© JUNGE FREIHEIT Verlag GmbH & Co.  www.jungefreiheit.de  42/10 15. Oktober 2010

Der Virus aus dem Alten Testament
Das Schadprogramm Stuxnet befällt Siemens-Anlagen / Neues Zeitalter der Cyberkriminalität beginnt
Patrick Schmidt

Nach Artikel 5 des Nato-Vertrages wird ein bewaffneter Angriff auf ein Mitgliedsland als Attacke auf das gesamte Bündnis betrachtet. Dieser Bündnisfall trat bisher nur einmal in Kraft, nämlich nach den Terrorangriffen vom 11. September 2001. Neben der militärischen Bedrohung und dem Terrorismus gibt es allerdings eine neue Gefahr für das Bündnis, die sogenannten Cyber-Attacken. Gemeint sind Angriffe auf Computer- und Steuerungssysteme durch programmierte Schädlinge wie Viren, Würmer und Trojaner. Würde es nach Nato-Generalsekretär Anders Fogh Rasmussen gehen, sollte der Bündnisfall tatsächlich auch auf dieses Gebiet ausgeweitet werden. Anlaß zur Besorgnis gab der im Juli 2010 erstmals aufgetauchte Computervirus „Stuxnet“. Was zuerst nach einer unbekannten Virenvariante aussah, entpuppe sich bald als äußerst aggressive – weil sich selbst wiederholend infizierende – Variante eines Computerwurms. Was steckt also dahinter?

Sicherheitslücken in Industrieanlagen

Durch den Hinweis einer iranischen Vertragsfirma entdeckte Sergej Ulasen von der weißrussischen Antiviren-Firma „VirusBlokAda“ im Juli 2010 den Wurm „W32.Stuxnet“. Bei Stuxnet handelt es sich um Schadsoftware, die Sicherheitslücken im System von Microsoft Windows ausnutzt. Die meisten Viren beschränken sich auf eine Version eines Betriebssystems. Stuxnet jedoch nicht. Der Trojaner nistet sich in allen Windowsversionen seit Windows 2000 ein. Solche Sicherheitslücken werden in der Regel von den Softwareherstellern behoben und Antivirensoftware, die sich täglich aktualisiert, erkennt einen solchen Störenfried eigentlich sofort.

Auch nimmt die Zahl der bekannten Sicherheitslücken immer mehr ab. Unentdeckte Sicherheitslücken werden in der Hackerszene durchaus mit mehreren hunderttausend Dollar gehandelt. Die Käufer solcher „Informationen“ sind meistens selbst die Hersteller von Software, aber auch Computer-Sicherheitsfirmen und diverse Geheimdienste interessieren sich dafür.

Der sehr umfangreiche Programmieraufwand und die Beteiligung mehrerer Virenexperten und Ingenieure aus dem Bereich der Steuerungstechnik lassen den russischen IT-Experten Jewgeni Kasperski, Gründer der gleichnamigen Antivirenfirma Kasperski, vermuten, daß Geheimdienste hinter der Herstellung dieses Schädlings stecken. Diese Vermutung wurde auch durch den Umstand erhärtet, daß Stuxnet Steuerungssysteme der deutschen Firma Siemens befällt, die unter anderem auch zur Steuerung und Regulierung von Industrieanlagen dienen. So berichtete etwa die britische Wochenzeitschrift The Economist darüber, daß sich das Schadprogramm ursprünglich die iranische Urananreicherungsanlage in Natanz als Opfer ausgesucht habe. Und in der Tat bestätigte der iranische Kommunikationsminister Resa Taghipur, daß im Iran etwa 30.000 Computer mit dem Stuxnet-Virus infiziert wurden. Unter den mit einer Windowsvariante gesteuerten Rechnern befanden sich auch Computer des Kernkraftwerkes Buschehr.

Und die Indizienkette, die den Verdacht einer Geheimdienstbeteiligung an der Programmierung von Stuxnet nahe legt, kann weiter geknüpft werden: In dem Viruscode, der von Experten untersucht wurde, fand man Textbausteine, die mehrfach darauf hinwiesen, daß ihre Programmierer das Projekt „Myrtus“ tauften. Dieser Name steht in einem linguistischen Zusammenhang mit der alttestamentarischen Figur der jüdischen Königin Esther (Hadassah). Das Buch Esther erzählt von einem versuchten Pogrom der Perser an den Juden, welcher aber durch das kluge Handeln der Esther verhindert werden konnte.

