Computervirus Stuxnet: Der Wurm, der aus dem Nichts kam (Spiegel Online, 22.9.2010 mit Matthias Kremp)

Computervirus Stuxnet

Der Wurm, der aus dem Nichts kam

Haben westliche Geheimdienste mit dem Schadprogramm Stuxnet einen Cyber-Angriff auf das iranische Atomprogramm gestartet? Der besonders raffiniert programmierte Wurm lässt Experten rätseln. SPIEGEL ONLINE beantwortet die wichtigsten Fragen zur angeblichen Virusattacke.

Spiegel Online, 22.9.2010, mit Matthias Kremp

{jumi [*3]}

Der Computer-Schädling Stuxnet hat eine steile Karriere hingelegt. Im Juli wurde seine Existenz erstmals öffentlich gemeldet. Weißrussische PC-Experten hatten den Wurm entdeckt, der sich über USB-Sticks verbreitete und sogar in Windows-Systemen einnisten konnte, die mit allen aktuellen Patches abgesichert waren. Zuerst war die Rede von Industriespionage, dann wurde schnell klar, dass die Schadsoftware die Steuerungssysteme von Industrieanlagen infiziert.

Vor einer Woche dann die Alarmbotschaft: Auf der ganzen Welt seien Industrieanlagen befallen, Stuxnet sei eines „der ausgefeiltesten und ungewöhnlichsten Schadprogramme, die je geschrieben wurden“, urteilt das US-Fachmagazin “ Computerworld„. Siemens, der Hersteller der betroffenen Anlagen, schien ratlos. Am Dienstag schließlich titelt die „Frankfurter Allgemeine Zeitung“: „Der digitale Erstschlag ist erfolgt.“ Ziel von Stuxnet sei das iranische Atomprogramm gewesen, hieß es nun.

Haben also westliche Geheimdienste einen Virus geschrieben, um Atomanlagen in Iran unbrauchbar zu machen? Für diese These gibt es keinen konkreten Beleg und nur wenige Hinweise. Aber die bisher bekannten Details über die Schadsoftware Stuxnet deuten zumindest darauf hin, dass es sich bei den Urhebern nicht um gewöhnliche Computerkriminelle handelt.

Wer steckt hinter Stuxnet? Wie funktioniert der Wurm? Und war Iran wirklich das Ziel der Attacke? SPIEGEL ONLINE beantwortet die wichtigsten Fragen zu der Virusattacke:

Wer hat Stuxnet programmiert?

Eines ist klar: Die Stuxnet-Schöpfer haben sehr lange an der Schadsoftware gearbeitet und dabei exklusives Wissen genutzt. Das Sicherheitsunternehmen Symantec kommt nach der Analyse mehrerer Stuxnet-Versionen zu dem Ergebnis, dass an dem Wurm mindestens seit Juni 2009 gebastelt wurde. Symantecs Schlussfolgerung: „Den Schöpfern dieser Bedrohung standen große Ressourcen zur Verfügung, das ist keine Teenager-hackt-in-seinem-Schlafzimmer-Operation.“

Dafür spricht auch, dass die Stuxnet-Autoren vier bis dahin unbekannte Windows-Sicherheitslücken, sogenannte Zero-Day-Exploits, ausgenutzt haben. Der Informatiker Thorsten Holz, Juniorprofessor für Embedded Malware an der Ruhr-Universität Bochum, hat die ausführbaren Dateien der Schadsoftware analysiert. Seine Einschätzung: „Solche Zero-Day-Exploits sind nicht einfach so zu finden – da müssen auch Profis lange arbeiten oder aus anderen, exklusiven Quellen Informationen über diese Lücken erhalten.“

Deshalb würden Autoren von Schadsoftware solches Wissen nur sehr vorsichtig einsetzen, denn ist einmal ein Wurm im Umlauf, der einen Zero-Day-Exploit ausnutzt, wird diese Lücke in der Regel schnell geschlossen. Das ist auch bei den von Stuxnet verwendeten Lücken rasch passiert. Wer auch immer also Stuxnet geschrieben hat, hatte einen guten Grund, das exklusive Wissen über vier Sicherheitslücken mit einem Schlag zu entwerten. Auf dem Schwarzmarkt etwa, sei ein solcher Exploit „grob geschätzt eine Viertelmillion Euro wert“, schätzt Gert Hansen von der Sicherheitsfirma Astaro.

Welche Ziele wählte Stuxnet aus?

Stuxnet zielt darauf ab, die Siemens-Steuersoftware WinCC und PCS 7 zu manipulieren. WinCC – eine Abkürzung für Windows Control Center – visualisiert in Raffinerien, Kraftwerken oder Fabriken Prozesse, PCS 7 überwacht und steuert die automatisierten Betriebsabläufe.

