Ist Stuxnet ein Staatstrojaner?
Frank Rieger vom Chaos Computer Club sieht anhand einer Kette von Indizien Iran als Ziel der Super-Malware
Der iranische Präsident Ahmedinedschad machte in einem Interview mit dem amerikanischen Magazin Newsweek erneut die Welt darauf aufmerksam, wie unmöglich ein Angriff Israels auf Iran wäre. Doch ist ein Angriff auf iranische Nuklearanlagen mit herkömmlichen Mittel vielleicht gar nicht mehr nötig. Möglicherweise wird das Problem von Trojanern im Dienste des United States Cyber Command angegangen. Das ist eine der vielen Spekulationen, die von einer Malware namens "Stuxnet" ausgelöst wird.
Mitte Juli gab es erste Nachrichten über einen raffinierten Trojaner, der "nicht ganz offensichtliche" Tricks auf Lager hatte, um mehrere Zero-Day-Lücken in Windows auszunutzen. Mit einer gültigen digitalen Signatur versehen konnte der Wurm nach ersten Informationen an höhere Rechte in WinCC-Prozessleitsysteme von Siemens gelangen. Der Trojaner verbreite sich über USB-Sticks, hieß es, der Schädling nutze einen Fehler in der Verarbeitung von Verknüpfungen (.lnk-Dateien) und installiere Treiber mit Rootkit-Funktionen im System, um im Verborgenen arbeiten zu können.
Schon damals vermutete Schadware-Experte Frank Boldewin, dass hinter dem ausgeklügelten, avancierten Programm, kein "normaler Malware-Programmierer" stecken könne. Datenbankabfragen des Schädlings würden daraufhin deuten, dass das SCADA-System ("Supervisory Control and Data Acquisition") von Siemens bevorzugtes Ziel seiner Aktivitäten sei. Er vermutete Industriespionage als Zweck des Trojaners.
Mitte August verknüpfte die amerikanische Website War in Context eine Meldung, wonach von Siemens-Systemen gesteuerte Industrieanlagen in Iran auffällig häufig Opfer von Stuxnet-Attacken wurden, mit möglichen Aktivitäten des erst seit Ende Mai operierenden United States Cyber Command.
Den Beteuerungen des Verteidigungsministers Gates zum Trotz, wonach die Arbeit des Cyber Commands vorwiegend defensiv ausgerichtet sei, wies das Blog auf Äußerungen von anderen Top-Militärs hin, die von der strategisch wichtigen Bedeutung eines "Erstschlags bei Cyberoperationen" sprachen. "Sind wir gerade Zeugen der ersten Schüsse in einem Cyber-Krieg gegen den Iran geworden?", fragte Blog-Betreiber Paul Woodward angesichts der gemeldeten Trojanerangriffe auf nicht näher spezifizierte iranische Industrieanlagen.
Jetzt, Ende September, gibt es nach Informationen des Chaos Computer Club-Sprechers Frank Rieger ernsthafte Anhaltspunkte dafür, dass der "digitale Erstschlag" bereits "erfolgt" ist - durch den Trojaner "Stuxnet".
Den ersten Anhaltspunkt liefert die Arbeitsweise der Schadware. Zwar seien die Analysen, wegen der komplexen, überaus gut getarnten Arbeitsweise des Trojaners noch nicht abgeschlossen. Bislang habe sich aber gezeigt, dass das Programm unter Verwendung "vier großkalibriger" Zero Day Exploits und zweier "bei taiwanischen Hardware-Herstellern gestohlener digitaler Unterschriften" tief ins Herz des Siemens-SCADA-Steuerungssystems eindringen könne.
