Dieser Tage hat der Computerwurm Stuxnet wieder von sich hören lassen. Vor Wochen wurde bekannt, dass er rund um den Globus die Steuerungscomputer von Industrieanlagen des Herstellers Siemens infiziert hat. Die gezielte Infektion dieser Steuerungseinheiten – und nicht etwa der Datenbanken – ist es, die aus Stuxnet einen echten Saboteur und keinen Spion macht.

Nun hat die IT-Sicherheitsfirma Symantec mit Unterstützung eines niederländischen Spezialisten weitere Teile des Programmcodes entschlüsselt. Demnach führt der Wurm selbsttätig Sabotageakte durch. Ein Verhalten, das zuvor unterstellt wurde, bisher aber nicht beobachtet werden konnte.

Trifft Stuxnet auf bestimmte Frequenzregler, wird er aktiv. Die Frequenzregler regulieren die Drehgeschwindigkeiten angeschlossener Motoren. Bei sehr hoch drehenden Motoren schaltet sich Stuxnet ein und fährt die Drehzahlen hoch und runter. So können angeschlossene Prozesse gestört werden.

So weit die neuen Fakten. Sie stützen die These, dass Stuxnet ein gezielter Angriff auf das iranische Atomprogramm gewesen sei. Auch Symantec scheint diesem Schluss zuzuneigen. Die Firma weist zum Ende ihrer neuen Analyse darauf hin, dass Urananreicherungsanlagen sehr hoch drehende Motoren verwenden.

Tatsächlich ist das längst nicht alles. Der Wurm, dafür spricht viel, diente noch einem anderen, weitaus größeren Zweck: Da wurde eine Cyberwaffe quasi an der ganzen Welt getestet, nicht nur in Iran. Das lässt sich nicht beweisen, aber einiges deutet darauf hin. Viele Experten bei Militär und Geheimdiensten sind davon inzwischen überzeugt.

Klar ist, dass Stuxnet mit großer Expertise geschrieben wurde, unter Einbindung verschiedener Fachrichtungen. Das Projekt wurde höchstwahrscheinlich von konventionellen Spionen unterstützt, die geholfen haben, die Ziele auszuwählen und den Wurm zu verbreiten. Und da das Programm fehlerfrei auf unterschiedlichen Systemen lief, muss es intensiv in einer möglichst realen Umgebung getestet worden sein. Mit anderen Worten: Jemand hat sich eine kleine Industrieanlage als Testgelände aufgebaut. Teenager fallen also aus, genauso wie Cyber-Kleinkriminelle. Organisierte Kriminelle hätten den Aufwand möglicherweise leisten können. Bei ihnen fehlt allerdings das Motiv. Das einzige Szenario wäre ein Welterpresser im Stile eines Dr. No. Unwahrscheinlich also. Der Hauptverdächtige ist nach Ausschluss der anderen: ein Militär. Eine Einheit zur digitalen Kriegsführung. Für sie wäre dieser Angriff machbar, attraktiv, vernünftig.

So weit sind sich inzwischen die meisten Analysten einig. Die nächste Frage lautet: Wer? Und wozu? Dies sind allerdings Fragen, die im Cyberwar schwer zu beantworten sind. Ein Angriff per Datenpaket hinterlässt kaum Spuren. Dies gilt auch für Angriffe, die mit einem kleinen Datenspeicher, einem USB-Stick, an ihr Ziel gebracht werden – so wie es bei Stuxnet primär der Fall war. Es mag erstaunlich klingen, aber das ist eine selbst in Hochsicherheitskreisen außergewöhnlich erfolgreiche Angriffsmethode. Vor drei Jahren wurde etwa ein originalversiegelter, aber verseuchter USB-Stick im Herzen des Pentagons »verloren«. Als ihn jemand benutzte, wurden einige sonst vollkommen abgeschlossene Rechnerbereiche infiziert. Mit konventionellen Methoden werden sich auch die Urheber von Stuxnet nicht festmachen lassen.

Analysen können nur spekulativ verfahren, unter Einbezug der technischen und politischen Kontexte des Angriffs. Die Fragen nach »Wer?« und »Wozu?« sind dabei eng verbunden. Die unter militärischen Sicherheitsexperten unternommenen Überlegungen der vergangenen Monate unterscheiden sich hier grundlegend von denen der IT-Sicherheitsexperten, die, das sollte man nicht vergessen, keine eigentlichen Sicherheitsexperten sind.