Die ausführbaren Dateien der Schadsoftware Stuxnet dokumentieren sehr gute Kenntnisse der Autoren. Es finden sich darin mehr als 200 Code-Blöcke, die auf spezielle Funktionen von WinCC abzielen. Informatiker Thorsten Holz urteilt: „Dieses Wissen gehört nicht zum Standard-Repertoire von Schadsoftware-Autoren. Maschinenbauer kennen sich mit WinCC vielleicht aus, ein Autor von Schadsoftware für Windows-Systeme eher nicht.“ Sein Fazit: Da waren Experten am Werk.

„Das Verhaltensmuster von Stuxnet deutet darauf hin, dass der Virus offenbar nur in Anlagen mit einer spezifischen Konfiguration aktiv wird“, bestätigt Siemens-Sprecher Wieland Simon gegenüber SPIEGEL ONLINE das Experten-Know-how der Schöpfer. Die könnte er durch Analyse spezifischer Datenbausteine und Codes erkennen, was den Schluss zulasse, „dass Stuxnet auf einen speziellen Prozess oder eine Anlage zielt“.

Aber bei welchen Anlagen genau Stuxnet aktiv werden sollte und was die Aufgabe der Schadsoftware dort war, sagt derzeit keiner der Sicherheitsexperten. Entweder weiß noch niemand, was die hochkomplexe Schadsoftware tun sollte, weil sie nicht aktiv geworden ist – oder die Kenner veröffentlichen die Ergebnisse der Code-Analyse nicht.

Laut dem Hamburger IT-Sicherheitsexperten Ralph Langner haben sich die Stuxnet-Entwickler viel Mühe gegeben, ihre Software so unauffällig wie möglich auf den infizierten Systemen zu platzieren. Einmal eingenistet, sollte sich Stuxnet vor allem durch Stillschweigen auszeichnen und nichts tun, solange er nicht aktiviert wird. Hinweise auf seine Anwesenheit bekommen Betreiber betroffener Anlagen nur dann, wenn sie nach ganz bestimmten Softwaremodulen in ihrem System fahnden, die dort eigentlich nicht hineingehören.

In welchen Ländern war Stuxnet aktiv?

Dafür, dass Stuxnet es auf Industrieanlagen in Iran abgesehen hat, gibt es nicht ganz so deutliche Indizien. Der Wurm war auch in Südostasien aktiv. Das Sicherheitsunternehmen Symantec hat dazu zwei Statistiken publiziert. Die im Juli veröffentlichten Zahlen zeigen, wie viele Rechner, die mit Symantec-Sicherheitssoftware geschützt sind, einen Angriff durch Stuxnet registriert haben. Zwischen dem 13. und 16. Juli standen knapp 40 Prozent dieser Rechner in Indien, gut 32 Prozent in Indonesien und mehr als 20 Prozent in Iran.

Eine Woche später veröffentlichte Symantec eine zweite Statistik. Die Übersicht zeigt, in welchen Staaten Rechner von Stuxnet befallen worden sind. Dabei handelt es sich nicht um Computer, die von Symantec-Software geschützt werden. Die Zahlen kommen so zustande: Stuxnet versucht nach einer Infektion eine Erfolgsmeldung über das Internet an eine bestimmte Domäne abzusetzen. Nachdem die Schadsoftware erkannt war, hat Symantec diese Domäne übernommen und analysiert, aus welchen IP-Adressräumen die Statusmeldungen kamen. Das Ergebnis: Knapp 60 Prozent der infizierten Rechner melden sich aus Iran, knapp 20 Prozent aus Indonesien, gut acht Prozent aus Indien.

Waren iranische Atomanlagen das Ziel von Stuxnet?

Auf der Joe-Weiss-Konferenz im amerikanischen Rockville – einer Fachtagung für Prozesssteuerung – trug Sicherheitsexperte Langner seine Erkenntnisse und Schlussfolgerungen ausführlich vor, die er auch auf seiner Web-Seite noch einmal präsentierte. Aus einer Reihe von Indizien leitet er ab, dass die iranische Atomanlage in Buschehr das Ziel von Stuxnet gewesen sein könnte. Für diese Theorie, die der Experte selbst ausdrücklich als Spekulation bezeichnet, sprechen folgende Hinweise:

 

