Digitaler Erstschlag im Cyberkrieg

[raben-aas]

http://www.faz.net/s/RubCEB3712D41B64C3094...n~Scontent.html

 

Trojaner stuxnet

Der digitale Erstschlag ist erfolgt

Fieberhaft arbeiten die besten Sicherheitsexperten der Welt an der Analyse eines völlig neuartigen Computervirus. Jetzt legen erste Indizien einen erstaunlichen Verdacht nahe: Offenbar hat die digitale Waffe das iranische Atomprogramm sabotiert.

 

Von Frank Rieger

 

http://www.faz.net/m/%7B1FB87801-5A15-48BF-B398-4FA367993889%7DPicture.jpg

 

22. September 2010

 

Auf den ersten Blick sah das kleine Programm aus wie Hunderte anderer Varianten von Schadsoftware, die jedes Jahr entdeckt werden, weil sie sich wie eine Seuche von Computer zu Computer verbreiten. Einzig verwunderlich war, dass es, um sich zu verbreiten, einen Fehler in Microsofts Betriebssystem ausnutzte, den zuvor noch niemand bemerkt hatte. In der Sprache der Branche nennt man so etwas einen Zero Day Exploit, einen Angriff, der besonders schlagkräftig ist, weil er seit null Tagen - also noch gar nicht - bekannt ist. Angreifbare Schwachstellen, die schon länger bekannt sind, werden meist vom Hersteller mit einem Software-Update behoben. Solange das noch nicht geschehen ist, können Antivirus-Programme, die täglich aktualisiert werden, Schadsoftware wie diesen Trojaner möglicherweise erkennen oder sogar am Einsatz hindern.

 

Bei Trojanern handelt es sich um kleine Programme, die verdeckt die Kontrolle über einen Computer übernehmen können, so wie die antiken Krieger aus dem Holzpferd die Stadt Troja listig von innen eroberten. Durch das Netz verbreiten sich täglich Dutzende neue Varianten von Trojanern, meist geschrieben und benutzt von Kriminellen, die so versuchen, an Konto-Zugangsdaten oder Passwörter für Online-Spiele zu gelangen. Üblicherweise verwenden sie dafür durchaus erfolgreich ältere Sicherheitslücken.

 

Das anfangs LNK genannte Problemprogramm wäre normalerweise bald in Vergessenheit geraten, die Durchschlagskraft des Angriffes, der für die Verbreitung dieses spezifischen Trojaners genutzt wurde, jedoch war aufsehenerregend. Sie zeigte sich, wenn ein Nutzer einen infizierten USB-Stick in einen Computer steckte, auch wenn dieser mit den bisher üblichen, vom Hersteller verordneten Sicherheitsmaßnahmen gegen einen Angriff über die USB-Schnittstelle geschützt wurde. Es genügt, den USB-Stick einfach nur einzustecken, und die Schadsoftware wird auf dem Computer - ganz ohne Zutun des Benutzers - heimlich installiert. Und das nicht nur, wie sonst bei Trojanern vielfach üblich, auf einer bestimmten Windows-Version. LNK funktionierte einfach überall, vom uralten Windows 2000 bis zu den allerneuesten, als relativ sicher angesehenen Versionen Windows Vista Plus und Windows 7.

 

Seltene Ballung von Angriffsmethoden

 

Üblicherweise sind Schwachstellen, aus denen man so zuverlässig funktionierende Angriffe konstruieren kann, sehr selten zu finden und werden daher in der entsprechenden Szene für einige hunderttausend Dollar gehandelt. Die Käufer sind zum einen Computer-Sicherheitsberater, die Hersteller der betroffenen Software, aber auch Geheimdienste und Regierungsstellen. Wenn man versuchen wollte, ein Äquivalent in der Welt der physischen Waffen zu finden, wäre LNK eine Haubitze, angewendet in einer Situation, für die auch eine Pistole ausreichen würde. Dass jemand ein derart wertvolles Werkzeug nicht verkauft, sondern für möglicherweise kriminelle Zwecke verwendet, ist äußerst ungewöhnlich, da etwa das Ausspähen von Kontoinformationen auch mit weitaus weniger großkalibrigen Mitteln zu erreichen wäre.

 

Die Neugier der Experten war geweckt. Bei der Analyse ergab sich ein Bild, ähnlich einer russischen Matroschka. Einmal über den USB-Stick auf den Computer gebracht, wird eine zweite Ebene im Programmcode des Trojaners aktiv, der ein kleines unauffälliges Programm tief in den Innereien des Betriebssystems installiert. Dazu wurde ein zweiter Zero Day Exploit verwendet. Immer, wenn die Experten eine Schicht der digitalen Matroschka entfernten, trat eine weitere, gut gegen ihre Analysemethoden geschützte Schicht des Programmcodes zutage. Die Analysen sind auch nach wochenlanger Arbeit noch nicht vollständig abgeschlossen.

