Stuxnet : Wer war’s? Und wozu?

Der Computerwurm Stuxnet hat Siemens-Maschinen in Iran manipuliert. Aber nicht nur dort: Der Angriff traf die ganze Welt. Hier wurde eine globale Cyberwaffe getestet.
Die Außen- und Verteidgungsminister der Nato beschäftigen sich inzwischen auch mit Cyberangriffen © JOHN THYS/AFP/Getty Images

Dieser Tage hat der Computerwurm Stuxnet wieder von sich hören lassen. Vor Wochen wurde bekannt, dass er rund um den Globus die Steuerungscomputer von Industrieanlagen des Herstellers Siemens infiziert hat. Die gezielte Infektion dieser Steuerungseinheiten – und nicht etwa der Datenbanken – ist es, die aus Stuxnet einen echten Saboteur und keinen Spion macht.

Nun hat die IT-Sicherheitsfirma Symantec mit Unterstützung eines niederländischen Spezialisten weitere Teile des Programmcodes entschlüsselt. Demnach führt der Wurm selbsttätig Sabotageakte durch. Ein Verhalten, das zuvor unterstellt wurde, bisher aber nicht beobachtet werden konnte.

Sandro Gaycken

forscht an der European School of Management and Technology – ESMT – in Berlin und ist Experte für Cyberwar und Hochsicherheits-Infrastrukturen. Er berät die Bundeswehr, das Bundesverteidigungsministerium und das Bundesministerium für Bildung und Forschung zum Thema Cyberkrieg und Cybersicherheit. Der Ex-Hacker gehörte früher zum Chaos Computer Club. Für seine geheimdienstfreundlichen Positionen wurde er am vergangenen Wochenende mit einem Shitstorm bedacht.

Trifft Stuxnet auf bestimmte Frequenzregler, wird er aktiv. Die Frequenzregler regulieren die Drehgeschwindigkeiten angeschlossener Motoren. Bei sehr hoch drehenden Motoren schaltet sich Stuxnet ein und fährt die Drehzahlen hoch und runter. So können angeschlossene Prozesse gestört werden.

So weit die neuen Fakten. Sie stützen die These, dass Stuxnet ein gezielter Angriff auf das iranische Atomprogramm gewesen sei. Auch Symantec scheint diesem Schluss zuzuneigen. Die Firma weist zum Ende ihrer neuen Analyse darauf hin, dass Urananreicherungsanlagen sehr hoch drehende Motoren verwenden.

Tatsächlich ist das längst nicht alles. Der Wurm, dafür spricht viel, diente noch einem anderen, weitaus größeren Zweck: Da wurde eine Cyberwaffe quasi an der ganzen Welt getestet, nicht nur in Iran. Das lässt sich nicht beweisen, aber einiges deutet darauf hin. Viele Experten bei Militär und Geheimdiensten sind davon inzwischen überzeugt.

Klar ist, dass Stuxnet mit großer Expertise geschrieben wurde, unter Einbindung verschiedener Fachrichtungen. Das Projekt wurde höchstwahrscheinlich von konventionellen Spionen unterstützt, die geholfen haben, die Ziele auszuwählen und den Wurm zu verbreiten. Und da das Programm fehlerfrei auf unterschiedlichen Systemen lief, muss es intensiv in einer möglichst realen Umgebung getestet worden sein. Mit anderen Worten: Jemand hat sich eine kleine Industrieanlage als Testgelände aufgebaut. Teenager fallen also aus, genauso wie Cyber-Kleinkriminelle. Organisierte Kriminelle hätten den Aufwand möglicherweise leisten können. Bei ihnen fehlt allerdings das Motiv. Das einzige Szenario wäre ein Welterpresser im Stile eines Dr. No. Unwahrscheinlich also. Der Hauptverdächtige ist nach Ausschluss der anderen: ein Militär. Eine Einheit zur digitalen Kriegsführung. Für sie wäre dieser Angriff machbar, attraktiv, vernünftig.

So weit sind sich inzwischen die meisten Analysten einig. Die nächste Frage lautet: Wer? Und wozu? Dies sind allerdings Fragen, die im Cyberwar schwer zu beantworten sind. Ein Angriff per Datenpaket hinterlässt kaum Spuren. Dies gilt auch für Angriffe, die mit einem kleinen Datenspeicher, einem USB-Stick, an ihr Ziel gebracht werden – so wie es bei Stuxnet primär der Fall war. Es mag erstaunlich klingen, aber das ist eine selbst in Hochsicherheitskreisen außergewöhnlich erfolgreiche Angriffsmethode. Vor drei Jahren wurde etwa ein originalversiegelter, aber verseuchter USB-Stick im Herzen des Pentagons »verloren«. Als ihn jemand benutzte, wurden einige sonst vollkommen abgeschlossene Rechnerbereiche infiziert. Mit konventionellen Methoden werden sich auch die Urheber von Stuxnet nicht festmachen lassen.

Analysen können nur spekulativ verfahren, unter Einbezug der technischen und politischen Kontexte des Angriffs. Die Fragen nach »Wer?« und »Wozu?« sind dabei eng verbunden. Die unter militärischen Sicherheitsexperten unternommenen Überlegungen der vergangenen Monate unterscheiden sich hier grundlegend von denen der IT-Sicherheitsexperten, die, das sollte man nicht vergessen, keine eigentlichen Sicherheitsexperten sind.

Verlagsangebot

Entdecken Sie mehr.

