Der Wurm, der die Maschinensteuerungen von iranischen Atominstallationen befallen hat, kam von einem russischen Zulieferer für diese Anlagen. Das zumindest glaubt der deutsche Sicherheitsexperte Ralph Langner, der das Programm seit Wochen analysiert.

Langners Unternehmen beschäftigt sich seit über zwanzig Jahren mit der Kommunikation zwischen Industrieanlagen und PCs. Bereits Mitte September 2010 hatte Langner auf seiner Website vor Stuxnet gewarnt und beschrieben, wie der Wurm Maschinensteuerungen gezielt befallen und sabotieren kann.

Er sei eine "one-shot-weapon", schreibt er dort, eine Waffe, gebaut, um mit einem Schuss ein ganz bestimmtes Ziel zu erfüllen. Und wahrscheinlich habe er das bereits getan.

Ralph Langner sagte nun im Gespräch mit Golem.de, dass der Wurm nicht direkt in die Anlagen eingeschleust wurde, und schon gar nicht über das Internet. Vielmehr habe sich herausgestellt, dass "ein russischer Integrator infiziert wurde".

Der Wurm nutzte vier sogenannte Zero-Day-Exploits, bislang nicht öffentlich gewordene Lücken im Betriebssystem Windows, aus, um zunächst PCs zu befallen.

Auf diesen Rechnern lauerte der Schädling und versuchte, den Code für die Maschinensteuerungen auf den PCs und im Netzwerk eines Unternehmens zu erkennen. Fand er solche Programme, klinkte sich die eigentliche Schadroutine dort ein.

Solche Infektionen von Zulieferern kommen laut Langner häufiger vor. Das Zielunternehmen wird dabei nicht direkt angegriffen, weil dort hohe Sicherheitsvorkehrungen bestehen. Stattdessen suchen sich die Wurmautoren eine Firma im Umfeld des Unternehmens und bringen dort, etwa durch einen verschenkten oder "verlorenen" USB-Stick, ihr Programm in die Nähe des Ziels. Wenn etwa ein Ingenieur sein Notebook damit infiziert und es anschließend im Unternehmen ans Netzwerk anschließt, ist der Schaden kaum noch aufzuhalten.

Wahrscheinlich kam auch Stuxnet so in die iranischen Atomanlagen, die sein eigentliches Ziel waren. Laut Langner ging das Programm dabei sehr vorsichtig vor, um nicht entdeckt zu werden: Von einem PC aus verbreitete sich der Wurm nur dreimal auf andere Rechner weiter, jegliche Kommunikation über das Internet vermied das Programm.