 

Bisher förderte die Untersuchung vier großkalibrige Zero Day Exploits zutage. Zusätzlich dazu wurden zwei gestohlene digitale Unterschriften verwendet. Diese Signaturen dienen in modernen Betriebssystemen wie etwa Windows 7 dazu, dass zum Beispiel ein Hersteller von Graphikkarten die für seine Produkte nötige Software unterschreiben und damit bestätigen kann, dass sie echt und unschädlich sind. Das Betriebssystem prüft diese Unterschriften, um zu verhindern, dass sich Schadsoftware im sensiblen Inneren des Systems installieren kann. Die Schadsoftware, inzwischen stuxnet getauft, kam gleich mit zwei verschiedenen dieser Signaturen daher, gestohlen bei zwei taiwanischen Hardware-Herstellern. Das Betriebssystem hielt das stuxnet-Programm für unschädlich - es wies ja die richtige Unterschrift auf - und ließ es gewähren.

 

Diese Ballung und Qualität von Angriffsmethoden in einer einzigen Schadsoftware hatte es bis dahin nicht gegeben. Richtig nervös wurden die Experten und kurz danach diverse Regierungen, als klar wurde, wozu all dieser Aufwand getrieben wurde.

 

Hobby-Hacker ausgeschlossen

 

Die innerste Matroschka, die bisher analysiert wurde, enthält ein Programm zur gezielten Manipulation von Industrieanlagen. Großtechnische Anlagen werden heutzutage vollständig von Computern gesteuert. Industrielle Prozesse in Raffinerien, Chemie- oder Kraftwerken werden durch Computer so austariert, dass ihre Temperaturen, Drücke und Zusammensetzungen im kontrollierten, ungefährlichen Bereich gehalten werden. Software überwacht die Temperatur einer chemischen Reaktion und entsprechend auch Kühlung und Zufluss neuer Grundstoffe. Fehler und Manipulationen können zu ernsten Katastrophen führen. Die Herzen dieser Industrie-Computersteuerungen basieren häufig auf dem von Siemens entwickelten S-7-System. Es besteht aus vielen einzelnen Computer-Bausteinen, sogenannten speicherprogrammierbaren Steuerungen, kurz SPS. Sie überwachen jeweils eine Handvoll Messfühler - etwa elektronische Thermometer - und steuern Ventile, Motordrehzahlen oder den Durchsatz von Kühlwasserpumpen. stuxnet dient also einem einzigen Ziel: der verdeckten Installation einer Manipulationssoftware in einer Industrieanlage. Zwar gab es seit einigen Jahren Vorträge auf Sicherheitskonferenzen, in denen die Auswirkungen von Manipulationen dieser Industriesteuerungen - auch SCADA für Supervisory Control and Data Acquisition genannt - diskutiert wurden, aber in der freien Wildbahn wurden solche Angriffe bisher nicht beobachtet.

 

Nun kamen die spannenden Fragen: Gegen welche Anlagen richtet sich der Angriff? Wer steckt dahinter? Wo ist das eigentliche Ziel? Der Programmcode von stuxnet gibt einige spärliche Hinweise.

 

Jede Industriesteuerung ist hochgradig individuell. Sie wird vom Erbauer aus Hunderten vernetzten Einzelkomponenten zusammengestellt, entsprechend den Anforderungen der konkreten Anlage. Industriesteuerungen haben standardisierte grafische Oberflächen, die dann in der Leitwarte den Zustand der einzelnen Prozesse visualisieren und für den Bediener Möglichkeiten zum Eingriff in das Geschehen bieten. Die Software für diese Visualisierung der Parameter und die zentralisierte Programmierung der einzelnen kleinen SPS-Steuercomputer heißt bei Siemens WinCC und läuft unter Windows. stuxnet sucht nun von einmal infizierten Computern aus gezielt nach den WinCC-Installationen im gesamten Netz. Über diese gelingt dem Schadprogramm dann der Sprung auf die eigentlichen SPS-Steuercomputer der Anlage. stuxnet könnte - hier ist die Analyse noch nicht abgeschlossen - auch die Visualisierung der Anlagenparameter manipulieren. Das würde dazu führen, dass die gezielten Veränderungen an den Einstellungen der Anlage für den Bediener gar nicht sichtbar werden. Er hätte keine Chance mitzubekommen, dass etwas schiefläuft, bevor es zu spät ist. Üblicherweise sind nur noch wenige echte Messgeräte in Großanlagen installiert, die eine manuelle Überprüfung von Temperaturen oder Drehzahlen bieten. Die einzige Möglichkeit, alles im Blick zu behalten, sind die computerisierten Anzeigen. Und die wären im Falle der angegriffenen Anlage unter der Kontrolle der Schadsoftware.

