Stuxnet Angst vor einem zweiten Tschernobyl

Stuxnet wirkt. Der Computervirus, der iranische Atomfabriken befallen hat, dürfte Auswirkungen haben, die über den bislang bekannten Sabotage-Akt hinausgehen. Manche Experten befürchten den GAU, wenn infizierte Anlagen dennoch ans Netz gehen, und warnen vor möglichen Nachahmer-Attacken.
Buschehr-Reaktor: GAU-gefährdet, wenn er online geht?

Buschehr-Reaktor: GAU-gefährdet, wenn er online geht?

Foto: Abedin Taherkenareh/ dpa

So weit wie Jeffrey Carr lehnt sich zurzeit kaum jemand aus dem Fenster. Zwei Tage nach Veröffentlichung eines Artikels in der "New York Times" (NYT),  der schildert, wie Amerikaner und Israelis miteinander kooperierten, um per Stuxnet-Sabotagevirus Irans Uran-Zentrifugen aus dem Takt zu bringen, veröffentlichte er im "Forbes"-Blog seine Gegenrede : Das sei alles unbelegtes Zeug, meint Carr. Die "NYT"-Autoren hätten es versäumt, irgendeinen Beleg für ihre auf Aussagen anonymer Tippgeber beruhenden Thesen zu liefern. Der stärkste Beweis für den Wahrheitsgehalt der "New York Times"-Veröffentlichung sei, dass ungenannte israelische Vertreter nur "breit gegrinst" hätten statt die Theorie zu kommentieren.

Manchmal braucht es vielleicht nicht viel mehr als Beleg. Wenn man so will, grinst auch die israelische Presse gerade mächtig breit. Von der " Jerusalem Post " bis zu " Haaretz " hat dort augenscheinlich niemand ein Problem damit, die "NYT"-Theorie zu glauben. Mehr noch: Der Cyberangriff, durch den das iranische Atomprogramm in seiner Planung angeblich bis 2015 verzögert wurde, wird als elegante Lösung gesehen, die faktisch einen militärischen Angriff auf Iran verhindert habe.

"Forbes"-Autor Carr sieht die Sache anders: Tatsächlich beruhe Stuxnet auf einem chinesischen Hack. Die intimen Kenntnisse der Zentrifugentechnik, die man zur Programmierung des Wurms brauchte, hätten diese Chinesen besessen, weil auch die Zentrifugen der finnischen Firma Vacon in Wahrheit von einer Tochterfirma im chinesischen Suzhou gefertigt wurden.

In Iran glaubt man das nicht. Der iranische Atomunterhändler Said Dschalili machte in einem TV-Interview mit dem Sender NBC die USA direkt für die Stuxnet-Attacke auf das Nuklearprogramm seines Landes verantwortlich. Das sei das Resultat der iranischen Ermittlungen. Dschalili spezifizierte damit Vorwürfe gegen "unsere verzweifelten, geschwächten Feinde", die er zuvor in einem Interview mit dem SPIEGEL geäußert hatte: "Ein Feind", behauptet Dschalili in dem Gespräch, "der unsere Wissenschaftler tötet, hat auch keine Hemmungen, das Netz mit Schädlingen zu infizieren."

Und dessen Erfolg ist nach wie vor ungeklärt. Zwar gaben die Iraner bereits vor Wochen zu, dass Stuxnet Probleme und Schäden verursacht habe. Im Gespräch mit dem SPIEGEL behauptete Dschalili aber noch einmal, dass die nicht so schlimm gewesen seien, wie Medien behaupteten: "Machen Sie sich keine Sorgen um unsere Zentrifugen."

Warnung vor einem GAU

Sorgen haben aktuellen Berichten zufolge aber russische Nuklear-Techniker, die in Iran am Aufbau des Buschehr-Reaktors beteiligt sind. Westlichen Geheimdienstinformationen zufolge, meldete jetzt der britische "Daily Telegraph" , sollen sich die Experten mit einer Warnung an den Kreml gewandt haben. Tenor: Irans Regierung übe politischen Druck aus, Buschehr anzuwerfen, obwohl man nicht für die Sicherheit garantieren könne.

Es drohe ein "iranisches Tschernobyl", für das im dann schlimmsten Fall die Russen mitverantwortlich gemacht werden könnten. Anzuraten sei eine Startverschiebung mindestens bis Jahresende.

