08.08.2011

CYBERKRIEGDie Zauberwaffe

Der Virus „Stuxnet“, mit dem der Mossad das iranische Atomprogramm attackierte, ist das erste digitale Kampfgerät von geopolitischer Bedeutung.
Der Gebäudekomplex auf der Anhöhe an einer Kreuzung des Highways von Tel Aviv nach Haifa heißt in Israel nur "der Hügel". Das Gelände ist mehrere Fußballfelder groß, hermetisch abgeschottet mit hohen Mauern und Stacheldraht, eine moderne Festung für den Überlebenskampf Israels im Nahen Osten. Der Zutritt zu dieser Festung ist tabu, für Politiker wie für Journalisten, sie ist das Hauptquartier des israelischen Auslandsgeheimdienstes Mossad, und es ist der Mossad, der Hausbesuche macht, nicht umgekehrt.
An einem Donnerstag Anfang Januar ist das anders. Auf dem Parkplatz vor einem nahe gelegenen Kino fährt ein Kleinbus mit abgedunkelten Scheiben vor, eine Gruppe handverlesener Journalisten muss Handys und Diktiergeräte abgeben. Meïr Dagan, der mächtige Mossad-Chef, hat geladen, es ist sein letzter Arbeitstag, nach sieben Jahren verlässt er den Dienst. Es geht an diesem Januartag um sein Vermächtnis: den Kampf des Mossad gegen das iranische Atomprogramm.
Voller Leidenschaft warnt er vor einem möglichen Militärschlag gegen Iran. Er glaubt, ein solcher Angriff müsse zu einem Flächenbrand in der Region führen, zum Krieg mit der Hisbollah und der Hamas, vielleicht auch mit Syrien. Wer denke, dass ein Militärschlag das Atomprogramm stoppen könne, der irre, sagt Dagan. Es könne nur eine Verzögerung geben, keinen dauerhaften Erfolg. Der scheidende Mossad-Chef ist deshalb gegen Bomben, aber für alles, was das iranische Atomprogramm zurückwirft, ohne einen konventionellen Krieg zu beginnen.
Verzögerung, das ist das Zauberwort. Und Dagan hat dafür eine Zauberwaffe geschaffen, deren Name an diesem Januartag in Raum hängt, aber vom Mossad-Chef nicht ausgesprochen wird: "Stuxnet".
Vor gut einem Jahr, im Juni 2010, hat Stuxnet die Bühne der Weltpolitik betreten - ein Computervirus, der in Hochsicherheitsrechner eindringen konnte, die nicht am Internet hingen, was als beinahe unmöglich gilt. Ein Virus, der sich durch die Steuerungscomputer im iranischen Natans gefressen hat, wo Wissenschaftler Uran anreichern; der die Zentrifugen bis zur Selbstzerstörung manipulierte und damit ins Herz des Atomprogramms vorgedrungen ist.
Stuxnet ist die erste Cyberwaffe mit geopolitischer Dimension, "ein digitaler Bunkerbrecher", wie Frank Rieger vom deutschen Chaos Computer Club sagt. Der Virus hat die moderne Kriegsführung um eine grundlegend neue Waffe erweitert: den militärischen Angriff mit einem auf ein Ziel zugeschnittenen Programmcode. Ein Jahr danach gibt es keine Sicherheitsfirma im Internet, keine Regierung eines größeren Landes, die sich nicht mit Stuxnet und den Folgen beschäftigt und ihre Schlüsse daraus gezogen hat. Wer mehr über Stuxnet erfahren will, wer verstehen möchte, was hinter dem Virus steckt, muss nach Israel reisen, in das Land, in dem diese Waffe erfunden wurde.
