Cyberwar-Expertin Kim Zetter "Ein Teenager kann eine digitale Waffe bauen"

Attacke aufs iranische Atomprogramm: Der Einsatz des Computervirus Stuxnet gilt als erster öffentlich bekannt gewordener digitaler Angriff. Die US-Journalistin Kim Zetter hat nun ein Buch über die Cyberwaffe geschrieben.

Atomkraftwerk in Buscher, Iran (Archivbild): Der Computer-Schädling Stuxnet manipulierte Zentrifugen zur Urananreicherung
dpa

Atomkraftwerk in Buscher, Iran (Archivbild): Der Computer-Schädling Stuxnet manipulierte Zentrifugen zur Urananreicherung

Ein Interview von


Noch bis Dienstag treffen sich in Hamburg mehrere Tausend Hacker und IT-Experten zum 31C3, dem Jahrestreffen des Chaos Computer Clubs (CCC). Das Interesse ist groß: Immer neue Hackerangriffe wie zuletzt die Attacke auf Sony und die angebliche Verwicklung Nordkoreas machen deutlich, dass der "Cyberwar" nicht nur eine hohle Phrase ist - sondern eine ernst zu nehmende Bedrohung.

Die Geheimdienste wissen das längst. Mit einem Computervirus haben die USA und Israel erfolgreich das iranische Atomprogramm angegriffen, Zentrifugen zur Urananreicherung manipuliert und zerstört. IT-Experten entdeckten die ausgeklügelte Cyberwaffe vor vier Jahren und gaben ihr den Namen Stuxnet. Sie gilt als erster öffentlich bekannt gewordener digitaler Angriff.

Die US-Journalistin Kim Zetter, die für das Tech-Magazin "Wired" über Cybercrime und IT-Sicherheit berichtet, hat ein Buch über Stuxnet geschrieben. Im Interview erklärt sie, warum digitale Waffen das Machtgefüge in der Welt in Frage stellen und was Stuxnet so besonders macht.

SPIEGEL ONLINE: Hat Stuxnet ein digitales Wettrüsten gestartet?

Zetter: Ja, in einem gewissen Ausmaß. China, Russland und Israel hatten bereits Programme für den Cyberwar. Nach Stuxnet wollen jetzt andere Länder aufschließen. Diese neue Methode der Kriegsführung steht auch Ländern offen, die keine konventionellen Kriege führen können, weil ihnen die Ressourcen zur Entwicklung von Waffen fehlen. Digitale Waffen verschieben die Messlatte nach unten. Sie sind nicht so teuer und brauchen nicht so viele Ressourcen oder Arbeitskräfte. In einigen Fällen, je nach Komplexität, kann ein Teenager eine digitale Waffen bauen.

SPIEGEL ONLINE: Aber ein Teenager hätte nicht Stuxnet entwickeln können, oder?

Zetter: Stuxnet war sehr ausgefeilt wegen des speziellen Wissens um die Zentrifugen und das Siemens-System. Aber jeder Hacker kann das Siemens-System lernen. Der Unterschied in diesem Fall war, was das Siemens-System gesteuert hat - die Zentrifugen. Das erforderte spezielles Wissen und Versuche.

SPIEGEL ONLINE: Was war so besonders an Stuxnet?

Zetter: Das Ausmaß der Komplexität, der Vorbereitung und der Planung, die dafür nötig waren. Drei verschiedene Teams haben allein am Programmcode gearbeitet. Zusätzlich gab es andere Teams, die mehr über die Zentrifugen und ihre Schwächen herausgefunden haben - was passiert, wenn man sie schneller oder langsamer laufen lässt. Basierend auf diesen Tests haben sie Code geschrieben, der die Zentrifugen so manipuliert, dass sie kaputtgehen.

SPIEGEL ONLINE: In Ihrem Buch taucht die Theorie auf, dass die USA womöglich wollten, dass Stuxnet öffentlich wird. Damit die Welt sieht, was möglich ist. Glauben Sie, dass es so war?

Zetter: Ein US-General hat gesagt, dass der Abschreckungsfaktor digitaler Waffen ausbleibt, wenn der Feind die Möglichkeiten nicht kennt. Es ist vorteilhaft, seine Möglichkeiten offenzulegen. Aber ich glaube nicht, dass das in diesem Fall so war. Es sind Fehler in späteren Versionen von Stuxnet gemacht worden, die in früheren Versionen noch nicht vorhanden waren. Im Jahr 2010 wurden neue Mechanismen zur Verbreitung hinzugefügt. Die führten dazu, dass nicht nur ein paar Computer in Iran, sondern mehr als 100.000 weltweit infiziert wurden. So wurde Stuxnet entdeckt.