 

Der extreme Aufwand, der von den Autoren von stuxnet getrieben wurde, schließt Hobbyhacker oder lumpige Cyber-Kriminelle aus. Die Entwicklung sowie der Ankauf der notwendigen Angriffskomponenten in dieser Qualität und Zuverlässigkeit verursachen Kosten im siebenstelligen Euro-Bereich. Auf vielen Ebenen stellt stuxnet sicher, dass die Verbreitung absolut zuverlässig und unbemerkt vor sich geht. Am Ziel angekommen, also auf einer passenden Siemens-Industrieanlage, stellen umfangreiche Überprüfungen sicher, dass wirklich nur die spezifische Anlage, auf die stuxnet zielt, manipuliert wird. Auf allen anderen Anlagen passiert - trotz heimlichen Festsetzens des Trojaners - nichts. Die Angreifer verfügten also über hochpräzise Informationen zum Aufbau der Anlage und der darin verwendeten Software. Ohne exakte Kenntnisse der Konstruktionsdetails und der Art des Zusammenwirkens der einzelnen S-7-Komponenten wäre ein Angriff dieser Präzision unmöglich. Angesichts dieses Aufwandes bleiben als Autoren nur Nationalstaaten übrig, die über entsprechende Ressourcen verfügen, um eine derart hochgezüchtete Cyber-Waffe zu entwickeln und zu testen - und zwar, bis sie nahezu nebenwirkungsfrei ist. Cyber-Kriege können aufgrund des nötigen langfristigen Entwicklungsaufwandes für die digitalen Angriffswerkzeuge de facto nur von Entitäten in der Größenordnung von Staaten geführt werden.

 

Eine faszinierende Kette von Indizien

 

Wer also könnte diese Präzisionswaffe entwickelt, wer sie eingesetzt haben? Mit letzter Sicherheit weiß das nur der Auftraggeber. Es ist eine Kerneigenschaft von Computer-Netzwerkangriffen, dass die Identifikation des Urhebers eines kompetenten Angriffes fast unmöglich ist. Letztlich gestaltet sich die Suche anhand der technischen Indizien als das Tasten durch ein großes Spiegellabyrinth, in dem es keine verlässlichen Bilder gibt. Ähnlichkeiten im Programmierstil, in der Art des Aufbaus der Software können manchmal Anhaltspunkte bieten, so, wie man einen bestimmte Graffiti-Sprayer finden könnte, indem man nach Sprühereien sucht, die einen verwandten Stil aufweisen. Doch das ist immer eine unscharfe Methode, die auf dem Bauchgefühl der beteiligten Experten beruht, die aus langer Erfahrung und Kenntnis darüber, wer über die Talente für so einen Angriff verfügen könnte, unscharfe Schlüsse ziehen.

 

Auch bei der Suche nach dem möglichen Ziel des Angriffs ist man auf kleine Hinweise, zeitliche Korrelationen und Gerüchte angewiesen. Aus Gesprächen mit Insidern aus verschiedenen europäischen Ländern ergibt sich aber eine Indizienkette. Sechzig Prozent der Infektionen mit stuxnet wurden in Iran verzeichnet. Der Trojaner war so programmiert, dass er eigentlich im Januar 2009 aufhören sollte, sich weiter zu verbreiten. Offenbar durch Computer, auf denen das Datum nicht korrekt gesetzt ist - ein durchaus häufiges Vorgehen, um das Auslaufen von zeitgebundenen Software-Lizenzen zu umgehen -, verbreitete er sich trotzdem immer weiter, bis er schließlich entdeckt wurde.

 

Ausgehend von Anfang 2009 als Aktionsdatum, ergibt sich eine faszinierende Kette von Indizien. Mitte Juli 2009 publizierte Wikileaks eine kryptische Notiz mit dem Hinweis eines Informanten aus Iran auf einen nuklearen Unfall in Natanz, der sich kurz zuvor ereignet haben soll. In Natanz wird ein Großteil des iranischen Urans mit Hilfe von Zentrifugen angereichert. Die BBC meldete zur gleichen Zeit, dass der Leiter der iranischen Atombehörde, Gholam Reza Aghazadeh, zurückgetreten sei. Schon damals gab es Spekulationen über ein Einwirken im Rahmen des klandestinen Antiproliferationsprogrammes, das westliche Geheimdienste seit Jahren gegen den Iran betreiben. Die Dienste versuchen durch allerlei Methoden, das iranische Atomprogramm zu behindern und zu verzögern. Statistiken, die aus Daten der Internationalen Atomenergiebehörde erstellt wurden, legen nahe, dass nach dem Frühjahr 2009 die Zahl der tatsächlich betriebenen Anreicherungszentrifugen in Iran deutlich abgenommen hat, trotz Installation von immer mehr Zentrifugen. Ereignisse im Frühjahr 2009 haben die Kapazität des iranischen Anreicherungsprogrammes offenbar nachhaltig beschränkt. War stuxnet womöglich der Auslöser?

