Wem galt der erste Cyberangriff der Geschichte? Die Entdecker des Stuxnet-Virus sprechen von einer neuen Dimension.

Vancouver. Es ist ein gefundenes Fressen für Verschwörungstheoretiker. Dabei fing alles vergleichsweise harmlos an. Eine Schadsoftware hatte unter Ausnutzung von vier Sicherheitslücken Windows-PCs in aller Welt infiziert. Im digitalen Zeitalter hat man sich an solche Meldungen gewöhnt. Der Schädling geht professionellen Virenjägern irgendwann ins Netz, wird analysiert, die so identifizierten Sicherheitslücken geschlossen.

Doch diesmal war alles anders. Sicherheitsexperten fanden schnell heraus, dass das eigentliche Ziel dieser mit immensem Aufwand durchgeführten Attacke die Steuerung industrieller Anlagen gewesen war. "Stuxnet" , wie der Schädling getauft wurde, installiert einen Code in der Steuerungssoftware, der es theoretisch möglich macht, die betroffene Anlage fernzusteuern.

Auf einem Sicherheitskongress in Vancouver haben Experten der Firma Symantec, die Stuxnet im Juli als eines der ersten Unternehmen entdeckte, nun erstmals einen umfassenden Bericht über den Schädling vorgelegt. Den Virenjägern Nicolas Falliere, Liam O. Murchu und Eric Chien zufolge ist Stuxnet nach wie vor aktiv. Der Wurm sei ein herausragendes Beispiel dafür, wie technisch ausgefeilt und zielgerichtet Bedrohungen aus dem Cyberspace heutzutage geworden seien.

Doch wer das Ziel des "ersten Cyberangriffs in der Geschichte" war, ist nach wie vor unklar. Experten zufolge spricht aber nach wie vor vieles für den Iran - vor allem die dortige große Verbreitung des Wurms. Nach anfänglichem Schweigen räumte das Teheraner Regime ein, dass bis zu 30 000 Rechner in iranischen Industrieanlagen mit dem Trojaner infiziert sind. In der betroffenen Atomanlage in Bushehr ist es ihrem Leiter zufolge aber nicht zu Problemen gekommen. Es seien lediglich "Personalcomputer einiger Angestellter" durch das Virus beschädigt worden.

Die Online-Ausgabe der "New York Times" berichtete, dass angeblich das Wort "Myrte" im Programmcode auftaucht. Die biblische Pflanze sei möglicherweise ein Hinweis auf einen israelischen Ursprung des Schädlings.

Laut örtlichen Medienberichten soll der Stuxnet-Wurm nun auch mehrere Millionen PCs und fast 1000 Industrieanlagen in China befallen haben. Die staatliche Nachrichtenagentur Xinhua machte kurzerhand die USA für die Angriffe verantwortlich. Das Internet-Portal "Heise Security" zweifelt indessen an solchen Angaben. Chinesische Antiviren-Unternehmen neigten erfahrungsgemäß zu Übertreibungen. Auch hinsichtlich der Folgen der Infektion gebe es widersprüchliche Angaben.

Stuxnet hatte bei seinem Angriff insgesamt vier sogenannte Zero-day-Sicherheitslücken ausgenutzt. Dabei handelt es sich um Schwachstellen in einer Software, die außer dem Angreifer zum Zeitpunkt des Angriffs noch niemand kennt. Derzeit sei man möglicherweise einer fünften auf der Spur.

Die Tatsache, dass 2009 nur insgesamt zwölf solcher Zero-day-Lücken bekannt geworden seien, mache das Ausmaß des Stuxnet-Angriffes deutlich. "Darüber hinaus haben wir nie zuvor eine Bedrohung gesehen, die speziell industrielle Steuerungssysteme angreift", so die Computerexperten. "Dieser Schädling wurde geschaffen, um physische Anlagen in der realen Welt zu manipulieren, was ihn ausgesprochen gefährlich macht."

Doch wer hatte das Know-how für einen solchen Angriff, und wer hätte Interesse daran? Hier wollen sich die Symantec-Spezialisten nicht festlegen. "Es handelt sich entweder um eine kapitalkräftige private Gruppe oder eine staatliche Organisation. Wir denken, dass fünf bis zehn Leute mindestens sechs Monate an diesem Projekt gearbeitet haben." Neben technischen Fähigkeiten seien dazu auch umfassendes Wissen um industrielle Kontrollsysteme sowie der Zugang zu einem solchen System notwendig gewesen, um Vorabtests durchzuführen.

Ob tatsächlich ein Atomkraftwerk das Ziel von Stuxnet war, wollen die Experten ebenso wenig bestätigen. Der Schädling sei seit mindestens einem Jahr aktiv. Nachdem er noch im Juni von seinem Schaffer mit einem neuen Zertifikat versehen worden sei - einem Stempel, der Software als unbedenklich einstuft und damit einen Angriff verschleiert -, gehe man davon aus, "dass es mehrere Ziele gab und die Angreifer nicht alle davon erreicht haben".

Stellt Stuxnet also nach wie vor eine Bedrohung für die Sicherheit industrieller Anlagen dar? "Angriffe dieser Dimension waren bislang nur theoretisch denkbar. Durch das erste Auftreten wird hier eine Neubewertung notwendig", sagt Stefan Ritter, Leiter des Computer Emergency Response Teams beim Bundesamt für Sicherheit in der Informationstechnik (BSI). "Diese Systeme werden in vielen Bereichen des täglichen Lebens eingesetzt, von kritischen Infrastrukturen wie Stromversorgung bis hin zur Klimatisierung von Büroräumen."

Betroffen sind ausschließlich Anlagen, die mit einem bestimmten Steuerungsprogramm der Firma Siemens arbeiten. Theoretisch, so der Hersteller, könnte Stuxnet sogenannte speicherprogrammierbare Steuerungen (SPS) manipulieren. SPS spielen in der Prozessindustrie eine wichtige Rolle, also bei Unternehmen der Petrochemie, Lebensmittelherstellern oder Stahlfirmen, aber auch bei Pipelines oder Atomkraftwerken. Laut Siemens waren auch deutsche Anlagen betroffen.

"Heise Security" relativiert allerdings die Verantwortung des Herstellers. Schließlich nutze Stuxnet Lücken in Windows, nicht in der Siemens-Software. Für Unternehmen stellt das BSI Handlungsempfehlungen zur Überprüfung ihrer IT-Systeme auf Manipulationen durch Stuxnet zur Verfügung. Sie können per E-Mail unter stuxnet@bsi.bund.de angefordert werden.

"Die möglichen Auswirkungen von Stuxnet auf die reale Welt gehen über alles hinaus, was wir aus der Vergangenheit kennen", schreiben die Symantec-Experten am Ende ihres Dossiers. "Abgesehen von der Herausforderung, Stuxnet umfassend zu analysieren und zu verstehen, ist das die Art von Bedrohung, von der wir hoffen, dass wir sie nie wiedersehen."