StuxnetWer war’s? Und wozu?

Der Computerwurm Stuxnet hat Siemens-Maschinen in Iran manipuliert. Aber nicht nur dort: Der Angriff traf die ganze Welt. Hier wurde eine globale Cyberwaffe getestet. von Sandro Gaycken

Die Außen- und Verteidgungsminister der Nato beschäftigen sich inzwischen auch mit Cyberangriffen

Die Außen- und Verteidgungsminister der Nato beschäftigen sich inzwischen auch mit Cyberangriffen  |  © JOHN THYS/AFP/Getty Images

Dieser Tage hat der Computerwurm Stuxnet wieder von sich hören lassen. Vor Wochen wurde bekannt, dass er rund um den Globus die Steuerungscomputer von Industrieanlagen des Herstellers Siemens infiziert hat. Die gezielte Infektion dieser Steuerungseinheiten – und nicht etwa der Datenbanken – ist es, die aus Stuxnet einen echten Saboteur und keinen Spion macht.

Nun hat die IT-Sicherheitsfirma Symantec mit Unterstützung eines niederländischen Spezialisten weitere Teile des Programmcodes entschlüsselt. Demnach führt der Wurm selbsttätig Sabotageakte durch. Ein Verhalten, das zuvor unterstellt wurde, bisher aber nicht beobachtet werden konnte.

Anzeige
Sandro Gaycken
Sandro Gaycken

forscht an der Freien Universität Berlin und ist Experte für Cyberwar und Hochsicherheits-Infrastrukturen. Er berät die Bundeswehr, das Bundesverteidigungsministerium und das Bundesministerium für Bildung und Forschung zum Thema Cyberkrieg und Cybersicherheit. Im April ist sein Buch Cyberwar – Das Wettrüsten hat längst begonnen im Goldmann Verlag erschienen.

Trifft Stuxnet auf bestimmte Frequenzregler, wird er aktiv. Die Frequenzregler regulieren die Drehgeschwindigkeiten angeschlossener Motoren. Bei sehr hoch drehenden Motoren schaltet sich Stuxnet ein und fährt die Drehzahlen hoch und runter. So können angeschlossene Prozesse gestört werden.

So weit die neuen Fakten. Sie stützen die These, dass Stuxnet ein gezielter Angriff auf das iranische Atomprogramm gewesen sei. Auch Symantec scheint diesem Schluss zuzuneigen. Die Firma weist zum Ende ihrer neuen Analyse darauf hin, dass Urananreicherungsanlagen sehr hoch drehende Motoren verwenden.

Tatsächlich ist das längst nicht alles. Der Wurm, dafür spricht viel, diente noch einem anderen, weitaus größeren Zweck: Da wurde eine Cyberwaffe quasi an der ganzen Welt getestet, nicht nur in Iran. Das lässt sich nicht beweisen, aber einiges deutet darauf hin. Viele Experten bei Militär und Geheimdiensten sind davon inzwischen überzeugt.

Klar ist, dass Stuxnet mit großer Expertise geschrieben wurde, unter Einbindung verschiedener Fachrichtungen. Das Projekt wurde höchstwahrscheinlich von konventionellen Spionen unterstützt, die geholfen haben, die Ziele auszuwählen und den Wurm zu verbreiten. Und da das Programm fehlerfrei auf unterschiedlichen Systemen lief, muss es intensiv in einer möglichst realen Umgebung getestet worden sein. Mit anderen Worten: Jemand hat sich eine kleine Industrieanlage als Testgelände aufgebaut. Teenager fallen also aus, genauso wie Cyber-Kleinkriminelle. Organisierte Kriminelle hätten den Aufwand möglicherweise leisten können. Bei ihnen fehlt allerdings das Motiv. Das einzige Szenario wäre ein Welterpresser im Stile eines Dr. No. Unwahrscheinlich also. Der Hauptverdächtige ist nach Ausschluss der anderen: ein Militär. Eine Einheit zur digitalen Kriegsführung. Für sie wäre dieser Angriff machbar, attraktiv, vernünftig.

So weit sind sich inzwischen die meisten Analysten einig. Die nächste Frage lautet: Wer? Und wozu? Dies sind allerdings Fragen, die im Cyberwar schwer zu beantworten sind. Ein Angriff per Datenpaket hinterlässt kaum Spuren. Dies gilt auch für Angriffe, die mit einem kleinen Datenspeicher, einem USB-Stick, an ihr Ziel gebracht werden – so wie es bei Stuxnet primär der Fall war. Es mag erstaunlich klingen, aber das ist eine selbst in Hochsicherheitskreisen außergewöhnlich erfolgreiche Angriffsmethode. Vor drei Jahren wurde etwa ein originalversiegelter, aber verseuchter USB-Stick im Herzen des Pentagons »verloren«. Als ihn jemand benutzte, wurden einige sonst vollkommen abgeschlossene Rechnerbereiche infiziert. Mit konventionellen Methoden werden sich auch die Urheber von Stuxnet nicht festmachen lassen.

