber lediglich auf Code zurück, der bereits irgendwo in irgendeiner Form existiert. KI wird daher nicht zwangsläufig zu neuen, noch schrecklicheren Formen von Schadprogrammen führen. Aber wenn uns die Vergangenheit eines gezeigt hat, dann wohl, dass Akademiker, Tech-Nerds und Cyberkriminelle gar keine KI-Tools brauchen, um innovative Wege zu finden, um IT zu stören und zu zerstören.