 

Anreicherungszentrifugen sind komplexe Präzisionsmaschinen, die eine sehr genaue Steuerung von Vakuum, Drehzahl und Gasfluss erfordern. Tausende Zentrifugen müssen in Serie geschaltet werden, um am Ende die nötige Anreicherung des spaltbaren Atommaterials zu erreichen. Ohne entsprechende Computersteuerung ist eine solche Anlage effektiv nicht zu betreiben. Die Analyse von stuxnet weist nun ein faszinierendes Detail auf: Ein Teil der Schadsoftware, die in die Steuerungsprozesse eingreift, scheint darauf ausgelegt, sich auf viele einzelne Steuercomputer in einem Netz zu verbreiten und die Schadensroutinen zeitlich zu synchronisieren. Der logische Weg zur Steuerung von vielen tausend Anreicherungszentrifugen ist es, jede mit einem kleinen separaten Steuercomputer zu versehen, der seine aktuellen Parameter über das Netz an die zentrale Überwachungseinheit meldet und von dort Kommandos empfängt. Das, was den Experten bisher über die Struktur der eigentlichen Schadenskomponente in stuxnet - der innersten Matroschka - bekannt ist, würde perfekt dazu passen.

 

Mit den üblichen Mitteln ist eine Verteidigung nicht möglich

 

Dass Iran gern Siemens-Industriesteueranlagen verwendet, ist aus verschiedenen Vorfällen bekannt, bei denen Exporte abgefangen wurden, die an Firmen gehen sollten, die dem iranischen Nuklearkomplex zugeordnet werden. Dass die Manipulation solcher Steueranlagen zu katastrophaler Sabotage genutzt werden kann, wurde spätestens im März 2007 klar, als ein Team am Idaho National Laboratory in den Vereinigten Staaten mit Hilfe eines Computerangriffes einen Kraftwerks-Stromgenerator im eigenen Labor gezielt zerstörte. Ein Video dieses Versuchs wurde im September des gleichen Jahres publik und löste eine kleine Welle von Panik angesichts der Verwundbarkeit der Infrastrukturen im Westen aus. Möglicherweise liegt hier auch die Keimzelle der Idee, das iranische Anreicherungsprogramm per Computerangriff zu sabotieren.

 

Bleibt die Frage, wie die Angreifer in den Besitz der notwendigen Detailkenntnisse, inklusive Zugang zur Software der angegriffenen Anlage, kamen. Ohne perfekte Informationen über das Ziel wäre die aus der Analyse von stuxnet ersichtliche Schadensfunktion nicht realisierbar. Denkbar wäre, dass einer der diversen iranischen Überläufer, die in den letzten Jahren in den Westen kamen, die notwendigen Daten mitbrachte. Denkbar ist auch, dass die Informationen von Agenten vor Ort erlangt wurden. Der ungewöhnliche, aber spezifisch für stuxnet gewählte Verbreitungsweg legt nahe, dass für den Angreifer zumindest die Möglichkeit bestand, einen USB-Stick irgendwo im Umfeld der Zielanlage in einen Computer stecken zu lassen. Möglicherweise war der Informant auch in der Lage, die Blaupausen und Konfigurationsinformationen zu besorgen.

 

stuxnet wird wohl als erste offensichtlich von einem Nationalstaat eingesetzte Cyberwaffe in die Geschichte eingehen. Einer der Gesprächspartner beschrieb Qualität und Aufwand der Erstellung des Trojaners mit den Worten: So etwas bauen große Staaten zusammen, wenn die Alternative bei einem Misserfolg wäre, einen Krieg anzufangen. Mit den üblichen Mitteln der IT-Sicherheit ist eine Verteidigung gegen derartige Angriffsmethoden nicht möglich. Es lässt sich wohl kaum ausschließen, dass kritische Systeme nicht einmal mit einem potentiell infizierten USB-Stick - zum Beispiel mit einem Software-Update des Herstellers - in Berührung kommen. Die von den deutschen Energieversorgern dieser Tage vorgebrachten Beteuerungen, ihre Atomkraftwerke könnten auf keinen Fall durch einen Angriff in der Art von stuxnet manipuliert und mit möglicherweise katastrophalen Folgen konfrontiert werden, erscheinen angesichts der Qualität und Durchschlagskraft dieses Trojaners wie das Pfeifen im Walde. Die Kriterien zur Beurteilung der Sicherheit von Atomanlagen können sich zukünftig jedenfalls nicht mehr nur auf die Dicke von Betonhüllen und Tests der Elektrik beschränken.