Tel Aviv, 15 Autominuten vom Flughafen Ben Gurion entfernt. In einem gesichtslosen Neubaukomplex residiert die israelische Dependance der US-amerikanischen Computersicherheitsfirma Symantec. Sam Angel, der Chef von Symantec Israel, holt Besucher in der Tiefgarage ab und führt sie in einen Konferenzraum in den dritten Stock. Angel startet einen Powerpoint-Vortrag, er sagt: "Stuxnet ist die ausgefeilteste Attacke, die wir jemals gesehen haben, ein solcher Angriff auf ein ausgereiftes, abgeschottetes Industriesystem ist absolut ungewöhnlich." Angels Beamer wirft eine Weltkarte an die Wand, es erscheinen die Länder, in denen dieser Angriff stattgefunden hat: Iran, Indonesien, Malaysia etwa, und Weißrussland, wo ein Mann namens Sergej Ulasen Stuxnet entdeckt hat.
Ulasen arbeitet in der Forschungs- und Entwicklungsabteilung der Sicherheitsfirma VirusBlokAda in Minsk, und die E-Mail, die er am 17. Juni 2010 erhielt, klang banal: Eine iranische Firma klagte, ihre Rechner verhielten sich merkwürdig. Die Computer würden sich permanent ausschalten und neu starten. Ulasen prüfte zusammen mit einem Kollegen eine Woche lang die Maschinen. Dann hatten sie Stuxnet gefangen. VirusBlokAda informierte die Branche, darunter Symantec.
Die Techniker bei Symantec machten sich an die Arbeit und stießen auf zwei Rechner, welche die Angriffe zentral gesteuert hatten. Einer der Server stand in Malaysia, der andere in Dänemark, sie waren unter den Adressen www.todaysfut bol.com und www.mypremierfutbol.com erreichbar. Die Adressen waren über eine der weltgrößten Internet-Registrierfirmen im amerikanischen Arizona angemeldet worden, unter falschem Namen, mit einer gefälschten Kreditkarte. Symantec leitete die ein- und ausgehende Kommunikation der beiden Server auf ihr Rechenzentrum in Dublin um und überwachte so die Aktivitäten des Virus. Wer auch immer Stuxnet in die Welt gesetzt hatte, war zwar entkommen. Aber Symantec konnte zumindest die Spuren verfolgen.
Die Umleitung der Kommunikation ermöglicht einen Überblick darüber, in welchen Ländern der Virus aktiv war. Demnach hat Stuxnet bis Herbst 2010 rund 100 000 Computer weltweit infiziert. Mehr als 60 000 dieser Rechner stehen in Iran, mehr als 10 000 in Indonesien, mehr als 5000 in Indien. Die Erfinder haben Stuxnet so programmiert, dass der Virus den beiden Steuerungsservern zuerst die Frage beantwortet, ob darauf die industrielle Siemens-Software Step 7 läuft, mit der Zentrifugen im iranischen Natans gesteuert werden.
Die Anlage bei Natans, 250 Kilometer südlich von Teheran in der Wüste gelegen, ist geschützt wie eine Militärbasis. Die Zentrifugen in den Bunkern bestehen aus Aluminium, sie sind 1,80 Meter hoch und haben einen Durchmesser von zehn Zentimetern. Die Schleudern sollen den Anteil des spaltbaren Isotops 235 im Uran schrittweise erhöhen. In den Zentrifugen befindet sich ein Rotor, der sich 1000-mal pro Sekunde dreht. Das gasförmige Uranhexafluorid wird geschleudert, so dass sich das spaltbare Isotop 235 im Zentrum sammelt. Dieser Prozess wird von einer Siemens-Anlage gesteuert, die mit Microsofts Windows-Betriebssystem läuft.
Der Kniff, der den Angriff möglich macht, ist so simpel wie genial. Stuxnet nutzt dazu eine Lücke in Windows aus, die die Manipulation des Systems ermöglicht. Dieser Programmierfehler erlaubt es, den Virus etwa über einen USB-Stick einzuschleusen. Kaum ist der Stick angeschlossen, startet unbemerkt die Installation.
Anfangs sucht Stuxnet nach Anti-Viren-Programmen. Der Code soll sie umgehen - oder, wenn das nicht möglich ist, sich deinstallieren. Keine Spuren, das ist lange Zeit eine Priorität.