Analysen können nur spekulativ verfahren, unter Einbezug der technischen und politischen Kontexte des Angriffs. Die Fragen nach »Wer?« und »Wozu?« sind dabei eng verbunden. Die unter militärischen Sicherheitsexperten unternommenen Überlegungen der vergangenen Monate unterscheiden sich hier grundlegend von denen der IT-Sicherheitsexperten, die, das sollte man nicht vergessen, keine eigentlichen Sicherheitsexperten sind.

Leserkommentare
  1. Ich erinner mich noch an meine Computerfreak Tage vor Jahren, als ich "aus Spaß" (ja, ich weiss -.-) Programmiersprachen gelernt hab. Und über mein Schwanken zwischen Entsetzen und Belustigung welche absoluten Analphabeten meine Eltern, jeder über 25 Jahren, bezüglich dieser virtuellen Welt - die inzwischen die "echte Welt" umgibt - sind. Das muss früher oder später schief gehen.

  2. ...in der jene, die von sich selbst behaupten das beste Gesellschaftssystem zu verbreiten, in Ihren Feldzügen Roboter einsetzen um Menschen zu töten. Wir tolerieren deren Folterlager und deren offensichtliche Wirtschaftsmanipulation.

    Das Resumee ist, dass wir es gar nciht anders verdient haben, dass in Angst und Schrecken zu leben - egal ob der Verursacher ein Computerkind, ein Geheimdienst oder selbstverständlich dich Achsel des Bösen ist...

    Reaktionen auf diesen Kommentar anzeigen

    In dem Artikel ist nirgendwo die Rede von den Vereinigten Staaten von Amerika. Nicht das die USA außerhalb der Verdächtigenliste stehen würden aber bei ihrem Beitrag zeigt sich mal wieder der stumpfe und undifferenzierte Anti-Amerikanismus der sich seit der Bush-Regierung hierzulande wohl rasant ausbreitet. Wenn ein Hack dazu benutzt wird, von wem auch immer, einem Staat mit solch eklatanten Menschenrechtsverletzungen zu schaden, ist mir das nur Recht. Zumal der Iran der restlichen Welt sehr wohl zu verstehen gegeben hat, dass er Interesse an einem nuklearen Sprengkopf hat.

    • Tobi_G
    • 27. November 2010 10:09 Uhr

    Anmerkungen zur Moderationsentscheidung senden Sie gern an community@zeit.de Danke, die Redaktion/mk

    Reaktionen auf diesen Kommentar anzeigen

    Wir möchten alle Kommentatoren dazu auffordern, zu einer Diskussion des Artikelthemas zurück zu kehren. Sofern keine konkreten Belege und Quellen genannt werden können, bitten wir darum auf Spekulationen über Akteure zu verzichten. Danke, die Redaktion/fk.

    In seiner Reinkultur, erstens vermischen sie Staat und Religion, Politik und Theologie.

    Zweitens spielen sie die Karte der jüdischen Weltverschwörung, bei den Nationalsozialisten hätten sie großen Zuspruch erhalten, traurig nur das die Zeit solche Kommentare duldet und sich damit zum Reproduzenten antisemtischer Verschwörungsphantasien macht.

    Bitte verzichten Sie auf persönliche Anfeindungen. Danke, die Redaktion/fk.

    >>>Das Ganze kombiniert mit einem religiös verbrämten Weltherrschaftsanspruch - et voilà, das perfekte Täterprofil.<<<

    et voilà - das profil eines kleinen antisemiten.

  3. 4. ~ 1257

    Verstehe nur Bahnhof...

    Also, der Virus ruft bei seinem Hersteller an. Das ist eigentlich die beste Methode, um heraus zu bekommen, wer das ist. Denn eine Zieladresse muss im Programmcode des Virus enthalten sein.

    Dann bekommt er auch noch updates, wird von außen überwacht. Wie? Von wem?

    Und irgend wie widersprechen sich alle Informationen. Er macht dies und dann doch nicht, er macht jenes nicht, aber dann doch. Er ist hier verbreitet, nein da, und nur auf Siemens, aber das überall. Er verbreitet sich nur spärlich, ist aber weit verbreitet.

    Verstehe wirklich nur Bahnhof. Solche Verwirrung und chaotische Zielorientierung spricht für einen Auftraggeber wie die CIA. Denen wäre das auch zuzutrauen. Mal ausprobieren, trifft ja nur das Ausland. Alles andere erscheint mir noch abstruser.

    Reaktionen auf diesen Kommentar anzeigen
    • Sirjony
    • 27. November 2010 10:45 Uhr

    http://aro1.com/neuigkeiten-zu-stuxnet/

    Leider erst ab Sonntag erreichbar, trotzdem weitaus interessanter als dieser Artikel.
    Das ist ein pro-israelischer Blog, der Stuxnet und die Folgen im Iran angibt. Kurz gefasst ist das iranische Atomprogramm auf Eis und sehr stark beschädigt.

