Wurm
Ein Wurm (auch Computerwurm oder englisch Worm) ist eine Form von Malware, die sich selbstständig vervielfältigt und über Netzwerkverbindungen auf andere Computer ausbreitet. Im Unterschied zu klassischen Computerviren benötigt ein Wurm keine Wirtsdatei und keine Benutzerinteraktion zur Aktivierung. Er kann sich eigenständig und oft exponentiell schnell verbreiten, was ihn zu einer besonders gefährlichen Bedrohung für Informationssicherheit macht.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) klassifiziert Würmer als eigenständige Kategorie von Schadprogrammen. Die geheime Verbreitung bindet Systemressourcen, und mögliche Schadfunktionen nehmen vom Anwender nicht kontrollierbare Veränderungen am System vor.
Funktionsweise eines Computerwurms
Die Funktionsweise eines Wurms basiert auf einem zyklischen Prozess aus Verbreitung, Aktivierung und Schadensverursachung. Anders als Viren, die auf Benutzerinteraktion angewiesen sind, arbeiten Würmer vollständig autonom.
Der typische Infektionsverlauf:
- Eindringen: Der Wurm gelangt durch einen Infektionsvektor ins System (E-Mail-Anhang, Sicherheitslücke, USB-Stick)
- Selbstreplikation: Der Wurm erstellt mehrere Kopien von sich selbst im Dateisystem
- Netzwerksuche: Er scannt das Netzwerk nach weiteren verwundbaren Systemen
- Verbreitung: Der Wurm sendet Kopien an gefundene Ziele und nutzt dabei Schwachstellen aus
- Schadfunktion: Optional führt der Wurm zusätzliche schädliche Aktionen aus (Backdoor öffnen, Daten stehlen, Dateien verschlüsseln)
Ein kritischer Aspekt ist die Ausnutzung von Schwachstellen. Würmer suchen gezielt nach bekannten Fehlern in Betriebssystemen oder Netzwerkdiensten. Wird eine ungepatchte Sicherheitslücke gefunden, kann der Wurm seinen Code auf dem Zielsystem zur Ausführung bringen.
Unterschied zu Viren und Trojanern
Die Unterscheidung zwischen Würmern, Viren und Trojanern ist für das Verständnis von IT-Sicherheit essenziell:
| Merkmal | Wurm | Virus | Trojaner |
|---|---|---|---|
| Selbstreplikation | Ja, autonom | Ja, mit Wirtsdatei | Nein |
| Benötigt Wirtsdatei | Nein | Ja | Nein |
| Benutzerinteraktion | Nicht erforderlich | Erforderlich | Erforderlich zur Installation |
| Verbreitung | Automatisch über Netzwerk | Durch infizierte Dateien | Durch Täuschung des Benutzers |
| Geschwindigkeit | Sehr schnell, exponentiell | Langsamer | Keine eigene Verbreitung |
Eine einfache Merkhilfe: Ein Virus ist wie ein Lagerfeuer, das nur brennt, wenn jemand Holz (infizierte Dateien) nachlegt. Ein Wurm ist wie Wasser, das selbstständig den Weg des geringsten Widerstands findet und sich eigenständig ausbreitet. Ein Trojaner ist ein Wolf im Schafspelz - harmlos wirkend, aber mit böser Absicht.
Verbreitungswege
Computerwürmer nutzen verschiedene Übertragungsmethoden:
- E-Mail: Der Wurm verschickt sich selbst an alle Kontakte im Adressbuch. Da die Mail von einer bekannten Person zu stammen scheint, öffnen viele Empfänger den Anhang.
- Netzwerk-Schwachstellen: Ausnutzung von Sicherheitslücken in Protokollen wie SMB, FTP oder anderen Netzwerkdiensten. Der WannaCry-Wurm nutzte beispielsweise die EternalBlue-Schwachstelle im Windows-SMB-Protokoll.
- Wechseldatenträger: Verstecken auf USB-Sticks mit automatischer Ausführung beim Anschließen (AutoRun).
- Instant Messaging: Versand bösartiger Links oder Dateien an alle Chat-Kontakte.
- Filesharing-Netzwerke: Tarnung als beliebte Mediendateien in P2P-Netzwerken.
- Drive-by-Downloads: Automatischer Download beim Besuch kompromittierter Websites.
Bekannte Würmer in der Geschichte
Die Geschichte der Computerwürmer zeigt die Entwicklung der Bedrohungen über die Jahrzehnte:
Morris-Wurm (1988)
Der Morris-Wurm war der erste dokumentierte Wurm, der das Internet traf. Er wurde am 2. November 1988 von Robert T. Morris freigesetzt und infizierte etwa 10 Prozent aller damals vernetzten Computer (ca. 6.000 von 60.000 Systemen). Ein Programmierfehler führte dazu, dass sich der Wurm unkontrolliert vervielfältigte und Systeme zum Absturz brachte. Morris wurde nach dem Computer Fraud and Abuse Act verurteilt - die erste Verurteilung dieser Art in den USA.
ILOVEYOU (2000)
Der ILOVEYOU-Wurm (auch Loveletter-Wurm) ist einer der zerstörerischsten Würmer aller Zeiten. Er verbreitete sich über E-Mails mit dem Betreff "ILOVEYOU" und einem Anhang namens "LOVE-LETTER-FOR-YOU.TXT.vbs". Die Dateiendung ".vbs" (Visual Basic Script) wurde von Windows ausgeführt. In nur sechs Stunden erreichte der Wurm Amerika und Europa, infizierte über 45 Millionen Systeme und verursachte geschätzte Schäden von über 10 Milliarden US-Dollar. Sein Schöpfer Onel de Guzmán aus den Philippinen wurde nicht verurteilt, da es dort damals keine entsprechenden Gesetze gab.