In einem zweiten Schritt nistet Stuxnet sich in jenem Teil des Betriebssystems ein, das USB-Sticks verwaltet, und erstellt eine Prüfsumme, deren genauer Zweck unklar ist. Jedenfalls bricht die Infektion ab, wenn diese Summe den Wert 19790509 erreicht. Symantec spekuliert, ob es sich dabei um eine Art Code handelt: Die Zahl könnte, rückwärts gelesen, für den 9. Mai 1979 stehen. An jenem Tag wurde der jüdische Unternehmer Habib Elghanian in Teheran hingerichtet. Zufall? Eine Provokation? Oder eine absichtlich gelegte falsche Spur?
Bis heute ist ungeklärt, wie die Israelis den Virus nach Natans tragen konnten. In der Sprache der Computerexperten heißen Sicherheitslücken wie das Loch im Windows-Betriebssystem Zero-Day-Exploits, bislang unbekannte Sicherheitslücken. Die Suche danach ist eine Mischung aus Hacker-Sport und Geschäftsmodell, das Wissen ist kostbar, es gibt einen Schwarzmarkt, auf dem ein solcher Fehler 100 000 Dollar oder mehr wert sein kann. In Stuxnet sind gleich vier dieser digitalen Juwelen kombiniert.
Symantec-Mann Angel glaubt, dass es unmöglich ist, einen Code wie Stuxnet zu schreiben, ohne intime Kenntnisse der Siemens-Anlage zu haben. "Es gibt für Exploits der Siemens-Software keinen Schwarzmarkt", sagt er. "Dafür ist die Verbreitung zu gering." Aber wie ist der Mossad an die Informationen über die in Natans verwendete Technik gekommen?
Öffentlich ist darüber spekuliert worden, dass die Amerikaner dem Mossad geholfen haben könnten. In Idaho existiert ein Forschungsinstitut der US-Regierung, das sich mit der Siemens-Steuerungstechnik beschäftigt, die auch in Iran eingesetzt wird; dort könnte die Grundlagenforschung für Stuxnet stattgefunden haben. Anschließend sei der Virus in Dimona getestet worden, dem israelischen Atomzentrum in der Negev-Wüste.
Israelische Gesprächspartner, die die Hintergründe des Angriffs kennen, legen dagegen Wert darauf, dass Stuxnet eine "blue-and-white operation" gewesen sei, so genannt nach den Nationalfarben Blau und Weiß und damit ein rein israelischer Angriff. Einen Teil des Codes soll eine geheime Eliteeinheit des militärischen Nachrichtendienstes programmiert haben, den Rest der Mossad, der auch für die Einschleusung in Natans verantwortlich gewesen sei. Der Mossad habe sogar vergebens versucht, eine Kaskade von Zentrifugen auf dem Schwarzmarkt aufzukaufen. Mit Hilfe ausländischer Geheimdienste sei es einer israelischen Rüstungsfirma schließlich gelungen, ein Modell von Natans nachzubauen. Dort soll Stuxnet getestet worden sein.
Im Sommer 2009 ist es so weit: Die Angreifer lassen Stuxnet am 22. Juni 2009 um 16.31 Uhr von der Leine. Insgesamt stehen fünf iranische Organisationen im Fokus des Angriffs, sie werden in drei Wellen attackiert. Nach der ersten Welle folgt im März 2010 ein zweiter Schlag, der die Iraner hart trifft, im April folgt die dritte Welle. Nach Angaben von Symantec haben die Ziele nicht direkt mit dem Nuklearprogramm zu tun, aber einige Unternehmen seien auf Sanktionslisten der Vereinten Nationen verzeichnet. Allein in diesen fünf Organisationen werden 12 000 Rechner infiziert.
Stuxnet ist so programmiert, dass es sich auf dem USB-Stick nach der dritten Infektion von selbst löscht - vermutlich um eine explosionsartige Verbreitung, die alsbald aufgefallen wäre, zu verhindern. Die Cyberwaffe soll nachhaltig sabotieren, nicht spektakulär.
