Spektakuläre Virus-Analyse Stuxnet sollte Irans Uran-Anreicherung stören

Der Stuxnet-Wurm scheint endlich enträtselt. Virenforscher sind jetzt überzeugt: Die mysteriöse Software ist eine Art Undercover-Agent, der die iranischen Uranzentrifugen sabotieren sollte - gezielt, subtil und hinterhältig.

Von

Iranisches Atomkraftwerk Buschehr: Sollte Stuxnet hier zum Dauergast werden?
AP

Iranisches Atomkraftwerk Buschehr: Sollte Stuxnet hier zum Dauergast werden?


Welches Ziel verfolgt Stuxnet? Über diese Frage rätseln Experten, seit die ungewöhnliche Schadsoftware im Juli entdeckt wurde. Schnell war klar, dass sie Industriesteuerungsanlagen der Firma Siemens angreift. Wie sie das tut und vor allem, was sie dort anrichtet, war allerdings selbst Virenforschern ein Rätsel. Jetzt haben Schadsoftware-Spezialisten die Arbeitsweise des Angreifers analysiert und sind zu dem Schluss gekommen: Stuxnet ist noch viel hinterhältiger als gedacht, soll seine Ziele über Jahre manipulieren, ohne dabei Spuren zu hinterlassen. Der Schädling hatte wohl wirklich iranische Atomanlagen zum Ziel, sollte Irans Atomprogramm unbemerkt langfristig sabotieren.

Befürchtungen, Stuxnet habe dort katastrophale Schäden, den Austritt von radioaktivem Material oder gar eine Kernschmelze auslösen sollen, konnten die Experten des IT-Sicherheitsunternehmens Symantec aber nicht bestätigen. Stattdessen fanden sie heraus, dass Stuxnets Einsatz auf eine lange Verweildauer ausgerichtet war. Er sollte die Anlagen ganz subtil manipulieren, die Prozesse der Uran-Anreicherung kaum spürbar aber wirkungsvoll unterwandern. Das Ergebnis wäre minderwertiges Uran gewesen.

Diskreter Schädling

Dass es so lange gedauert hat, zu diesem Schluss zu kommen, liegt an der Komplexität der Software. Stuxnet, da sind sich alle Beobachter einig, ist eine ausgesprochen ungewöhnliche Software. Die Entwicklungskosten werden auf Millionen Dollar geschätzt, das Programmierer-Team muss groß gewesen sein. Alleine die Kosten für den Erwerb von Wissen um bis dahin unbekannte Windows-Sicherheitslücken dürften siebenstellig gewesen sein. Sie haben es ermöglicht, Stuxnet selbst an aktueller Schutzsoftware vorbei unbemerkt auf Rechner einzuschleusen.

Wie der Wurm das schaffte und was er auf den befallenen Systemen tun sollte, haben Symantecs Forscher jetzt in dem Bericht "W32.Stuxnet Dossier" ( PDF) auf 63 Seiten zusammengefasst. Eine leichte Lektüre ist das nicht, eine spannende schon.

Bei der Sabotage des iranischen Atomprogramms sollte die Schadsoftware ausgesprochen subtil vorgehen. Zwar hat sich Stuxnet laut Symantec auf mehr als 100.000 Systemen eingenistet, aktiv wird er aber nur, wenn er ganz bestimmte Bedingungen vorfindet. Demnach ist er darauf ausgerichtet, bestimmte Siemens-Industriecomputer anzugreifen, die über Steuerungsmodule sogenannte Frequenzumrichter regeln. Symantec zufolge geht die Software dabei nur auf Umrichter los, die entweder vom finnischen Hersteller Vacon oder von der iranischen Fararo Paya stammen. Das mag kein Beweis sein, immerhin jedoch ein Indiz dafür, dass Stuxnets Ziel die iranische Kernbrennstoff-Anreicherungsanlage in Natans ist.

Die richtigen Frequenzen

So explizit ist das Symantecs Bericht zwar nicht zu entnehmen, zwischen den Zeilen aber doch deutlich zu lesen. Denn dort wird darauf hingewiesen, dass Stuxnet nur Frequenzumrichter beeinflusst, die mit Frequenzen zwischen 807 Hz und 1210 Hz arbeiten. Darauf folgt im Bericht der Hinweis, dass der Export von Umrichtern, die Frequenzen oberhalb von 600 Hz unterstützen, aus den USA verboten ist - weil solche Geräte in Urananreicherungsanlagen verwendet werden.

Eben diese Frequenzumrichter sind dringend nötig, um die Drehzahl jener Zentrifugen zu regeln, die für die Anreicherung von Kernbrennstoffen so wichtig sind. Eine konstante Drehzahl ist für den Erfolg des Prozesses essentiell, erklärt Symatec-Forscher Eric Chien im Firmenblog. Deshalb sind die Umrichter so wichtig. Werde die Umdrehungszahl der Zentrifugen verändert, würde die Konzentration der schweren Uran-Isotope unterbrochen. Das Resultat wäre minderwertiges Uran.

