Die Sicherheitsforscher von Symantec haben eine bisher unbekannte Variante des Stuxnet-Wurms entdeckt. Es handelt sich um die älteste bisher gefundene Version, sie kam schon im Jahr 2007 zum Einsatz. Der Computerwurm, der die Urananreicherung in der iranischen Anlage Natanz sabotierte, war also insgesamt mindestens vier Jahre lang im Einsatz und damit doppelt so lange wie bislang bekannt.

Stuxnet 0.5, wie die Version genannt wird, wurde bereits im November 2007 gefunden, aber zunächst nicht erkannt. Damals luden Unbekannte ein Sample der Schadsoftware auf der Virenscanner-Plattform VirusTotal hoch, sagt Sicherheitsforscher Candid Wüest von Symantec im Gespräch mit ZEIT ONLINE. Doch erst jetzt habe das Team, in dem Wüest arbeitet, den Code als Teil von Stuxnet identifiziert.

Es war ein Zufallsfund: Bei einem routinemäßigen Abgleich der Symantec-Datenbank stellten die Experten fest, dass dieses Sample von 2007 gewisse Ähnlichkeiten mit dem Stuxnet-Vorgänger Flame hatte. Gewisse Bausteine trügen sozusagen "die Handschrift der Flame-Programmierer", sagt Wüest.

Das Alter der Software belegt, wie lange das gesamte Projekt lief. Einer der Computer, die Stuxnet 0.5 kontaktierte, ist nach Angaben von Wüest bereits im Jahr 2005 registriert worden. Stuxnet 0.5 selbst war von 2007 bis zum 4. Juli 2009 aktiv. Am Unabhängigkeitstag stoppte der Wurm die Infektion weiterer Systeme. "Selbstzerstörungsfunktion" nennt Wüest das. Die drei bisher gefunden Varianten waren von 2009 bis 2010 aktiv. 

Die Hauptfunktion der aktuelleren Stuxnet-Varianten bestand darin, die Siemens-Steuerungsanlagen für die Urananreicherung der iranischen Atomanlage Natanz zu manipulieren. Die Programme beeinflussten die Geschwindigkeit der Zentrifugen, in denen das Gas Uranhexaflourid angereichert wird, bis diese funktionsuntüchtig waren.

Version 0.5 dagegen griff auf die Ventil-Steuerung der Zentrifugen zu. Dadurch sollte der Gasdruck so weit erhöht werden, bis es in der Anlage zu physischen Schäden kommt. Wie gut das gelang, ist nicht bekannt. Laut der Internationalen Atomenergie-Organisation IAEO habe es Anfang bis Mitte 2009 aber einige Probleme mit den Zentrifugen in Natanz gegeben. Dafür könnte durchaus Stuxnet 05 verantwortlich gewesen sein, schreibt Wired.com. Der Ansatz zeige in jedem Fall, "wie viel Know-how die Entwickler von Stuxnet über die Steuerungsanlagen in Natanz hatten", sagt Wüest.

Wer diese Entwickler sind, kann auch Symantec nicht feststellen. "Es gibt keine Beweise für die Herkunft von Stuxnet", sagt Wüest.