Wie komplex die Konstruktion ist, zeigt ein weiterer Trick, der dem Virus den Anschein des Legalen verleiht. Im Internet werden Zertifikate durch Firmen ausgestellt, die die Aktivität eines Servers oder eines Programmcodes prüfen und als eine Art Treuhänder eine Unbedenklichkeitsbescheinigung ausstellen. Wer ein solches Zertifikat vorweisen kann, darf passieren. Die taiwanischen Firmen Realtek Semiconductor und JMicron Technology sind solche Treuhänder.
Im Januar 2010 taucht eine Stuxnet-Variante auf, die mit einem Zertifikat von Realtek signiert ist. Im Juli 2010 folgt eine Version, die ein Zertifikat von JMicron aufweist. Beide Zertifikate sind gestohlen. Allein dieser Diebstahl ist eine Operation, die entweder einen physischen Einbruch in die Zentralen der beiden Firmen erfordert oder einen Hacker-Angriff, wie ihn weltweit nur wenige Programmierer beherrschen. Denn die Zertifikate sind besonders gesichert und verschlüsselt.
In einer als "secret" eingestuften Analyse eines europäischen Geheimdienstes, die der SPIEGEL einsehen konnte, heißt es, für die Entwicklung von Stuxnet habe ein Programmierer mindestens drei Jahre gebraucht, und sie habe einen zweistelligen Millionenbetrag gekostet. Symantec schätzt sogar, dass allein die Tests in der Modellanlage fünf bis zehn Programmierer für ein halbes Jahr beschäftigt haben. "Nichtstaatliche Akteure", so die Geheimdienstanalyse, könnten als Erfinder von Stuxnet "so gut wie ausgeschlossen werden". Das glauben auch die Mitglieder des Bundessicherheitsrats, der am 25. November 2010 in Berlin zusammentritt.
Stuxnet zeige, was alles passieren könne, wenn man potente Angreifer habe, sagt der damalige Innenminister Thomas de Maizière. Wer so viel Geld und Ressourcen investiere, der wisse, was er tue. Dahinter, darin ist sich die Runde einig, könne nur ein Staat stecken.
De Maizières Leute haben zusammengetragen, dass täglich 15 Lücken in Standardcomputerprogrammen gefunden würden. Mehrere zehntausend Web-Seiten würden täglich weltweit infiziert. Am Ende der Sitzung beschließt der Bundessicherheitsrat, ein Nationales CyberAbwehrzentrum zu gründen. "Die Erfahrungen mit dem Schadprogramm Stuxnet zeigen, dass auch wichtige industrielle Infrastrukturbereiche von gezielten IT-Angriffen nicht mehr ausgenommen sind", wird es später in der Kabinettsvorlage der Bundesregierung heißen.
Der Virus hat die Sicht auf digitale Angriffe grundlegend verändert. Die amerikanische Regierung hat vor kurzem eine neue Cyberwar-Doktrin erlassen, wonach ein solcher Angriff wie ein konventioneller Überfall zu einem Kriegsgrund werden kann. Der öffentlich zugängliche Code von Stuxnet, warnte Roberta Stempfley vom US-Heimatschutzministerium vergangene Woche, könne Nachahmer inspirieren.
Auch die britische Regierung hat im vergangenen Jahr eine neue Sicherheitsstrategie beschlossen und dafür 650 Millionen Pfund bereitgestellt. Die Cyberwelt werde in Konflikten zwischen Staaten immer wichtiger, erläuterte im Februar Dan Meridor, Israels Vize-Ministerpräsident, bei einem Vortrag in Jerusalem. "Das ist ein neues Schlachtfeld, auf dem nicht mit Kanonen, sondern mit etwas anderem gekämpft wird."