 

Text: F.A.Z.

Bildmaterial: AP

[Arclight]

Ohne die beiden letzten Sätze ein wirklich guter Artikel. Diese sind allerdings wieder typisch deutsch.

[Loki]

In seinem Blog schreibt Frank (der beim CCC ist) noch ein paar Bemerkungen zu dem Artikel: http://frank.geekheim.de/?p=1189

[Eshmael]

Jaja der Frank.... Bei dem Frage ich mich ja immer wieviele 100k er wohl für min einen der 0Days bekommen hat *grins*

[apple]

http://www.spiegel.de/netzwelt/web/0,1518,718927,00.html

 

1. Der Wurm, der aus dem Nichts kam

Der Computer-Schädling Stuxnet hat eine steile Karriere hingelegt. Im Juli wurde seine Existenz erstmals öffentlich gemeldet. Weißrussische PC-Experten hatten den Wurm entdeckt, der sich über USB-Sticks verbreitete und sogar in Windows-Systemen einnisten konnte, die mit allen aktuellen Patches abgesichert waren. Zuerst war die Rede von Industriespionage, dann wurde schnell klar, dass die Schadsoftware die Steuerungssysteme von Industrieanlagen infiziert.

 

Vor einer Woche dann die Alarmbotschaft: Auf der ganzen Welt seien Industrieanlagen befallen, Stuxnet sei eines "der ausgefeiltesten und ungewöhnlichsten Schadprogramme, die je geschrieben wurden", urteilt das US-Fachmagazin " Computerworld". Siemens Chart zeigen, der Hersteller der betroffenen Anlagen, schien ratlos. Am Dienstag schließlich titelt die "Frankfurter Allgemeine Zeitung": "Der digitale Erstschlag ist erfolgt." Ziel von Stuxnet sei das iranische Atomprogramm gewesen, hieß es nun.

 

Haben also westliche Geheimdienste einen Virus geschrieben, um Atomanlagen in Iran unbrauchbar zu machen? Für diese These gibt es keinen konkreten Beleg und nur wenige Hinweise. Aber die bisher bekannten Details über die Schadsoftware Stuxnet deuten zumindest darauf hin, dass es sich bei den Urhebern nicht um gewöhnliche Computerkriminelle handelt.

 

2. Teil: Wer hat Stuxnet programmiert?

Eines ist klar: Die Stuxnet-Schöpfer haben sehr lange an der Schadsoftware gearbeitet und dabei exklusives Wissen genutzt. Das Sicherheitsunternehmen Symantec kommt nach der Analyse mehrerer Stuxnet-Versionen zu dem Ergebnis, dass an dem Wurm mindestens seit Juni 2009 gebastelt wurde. Symantecs Schlussfolgerung: "Den Schöpfern dieser Bedrohung standen große Ressourcen zur Verfügung, das ist keine Teenager-hackt-in-seinem-Schlafzimmer-Operation."

 

Dafür spricht auch, dass die Stuxnet-Autoren vier bis dahin unbekannte Windows-Sicherheitslücken, sogenannte Zero-Day-Exploits, ausgenutzt haben. Der Informatiker Thorsten Holz, Juniorprofessor für Embedded Malware an der Ruhr-Universität Bochum, hat die ausführbaren Dateien der Schadsoftware analysiert. Seine Einschätzung: "Solche Zero-Day-Exploits sind nicht einfach so zu finden - da müssen auch Profis lange arbeiten oder aus anderen, exklusiven Quellen Informationen über diese Lücken erhalten."

 

Deshalb würden Autoren von Schadsoftware solches Wissen nur sehr vorsichtig einsetzen, denn ist einmal ein Wurm im Umlauf, der einen Zero-Day-Exploit ausnutzt, wird diese Lücke in der Regel schnell geschlossen. Das ist auch bei den von Stuxnet verwendeten Lücken rasch passiert. Wer auch immer also Stuxnet geschrieben hat, hatte einen guten Grund, das exklusive Wissen über vier Sicherheitslücken mit einem Schlag zu entwerten. Auf dem Schwarzmarkt etwa, sei ein solcher Exploit "grob geschätzt eine Viertelmillion Euro wert", schätzt Gert Hansen von der Sicherheitsfirma Astaro.

 

3. Teil: Welche Ziele wählte Stuxnet aus?

Stuxnet zielt darauf ab, die Siemens-Steuersoftware WinCC und PCS 7 zu manipulieren. WinCC - eine Abkürzung für Windows Control Center - visualisiert in Raffinerien, Kraftwerken oder Fabriken Prozesse, PCS 7 überwacht und steuert die automatisierten Betriebsabläufe.

