Stuxnet - ein Trojaner auf staatlicher Sabotage-Mission?
Gespeichert von Jan Spoenle am
IT-Spezialisten und die Community der digitalen Kriminalistik kennen seit Tagen nur noch ein Thema: Stuxnet, der Trojaner, der es sogar bis in die Tagesthemen geschafft hat. Das hat seinen guten Grund, den ich bereits vorgestern in einem anderen Blog versucht habe zu erklären – daher findet sich der Eintrag mit aktuellen Updates hier nun auch.
Ein Trojaner, den IT-Sicherheitsexperten seit Wochen auseinandernehmen und zu verstehen versuchen, der gezielt die Steuerung von Industrieanlagen ins Visier nimmt und – angeblich wie beabsichtigt – zu Problemen innerhalb des iranischen Atomprogramms geführt haben soll? Hört sich beinahe so an, als ob die Prophezeiungen vom sogenannten Cyber-Warfare, der digitalen Kriegsführung der Zukunft, die man seit Jahren insbesondere von hohen Militärs wie von Verkäufern entsprechender Technologien und mit zunehmender Frequenz vernehmen kann, tatsächlich zutreffen könnten.
Doch der Reihe nach: Was war passiert? Bereits im Sommer warnte die IT-Sicherheits-Community lautstark und völlig zurecht vor einer neuen Zero-Day-Lücke im Zusammenhang mit LNK-Dateien, einer bislang unbekannten Schwachstelle im Windows-Betriebssystem, mit deren Hilfe sich ein "Stuxnet" getaufter Trojaner über USB-Sticks verbreiten konnte. Darüber hinaus, so weiß man inzwischen, verfügt dieselbe Malware über ein ganzes Arsenal weiterer Angriffsmethoden, zu dem auch über ein Jahr alte Sicherheitslücken gehören. Weitere Analysen ergaben, dass sich der Trojaner auf gewöhnlichen Windows-Rechnern wie dem Familien-PC zuhause zwar einnistet, aber – derzeit – sonst nichts weiter Schädliches unternimmt.
Trifft die Schadsoftware hingegen auf einen Rechner, der zur Steuerung von bestimmten Industrieanlagen verwendet wird, kommt eine offenbar als Spezialanfertigung eingebaute Funktionalität zum Einsatz: Stuxnet kann solche Anlagen mit speicherprogrammierbaren Steuerungen (SPS), die meist auf eine von Siemens entwickelte Steuerungssoftware für Windows namens WinCC setzen und zu denen anscheinend Teile des iranischen Atomprogramms zählen, gezielt manipulieren.
Diese Details, gepaart mit der hohen Professionalität und dem extremen Aufwand, der mit Stuxnet betrieben worden war – etwa soll der Programmcode des Schädlings aus mehreren, gut gegen Reverse Engineering geschützten Codeschichten bestehen –, veranlassten Frank Rieger, Sprecher des Chaos Computer Clubs, in der FAZ über die möglichen Urheber des Trojaners, deren Absichten und die denkbaren Folgen für das digitale Wettrüsten in der Spionageszene zu spekulieren. Seine These: Nur ein Staat mit entsprechendem Interesse an einer Verzögerung bzw. anderweitigen Problemen beim iranischen Atomprogramm konnte die Ressourcen aufbringen, die für diese Schöpfung und ihren Einsatz mittels Agenten, die mit USB-Sticks bewaffnet sind, notwendig waren.
Auch wenn anderswo sogleich leise Zweifel an Riegers Theorie angemeldet wurden, hat der Iran inzwischen zumindest die Infektion einer nicht unerheblichen Zahl von Rechnern auch in Atomkraftwerken mit Stuxnet eingestanden; ernsthafte Schäden sollen dadurch jedoch nicht verursacht worden sein. Ob die Autoren von Stuxnet nun erfolgreich waren oder nicht, so zeichnet sich doch zumindest die Erkenntnis ab, dass in punkto Cyber-Warfare nicht mehr nur gewarnt und geworben wird – eine Beobachtung, die deutlich beunruhigender wirkt, als alle bekannten Details über die organisierten digitalen Bankräuber, mit denen die IT-Sicherheitsbranche sonst zu tun hat.
Update: Inzwischen haben sich bei dem heiß diskutierten, aber naturgemäß vagen Thema der Urheberschaft und potentieller Absichten und Erfolge neue Ansätze ergeben. So berichtet die Tagesschau, dass auch Teile der für den Iran immens wichtigen Ölindustrie von Stuxnet betroffen seien. In einem Blog des Forbes Magazine wird außerdem berichtet, dass ein indischer Satellit aufgrund der Infektion mit Stuxnet ausgefallen sei, weswegen geschätzte 70 Prozent der Kundschaft auf TV- und Datendienste verzichten mussten. Der Autor zieht einen Schluss, der auch von einem neuen Heise-Artikel aufgeworfen wird: Steckt evt. gar kein westlicher Geheimdienst hinter Stuxnet, sondern China, das in entsprechenden Kreisen schon seit längerem als Cyber-Großmacht tituliert wird? Das Rätselraten in diesem digitalen Sabotage-Thriller dürfte noch lange nicht beendet sein – zumal der zugrunde liegende Programmcode noch gar nicht vollständig analysiert werden konnte.