Warum Stuxnet einzigartig ist

Der Wurm wurde programmiert, um gezielt ein Steuerungsprogramm einer iranischen Urananreicherungsanlage lahmzulegen. Nun erhält er Geschwister.

Plötzlich spielten die Zentrifugen verrückt: Die iranische Urananreicherungsanlage Natans fotografiert aus der Luft.
Bild: Keystone

Dass etwas ganz schrecklich schief läuft, merkten die Verantwortlichen der iranischen Urananreicherungsanlage Natans erst, als bereits Hunderte von Zentrifugen kaputt waren. In den 1,80 Meter hohen Aluminiumröhren mit 10 Zentimeter Durchmesser wird gasförmiges Uranhexafluorid so stark beschleunigt, bis sich die begehrten leichteren, einfach spaltbaren Uran-Isotope von den schwereren trennen. Dazu drehen sich die Rotoren in den Gasschleudern mit exakt 1064 Umdrehungen pro Sekunde. Gemäss den Bildschirmen und Kontrollanzeigen in der Kommandozentrale der iranischen Anlage lief alles nach Plan, dabei spielten die in Bunkern versenkten Zentrifugen vollkommen verrückt.

Zuerst wurde das Tempo auf 1410 Touren erhöht, um 15 Minuten später zur Ausgangsgeschwindigkeit zurückzukehren. Knapp einen Monat war es her, als wäre das nie geschehen. Bis die Rotoren nach 27 Tagen wieder das Tempo änderten. Zuerst bremsten sie bis zum Stillstand und fuhren dann langsam wieder hoch. Dieses Mal dauerte der Spuk 50 Minuten. Zwischen Juni 2009 und Juli 2010 wurden so knapp tausend Zentrifugen ausser Gefecht gesetzt – ein Fünftel der installierten Röhren. Hinter der Störung steckte weder ein Kurzschluss noch ein Programmierfehler. Die Zahl der Umdrehung wurde absichtlich manipuliert – mithilfe eines Computervirus, eines sogenannten Wurms, der später unter dem Namen Stuxnet bekannt wurde.

«Das gab es bisher nur im Film»

Laut Experten markiert Stuxnet einen Meilenstein: «So etwas gab es bisher nur im Film», sagt Ilias Chantzos, der für die IT-Sicherheitsfirma Symantec in Europa, Afrika, Asien und Australien für die Beziehungen zu Politik und Staaten verantwortlich ist. «Stuxnet wurde entwickelt, um physischen Schaden anzurichten», sagt der Viren-Experte. «Das ist eine Premiere.» Der Grieche berät Regierungen darin, wie mit digitalen Bedrohungen umzugehen ist. Für ihn ist klar: «Die Welt verändert sich gerade.»

Nicht nur sein zerstörerischer Zweck unterscheidet Stuxnet von allem bisher da gewesenen. «Stuxnet hat viele Sachen getan, die ziemlich komplex und ziemlich einzigartig sind», sagt Chantzos. Zum Beispiel hat sich der Wurm seinen Weg nicht übers Internet gebahnt. Die Computer in der Anlage in Natans sind von der Aussenwelt isoliert – aus Sicherheitsgründen. Er muss also auf einem Laptop gepflanzt oder direkt ins System eingeimpft worden sein, via einen infizierten USB-Stick. Dazu nutzte er nicht nur eine bisher unbekannte Sicherheitslücke im System aus, sondern deren vier. Zudem setzte Stuxnet gestohlene Sicherheitszertifikate ein, welche die Legitimität von Software bezeugen. Allein an so etwas heranzukommen, ist eine Meisterleistung. Ausserdem legte der Wurm höchsten Wert auf Diskretion: Nachdem er drei Computer infiziert hatte, löschte er sich automatisch vom USB-Stick.

Einmal in den Mauern Natans angekommen, bahnte sich Stuxnet seinen Weg zum eigentlichen Ziel: den sogenannten Steuereinheiten oder Controllern, die unter anderem dafür sorgen, dass sich die Rotoren in den Zentrifugen stets mit der richtigen Geschwindigkeit drehen.

Nicht nur der Iran war betroffen

Steuereinheiten sind die moderne Variante eines Relais. Die kleinen Kästchen sammeln Daten von Sensoren – Lichtschranken, Temperaturfühlern, Umdrehungszählern, Füllstandsanzeigen – vergleichen sie mit zuvor hinterlegten Werten und lösen abhängig davon ein bestimmtes Protokoll aus. Wenn etwa die Temperatur zu hoch ist, stellen sie die Klimaanlage höher. In der industriellen Produktion und bei der Steuerung von Maschinen sind solche Steuerungseinheiten allgegenwärtig.

Massgeschneidert auf System

Allerdings hatte es Stuxnet nicht generell auf Controller abgesehen. Der Wurm wurde programmiert, um nach speziellen Siemens-Steuereinheiten zu suchen – den Simantic S7-300, programmiert mit der dazugehörigen Software Step 7. Und selbst das war noch nicht spezifisch genug. Schaden richtete Stuxnet erst an, wenn an den Controllern bestimmte Bauteile hingen: Frequenzumrichter des finnischen Herstellers Vacon oder des iranischen Konkurrenten Fararo Paya. Mit Frequenzumrichtern steuert man die Geschwindigkeit von Geräten, etwa Motoren, die wiederum Turbinen, Rotoren oder andere Propeller antreiben.

Experten streiten sich darüber, ob Stuxnet für den Angriff auf Natans massgeschneidert wurde. Chantzos äussert sich dazu vorsichtig: «Stuxnet wurde sehr gezielt auf eine bestimmte Umgebung angesetzt», sagt er. «Er war massgeschneidert auf ein System, nicht auf eine spezifische Anlage.» Allerdings habe man im Iran die meisten infizierten Computer gefunden, es gab aber auch Ballungen in anderen asiatischen Ländern. Bis Herbst 2010 meldete Siemens 15 Anlagen, auf deren Computern Stuxnet gefunden worden war.