Noch keine Bedrohung für die deutsche Wirtschaft

Dieser Umstand sowie die Tatsache, daß iranische Atomanlagen als erste von dem Virus betroffen waren, führte dazu, daß man die Programmierer im Umfeld des israelischen Geheimdienstes Mossad sah. Auch Yossi Melman, Journalist der liberalen israelischen Tageszeitung Haaretz, sieht den Urheber des Stuxnet-Virus in Israel. Andere hingegen halten das für eine der üblichen Verschwörungstheorien. Eines steht fest: Hobby-Hacker können als Urheber ausgeschlossen werden. Dafür steckt zuviel Detailwissen in Stuxnet. Wissen über industrielle Prozesse und über Steuerungsanlagen, wie etwa die von Siemens entwickelten S-7-Systeme. Diese bestehen aus vielen Computerbausteinen mit programmierbaren Steuerungen, welche Thermometer und Ventile steuern oder Drehzahlen messen.

Bei den Siemens-Rechnern heißt diese Steuersoftware WinCC und läuft unter allen Windows-Versionen seit Windows 2000. Über eine Sicherheitslücke im Umgang mit wechselbaren Speichermedien wie eines USB-Stick, gelangt das Virus dann auf die Rechner und kann sich von dort unbemerkt in die Steuerelemente einnisten. Schadsoftware, die Industrieanlagen gefährlich werden kann, wurde zwar immer wieder einmal auf Sicherheitskonferenzen diskutiert, aber es gab bisher keine konkreten Fälle. Deshalb spricht man bei Stuxnet auch von „Zero Day Exploits“. Hinter dieser Phrase versteckt sich deshalb die Vorstellung eines besonders schlagkräftigen Angriffs, weil dieser eben noch nicht bekannt ist. Eine Bedrohung für die deutsche Wirtschaft besteht derzeit nicht, versichern Experten von Siemens und beteiligten Sicherheitsfirmen. Zwar gab es Infizierungen bei Steuerungsanlagen mit Siemenstechnologie, die mittlerweile aber wieder virenfrei sind. Siemens bietet auf einer eigenen Internetseite Informationen zu Stuxnet sowie ein eigenes Antivirenprogramm an. Dieses wurde bereits 12.000mal heruntergeladen, angeblich konnten aber nur 15 Infizierungen festgestellt werden.

Doch eines ist sicher: Stuxnet hat ein neues Zeitalter der Cyber-Kriminalität eröffnet. Denn konventionelle Schadsoftware diente bisher ausschließlich dazu, Daten zu „klauen“, um sie dann weiterzuverwerten. Doch das Ziel, elektronisch gesteuerte Anlagen zu sabotieren, eröffnet eine neue Dimension für die Schattengestalten der Computerszene. Die Folgen – nicht nur für Atomkraftwerke, sondern auch für den Bahn- und Flugverkehr oder Chemieanlagen – sind unabsehbar. Ob die nächsten Akteure aus privaten Gründen, Gewinnstreben, terroristischen Motiven oder aus Staatsräson handeln, wird sich zeigen.

Aktuelle Informationen bietet das Bundesamt für Sicherheit in der Informationstechnik: www.bsi.bund.de

 

Viren, Würmer und Trojaner

Ein Computervirus ist ein schadenverursachendes Programm, welches sich in andere Computerprogramme einschleust, reproduziert und weiterverbreitet. Computerwürmer und Trojaner werden auch zu den Viren gerechnet, da sie eine Mischform im Bereich der Schadsoftware darstellen und von den meisten Anwendern oft nicht zu unterscheiden sind. Wie ein biologisch-medizinisches Virus, verbreitet sich ein Computervirus mit Hilfe eines an sich unschädlichen Wirtes. Würmer besitzen hingegen eine eigene Vervielfältigungsroutine, die sie unabhängig vom Wirtsprogramm machen. Sie können sich selbst aktiv verbreiten. Trojaner sind nach dem „Trojanischen Pferd“ benannt und tarnen sich als nützliches Programm. Einmal im Computer aktiviert, verbreitet sich ihre Schadsoftware, die im Fachjargon „Malware“ (ein englisches Kunstwort, zusammengesetzt aus malicious für schlecht und software) genannt wird. Mittlerweile werden Viren immer komplexer, wie etwa die poly- oder metamorphen  Viren, was es den Herstellern von Antiviren-Programmen nicht leicht macht mitzuhalten.

Foto: Computerwurm bedroht Rechner: Zum gängigen Daten-Klau kommt die Sabotage von Anlagen hinzu

Versenden
  Ausdrucken Probeabo bestellen