SPIEGEL ONLINE: Später haben dann US-Beamte Stuxnet-Geheimnisse ausgeplaudert. Warum?

Zetter: Warum hat das Weiße Haus die Bin-Laden-Aktion geleakt? Es ist mit einem gewissen Maß an Stolz verbunden, Informationen über eine erfolgreiche Aktion an die Öffentlichkeit zu tragen. Häufig stammen Leaks nicht von direkt Beteiligten, sondern von Leuten, die im Raum waren, als etwas besprochen wurde. Die Quelle, die der "New York Times" verraten hat, dass die USA hinter Stuxnet stecken, hat eine Menge Fehler gemacht. Es gibt Widersprüche zu dem, was sich anhand des Codes nachprüfen lässt. Das deutet darauf hin, dass die Quelle wohl dabei war, als Offizielle unterrichtet wurden, aber nicht verstanden hat, wie genau das nun alles funktioniert.

SPIEGEL ONLINE: Sie beschreiben außerdem, wie die US-Firma Symantec und sogar US-Beamte Stuxnet analysiert haben. Ist das nicht verrückt?

Zetter: Stuxnet brachte die Firma in eine heikle Lage: Einerseits will sie ihre Kunden vor Gefahren schützen, andererseits ist diese Gefahr eine von der eigenen Regierung entwickelte Cyberwaffe. Um die Kunden zu schützen, haben sie eine Operation der Regierung enthüllt. Experten des Ministeriums für Heimatschutz fanden sich in einer noch merkwürdigeren Lage: Als Teil der Regierung wussten sie nicht, was andere Teile der Regierung taten. Sie analysierten diesen Angriff, ohne zu wissen, dass es "Friendly Fire" war.

SPIEGEL ONLINE: Niemand traute sich, die Frage "Sind wir das?" zu stellen?

Zetter: Nein, so seltsam das ist, offenbar hat das niemand gefragt. Darüber hinaus hat die NSA still zugeschaut, während die Heimatschutz-Experten den Code auseinandernahmen und rätselten, wozu er gedacht war. Danach wollte die NSA von den Analysten wissen, was sie über den Code herausfinden konnten - Code, den die NSA mitentwickelt hatte.

SPIEGEL ONLINE: Ist das die Zukunft? Eine kleine Community von Forschern und IT-Sicherheitsfirmen legt sich mit Geheimdiensten an?

Zetter: Stuxnet war eine einzigartige Situation, weil es die erste digitale Waffe war, die entdeckt wurde. Symantec hat vier Monate lang veröffentlicht, was die Experten aus der Analyse des Codes gelernt haben. Niemand hat versucht, sie daran zu hindern. Ich bin mir nicht sicher, dass Firmen auch künftig staatliche Angriffe derart öffentlich analysieren. Entweder könnte die Regierung Einspruch erheben, oder jemand aus der Führungsspitze des Unternehmens könnte die Experten zurückpfeifen.

SPIEGEL ONLINE: Nicht alle IT-Firmen sind so transparent. Einige verkaufen stattdessen entdeckte Sicherheitslücken an Regierungen, für Angriffe und Spionage. Sollten Regierungen bei diesem Geschäft mitmachen?

Zetter: Ich kann nachvollziehen, warum es für Regierungen manchmal notwendig sein kann, solche Werkzeuge einzusetzen. Nach den Snowden-Enthüllungen hat Präsident Obama eine Kommission eingesetzt, die Vorschläge für eine NSA-Reform machen sollte. Diese Kommission ist zu dem Schluss gekommen, dass es Fälle gibt, in denen es nötig ist, Sicherheitslücken in Software auszunutzen und digitale Angriffswerkzeuge einzusetzen. Aber es geht dabei nur um wenige Szenarien, außerordentliche Fälle der nationalen Sicherheit. Ich glaube, die meisten Menschen würden zustimmen, dass die NSA diese Werkzeuge unter diesen Umständen nutzen darf - aber, dass diese Umstände eingegrenzt sind.

SPIEGEL ONLINE: Das heißt, wir müssen alle mit Software-Sicherheitslücken leben, die absichtlich nicht gestopft werden?

Zetter: Wenn man einen Vorrat von Sicherheitslücken anlegt, die man den Herstellern nicht mitteilt und die nicht gestopft werden, dann ist das ein Problem. Vor allem, wenn man an die Verteidigung und Sicherheit der eigenen Systeme denkt. Das kann so nicht weitergehen.

SPIEGEL ONLINE: Ist Stuxnet die erste digitale Waffe oder hat es andere gegeben?

