Computerschädling Stuxnet

Die steile Karriere eines Super-Virus

Viele Indizien weisen darauf hin, dass sich Stuxnet gegen den iranischen Atommeiler in Buschehr richtet.

Atomanlage Buschehr

Viele Indizien weisen darauf hin, dass sich Stuxnet gegen den iranischen Atommeiler in Buschehr richtet.

Ein hochkomplexer Computervirus sorgt für Aufsehen. Auf der ganzen Welt befällt er Industrieanlagen. Gerüchten zu Folge soll Stuxnet sogar den iranischen Atommeiler in Buschehr lahmgelegt haben. Steckt ein Geheimdienst hinter der Attacke?

Seit weissrussische Experten den Computervirus Stuxnet entdeckt haben, überschlagen sich die Meldungen. Auf der ganzen Welt dringt der Virus in von Siemens gebaute Industrieanlagen ein. Ersten Erkenntnissen zu Folge nistet sich das Virus über USB-Sticks in Windowssystemen ein und macht selbst vor Rechnern mit aktuellster Sicherheitsausstattung nicht Halt.

Zuerst wurde hinter dem Virus Industriespionage vermutet - nun ist aber klar: Das Ziel von Stuxnet ist die Infiltrierung von Steuerungssystemen, wie das Fachmagazin «Computerworld» berichtet. Gemäss Siemens sind bis heute 14 befallene Anlagen bekannt. Der Schädling ist in der Lage, die Arbeitsweise eines Steuerungssystems zu kontrollieren.

Im Super-Virus stecken viel Geld und Expertenwissen

Virus-Experte Symantec zu Folge wurde an dem Virus mindestens ein Jahr lang gearbeitet. Dem Urheber müssten grosse Ressourcen zur Verfügung gestanden haben: «Das ist mit Sicherheit keine Teenager-hackt-in-seinem-Schlafzimmer-Operation». Der grosse Aufwand wurde für ein sehr spezielles Virus betrieben, das sich nur gegen wenige Anlagen richtet.

Hinter Stuxnet ist auch kein Geschäftsmodell erkennbar. Die Organisierte Kriminalität kommt als Urheber auch deswegen kaum in Frage, sagt Felix Freiling, Professor für IT-Sicherheitsinfrastrukturen gegenüber «Spiegel Online». Das lässt nur eine Schlussfolgerung zu: Ein Staat muss hinter Stuxnet stecken. Haben also westliche Geheimdienste diesen Virus programmiert?

«Der digitale Erstschlag ist erfolgt.»

Zumindest die «Frankfurter Allgemeine Zeitung» glaubt: «Der digitale Erstschlag ist erfolgt.» Für eine von Profis durchgeführte Attacke spricht auch, dass die Entwickler gleich vier bisher unbekannte Windows-Sicherheitslücken ausgenutzt haben. Solche Lücken sind wertvolles Gut unter Hackern.

Denn einmal ausgenutzt, werden die Fehler schnell bekannt und von der betroffenen Firma schnell behoben. Das Wissen über die Lücke wird unbrauchbar. Dazu kommt, dass solche Lücken selbst für Spezialisten nur sehr schwer zu finden sind. Wer also auf einen Schlag gleich vier Lücken bekannt macht, muss dazu gute Gründe haben.

Stuxnet ist fast ausschliesslich im Iran verbreitet

Nachdem das Virus eine Anlage infiziert hat, versucht es, an eine bestimmte Adresse eine Erfolgsmeldung zu schicken. Das machte sich Symantec zu Nutze, in dem es die Adresse übernahm und Meldungen an diese auswertete.

Über die IP-Adresse gelingt es so, Infizierungen zu lokalisieren. Noch im Juli entstand so eine Statistik zur Verbreitung: Demnach stammen 60 Prozent der infizierten Rechner aus dem Iran, 20 Prozent aus Indonesien und weitere acht Prozent aus Indien.

Richtet sich Stuxnet gegen den iranischen Atommeiler Buschehr?

Der Sicherheits-Experte Ralph Langner bezeichnet die Attacke bereits als «Hack des Jahrzehnts.» Auf seiner Webseite und an Fachtagungen führt er aus, welche Indizien für einen Angriff auf Buschehr sprechen: Die Webseite der russischen Firma Atomstroyexport ist seit mindestens zwei Jahren von einem Virus infiziert. Da das Unternehmen am Atommeiler mitarbeitet, ist die Seite eine potentielle Angriffsfläche, um in die Netzwerke von Buschehr einzudringen. 

Siemens selber unterhält seit dem 1. Juli keine Handelsbeziehungen mehr zu Iran. Im August tauchte aber eine Meldung auf, wonach Russland bestellte Anlagen von Siemens in den Iran weitergeleitet hat.

Ralph Langner vermutet weiter, dass Iran das Thema Sicherheit vernachlässigt. Darauf weist ein angeblicher Screenshot der Steuerungssoftware vom Atommeiler in Buschehr hin. Er zeigt eine Warnmeldung, wonach die aktuelle Lizenz für die Software abgelaufen sei. Dadurch wäre das System für Cyber-Attacken anfällig. Handfeste Beweise für diese Indizien gibt es allerdings nicht.

Gehen die Schlussfolgerungen auf, kommen für den Angriff in erster Linie die Geheimdienste der USA und von Israel in Frage.

«Vorfall nicht überbewerten»

Experten weisen aber auch darauf hin, dass derart raffinierte Angriffe weit häufiger vorkommen dürften, als bekannt. Nur bleiben die erfolgreichen unentdeckt.

Meistgesehen

Artboard 1