Computerviren

Nun schlägt der Iran im Cyberkrieg zurück

Viren-Angriffe auf Computersysteme von Energiekonzernen in Saudi-Arabien und Katar wurden offenbar von Teheran aus gestartet.

Hamburg/New York. Die staatliche Ölfirma Saudi Aramco gilt als der größte Petrolkonzern der Welt, der über die gewaltigsten Ölfelder und über Rohölreserven von mindestens 260 Milliarden Barrel verfügt. Saudi Aramco, das in einer Erhebung 2005 mit einem Buchwert von fast 800 Milliarden Dollar als wertvollste Firma der Welt geführt wurde, ist, wie jetzt enthüllt wurde, Ziel eines beispiellosen Cyberangriffs geworden.

Wie die "New York Times" (NYT) berichtete, wurde am Vormittag des 15. August um 11.08 Uhr das riesige Computersystem des Konzerns mit einem Virus infiziert, der binnen Kurzem alle Daten auf drei Viertel aller PCs löschte - Dokumente, Auflistungen, E-Mails, Ordner usw. Alle Daten wurden ersetzt durch das Abbild einer brennenden amerikanischen Fahne. An einen Computer wurde eine Liste aller infizierten Geräte gesendet - ein virtuelles Triumphgeschrei der Cyberterroristen.

Der Angriff gilt als einer der schwersten Sabotageakte gegen eine Firma überhaupt. Saudi Aramco war gezwungen, sofort das gesamte Firmennetzwerk herunterzufahren; womit auch sämtliche elektronische Kommunikation zwischen den Mitarbeitern ausfiel. Der Konzern flog eilig rund ein Dutzend amerikanische Computerexperten ein; der Virus, der vermutlich mit einem USB-Stick eingespeist wurde, wurde ins Silicon Valley gebracht und dort analysiert.

US-Geheimdienstbeamte erklärten, Urheber dieser Attacke sei der Iran. US-Verteidigungsminister Leon Panetta warnte in einer Rede vor den Gefahren von Computerangriffen und bezeichnete das Beispiel Saudi Aramco als "eine signifikante Eskalation der Cyberbedrohung". Noch immer funktioniert das interne Computer- und E-Mail-System der Ölfirma nicht fehlerfrei. Ein glücklicher Umstand für den Konzern war, dass das interne Netzwerk abgekoppelt ist von der Ölproduktion. Anderenfalls hätte es zu einer (Umwelt-)Katastrophe kommen können. So mussten immerhin die infizierten Laufwerke von mehr als 30.000 Computern ausgetauscht werden, wie die NYT schrieb. Der Virus erhielt den Namen "Shamoon" - nach einem Wort, das in seinem Code enthalten war. Er besaß einen sogenannten Kill Switch, eine Art Timer, der um Punkt 11.08 Uhr dieses Tages alle Daten löschte. Die US-Experten nannten ihn "Wiper" - den "Ausradierer", dessen phonetischer Klang im Englischen dem Wort "Viper" sehr nahekommt. Diesen Namen hatte auch ein Löschelement getragen, das als Teil des Virus "Flame" im Mai iranische Ölfirmen befallen hatte. Die Iraner mussten die Verbindungen zwischen dem Ölministerium, dem Ölterminal auf der Insel Kharg, der 80 Prozent der iranischen Ölexporte abwickelt und den Ölbohrplattformen trennen.

"Flame" hatte zudem mehrere Jahre lang Daten aus den iranischen Computern abgesogen. Als Urheber sind die USA und Israel im Verdacht - ebenso wie bei dem hoch entwickelten Schadvirus "Stuxnet", der 2010 schwere Schäden unter anderem in den Steuerungsprozessen der iranischen Urananreicherungsanlage Natans anrichtete. "Flame" und "Stuxnet" sollen zwar von verschiedenen Programmierern stammen, aber von den beiden Staaten in Auftrag gegeben worden sein. Im Verdacht steht vor allem die israelische "Einheit Acht Zweihundert", ein Gegenstück zum mächtigen amerikanischen Geheimdienst National Security Agency (NSA).

Das sunnitische Saudi-Arabien ist ein erbitterter Rivale des schiitischen Iran in der Region. Das saudische Regime soll in den vergangenen Jahren sogar Israel insgeheim ermutigt haben, Luftangriffe auf das iranische Atomprogramm zu fliegen. Saudi-Arabien rüstet im Geheimen enorm auf, um der iranischen Herausforderung militärisch begegnen zu können. Mitte März 2011 hatte Riad über eine Brücke 1000 saudische Soldaten in das benachbarte Königtum Bahrain geschickt, um das dortige Regime vor Aufständen der schiitischen Bevölkerungsmehrheit zu schützen. Damit hatte Saudi-Arabien dem Iran, der den Aufruhr in Bahrain offenbar nach Kräften geschürt hatte, den Fehdehandschuh hingeworfen.

Ein anderes arabisches Land, das enge Bindungen an Saudi-Arabien unterhält und eine zunehmend wichtige Rolle in der Region spielt - das Emirat Katar -, war nur zwei Wochen nach der Aramco-Attacke Ziel eines massiven Cyberangriffs. Opfer war diesmal der Konzern RasGas, der zweitgrößte Exporteur der Welt von Flüssiggas. Experten machten als Ursache denselben Virus aus - "Shamoon".

Für die USA zeigen diese Zwischenfälle, dass einige Staaten der Erde inzwischen offenbar erhebliche technologische Fähigkeiten entwickelt haben, die für Amerika zu einer Bedrohung werden. "Die Iraner sind viel schneller in der Entwicklung von Angriffsfähigkeiten und auch kühner in ihrer Anwendung, als wir gedacht haben", sagte James A. Lewis, ein ehemaliger Diplomat und nun Cyber-Sicherheitsexperte beim Center for Strategic and International Studies in Washington. "Beide Seiten tanzen umeinander herum, um herauszufinden, wie man dies zu einem Kampf nutzt."

Der Angriff auf Saudi Aramco war, wie der frühere US-Außenstaatssekretär und Terrorberater der US-Präsidenten Bill Clinton und George W. Bush, Richard A. Clarke, sagte, ein "Weckruf" für Amerika. "Es gibt auch in den USA eine ganz Reihe von Zielen, wo sie das Gleiche tun könnten." Die Angriffe auf Saudi Aramco und RasGas sollten die Botschaft übermitteln: "Wenn ihr euch mit uns anlegt, müsst ihr mit Vergeltungsmaßnahmen rechnen."