 

Die ausführbaren Dateien der Schadsoftware Stuxnet dokumentieren sehr gute Kenntnisse der Autoren. Es finden sich darin mehr als 200 Code-Blöcke, die auf spezielle Funktionen von WinCC abzielen. Informatiker Thorsten Holz urteilt: "Dieses Wissen gehört nicht zum Standard-Repertoire von Schadsoftware-Autoren. Maschinenbauer kennen sich mit WinCC vielleicht aus, ein Autor von Schadsoftware für Windows-Systeme eher nicht." Sein Fazit: Da waren Experten am Werk.

 

"Das Verhaltensmuster von Stuxnet deutet darauf hin, dass der Virus offenbar nur in Anlagen mit einer spezifischen Konfiguration aktiv wird", bestätigt Siemens-Sprecher Wieland Simon gegenüber SPIEGEL ONLINE das Experten-Know-how der Schöpfer. Die könnte er durch Analyse spezifischer Datenbausteine und Codes erkennen, was den Schluss zulasse, "dass Stuxnet auf einen speziellen Prozess oder eine Anlage zielt".

 

Aber bei welchen Anlagen genau Stuxnet aktiv werden sollte und was die Aufgabe der Schadsoftware dort war, sagt derzeit keiner der Sicherheitsexperten. Entweder weiß noch niemand, was die hochkomplexe Schadsoftware tun sollte, weil sie nicht aktiv geworden ist - oder die Kenner veröffentlichen die Ergebnisse der Code-Analyse nicht.

 

Laut dem Hamburger IT-Sicherheitsexperten Ralph Langner haben sich die Stuxnet-Entwickler viel Mühe gegeben, ihre Software so unauffällig wie möglich auf den infizierten Systemen zu platzieren. Einmal eingenistet, sollte sich Stuxnet vor allem durch Stillschweigen auszeichnen und nichts tun, solange er nicht aktiviert wird. Hinweise auf seine Anwesenheit bekommen Betreiber betroffener Anlagen nur dann, wenn sie nach ganz bestimmten Softwaremodulen in ihrem System fahnden, die dort eigentlich nicht hineingehören.

 

4. Teil: In welchen Ländern war Stuxnet aktiv?

Dafür, dass Stuxnet es auf Industrieanlagen in Iran abgesehen hat, gibt es nicht ganz so deutliche Indizien. Der Wurm war auch in Südostasien aktiv. Das Sicherheitsunternehmen Symantec hat dazu zwei Statistiken publiziert. Die im Juli veröffentlichten Zahlen zeigen, wie viele Rechner, die mit Symantec-Sicherheitssoftware geschützt sind, einen Angriff durch Stuxnet registriert haben. Zwischen dem 13. und 16. Juli standen knapp 40 Prozent dieser Rechner in Indien, gut 32 Prozent in Indonesien und mehr als 20 Prozent in Iran.

 

Eine Woche später veröffentlichte Symantec eine zweite Statistik. Die Übersicht zeigt, in welchen Staaten Rechner von Stuxnet befallen worden sind. Dabei handelt es sich nicht um Computer, die von Symantec-Software geschützt werden. Die Zahlen kommen so zustande: Stuxnet versucht nach einer Infektion eine Erfolgsmeldung über das Internet an eine bestimmte Domäne abzusetzen. Nachdem die Schadsoftware erkannt war, hat Symantec diese Domäne übernommen und analysiert, aus welchen IP-Adressräumen die Statusmeldungen kamen. Das Ergebnis: Knapp 60 Prozent der infizierten Rechner melden sich aus Iran, knapp 20 Prozent aus Indonesien, gut acht Prozent aus Indien.

 

5. Teil: Waren iranische Atomanlagen das Ziel von Stuxnet?

Auf der Joe-Weiss-Konferenz im amerikanischen Rockville - einer Fachtagung für Prozesssteuerung - trug Sicherheitsexperte Langner seine Erkenntnisse und Schlussfolgerungen ausführlich vor, die er auch auf seiner Web-Seite noch einmal präsentierte. Aus einer Reihe von Indizien leitet er ab, dass die iranische Atomanlage in Buschehr das Ziel von Stuxnet gewesen sein könnte. Für diese Theorie, die der Experte selbst ausdrücklich als Spekulation bezeichnet, sprechen folgende Hinweise:

 

* Am Bau der iranischen Atomanlage ist das russische Unternehmen Atomstroyexport beteiligt. Dessen Web-Seite ist laut Langner von einem Driveby-Virus befallen, der bei Aufruf versucht, Daten von einer Malware-Seite nachzuladen. Weil die von dem Schädling angesteuerte Seite aber schon vor zwei Jahren abgeschaltet wurde, vermutet er, dass die Infektion des Webservers schon mindestens ebenso lange zurückliegt und seither nicht beseitigt wurde. Ein potentielles Einfallstor in die Netzwerke der iranischen Anlage ist die Seite demnach immer noch.

