Stuxnet war nur ein kleiner Teil einer riesigen Operation der Amerikaner und Israelis im Iran. Das ist die Kernaussage des Dokumentarfilms Zero Days, der erstmals am Mittwoch auf der Berlinale gezeigt wird. Der Computerwurm Stuxnet, der in einer Urananreicherungsanlage im Iran einen Teil der Zentrifugen zerstört hat, wurde demnach nur deshalb entdeckt, weil Israel den Code alleine weiterentwickelt und seine neue, wesentlich aggressivere Version dann ohne Rücksprache eingesetzt hat.

Alex Gibney, der 2008 für Taxi zur Hölle den Oscar gewann, ist der Regisseur von Zero Days. Wie James Ball auf BuzzFeed berichtet, zitiert Gibney mehrere anonyme Quellen aus Geheimdienst- und Militärkreisen, die direkt mit der geheimen Operation gegen den Iran vertraut waren. Ball hat den Film vorab zu sehen bekommen. Er war Teil des Guardian-Teams, das im Sommer 2013 die Snowden-Enthüllungen ins Rollen gebracht hatte, sein Bericht zum Film stützt sich auf eigene Erkenntnisse aus dieser Zeit sowie auf Recherchematerial von Gibney, das im Film nicht verwendet wurde.

Demnach haben die USA und Israel mit britischer Hilfe Hunderttausende Rechner und Netzwerke im Iran über Jahre hinweg infiltriert. Betroffen waren angeblich Industrieanlagen, das Stromnetz, Luftabwehr, Transport-Infrastruktur und andere Bereiche. NITRO ZEUS hieß das groß angelegte Programm, mit dem der Iran praktisch mit einem Schlag aus der Ferne hätte lahmgelegt werden können – ohne dabei einen direkten Hinweis auf die Verursacher zu hinterlassen. Gibney nennt NITRO ZEUS "den größten und komplexesten Cyber-War-Plan, den die USA jemals entworfen haben".

Stuxnet geriet außer Kontrolle

Die Zentrale dafür sei das Remote Operations Center (ROC) in Fort Meade gewesen, wo die NSA ihr Hauptquartier hat. Obwohl Hunderte Menschen an den Operationen für NITRO ZEUS gearbeitet haben sollen und das ganze Projekt Hunderte Millionen Dollar gekostet haben soll, seien nur wenige Menschen über das gesamte Ausmaß informiert gewesen.

Dass mit Stuxnet ein Teil des Ganzen aufflog, soll Schuld der Israelis gewesen sein. Zur Erinnerung: Stuxnet war in der Lage, Zentrifugen eines bestimmten Typs unbemerkt und irreparabel zu beschädigen. Israel wie auch die USA hätten unabhängig voneinander vollen Zugriff auf den Quellcode des speziell auf die Uran-Anreicherungsanlage in Natans zugeschnitten Computerschädlings gehabt.

Irgendwann zwischen 2009 und 2010 brachten die Israelis ohne jede Rücksprache eine Version in Umlauf, die sich viel schneller ausbreitete als die der Amerikaner und alsbald viele Tausend Rechner in 115 Ländern infizierte. Diese Version war es, die Sicherheitsforschern auffiel. In welch mühevoller Arbeit verschiedene Teams von mehreren Firmen den Schädling dekonstruierten und schließlich den USA und Israel zuschrieben, hat die Journalistin Kim Zetter ausführlich in ihrem Buch Countdown to Zero Day beschrieben.

Die Norm ist das, womit man davon kommt

Eine Besonderheit war, dass Stuxnet vier der Öffentlichkeit bis dato unbekannte Sicherheitslücken ausnutzte, um sich zu verbreiten. Solche Schwachstellen heißen Zero-Day-Lücken, weil nach ihrer Entdeckung null Tage bleiben, um rechtzeitig eine Abwehrstrategie zu entwickeln. Auf sie bezieht sich auch der Filmtitel.

Ob, und falls ja, wann und warum die Operation NITRO ZEUS jenseits von Stuxnet abgeblasen wurde, geht aus dem BuzzFeed-Bericht nicht hervor. Weder die US-Regierung noch der britische Geheimdienst GCHQ, der bei der Verbreitung von Stuxnet geholfen haben soll, wollten laut BuzzFeed zu den Vorwürfen Stellung nehmen.

Gibney wolle mit seinem Film darauf aufmerksam machen, dass Stuxnet Maßstäbe für staatliche Hackerangriffe gesetzt habe, schreibt Ball. In einer Phase, in der es noch keinen völkerrechtlichen Rahmen für diese Art der Kriegsführung gibt, sei "die Norm das, womit man davon kommt", wie es eine von Gibneys Quellen ausdrückt.