Am 13. Mai 2017 war ein Cyberangriff die Topmeldung der Tagesschau. Denn tags zuvor hatte sich der Computerwurm Wannacry rasant über das Internet verbreitet und auf zigtausenden Computern wichtige Daten verschlüsselt. Wer wieder Zugang zu seinen Daten wollte, musste den Hackern ein Lösegeld zahlen. Die Attacke traf Krankenhäuser, Autofabriken und sogar die Anzeigetafeln der Deutschen Bahn.

"Das war ein Freitag als es passiert ist. Bei uns sind die Alarmglocken von den Systemen hochgegangen - 14 Uhr 15 Uhr hat es angefangen. Da haben wir die ersten Meldungen bekommen."

Alexander Vukcevic hat die Attacke des Computerschädlings Wannacry sozusagen live miterlebt. Er leitet die Forschungsabteilung bei Avira, dem Hersteller des Virenscanners "Avira Antivirus". Wie an jedem Tag, lauschten seine Experten auch an jenem Freitag im Mai 2017 von der Firmenzentrale im süddeutschen Tettnang aus ins Internet. Sie beobachteten, was für Cyberangriffe gerade in aller Welt laufen. Als sie Wannacry bemerkten, wussten sie schnell: Hier handelt es sich um etwas Besonderes.

"Das hat sich dann innerhalb von einer Stunde auf Tausende von Meldungen erhöht. Das war wie ein Wasserfall im Endeffekt. Unsere Researcher haben das dann natürlich gleich in Augenschein genommen und festgestellt: Komplett ein neuer Wurm, eine komplett neue Familie, hat man so noch nicht gesehen."

Eine schlechte Nachricht für die Experten und für alle Computerbesitzer. Denn gängige Virenscanner erkennen zunächst einmal nur Angreifer, die sie schon mal gesehen haben.

"Der Virenscanner bekommt einen Input von allen Dateien die vom Anwender auf dem PC angefasst werden."

Diese Dateien gleicht der Algorithmus dann mit einer Datenbank ab, in der sozusagen die Fingerabdrücke aller bekannten Viren und Würmer gespeichert sind.

"Man kann das als Fingerabdruck bezeichnen. Es ist aber kein spezifischer Fingerabdruck nur auf eine Malware-Datei sondern ein Fingerabdruck auf das Verhalten der Datei."

Denn ein Computervirus kann seinen Code - und damit seine Gestalt - heutzutage verändern, um sich zu verstecken. Doch egal wie gut die Tarnung, sein Verhalten bleibt dabei relativ gleich.

"Er durchsucht die lokale Festplatte nach Daten, wie Account-Details, Log-in-Details, versucht sich zum Beispiel in ein Autostart zu kopieren, dass er beim nächsten Mal wieder gestartet wird, sendet Dateien ins Internet an irgendwelche Server."

Solche verdächtigen Aktivitäten verraten den Computervirus – und der Virenscanner schlägt gegebenenfalls Alarm.

"Als Antwort bekommen sie: Handelt es sich um eine reguläre saubere Software oder um Malware und wird geblockt?"

Das funktioniert aber nur mit bekannten Computerschädlingen, die bereits einen Eintrag in der Viren-Datenbank haben. Als sich Wannacry an diesem Freitag im Mai 2017 rasend schnell ausbreitete, war er etwas völlig Neues: "Das heißt: Lokal hat das Produkt erst einmal diesen Virus nicht erkannt."

Doch ein moderner Virenscanner kann mehr als Dateien lokal mit einer Viren-Datenbank abgleichen. Wenn sein Algorithmus nicht weiter weiß, holt er sich Hilfe in der Cloud, erklärt Alexander Vukcevic: "Wo wir auch besonders stolz sind, ist das Zusammenspiel verschiedener Technologien. Man kann nicht nur auf eine Technologie setzen, sondern man braucht dieses Zusammenspiel von verschiedenen Technologien."

Im Fall von Avira schickt der Algorithmus verdächtige Dateien, die ihm zu ersten Mal unterkommen, an einen Server.

"Diese Dateien landen alle bei uns. Und um mal eine Summe in Raum zu schmeißen: Wir reden über eine halbe Million verdächtiger Dateien, die wir am Tag bekommen."

Die kann natürlich kein Mensch überprüfen. Daher erledigt eine Künstliche Intelligenz diese Aufgabe.

"Eine KI kann viel schneller einschätzen, ob eine neue Datei, die ich vorher noch nie gesehen habe, ob es sich da um eine Malware handelt oder um eine saubere Datei. Da haben wir gesagt: Lass‘ uns die KI an der Stelle nutzen und lass‘ einfach dieses ganze Set, was wir 30 Jahre gesammelt haben von Malware Dateien, aber wie auch aus cleanen Dateien, lass‘ die KI darauf berechnen und sagen: Bilde dafür Cluster. Dieser Cluster ist Malware und dieser Cluster ist sauber, also clean an der Stelle. Und das geht so weit, dass wir über 8000 Dimensionen berechnen."

Diese Künstliche Intelligenz war es, die damals Wannacry als Computerwurm enttarnte, sagt Alexander Vukcevic. Die Firma Avira konnte die Nutzer ihrer Antiviren-Software so schützen. Der Virenscanner-Algorithmus kann noch auf weitere Funktionen in der Cloud zurückgreifen – etwa eine so genannte "Sandbox", also einen geschützten Bereich, wo er verdächtige Dateien startet und beobachtet, was sie tun. Das alles sorgt für guten Schutz. Die wirksame Abwehr von Cyberangriffen muss aus Sicht des Experten aber schon vorher beginnen.

"Ein Virenscanner kann nicht dafür sorgen, dass Sicherheitslücken auf dem System geschlossen werden. Da braucht es den Input von dem Anwender, zu sagen: Ich führe immer aktuelle Updates von meiner installierten Software oder von Betriebssystem durch."

Denn schließlich konnte auch Wannacry sich nur über eine Sicherheitslücke in einem veralteten Windows-System ausbreiten. Computern, die auf dem neuesten Stand waren, konnte der Wurm nichts anhaben.