Zeitbombe Internet

Unternehmen muss die E-Mail geöffnet und dann auf die Anhänge oder Links in der Mail geklickt haben. »Mein Leben ist an diesem Tag auf den Kopf gestellt worden«, sagt die Geschäftsfrau. Denn unbemerkt aktivierte der unbedarfte Mausklick eine elektronische Wunderwaffe, die in der E-Mail an Karen McCarthy versteckt war. Ein Schadprogramm mit dem Namen »ZeuS«, von dem die Polizeibehörden vermuten, dass es irgendwann im Jahre 2007 in den russischen Republiken entwickelt wurde. McCarthys Datenverarbeitungschef Jarett Horehlad hat über die Aktion ziemlich rote Ohren bekommen. »Das Programm installiert sich so leicht und schnell, das kann von irgendwoher gekommen sein«, verteidigt er sich. »Wir haben so unsere Vermutungen, woher es kam, aber genau wissen wir es nicht.«

    Jetzt ist es auch egal. ZeuS grub sich tief in den Computer ein, der bei der New Yorker Firma für Angelegenheiten wie das Onlinebanking verwendet wird.
    Â»ZeuS« ist ein Computerprogramm. Computer sind dafür gebaut, Computerprogramme laufen zu lassen – ob sie nun Microsoft Word heißen, iTunes, Kalender oder ZeuS. ZeuS fällt zwischen den tausenden Programmen auf einem modernen Rechner nicht weiter auf: Es ist winzig, und es schlummert in einer wenig beachteten Nische. Irgendwo zwischen den Millionen Befehls- und Datenzeilen, die ein Microsoft-Windows-System funktionieren lassen. Zum Schutz gegen solche Eindringlinge hatte Little & King sogar ein Anti-Virenprogramm installiert; das war teuer bezahlt und brachte sich automatisch drei- bis viermal pro Tag auf den neuesten Stand. Doch dem fiel nichts Verdächtiges auf. Computerbenutzer bei Little & King merkten ebenfalls nichts. Wenn sie den Computer einschalteten und bedienten, hatte sich nichts Sichtbares verändert.
    Doch »ZeuS« belauschte sie fortan Tag für Tag, Minute für Minute, Tastendruck um Tastendruck. An irgendwen draußen im Internet funkte der Spion, was die Leute bei Little & King so trieben: Was sie tippten, worauf sie klickten.
    Â»ZeuS« fand manche Dinge interessanter als andere. Ganz oben auf seiner Hitliste standen Besuche auf den Webseiten von Banken. Eingaben von Kontonummern. Eingaben von Passwörtern und Benutzernamen.
    Am 15. Februar 2010 überprüfte Karen McCarthy ihre Bankauszüge und stellte fest, dass sie zahlungsunfähig war. Dass sie ihre Firma vermutlich schließen und den Konkursrichter informieren müsse. Ihr Geschäftskonto war leergeräumt. Säuberlich wiesen ihre Bankauszüge von der TD Bank (»Amerikas praktischste Bank«) jede einzelne Überweisung aus: 27.800 Dollar und null Cent gingen beispielsweise an einen Jonare D. Randolph in Rocky Mount, North Carolina. Alle Überweisungen waren binnen zweier Tage ausgeführt worden, zwischen einigen lagen nur wenige Minuten, und sie summierten sich auf 165.225 Dollar. Der Kleinunternehmerin
McCarthy hätte es das Genick gebrochen, sagt sie – wenn ein wohlhabender Bekannter ihr nicht kurzfristig 100.000 Dollar geliehen hätte. Am Ende überlebte Little & King die Attacke gerade so.
    Die Täter? Die hat bisher noch keiner erwischt. Mitarbeiter der Polizei, Sicherheitsfirmen und Mitarbeiter des Heimatsicherheitsamtes haben Karen McCarthy seither erläutert, dass die Transaktionen offenbar von Computern »irgendwo in Osteuropa« ausgelöst worden seien. Dort verliert sich jede Spur.
    Und die Bank? Das war der größte Schock für Karen McCarthy. Erst wurde sie gebeten, am kommenden Tag in einer Filiale der TD Bank zu erscheinen – und da waren alle nett zu ihr und entschuldigten sich. Dann teilte die TD Bank ihr mit, dass sie »keinen Fehler auf unserer Seite« feststellen könne und dass man sich weigere, irgendetwas zu erstatten. »Die haben mein Konto überhaupt erst am Mittag des folgenden Tages eingefroren«, schimpft McCarthy. »Die stehen auf dem Standpunkt, dass sie nicht verantwortlich sind. Der ZeuS-Virus war ja nicht auf deren Computern, sondern auf meinem. Aber ich hatte doch Antivirussoftware! Die hat nur nichts bemerkt! «
    Karen McCarthy hat auf die harte Tour gelernt, wie anfällig die IT-Infrastruktur unserer Tage ist, obwohl sie doch viel getan hatte, um sich zu schützen. Niemand hat ihr den Verlust bis heute erstattet. In den USA ist das so geregelt: Bei Privatkonten muss die Bank in der Regel für Onlinebetrug geradestehen, aber für