In einem Punkt aber sind sich alle Experten einig: «Ein solches Virus kann auf keinem Fall von einem einfachen, einzelnen Hacker entwickelt worden sein», sagt der Symantec-Experte. Vielmehr müsse dahinter ein «organisiertes Team von Spezialisten» stecken, das «über viel Zeit, Geld und Unterstützung» verfüge. Experten gehen davon aus, dass die Spezialisten eine Anlage wie jene in Natans nachbauen mussten, um zu testen, wie gut ihr Werk funktioniert. Ansonsten lässt sich das Wissen über die Details solcher Anlagen fast nicht erklären. Auf drei Jahre schätzen Spezialisten die Entwicklungsdauer. Als Auftraggeber wurden aufgrund dieser Rahmenbedingungen schnell Regierungen ausgemacht. Bis heute hält sich der Verdacht hartnäckig, dass die USA und Israel dahinter stecken – obwohl sich beide Länder noch nie zu den Vorwürfen geäussert haben. Andere Theorien gehen von einem wissenschaftlichen Experiment aus.

Stuxnet hat Familie

Dabei geht es längst nicht mehr nur um Stuxnet. Im Oktober 2011 entdeckte das Labor für Verschlüsselung und Systemsicherheit der Universität Budapest einen neuen Wurm, der eng mit Stuxnet verwandt zu sein scheint: Duqu. Die beiden Trojaner teilen sich über weite Strecken denselben Quellcode – quasi die DNS. «Deshalb glauben wir, dass wer auch immer Stuxnet geschrieben hat, auch hinter Duqu steckt», sagt Chantzos.

Im Unterschied zu Stuxnet wurde Duqu aber nicht gebaut, um zu zerstören. «Duqu sammelt Informationen, spioniert Anlagen aus», sagt der Symantec-Experte. Duqu bereitet also möglicherweise einen weiteren Angriff nach dem Vorbild Stuxnets vor. Duqu spioniert industrielle Systeme aus: «Welche Bauteile eingesetzt werden, welche Daten die Kontrollanzeigen liefern. Solche Dinge.» Duqu hat auch Computer in der Schweiz infiziert. Betroffen ist laut Symantec ein Hersteller von Kontrollsystemen. Ob es sich dabei aber um eine Schweizer Firma oder um die Schweizer Niederlassung eines ausländischen Konzerns handelt, ist nicht bekannt.

Damit nicht genug. Kurz vor dem Jahreswechsel wurde bekannt, das Stuxnet und Duqu noch mindestens drei weitere Geschwister haben. Gemäss dem Viren-Spezialisten Kaspersky gibt es Hinweise darauf im Code von Stuxnet und Duqu. Die Würmer scheinen nach diesen drei Familienmitgliedern Ausschau zu halten. Was allerdings passieren würde, wenn sie sich finden, ist unklar. Der zuständige Spezialist bei Kaspersky, Costin Raiu, sagt es so: «Es ist wie ein Lego-Set. Man kann die Komponenten zu allem zusammenbauen: einem Roboter, einem Haus oder einem Panzer.» Bislang fehlt von diesen Geschwistern jeder Spur. (Tages-Anzeiger)

Erstellt: 17.01.2012, 15:01 Uhr

Kommentar schreiben

Vielen Dank für Ihren Beitrag. Ihr Kommentar wurde abgeschickt. Bis er von der Redaktion freigeschaltet wird, kann es eine gewisse Zeit dauern.
Ihren Kommentar ansehen

Vielen Dank für Ihren Beitrag.

Bitte geben Sie einen Kommentar ein.

Verbleibende Anzahl Zeichen:

Angemeldet mit Facebook

Privatsphäre

Willkommen,

Anmelden mit Facebook

Ohne Login:

Bitte geben Sie einen gültigen Namen ein.

Bitte geben Sie eine korrekte Ortsangabe ein.

Bitte geben Sie eine gültige E-Mail-Adresse ein.

Ich habe die RegelnRegeln gelesen und erkläre mich einverstanden.

Bitte erklären Sie sich mit den Regeln einverstanden.

Wir freuen uns, dass Sie bei uns einen Kommentar abgeben wollen. Bitte nehmen Sie vorab folgende Regeln zur Kenntnis: Die Redaktion behält sich vor, Kommentare nicht zu publizieren. Dies gilt ganz allgemein, aber insbesondere für ehrverletzende, rassistische, unsachliche, themenfremde Kommentare oder solche in Mundart oder Fremdsprachen. Kommentare mit Fantasienamen oder mit ganz offensichtlich falschen Namen werden ebenfalls nicht veröffentlicht. Über die Entscheide der Redaktion wird weder Rechenschaft abgelegt, noch Korrespondenz geführt. Telefonische Auskünfte werden keine erteilt. Die Redaktion behält sich ausserdem vor, Leserkommentare zu kürzen. Bitte nehmen Sie zur Kenntnis, dass Ihr Kommentar auch von Google und anderen Suchmaschinen gefunden werden kann und dass die Redaktion nichts unternehmen kann und wird, um einen einmal abgegebenen Kommentar aus dem Suchmaschinenindex zu löschen.

 auf Facebook publizieren  Kommentar senden Kommentar senden

Bitte warten

No connection to facebook possible. Please try again. There was a problem while transmitting your comment. Please try again. Schliessen

4 Kommentare

Alle Kommentare anzeigen Alle Kommentare anzeigen

Digital