Zetter: Stuxnet war die erste digitale Waffe, die in freier Wildbahn entdeckt worden ist, und soweit ich weiß, war es die erste, die von den USA eingesetzt wurde. Es gab eine Menge rechtliche Bedenken, was den Einsatz digitaler Waffen betrifft, und Stuxnet wurde nur eingesetzt, weil die Situation mit Iran eine neue Stufe erreicht hatte. Es kann sein, dass andere Länder digitale Waffen eingesetzt haben, von denen wir nichts wissen. Eine geschickt programmierte Waffe ist nicht offensichtlich, in Stromnetzen, Fabriken oder Bahnnetzen können Probleme auftreten, die nach Softwarefehlern aussehen, tatsächlich aber Angriffe sind. Genau dafür wurde Stuxnet entwickelt: Sabotage, die nicht danach aussieht.

SPIEGEL ONLINE: War Stuxnet ein militärischer Angriff?

Zetter: Es war zumindest eine Anwendung von Gewalt. Vor ein paar Jahren haben sich internationale Experten in Estland getroffen, um festzulegen, welche digitalen Angriffe als bewaffneter Angriff im Kriegsvölkerrecht gelten. Sie waren sich einig, dass Stuxnet eine Anwendung von Gewalt war und der Iran das Recht gehabt hätte, mit einem vergleichbaren Gegenangriff zu reagieren.



insgesamt 11 Beiträge
Alle Kommentare öffnen
Seite 1
großwolke 27.12.2014
1.
Vielleicht bin ich ein bisschen naiv, aber ist es nicht kinderleicht, sich, zumindest bei so isolierten Systemen wie einer Urananreicherungsfabrik, gegen so etwas zu wehren? Produktionssysteme unvernetzt (oder rein intern vernetzt) planen und gut ist. Klar erfordert das teils Dopplungen von Rechnerarbeitsplätzen und gewisse Umstände in der Computerbenutzung. Aber wenn ich beauftragt wäre, sowas zu planen, gälten meine ersten Gedanken zum Thema IT-Sicherheit der Abtrennung der kritischen Systeme vom Internet. Schlimm wird es bei Geschichten wie Stromnetzen etc., wo die zentralisierte Steuerung und Informationserfassung wahrscheinlich nicht mehr wegdenkbar ist. Aber wenn man tatsächlich von außen iranische Produktionshardware für Nuklearmaterial hacken konnte, dann haben meiner Meinung nach eher die Iraner einen schweren Fehler gemacht als die Amerikaner einen tollen Job.
kobmicha 27.12.2014
2. Ein Angriff mehr oder weniger
Das Amerika der größte Aggressor aller Zeiten ist wird auch im Internet unter Beweiß gestellt!
herkurius 27.12.2014
3. Alter Hut
Ist das nicht schon über 30 Jahre her? Im Falklandkrieg wurden britische Schiffe von Argentinien mit französischen "Exocet" Cruise Missiles angegriffen. Im Nachgang dazu wurde bekannt, daß diese Geschosse durch Funksignale entschärft werden konnten, die der Hersteller sorgfältig geheim hielt. Die Briten verlangten und erhielten dann diese Codes.
b399y 27.12.2014
4.
solange staatliche Stellen aktiv wie passiv dafür sorgen das Computer/Netzwerke unsicher sind und bleiben, wird sich nichts daran ändern das auch Kinder diese Sicherheitslücken ausnutzen werden Welch ein Glück wenn es nur Kinder sind.
caracho! 27.12.2014
5. @grosswolke
Ja, Sie stellen sich das in der Tat etwas simpel vor. Bieten Sie doch Ihre Dienste an..... Was machen Sie denn, wenn Stuxnet mit einem offiziellen Siemens-Update auf der offiziellen Siemens DVD kommt? Nur so als Beispiel...... Und je moderner unsere Netze (Stromnetz, Stichwort intelligente Zähler und Trafos) werden, desto anfälliger werden sie auch - die kommunizieren schliesslich übers Internet. Ihre Heizung hat wahrscheinlich auch eine Datenverbindung für den Servicetechniker, wenn sie halbwegs modern ist. Das ist definitiv ein grosses Risiko, dessen Auswirkung wir in ein paar Jahren bestimmt erleben dürfen. Meine Heizung bekommt keinen Internetzugang, und eine App zum Wohnung steuern kommt mir auch nicht ins Haus - mein Fernseher, der ständig nach Hause telefonieren will, reicht mir schon. Den kann ein Hacker von mir aus ausschalten wenn er will.......
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.