Die WinCCSoftware von Siemens zur Überwachung und Programmierung von SPS-Steuercomputern, wie sie für große Industrieanlagen und Kraftwerke verwendet wird, laufe unter Windows. Der Trojaner, über einen USB-Stick ins System gebracht, suche von einmal infizierten Computern aus gezielt nach den WinCC-Installationen im gesamten Netz, um von dort aus auf die SPS-Steuercomputer der Anlage zu springen. (Einfügung: Allerdings gibt es zur Reichweite des Trojaners im Siemens-Prozessleitsystem, wie es Rieger darstellt, Einwände, die der Behauptung skeptisch gegenüber stehen, wonach über WinCC (SCADA) Runtime Steuerungen der Feldebene zu programmieren wären. Siemens selbst erwähnt, "dass die Malware unter bestimmten Randbedingungen in der Lage ist, die Prozessbearbeitung in der Steuerung zu beeinflussen".) Am Ziel angekommen würden "umfangreiche Überprüfungen" sicherstellen, dass wirklich nur die spezifische Anlage, auf die stuxnet zielt, manipuliert wird. "Auf allen anderen Anlagen passiert - trotz heimlichen Festsetzens des Trojaners - nichts".
Der Aufwand, eine derart raffiniert agierende Schadsoftware wie Stuxnet zu programmieren, sei so hoch, dass er "Hobbyhacker oder lumpige Cyber-Kriminelle" ausschließe.
"Die Entwicklung sowie der Ankauf der notwendigen Angriffskomponenten in dieser Qualität und Zuverlässigkeit verursachen Kosten im siebenstelligen Euro-Bereich."
Ein Staat als Initiator der Angriffe scheint naheliegend. Und das Ziel der Angriffe?
Für Rieger gibt es eine "faszinierende Kette von Indizien", die darauf hinweisen, dass iranische Atomanlagen das Ziel der Angriffe im Jahr 2009 waren. Nach seinen Informationen wurden "sechzig Prozent der Infektionen mit stuxnet" in Iran verzeichnet. Durch unkorrekt gesetzte Datumsangaben in Computern habe sich der Trojaner weiterverbreitet, obwohl er so programmiert gewesen sei, dass "er eigentlich im Januar 2009 aufhören" sollte.
Ereignisse in diesem Jahr - Hinweise auf einen "nuklearen Unfall" in der Urananreicherungsanlage Natanz, der Rücktritt des Leiters der iranischen Atombehörde, Gholam Reza Aghazadeh, im selben Zeitraum; Statistiken aus Daten der Internationalen Atomenergiebehörde, die seit dem Frühjahr 2009 die Zahl der tatsächlich betriebenen Anreicherungszentrifugen in Iran als deutlich zurückgehend darstellen - wertet Rieger als Spuren der Arbeit des Stuxnet-Trojaners, der die Zentrifugen sabotiert hat:
"Tausende Zentrifugen müssen in Serie geschaltet werden, um am Ende die nötige Anreicherung des spaltbaren Atommaterials zu erreichen. Ohne entsprechende Computersteuerung ist eine solche Anlage effektiv nicht zu betreiben. Die Analyse von stuxnet weist nun ein faszinierendes Detail auf: Ein Teil der Schadsoftware, die in die Steuerungsprozesse eingreift, scheint darauf ausgelegt, sich auf viele einzelne Steuercomputer in einem Netz zu verbreiten und die Schadensroutinen zeitlich zu synchronisieren."
Aber wie gelang es, den infizierten USB-Stick an die richtige Stelle zu platzieren? Woher die nötige Kenntnis der Konfiguration der Steuersysteme?
Für Rieger ist denkbar, dass Überläufer oder Agenten vor Ort die notwendigen Daten hatten und den Zugang zu einem Computer im Umfeld der Zielanlage. Doch damit sind längst nicht alle Fragen gestellt und Antworten geklärt. Wie geht es nach diesen Enthüllungen Siemens-Mitarbeitern in Iran? Gibt es überhaupt noch welche? Und wie sieht es mit dem Schutz deutscher Industrieanlagen vor Stuxnet und darauf aufbauenden Variationen der Schadware aus?
Und nicht zuletzt: Wie gut sind deutsche Kernkraftanlagen geschützt?