  • Am Bau der iranischen Atomanlage ist das russische Unternehmen Atomstroyexport beteiligt. Dessen Web-Seite ist laut Langner von einem Driveby-Virus befallen, der bei Aufruf versucht, Daten von einer Malware-Seite nachzuladen. Weil die von dem Schädling angesteuerte Seite aber schon vor zwei Jahren abgeschaltet wurde, vermutet er, dass die Infektion des Webservers schon mindestens ebenso lange zurückliegt und seither nicht beseitigt wurde. Ein potentielles Einfallstor in die Netzwerke der iranischen Anlage ist die Seite demnach immer noch.
  • Im August berichtete der SPIEGEL über eine Lieferung von elektronischen Siemens-Bauteilen, die für Russland bestimmt waren, die nach Informationen deutscher Behörden aber über Moskau zum iranischen Atomreaktor in Buschehr umgeleitet werden sollten. Abnehmer war eben jene Atomstroyexport, deren Web-Seite Langner als infiziert bezeichnet. Dass in Iran ein Bedarf an Siemens-Technik besteht, liegt nahe. Allerdings hat das deutsche Unternehmen seine Handelsbeziehungen zu Iran am 1. Juli 2010 eingestellt.
  • Bereits 2009 tauchte ein angebliches Foto von einem Steuerungsbildschirm in der Atomanlage Buschehr auf, auf dem eine Fehlermeldung zu sehen ist, die auf eine fehlende oder abgelaufene Lizenz der verwendeten Siemens-Steuersoftware WinCC hinweist – ein weiterer Hinweis für Langner, dass es die Iraner nicht sonderlich ernst nehmen mit der Sicherheit. Außerdem dürfen sie nicht mit Unterstützung durch den deutschen Konzern rechnen, denn: „Siemens ist weder direkt noch indirekt am Bau von Kernkraftwerken in Iran beteiligt“, wie Firmensprecher Trost SPIEGEL ONLINE erklärt.

Haben Geheimdienste Stuxnet in Umlauf gebracht?

Und dennoch: Eindeutige Belege für den Angriff auf Irans Atomprogramm gibt es eben nicht. Siemens-Sprecher Wieland Simon will Langners Einschätzung deshalb auch nicht bestätigen. Siemens-Analysen des Trojaners „erlauben keine konkreten Rückschlüsse über Ziel und Urheber des Virus“, sagt er SPIEGEL ONLINE. An Spekulationen darüber, welche Ziele die Macher von Stuxnet verfolgen, wer sie sind und ob Stuxnet womöglich schon zugeschlagen hat, will sich Siemens nicht beteiligen.

Ähnlich äußert sich auch Thorsten Holz: „Aus der Analyse der ausführbaren Dateien der Schadsoftware lässt sich nicht ableiten, wer sie mit welchem Ziel entworfen und in Umlauf gebracht hat. Alle Theorien dazu sind reine Spekulation. Der hohe Aufwand für ein sehr spezielles Ziel spricht natürlich dagegen, dass es sich hierbei um normale Computerkriminelle handelt.“

Dagegen spricht allein die Wirtschaftlichkeit. Wie sollen Computerkriminelle bei dem erheblichen Aufwand für die Entwicklung von Stuxnet Geld machen? Der Informatiker Felix Freiling, Professor für IT-Sicherheitsinfrastrukturen an der Universität Erlangen-Nürnberg urteilt: „Der Aufwand, der bei Stuxnet betrieben wurde, deutet in der Tat auf staatliche Dienste hin. Direkt ist auch kein Geschäftsmodell erkennbar. Deshalb ist die Organisierte Kriminalität als Verursacher aus meiner Sicht unwahrscheinlich.“

All das führt einige Beobachter zu der Annahme, dass es wohl eine von einem Staat initiierte und finanzierte Aktion gewesen sein muss, Stuxnet zu entwickeln.

Sicherheitsforscher: „Nicht der erste Angriff dieser Art“

Bei allem Aufwand ist die Stuxnet-Attacke nach Ansicht von Experten allerdings keine einzigartige Aktion, schon gar nicht der erste Angriff dieser Art. Informatiker Holz weist darauf hin, dass die Schadsoftware letztlich versagt habe: „Klar ist, dass die Urheber von Stuxnet bei aller Professionalität dennoch Fehler begangen haben. Irgendetwas ist schiefgelaufen, sonst wäre der Angriff nicht bemerkt worden.“

Der Sicherheitsexperte warnt deshalb vor einer überzogenen Einordnung des Vorfalls: „Ich halte diesen Angriff nicht für den ersten dieser Art und bei allem Aufwand auch nicht für einmalig. Ich gehe davon aus – das ist nur meine persönliche Einschätzung -, dass solche Angriffe häufiger vorkommen, dass die erfolgreichen aber nicht öffentlich bekannt werden.“