* Im August berichtete der SPIEGEL über eine Lieferung von elektronischen Siemens-Bauteilen, die für Russland bestimmt waren, die nach Informationen deutscher Behörden aber über Moskau zum iranischen Atomreaktor in Buschehr umgeleitet werden sollten. Abnehmer war eben jene Atomstroyexport, deren Web-Seite Langner als infiziert bezeichnet. Dass in Iran ein Bedarf an Siemens-Technik besteht, liegt nahe. Allerdings hat das deutsche Unternehmen seine Handelsbeziehungen zu Iran am 1. Juli 2010 eingestellt.

* Bereits 2009 tauchte ein angebliches Foto von einem Steuerungsbildschirm in der Atomanlage Buschehr auf, auf dem eine Fehlermeldung zu sehen ist, die auf eine fehlende oder abgelaufene Lizenz der verwendeten Siemens-Steuersoftware WinCC hinweist - ein weiterer Hinweis für Langner, dass es die Iraner nicht sonderlich ernst nehmen mit der Sicherheit. Außerdem dürfen sie nicht mit Unterstützung durch den deutschen Konzern rechnen, denn: "Siemens ist weder direkt noch indirekt am Bau von Kernkraftwerken in Iran beteiligt", wie Firmensprecher Trost SPIEGEL ONLINE erklärt.

 

6. Teil: Haben Geheimdienste Stuxnet in Umlauf gebracht?

Und dennoch: Eindeutige Belege für den Angriff auf Irans Atomprogramm gibt es eben nicht. Siemens-Sprecher Wieland Simon will Langners Einschätzung deshalb auch nicht bestätigen. Siemens-Analysen des Trojaners "erlauben keine konkreten Rückschlüsse über Ziel und Urheber des Virus", sagt er SPIEGEL ONLINE. An Spekulationen darüber, welche Ziele die Macher von Stuxnet verfolgen, wer sie sind und ob Stuxnet womöglich schon zugeschlagen hat, will sich Siemens nicht beteiligen.

 

Ähnlich äußert sich auch Thorsten Holz: "Aus der Analyse der ausführbaren Dateien der Schadsoftware lässt sich nicht ableiten, wer sie mit welchem Ziel entworfen und in Umlauf gebracht hat. Alle Theorien dazu sind reine Spekulation. Der hohe Aufwand für ein sehr spezielles Ziel spricht natürlich dagegen, dass es sich hierbei um normale Computerkriminelle handelt."

 

Dagegen spricht allein die Wirtschaftlichkeit. Wie sollen Computerkriminelle bei dem erheblichen Aufwand für die Entwicklung von Stuxnet Geld machen? Der Informatiker Felix Freiling, Professor für IT-Sicherheitsinfrastrukturen an der Universität Erlangen-Nürnberg urteilt: "Der Aufwand, der bei Stuxnet betrieben wurde, deutet in der Tat auf staatliche Dienste hin. Direkt ist auch kein Geschäftsmodell erkennbar. Deshalb ist die Organisierte Kriminalität als Verursacher aus meiner Sicht unwahrscheinlich."

 

All das führt einige Beobachter zu der Annahme, dass es wohl eine von einem Staat initiierte und finanzierte Aktion gewesen sein muss, Stuxnet zu entwickeln.

 

Bei allem Aufwand ist die Stuxnet-Attacke nach Ansicht von Experten allerdings keine einzigartige Aktion, schon gar nicht der erste Angriff dieser Art. Informatiker Holz weist darauf hin, dass die Schadsoftware letztlich versagt habe: "Klar ist, dass die Urheber von Stuxnet bei aller Professionalität dennoch Fehler begangen haben. Irgendetwas ist schiefgelaufen, sonst wäre der Angriff nicht bemerkt worden."

 

Der Sicherheitsexperte warnt deshalb vor einer überzogenen Einordnung des Vorfalls: "Ich halte diesen Angriff nicht für den ersten dieser Art und bei allem Aufwand auch nicht für einmalig. Ich gehe davon aus - das ist nur meine persönliche Einschätzung -, dass solche Angriffe häufiger vorkommen, dass die erfolgreichen aber nicht öffentlich bekannt werden."

 

----------------------

 

Wer braucht schon Shadowrun, wenn er die Realität hat.

