Studie zum Stuxnet-Virus: Schaut auf unsere „Cyberwaffe“

Der Stuxnet-Virus griff 2010 das iranische Atomprogramm an. Eine neue Analyse legt nahe, dass seine Entdeckung gezielte US-Symbolpolitik war.

Stuxnet-Opfer: Irans Ex-Präsident Mahmud Ahmedinedschad mit Zentrifugen in Natanz Bild: dpa

BERLIN taz | Sollte Stuxnet auffliegen? Sollte der Virus, der Irans Atomprogramm angriff, die Überlegenheit der USA demonstrieren? War er nur digitale Symbolpolitik? Das legen Überlegungen des IT-Experten Ralph Langner nahe, die er in einem abschließenden Bericht zu dem berüchtigten Schadprogramm veröffentlicht hat.

Die entdeckte Version von Stuxnet sei so aufwändig programmiert und der Angriff so auffällig gewesen, dass er vielleicht gar nicht geheim bleiben sollte, heißt es darin. „Anders als bei militärischen Geräten kann man USB-Sticks nicht bei einer Parade präsentieren", so Langner.

Der Stuxnet-Virus war im Sommer 2010 entdeckt worden. Später wurde bekannt, dass er die iranische Uranaufbereitungsanlage in Natanz zum Ziel hatte und speziell auf sie ausgerichtet war. Ziel von Stuxnet war es, die Zentrifugen in Natanz zu überlasten und so zu zerstören. Obwohl es keine offiziellen Bestätigungen gab, spricht vieles dafür, dass Stuxnet von US-Geheimdiensten geschrieben wurde. Deshalb wird Stuxnet häufig auch als erste „Cyberwaffe" bezeichnet.

Dass Stuxnet womöglich entdeckt werden sollte legt, eine Vorgängerversion des Programms nahe, wie Langner schreibt. Diese sei wesentlich komplexer und subtiler gewesen als die letztlich entdeckte Version – und fast unmöglich zu entdecken. „Wir nahmen an, dass [...] der einfache Code der Vorgänger war, wonach der große Virus kreiert wurde" heißt es in dem Bericht. „Nach mehreren Jahren stellte sich heraus, dass das Gegenteil der Fall war. Warum würden die Angreifer zu Grundlagen zurückkehren?“

Dass es sich bei einem Teil von Stuxnet um die komplexe, frühere Version handelte wurde erst Ende 2012 festgestellt, als das Programm mit einem Stück Code verglichen wurde, dass bereits 2007 auf ein Antivirus-Portal geladen wurde – nur dass damals niemand wusste, was das war. Im Frühjahr beschrieb die Antivirusfirma Symantec diese frühere Version als „Missing Link“. Hatte da jemand schon versucht, mit dem Virus anzugeben und war gescheitert?

Teure Ausrüstung für den Virus

Langner zufolge wurde die frühe Stuxnet-Version wohl über eine Wartungsfirma auf die Rechner der Atomanlage gespielt. Dort habe das Programm sich bei der Druckkontrolle der Zentrifugen so zwischengeschaltet, dass es Kontrolleuren normale Betriebsbedingungen vortäuschen konnte. Das Programm habe sehr genaue – und seltene – Bedingungen abgewartet, um Angriffe auszuführen.

Deren Ziel sei aber nicht die direkte Zerstörung der Zentrifugen gewesen, sondern die Erhöhung des Verschleißes. „Die Ausführung der Angriffe ... legt nahe, dass katastrophale Zerstörung vermieden werden sollte“, schreibt Langner. Vielmehr sollten wohl die Forscher und Wartungsarbeiter in den Wahnsinn getrieben werden, weil sie den Fehler in der Anlage nicht finden würden.

Doch 2009 änderte sich etwas. „Plötzlich wurde Stuxnet mit bis dahin unbekannten Schwächen von Microsoft Windows ausgestattet – sogenannten 'Zero Day' Fehlern, die auf dem Schwarzmarkt mehrere Hunderttausend Dollar Wert sind“, heißt es in dem Bericht. „Stuxnet wurde auch mit gestohlenen digitalen Zertifikaten ausgestattet, und konnte sich als legitimes Treiberupdate tarnen.“ Und der Virus wurde umgeschrieben. Er suchte nicht mehr nach perfekten Angriffsbedingungen und agierte auffälliger, sodass auch „der unaufmerksamste Sicherheitsexperte ihn finden müsste.“ Was dann auch geschah.

Einen „Sputnik-Moment“ abgewendet?

Es bleibt unklar, was geschehen ist: Langner spekuliert, dass eine besser ausgestattete Gruppe die Kampagne übernommen habe. Möglich ist allerdings auch, dass sich Prioritäten verschoben hatten: Die Furcht aufzufliegen habe offenbar keine Rolle mehr gespielt. Oder sollte absichtlich keine Rolle spielen.

„Hätte ein anderes Land – vielleicht sogar ein Gegner – zuerst die Fähigkeit im digitalen Bereich präsentiert, wäre das ein weiterer Sputnik-Augenblick für die US-Geschichte gewesen“, so Langner. Sputnik war 1955 der erste künstliche Satellit im All, gebaut von den Sowjets und eine Bloßstellung für die US-Raumfahrt, die damals noch nicht so weit war. Im digitalen Raum gibt es nun keine Zweifel.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.