WannaCry (2017)
Der WannaCry-Wurm kombinierte Wurm-Funktionalität mit Ransomware. Er nutzte den EternalBlue-Exploit - eine von der NSA entwickelte und später geleakte Schwachstelle im Windows-SMB-Protokoll. Innerhalb von drei Tagen infizierte WannaCry über 200.000 Computer in mehr als 150 Ländern. Prominente Opfer waren der britische National Health Service (NHS), FedEx und Nissan. Microsoft hatte bereits einen Monat vor dem Angriff einen Patch bereitgestellt, doch viele Organisationen hatten ihn nicht installiert.
Erkennungsmerkmale einer Infektion
Folgende Anzeichen können auf einen Wurmbefall hindeuten:
- Langsamer Rechner: Der Wurm verbraucht Prozessor-Zeit und Arbeitsspeicher für seine Verbreitungsaktivitäten
- Hoher Netzwerkverkehr: Ungewöhnlich hoher Upload-Traffic, auch ohne aktive Nutzung
- Systemabstürze: Häufiges Einfrieren oder unerwartete Neustarts
- Unbekannte E-Mails: Kontakte berichten über verdächtige Nachrichten von deiner Adresse
- Fehlende oder veränderte Dateien: Dateien wurden ohne dein Zutun gelöscht oder modifiziert
- Firewall-Warnungen: Meldungen über ungewöhnliche Verbindungsversuche
- Neue Programme oder Icons: Unbekannte Software erscheint auf dem System
Schutzmaßnahmen
Ein mehrschichtiger Schutzansatz ist gegen Würmer am effektivsten:
Technische Maßnahmen
- Zeitnahes Patch-Management: Sicherheitsupdates sofort installieren. Der WannaCry-Angriff wäre bei rechtzeitigem Patchen größtenteils vermeidbar gewesen.
- Antiviren-Software: Aktuelle Schutzsoftware mit Echtzeitüberwachung und regelmäßigen Signatur-Updates.
- Firewalls: Ein- und ausgehenden Datenverkehr filtern und überwachen.
- Netzwerksegmentierung: Das Netzwerk in isolierte Bereiche unterteilen, um die Ausbreitung eines Wurms zu begrenzen.
- AutoRun deaktivieren: Automatische Ausführung von Wechseldatenträgern verhindern.
- E-Mail-Filter: Verdächtige Anhänge und Links blockieren, DMARC/SPF/DKIM einsetzen.
- Unnötige Dienste deaktivieren: Nicht benötigte Netzwerkdienste wie SMB abschalten.
Organisatorische Maßnahmen
- Mitarbeiterschulungen: Regelmäßige Awareness-Trainings zu aktuellen Bedrohungen und Phishing-Erkennung.
- Starke Passwörter: Komplexe Passwörter und Mehrfaktor-Authentifizierung verwenden.
- Regelmäßige Backups: Datensicherungen an einem getrennten Ort aufbewahren.
- Incident-Response-Plan: Vorbereitete Reaktionspläne für den Ernstfall.
Aktuelle Relevanz
Die Bedrohung durch Würmer ist 2025 keineswegs verschwunden, hat sich jedoch weiterentwickelt. Klassische Massenwürmer wie ILOVEYOU oder Mydoom sind selten geworden. Stattdessen nutzen moderne Cyberkriminelle Wurm-Techniken gezielter:
- Ransomware-Würmer: Kombinieren Selbstverbreitung mit Verschlüsselung (wie WannaCry)
- Botnetze: Würmer erstellen Netzwerke infizierter Rechner für DDoS-Angriffe
- IoT-Würmer: Angriff auf schlecht gesicherte Smart-Home-Geräte und Industriesteuerungen
- Zero-Day-Würmer: Ausnutzung bisher unbekannter Schwachstellen
Das BSI registriert täglich etwa 60.000 neue Malware-Varianten. Für IT-Fachkräfte bleibt das Verständnis von Würmern daher fundamental wichtig.
Relevanz für IT-Auszubildende
Für angehende Fachinformatiker für Systemintegration ist das Wissen über Würmer im Lernfeld 11b "Betrieb und Sicherheit vernetzter Systeme gewährleisten" prüfungsrelevant. Typische Aufgaben im Ausbildungsalltag umfassen die Konfiguration von Firewalls, das Patch-Management, die Analyse von Sicherheitsvorfällen und die Sensibilisierung von Anwendern.
Auch Fachinformatiker für Anwendungsentwicklung sollten verstehen, wie Würmer Schwachstellen ausnutzen, um sicherere Software zu entwickeln - etwa durch Eingabevalidierung und sichere Netzwerkprogrammierung.
Quellen und weiterführende Links
- BSI - Viren und Würmer - Offizielle Informationen des Bundesamtes für Sicherheit in der Informationstechnik
- BSI - Schadprogramme - Übersicht zu verschiedenen Malware-Typen
- Wikipedia - Computerwurm - Ausführlicher enzyklopädischer Artikel
- NIST Cybersecurity Framework - Internationaler Standard für Cybersicherheit