Lernen Sie DIE ZEIT 4 Wochen lang im Digital-Paket zum Probepreis kennen.

Hier testen

Kommentare

32 Kommentare Seite 1 von 6 Kommentieren

Selbst schuld

Ich erinner mich noch an meine Computerfreak Tage vor Jahren, als ich "aus Spaß" (ja, ich weiss -.-) Programmiersprachen gelernt hab. Und über mein Schwanken zwischen Entsetzen und Belustigung welche absoluten Analphabeten meine Eltern, jeder über 25 Jahren, bezüglich dieser virtuellen Welt - die inzwischen die "echte Welt" umgibt - sind. Das muss früher oder später schief gehen.

Wir leben in einer Zeit...

...in der jene, die von sich selbst behaupten das beste Gesellschaftssystem zu verbreiten, in Ihren Feldzügen Roboter einsetzen um Menschen zu töten. Wir tolerieren deren Folterlager und deren offensichtliche Wirtschaftsmanipulation.

Das Resumee ist, dass wir es gar nciht anders verdient haben, dass in Angst und Schrecken zu leben - egal ob der Verursacher ein Computerkind, ein Geheimdienst oder selbstverständlich dich Achsel des Bösen ist...

War ja klar...

In dem Artikel ist nirgendwo die Rede von den Vereinigten Staaten von Amerika. Nicht das die USA außerhalb der Verdächtigenliste stehen würden aber bei ihrem Beitrag zeigt sich mal wieder der stumpfe und undifferenzierte Anti-Amerikanismus der sich seit der Bush-Regierung hierzulande wohl rasant ausbreitet. Wenn ein Hack dazu benutzt wird, von wem auch immer, einem Staat mit solch eklatanten Menschenrechtsverletzungen zu schaden, ist mir das nur Recht. Zumal der Iran der restlichen Welt sehr wohl zu verstehen gegeben hat, dass er Interesse an einem nuklearen Sprengkopf hat.

War ja klar...

Bitte verzichten Sie auf Unterstellungen anderen Kommentatoren gegenüber und äußern Sie sich weniger polemisch. Danke, die Redaktion/fk.

...dass wenn man die Ewigen Guten kritisiert, die Ewigen Guten gleich mit einem Gutmensctarget="_blank" hreflex zubeissen. Es hat nichts mit Anti-Amerikanismus zu tun, die widerwärtigen Terror-Yankees, sondern die Guantanamo und Billiarden-Militärbudgets sind fakt.

Im Prinzipo geben Sie mit vollends recht, wenn sie es legitimieren, dass Gefahr richtig ist, wenn es nur gegen die aus Ihrer Sicht Bösen vollzogen wird. Da frage ich mich, ob Sie vor Freude im Kreis springen würden, wenn Judien die bösartigen Iraner in Lagern beseitig...

Antisemtismus

Wir möchten alle Kommentatoren dazu auffordern, zu einer Diskussion des Artikelthemas zurück zu kehren. Sofern keine konkreten Belege und Quellen genannt werden können, bitten wir darum auf Spekulationen über Akteure zu verzichten. Danke, die Redaktion/fk.

In seiner Reinkultur, erstens vermischen sie Staat und Religion, Politik und Theologie.

Zweitens spielen sie die Karte der jüdischen Weltverschwörung, bei den Nationalsozialisten hätten sie großen Zuspruch erhalten, traurig nur das die Zeit solche Kommentare duldet und sich damit zum Reproduzenten antisemtischer Verschwörungsphantasien macht.

~ 1257

Verstehe nur Bahnhof...

Also, der Virus ruft bei seinem Hersteller an. Das ist eigentlich die beste Methode, um heraus zu bekommen, wer das ist. Denn eine Zieladresse muss im Programmcode des Virus enthalten sein.

Dann bekommt er auch noch updates, wird von außen überwacht. Wie? Von wem?

Und irgend wie widersprechen sich alle Informationen. Er macht dies und dann doch nicht, er macht jenes nicht, aber dann doch. Er ist hier verbreitet, nein da, und nur auf Siemens, aber das überall. Er verbreitet sich nur spärlich, ist aber weit verbreitet.

Verstehe wirklich nur Bahnhof. Solche Verwirrung und chaotische Zielorientierung spricht für einen Auftraggeber wie die CIA. Denen wäre das auch zuzutrauen. Mal ausprobieren, trifft ja nur das Ausland. Alles andere erscheint mir noch abstruser.

Sehr interessant

Der Artikel legt die Sachverhalte sehr gut dar, aber man braucht halt ein gewisses Vorwissen.

Das "nach Hause telefonieren", die Überwachung und Updates werden nicht an (bzw. von) einem bestimmten Server verlaufen, sondern über Umwege und verteilt, somit sehr schwer zurückzuverfolgen oder zu blockieren. Dieses Verfahren ist auch bei kriminell genutzten Computerwürmern heutzutage üblich.

Beispielweise (und das ist noch ein sehr einfaches, als veraltet anzusehendes Verfahren) loggen sich die Wurm-Instanzen in einen chatroom eines IRC-Netzwerks ein und horchen dort auf Befehle, die zum Beispiel lauten können "hol dir ein Update, es liegt unter http://... - und der Befehl kommt von einem Privatrechnet, der ebenfalls mit einem Wurm befallen ist, die Updatedateien liegen bei einem Massen-Hostingprovider, bei dem ein Account mit einer gestohlenen Kreditkarte bezahlt wurde...