    • brazzy
    • 27. November 2010 11:55 Uhr

    Der Artikel legt die Sachverhalte sehr gut dar, aber man braucht halt ein gewisses Vorwissen.

    Das "nach Hause telefonieren", die Überwachung und Updates werden nicht an (bzw. von) einem bestimmten Server verlaufen, sondern über Umwege und verteilt, somit sehr schwer zurückzuverfolgen oder zu blockieren. Dieses Verfahren ist auch bei kriminell genutzten Computerwürmern heutzutage üblich.

    Beispielweise (und das ist noch ein sehr einfaches, als veraltet anzusehendes Verfahren) loggen sich die Wurm-Instanzen in einen chatroom eines IRC-Netzwerks ein und horchen dort auf Befehle, die zum Beispiel lauten können "hol dir ein Update, es liegt unter http://... - und der Befehl kommt von einem Privatrechnet, der ebenfalls mit einem Wurm befallen ist, die Updatedateien liegen bei einem Massen-Hostingprovider, bei dem ein Account mit einer gestohlenen Kreditkarte bezahlt wurde...

    • Haunebu
    • 27. November 2010 10:38 Uhr

    es ist klar wer das war..die US und israel..

    vor ein paar jahren hat bush es sogar zugegeben das die in iran einen aufstand organizieren will (was auch geschiet...aber nicht funktioniert hat)..und andere arten von attacken machen wird..

    ich verstehe nicht was hier die geheimnis weil soll...es ist klar wer das gemacht hat..

  4. Über Stuxnet habe ich mich eigentlich ein bißchen gefreut,
    da ich der Meinung war,dass diese Maßnahme an Stelle eines
    Irankrieges gedacht war.Tja,wenn man so einen Wurm eventuell
    dann vom Iran direkt über Techniker auf andere Anlagen überträgt,
    um durch die weltweite Reaktion darauf auch Lösungen finden
    zu können,die ein Staat,wie der Iran nicht so leicht finden kann ?

    Ein Mischwald ist immer besser als eine Monokultur.
    Die Windows Monokultur ermöglicht zwar eine bestmögliche
    Überwachung der Untertanen,und man kann die Untertanen
    durch viele Spiele von den wesentlichen Vorgängen der
    Welt abhalten,doch wenn so ein Wurm unterwegs ist,dann
    befällt er doch viele ähnliche Systeme.
    Wie wäre es,die Stadtverwaltungen und Steuerungselemente
    die vitale Sicherheit zum Beispiel in Spitälern garantieren,
    doch auf Linux umzustellen?

    Die Kerntechnologie ist überhaupt keine Technologie die
    den Gefahren des Terrorismus standhält und immer die Gefahr
    birgt,dass aus den Überresten wieder Atombomben gemacht
    werden.

    Das bedeutet,man könnte an Hand von Stuxnet,die Sicherheit
    der Kerntechnologie neu bewerten und es wäre höchste Zeit,dass
    man andere Computer-Betriebssysteme auch von europäischer
    Seite unterstützt und aufbaut.
    Schließlich gibt es auch in vielen Wirtschaftsbereichen
    immer verschiedene Marken.Es gab zwar einen Zeitraum,
    wo man in Mitteleuropa nur VW fahren durfte und Zeiten,in
    denen in der USA die Marktanteile von Ford über 50% warern,
    doch das ist der Freiheit gewichen!

    Reaktionen auf diesen Kommentar anzeigen
    • Onestop
    • 28. November 2010 5:49 Uhr

    Die meisten Industrierechner (und viele "WWW-Server") laufen mit eigenen Betriebsystemen, Linuxderivaten usw.

    • Sirjony
    • 27. November 2010 10:45 Uhr

    http://aro1.com/neuigkeiten-zu-stuxnet/

    Leider erst ab Sonntag erreichbar, trotzdem weitaus interessanter als dieser Artikel.
    Das ist ein pro-israelischer Blog, der Stuxnet und die Folgen im Iran angibt. Kurz gefasst ist das iranische Atomprogramm auf Eis und sehr stark beschädigt.

    Antwort auf "~ 1257"
    Reaktionen auf diesen Kommentar anzeigen

    Wie hätten denn die Iraner Nord-Korea mit Atombomben ausstatten können, wenn die Zentrifugen tatsächlich kaputt gegangen wären? *zwinker*

  5. Wir möchten alle Kommentatoren dazu auffordern, zu einer Diskussion des Artikelthemas zurück zu kehren. Sofern keine konkreten Belege und Quellen genannt werden können, bitten wir darum auf Spekulationen über Akteure zu verzichten. Danke, die Redaktion/fk.

    In seiner Reinkultur, erstens vermischen sie Staat und Religion, Politik und Theologie.

    Zweitens spielen sie die Karte der jüdischen Weltverschwörung, bei den Nationalsozialisten hätten sie großen Zuspruch erhalten, traurig nur das die Zeit solche Kommentare duldet und sich damit zum Reproduzenten antisemtischer Verschwörungsphantasien macht.

Bitte melden Sie sich an, um zu kommentieren

Service