Cyber-Angriff auf Iran:

Der Wurm, der die Maschinensteuerungen von iranischen Atominstallationen befallen hat, kam von einem Zulieferer für die Anlagen aus Russland. Diese Überzeugung vertritt der deutsche Security-Experte Ralph Langner, der den Wurm seit Wochen analysiert. Er ist der Meinung, dass Stuxnet Millionen gekostet haben muss. Auch über den Zweck des Computerwurms machte Lagner nähere Angaben.


Das iranische Atomkraftwerk Buschehr. Ob das Kraftwerk Ziel von Stuxnet war, bleibt unklar.
Quelle: dpa

BERLIN. Langners Unternehmen beschäftigt sich seit über 20 Jahren mit der Kommunikation zwischen Industrieanlagen und PCs. Bereits Mitte September 2010 hatte Langner auf einer eigenen Webseite vor dem Wurm Stuxnet gewarnt, der Maschinensteuerungen gezielt befallen und sabotieren kann.

Ralph Langner erklärte im Gespräch mit dem Handelsblatt-Online-Partner Golem.de, dass der Wurm dabei aber nicht direkt in die Anlagen eingeschleust wird, und schon gar nicht über das Internet. Vielmehr habe sich nun herausgestellt, dass "ein russischer Integrator infiziert wurde". Der Wurm nutzte dafür vier Zero-Day-Exploits für Windows aus, um zunächst PCs zu befallen.

Infizierte Windows-Rechner suchen nach Anlagensteuerungen

Auf diesen Rechnern lauerte der Schädling und versuchte, Code für die Maschinensteuerungen auf den PCs und im Netzwerk eines Unternehmens zu erkennen. Wurde dieser gefunden, so klinkte sich die eigentliche Schadroutine dort ein. Dabei ging Stuxnet laut Langner sehr vorsichtig vor, um nicht entdeckt zu werden: Von einem PC aus verbreitete sich der Wurm nur dreimal auf andere Rechner weiter, jegliche Kommunikation über das Internet vermied das Programm.

Solche Infektionen von Zulieferern kommen laut Ralph Langner häufiger vor, oft wird auch nicht das eigentliche Zielunternehmen zuerst angegriffen, weil dort hohe Sicherheitsvorkehrungen herrschen. Stattdessen suchen sich die Wurmautoren eine Firma im Umfeld des Unternehmens und bringen dort, etwa durch einen verschenkten oder "verlorenen" USB-Stick ihr Programm in Zugriffsnähe. Wenn etwa ein Ingenieur sein Notebook damit infiziert und es anschließend im Unternehmen ans Netzwerk anschließt, ist der Schaden kaum noch aufzuhalten.

Gezielte Zerstörung von Aggregaten

Da Stuxnet weder Daten sammelt noch versendet, ist der Hauptzweck des Programms laut Ralph Langner "Sabotage mit gezielter Sachbeschädigung". Die vielfach geschürte Angst, der Wurm hätte iranische Atomanlagen zu einer Kernschmelze treiben können, ist Langner zufolge unbegründet. Vielmehr habe Stuxnet versucht, "bestimmte Aggregate zu zerstören", die nur sehr schwer und teuer wiederbeschafft werden könnten.

Nach Langners Meinung handelt es sich bei Stuxnet "um etwas völlig Neuartiges". Er sagte Golem.de, die Entwicklung habe "im einstelligen Millionenbereich gekostet" und rund ein Jahr gedauert. Schon die vier Windows-Exploits, die unter Cyberkriminellen nicht nur gesucht, sondern oft auch verkauft werden, hätten "eine halbe Million Euro" gekostet. Zusätzlich enthält Stuxnet auch noch zwei gestohlene digitale Signaturen, so der Entwickler weiter.

50 Mann für einen Wurm

Zusätzlich braucht man Langner zufolge für die Entwicklung eines solchen Schädlings auch noch Menschen mit Zugriff auf ein Laborsystem, bei dem die angegriffenen Maschinensteuerungen direkt zur Verfügung stehen. Das gesamte Team hinter einem solchen Projekt schätzt Langner auf etwa 50 Personen. Den Schadcode für die Anlagen selbst könnten "weltweit vielleicht 10 Leute entwickeln, und drei davon sitzen bei uns im Büro", sage der Security-Experte. Und weiter: "Ich kann Ihnen aber versichern, wir waren's nicht!".

Wegen der geringen Verfügbarkeit solcher Experten ist sich Langner auch sicher: "So etwas bekommt eine normale Hackerbude nicht hin." Auch für Cyberkriminelle sei ein Projekt wie Stuxnet eine Nummer zu groß. Dafür spricht auch, dass bisher keine Informationen zu möglichen Erpressungsversuchen bekannt geworden sind. Noch deutlicher wurde jüngst Kaspersky. Das Antivirenunternehmen ist der Meinung, dass ein Wurm wie Stuxnet nur mit staatlicher Unterstützung zu erstellen ist.

Handelsblatt