 

Was können wir hier rausziehen: Worms, Eventuell Softwareagents, Cyberwar, Schwarzmarkt, Grauzonen der Wirtschatsspionage, Hacker (gute und böse) im Schattenbereich zwischen Legalität und Illegalität ... herrlich, wenn es nur nicht so realistisch wäre. *seufz*

 

SYL

[Arclight]

Was können wir hier rausziehen: Worms, Eventuell Softwareagents, Cyberwar, Schwarzmarkt, Grauzonen der Wirtschatsspionage, Hacker (gute und böse) im Schattenbereich zwischen Legalität und Illegalität ... herrlich, wenn es nur nicht so realistisch wäre. *seufz*

 

Ich frage mich seit gestern, ob für solch ein "Geschütz" wohl externes Wissens herangezogen wurde, oder ob ein westlicher Dienst (Annahme) das alles inhouse hinbekommt.

[apple]

Das ist, denke ich, leicht zu beantworten: westliche Geheimdienste und Militärs arbeiten schon seit Jahrzehnten mit den entsprechenden Industrien zusammen, um Ergebnisse (egal ob es um die Analyse von Bildern oder das Bauen von geheimen Flugzeugen geht) zu erhalten - es wäre also kaum verwunderlich, wenn in 10 Jahren herauskommt, daß die NSA und M$ für den Wurm zusammengearbeitet haben ... oder Siemens + BND. Auf einem so hohen Niveau des Staates sind die Grenzen zwischen Staat, Partei, Privatperson und Industrie kaum noch vorhanden. Nennen wir es "Pragmatismusorientierung". ;-)

 

SYL

[Eshmael]

Wenn ich diese Frage beantworten würde, würde Roscoe Henry Hillenkoetter persönlich aus seinem grabe wiederauferstehen und mich töten.... *ichmussweg*

[Arclight]

Wenn ich diese Frage beantworten würde, würde Roscoe Henry Hillenkoetter persönlich aus seinem grabe wiederauferstehen und mich töten.... *ichmussweg*

 

Dann schreib doch einfach nichts, wenn Du nichts brauchbares beitragen kannst.

[raben-aas]

Das ist, denke ich, leicht zu beantworten: westliche Geheimdienste und Militärs arbeiten schon seit Jahrzehnten mit den entsprechenden Industrien zusammen, um Ergebnisse (egal ob es um die Analyse von Bildern oder das Bauen von geheimen Flugzeugen geht) zu erhalten - es wäre also kaum verwunderlich, wenn in 10 Jahren herauskommt, daß die NSA und M$ für den Wurm zusammengearbeitet haben ... oder Siemens + BND. Auf einem so hohen Niveau des Staates sind die Grenzen zwischen Staat, Partei, Privatperson und Industrie kaum noch vorhanden. Nennen wir es "Pragmatismusorientierung". ;-)

 

SYL

 

Von der Verschwörungstheorie, dass einige Exploits tatsächlich Features für die Geheimdienste sind, ganz zu schweigen.

[apple]

Ach ja, der berüchtigte M$ - NSAkey.dll *g*

 

SYL

[Loki]

Wer sich für eine weitere Diskussion des Themas interessiert, Frank (der Autor des FAZ-Artikels) und Fefe (personifiziertes CCC-Mem) haben die fünfte Folge ihres Podcasts Alternativlos dem Thema gewidmet: http://alternativlos.org/5/

[Wattläufer]

Das ist, denke ich, leicht zu beantworten: westliche Geheimdienste und Militärs arbeiten schon seit Jahrzehnten mit den entsprechenden Industrien zusammen, um Ergebnisse (egal ob es um die Analyse von Bildern oder das Bauen von geheimen Flugzeugen geht) zu erhalten - es wäre also kaum verwunderlich, wenn in 10 Jahren herauskommt, daß die NSA und M$ für den Wurm zusammengearbeitet haben ... oder Siemens + BND. Auf einem so hohen Niveau des Staates sind die Grenzen zwischen Staat, Partei, Privatperson und Industrie kaum noch vorhanden. Nennen wir es "Pragmatismusorientierung". ;-)

 

SYL

 

Der BND und Siemens werden es nicht gewesen sein. Wo die Bundesregierung doch die Stasiabteilung XI in der Privatwirtschaft untergebracht hat, weil sie über für Deutschland strategisch wichtige Fähigkeiten verfügen.

 

Hier nach zulesen

Zweite Karriere für Stasi-Experten

 

Da fragt man sich wenn von der Stasi die Bundesregierung noch so untergebracht hat.

[apple]

Es wird spanned: http://www.spiegel.de/netzwelt/netzpolitik...,720681,00.html

 

Raiu merkt zudem an, dass die Konstruktion von Stuxnet mehr als eine Million Dollar gekostet haben muss

 

Wer hätte denn Lust (und kennt sich mit Unwired aus), den Virus mal mit SR4A-Regeln und Unwired zusammen zu bauen? Er hat 1,5 Millionen Nuyen frei. :-)

 

Kommt schon, gebt mir Euren dreckigsten Botwurm. :-)

 

SYL