Der Mossad betrachtet Stuxnet als großen Erfolg, vergleichbar mit dem Knacken der deutschen Chiffriermaschine Enigma durch Polen und Briten im Zweiten Weltkrieg. Das israelische Militär ist weniger euphorisch. Dass Stuxnet aufgeflogen ist, sei ein hoher Preis gewesen, trotz des Rückschlags für das Mullah-Regime.
Und der war schmerzhaft. Eine iranische Zentrifuge vom Typ IR-1 dreht sich normalerweise mit 1064 Hertz. Als die Rotoren verrücktzuspielen begannen, erhöhten sie ihre Frequenz 15 Minuten lang auf 1410 Hertz, um dann zur normalen Frequenz zurückzukehren. 27 Tage später übernahm der Virus erneut die Kontrolle, diesmal bremste er die Rotoren über 50 Minuten lang auf eine Frequenz von ein paar hundert Hertz. Die Aluminiumröhren wurden durch die übermäßige Fliehkraft gedehnt, die Gefahr stieg, dass Teile sich berühren und die Zentrifugen zerbrechen.
Sechs Kaskaden mit jeweils 164 Zentrifugen sollen auf diese Weise zerstört worden sein. Rund tausend Geräte habe Stuxnet zerstört, das glauben Kenner des iranischen Atomprogramms wie David Albright vom Washingtoner Institut Isis. Iran hat eingeräumt, dass das Nuklearprogramm zurückgeworfen wurde, mit "potentiell großen Schäden", wie Gholamreza Dschalali, der Chef der iranischen Zivilverteidigung, zugibt.
Dagan hat sein Ziel erreicht, das Atomprogramm zu sabotieren, ohne dass es darüber zu einem neuen Nahost-Krieg kam. Aber Iran hat noch 8000 weitere Zentrifugen, und die moderneren Geräte der zweiten Generation IR-2, die mit Kohlefaserrotoren ausgestattet sind, laufen auch bei 1400 Hertz rund, sie sind von dieser Version der Sabotage-Software nicht betroffen. Der Mossad könnte bald einen neuen Virus brauchen. Es wäre die nächste Runde im geheimen Cyberkrieg.
Tel Aviv, eines der modernen Cafés der Stadt, am Tisch sitzen zwei junge Israelis, die indirekt für den Staat arbeiten: Sie haben eine eigene Firma, die Jobs für den Mossad und den Inlandsgeheimdienst Schin Bet übernimmt. Sie lächeln, sie sagen, ihre Disziplin sei der digitale Angriff, nicht die Abwehr, sie gehören zur globalen Hacker-Elite. In Jerusalem und Tel Aviv kursiert das Gerücht, die beiden hätten dem Mossad bei Stuxnet zugearbeitet, Recherchen im Vorfeld übernommen.
"Die Leute haben so etwas wie Stuxnet bislang nur in Filmen gesehen", sagt einer der Hacker. "Jetzt sehen sie, dass es real ist." Aus seiner Stimme spricht Stolz, als er sagt: "In der kleinen Gemeinde der Angreifer ist nichts davon wirklich neu gewesen." Fast jede der Schwachstellen sei schon einmal bei einer Attacke eingesetzt worden, aber niemals alle gemeinsam. Die wirkliche Herausforderung für einen Angriff mit einem Virus wie Stuxnet sei die Aufgabe, in ein System einzudringen, das nicht am Internet hänge.
Was die Folgen von Stuxnet seien?
Die beiden schweigen, ihre Sicht ist die Perspektive der Angreifer. "Die Entdeckung von Stuxnet hat uns schwer geschadet", sagt einer der beiden. "Für uns ist das bitter, weil eine erfolgreiche Methode enthüllt wurde."
Die Erfinder von Stuxnet hatten offenbar noch viel vor mit ihrem Produkt. Inzwischen hat Symantec eine weitere Version des Stuxnet-Virus gefunden, die einen noch komplexeren Code beinhaltet und auf moderne Siemens-Steuerungstechnik zielen sollte, aber bislang nicht aktiviert war. Stuxnet, sagen die Symantec-Leute, "ist die Art von Bedrohung, von der wir hoffen, dass wir sie nie wiedersehen".
Die Hoffnung dürfte nicht in Erfüllung gehen.
Von Holger Stark