Genau an dieser Stelle setzt Stuxnet dem Bericht zufolge an. Über einen Zeitraum von Monaten sollte er die Frequenz der Umrichter wieder und wieder in unterschiedlichen Schritten variieren. In einem Beispiel zeigen die Virenforscher, dass er in einem Beispielsystem die Frequenz zunächst nach 13 Tagen auf 1410 Hz erhöht, um sie 27 Tage später zunächst auf 2 Hz zu senken und gleich danach auf 1064 Hz hochzufahren. In dieser Art geht es über Monate weiter.

Ein großer Erfolg - und dennoch gescheitert

Darüber ob Stuxnet seine Mission schon begonnen hat, herrscht bis heute Unklarheit. Iranische Behörden widersprechen Annahmen, wonach die Software bereits zu Unfällen und Unregelmäßigkeiten im iranischen Atomprogramm geführt habe. Die Entwicklung von Stuxnet lässt sich laut Symantec aber bis mindestens Juni 2009 zurückverfolgen.

Wenige Monate später, etwa ab August 2009, nahm die Zahl der betriebsbereiten Zentrifugen in Iran dramatisch ab - während gleichzeitig die Gesamtzahl an Zentrifugen erhöht wurde. Ein Hinweis darauf, dass es im iranischen Anreicherungsprozess sehr wohl Probleme mit den Zentrifugen gibt, die man zu beheben versucht, indem man einfach neue Zentrifugen neben unbrauchbar gewordene stellt. Denkbar ist das.

Stuxnets Mission ist dennoch gescheitert. Symantecs Experten bestätigen, dass der Aufwand für seine Entwicklung immens gewesen sein muss, sehen in Stuxnet einen Meilenstein in der Geschichte von Schadsoftware. Allerdings einen, der so schnell wohl kaum wiederholt werden wird. Stuxnets Malaise ist, dass er entdeckt wurde und seit Monaten öffentlich diskutiert wird, obwohl er eigentlich jahrelang im Verborgenen hätte wirken sollen - er ist quasi ein Undercover-Agent, der enttarnt und dadurch - wenigstens zum Teil - nutzlos wurde.

Bleibt die Frage, wie seine Entwickler auf die öffentliche Zurschaustellung ihres Projekts reagieren. Unter wirtschaftlichen Gesichtspunkten wäre nur eine Weiterentwicklung sinnvoll, jetzt, da die Schwachstellen bekannt sind.



Forum - Diskutieren Sie über diesen Artikel
insgesamt 144 Beiträge
Alle Kommentare öffnen
Seite 1
frubi 16.11.2010
1. .
Zitat von sysopDer Stuxnet-Wurm scheint endlich enträtselt. Virenforscher sind jetzt überzeugt: Die mysteriöse Software ist eine Art Undercover-Agent, der die iranischen Uranzentrifugen sabotieren sollte - gezielt, subtil und hinterhältig. http://www.spiegel.de/netzwelt/gadgets/0,1518,729329,00.html
Und das soll die Iraner nun beruhigen und Vertrauen gegenüber dem Westen schaffen? Ist ja wirklich gut gelungen.
helmar 16.11.2010
2. Wer hat den Virus gemacht.
Zitat von sysopDer Stuxnet-Wurm scheint endlich enträtselt. Virenforscher sind jetzt überzeugt: Die mysteriöse Software ist eine Art Undercover-Agent, der die iranischen Uranzentrifugen sabotieren sollte - gezielt, subtil und hinterhältig. http://www.spiegel.de/netzwelt/gadgets/0,1518,729329,00.html
Es ist doch eigentlich unrelevant zu wissen, welche Anlage nun genau Ziel war. Da ist offensichtlich ein gewisses Maß an Professionalität dahinter und sowas kann nicht jeder. Mich irritiert ein wenig, daß es nun doch Iran und seine Zentrifugen sein müssen - immerhin steht ja wohl noch irgendwas nordisches auf der Liste (was wiederum ein Indiz für komplizierte Technologie-Transfers wäre). Der Aufruf der Virenforscher ist ja auch, Einsatzbeispiele für die "versteuerten" Motoren zu finden. So spezifisch sind die wohl auch gar nicht - es ist nur eben mehr nicht bekannt (geworden). Zudem: wer macht sowas? Es muß jemand mit ziemlich guten technischen Möglichkeiten sein. Israel hat sowas vllt. - aber für einen spezifischen Motor, der nur irgendwo nähe Polarkreis herumkreist? Das hätten eher westliche oder gar russische Initiatoren. Russland hat es auf jeden Fall, während die Westler (und auch Deutschland) über mangelnde Finanzierung ihres Cyberwars rumjammern (offiziell). Im Grunde ist noch gar nichts gelöst an dem Fall, außer, daß jetzt ein Puzzle-Stein mehr da ist. -Helmar
Deutscher__Michel 16.11.2010
3. Wer war es denn nun?
Kommen ja im Prinzip nur die USA oder Israel in Frage.. Russland ist wenig wahrscheinlich, die haben das Teil ja mit aufgebaut.
hman2 16.11.2010
4. Die wichtigste Frage ist doch: Wer hat ihn geschrieben?
Vermutlich sollte man die Rechnung für den Analyse- und Rechner-Säuberungsprozess nach Fort Meade schicken...
ambergris 16.11.2010
5. .
Dann kann man also davon ausgehen, dass Siemens dem Iran hilft, Uran anzureichern?
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.