DER SPIEGEL 32/2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGEL-Verlag Rudolf Augstein GmbH & Co. KG.

Dieser Artikel ist ausschließlich für den privaten Gebrauch bestimmt. Sie dürfen diesen Artikel jedoch gerne verlinken.
Unter http://www.spiegelgruppe-nachdrucke.de können Sie einzelne Artikel für Nachdruck bzw. digitale Publikation lizenzieren.


DER SPIEGEL 32/2011
Titelbild
Der digitale SPIEGEL
Diese Ausgabe jetzt digital lesen

Die digitale Welt der Nachrichten. Mit interaktiven Grafiken, spannenden Videos und beeindruckenden 3-D-Modellen.
Sie lesen die neue Ausgabe noch vor Erscheinen der Print-Ausgabe, schon freitags ab 18 Uhr.
Einmal anmelden, auf jedem Gerät lesen - auch offline. Optimiert für Windows 8, Android, iPad, iPhone, Kindle Fire, BlackBerry Z10 sowie für PC/Mac.

Abo-Angebote

Den SPIEGEL lesen oder verschenken und Vorteile sichern!

Jetzt Abo sichern
Ältere SPIEGEL-Ausgaben

Kostenloses Archiv:
Stöbern Sie im kompletten SPIEGEL-Archiv seit
1947 – bis auf die vergangenen zwölf Monate kostenlos für Sie.

Wollen Sie ältere SPIEGEL-Ausgaben bestellen?
Hier erhalten Sie Ausgaben, die älter als drei Jahre sind.

Artikel als PDF
Artikel als PDF ansehen

CYBERKRIEG:
Die Zauberwaffe

Video 02:00

Hypnotisierende 3D-Kunst Wie entstehen diese Animationen?

  • Video "Bundestagsabgeordnete über Bürgernähe: Wir leben in einem Raumschiff" Video 02:00
    Bundestagsabgeordnete über Bürgernähe: "Wir leben in einem Raumschiff"
  • Video "Überwachungskamera: Kunde überwältigt bewaffneten Räuber" Video 00:46
    Überwachungskamera: Kunde überwältigt bewaffneten Räuber
  • Video "Liverpool-Trainer: Klopp staunt über ausschweifenden Dolmetscher" Video 00:50
    Liverpool-Trainer: Klopp staunt über ausschweifenden Dolmetscher
  • Video "US-Soldat mit Kriegsverletzung: Erste Transplantation von Penis und Hodensack" Video 01:50
    US-Soldat mit Kriegsverletzung: Erste Transplantation von Penis und Hodensack
  • Video "Tauchgang im Weißen Meer: Seltene Meerestiere unterm Eis" Video 01:00
    Tauchgang im Weißen Meer: Seltene Meerestiere unterm Eis
  • Video "Toronto: Augenzeuge filmt Festnahme des Tatverdächtigen" Video 01:57
    Toronto: Augenzeuge filmt Festnahme des Tatverdächtigen
  • Video "Wie Karlsson vom Dach: Abheben mit dem Schwebe-Rucksack" Video 01:09
    Wie Karlsson vom Dach: Abheben mit dem Schwebe-Rucksack
  • Video "Augenzeugen über Tat in Toronto: Er traf einfach jeden" Video 01:14
    Augenzeugen über Tat in Toronto: "Er traf einfach jeden"
  • Video "Neue Erkenntnisse über Flughunde: Durchkommen mit Doppelklick" Video 01:12
    Neue Erkenntnisse über Flughunde: Durchkommen mit Doppelklick
  • Video "Anti-Smog-Projekt in China: Riesiger Filterturm soll Luft reinigen" Video 00:53
    Anti-Smog-Projekt in China: Riesiger Filterturm soll Luft reinigen
  • Video "Kate und William: Royal Baby Nummer drei ist da" Video 00:48
    Kate und William: Royal Baby Nummer drei ist da
  • Video "Mahnwache für Kampfhund: Er ist unser Chico Guevara" Video 02:21
    Mahnwache für Kampfhund: "Er ist unser Chico Guevara"
  • Video "Das Allerletzte des 31. Spieltags: The Walking Dead im Volkspark" Video 03:14
    Das Allerletzte des 31. Spieltags: The Walking Dead im Volkspark
  • Video "Jurassic World-Ausstellung: T-Rex zum Greifen nah" Video 01:07
    "Jurassic World"-Ausstellung: T-Rex zum Greifen nah
  • Video "Neonazi-Treffen in Sachsen: Man muss die Rechten nicht gewähren lassen" Video 04:46
    Neonazi-Treffen in Sachsen: "Man muss die Rechten nicht gewähren lassen"
  • Video "Hypnotisierende 3D-Kunst: Wie entstehen diese Animationen?" Video 02:00
    Hypnotisierende 3D-Kunst: Wie entstehen diese Animationen?