Buschehr soll im Sommer 2011 ans Netz gehen, der Reaktor ist bereits seit Oktober mit Brennelementen bestückt. Ob die wirklich in Ordnung sind - und wichtiger - ob auch Buschehrs Sicherheitssysteme unversehrt sind, ist im Augenblick nicht zu sagen: Stuxnet entfaltete seine Wirkung seit spätestens Sommer 2010, möglicherweise aber schon vorher. Vorläuferversionen des Virus sollen ab Sommer 2009 erprobt worden sein.

Fotostrecke

Stuxnet-Wurm: Heimlich entwickelt in Israel und den USA?

Foto: REUTERS/ Presidential official website

Am Dienstag bestritt Sergei Nowikow, Sprecher der russischen Atombehörde Rosatom, Berichte und Gerüchte über Risiken beim Anwerfen von Buschehr. Russische, iranische und chinesische Medien zitierten Nowikow mit der Aussage, für Buschehr bestehe kein "größeres Gefahrenpotential" durch den Virus, weil die Sicherheitssysteme des Kraftwerks vom Internet abgekoppelt seien und dort keine Infektion mit Stuxnet vorliege. Die Berichte über die Gefahren durch Stuxnet seien Ausdruck eines "westlichen Medien-Hypes".

Softwarelösung für das, was man früher physisch tat?

US-Offizielle wiesen den Verdacht einer US-Beteiligung an der Programmierung von Stuxnet schon im Dezember zurück. Die Theorie besitzt trotzdem höchste Plausibilität - und selbst das US-Dementi muss noch nicht einmal gelogen sein.

Denn laut "NYT" leisteten die Amerikaner den Israelis wohl eher mit Zulieferungen von Know-how Hilfestellung. Die eigentliche Viren-Programmierung sei in Israel geschehen. US-Stellen könnten Informationen über Schwachstellen in der Software, die später zum Einfallstor für Stuxnet werden sollte, weitergegeben haben: Hersteller Siemens soll seine Controller-Software am Idaho National Laboratory   auf Risiken geprüft haben lassen.

Die dem US-Energieministerium unterstehende Anlage hat gigantische Ausmaße. Seit 1947 entstanden auf dem über 2000 Quadratkilometer großen Testgelände im Nirgendwo der Einöde von Idaho 52 Kernreaktoren und zahlreiche andere Anlagen. Infrastrukturen, die Praxistests erlauben, wo Unternehmen sonst auf Computersimulationen angewiesen wären.

Ob genau dort irgendwann in den letzten 30 Jahren auch Experimente mit der Manipulation von Zentrifugentechnik stattfanden, um den Betrieb von Atomanlagen zu stören, ist nicht bekannt. Dass US-Geheimdienste solche Zentrifugen bereits gezielt sabotiert haben, soll dagegen eine Tatsache sein, glaubt man Douglas Frantz und Catherine Collins: Die renommierten US-Journalisten legten mit "Fallout: The True Story of the CIA's War on Nuclear Trafficking" in diesen Tagen ein Buch über die Versuche der Amerikaner vor, die nukleare Aufrüstung instabiler Staaten durch den abtrünnigen pakistanischen Nuklear-Ingenieur und späteren Atom-Dealer Abdul Kadir Khan zu verhindern.

Frantz und Collins behaupten, US-Geheimdienste hätten Khans Netzwerk selbst manipulierte Zentrifugen untergeschoben, die ihren Weg nach Iran und Libyen fanden. Durch erratische Frequenzänderungen sollten diese die Qualität des aufbereiteten Materials so senken, dass es im Betrieb sogar zu Explosionen hätte kommen können.

Frequenzfluktuationen der Zentrifugen sind es auch, was Stuxnet verursacht - vor diesem Hintergrund erscheint das Virus fast wie die Software-Variante eines alten Hardware-Sabotageansatzes.

Stuxnet: Attacke mit Ankündigung

Auch das dürfte den diplomatischen Druck auf Iran, das umstrittene Nuklearprogramm nicht weiter zu forcieren, noch einmal erhöhen. Stuxnet als Cyberwar-Methode wäre damit ein voller Erfolg. Solche virtuellen Attacken, sagte Scott Borg, Chef der U.S. Cyber Consequences Unit , einer Körperschaft, die US-Einrichtungen vor genau solchen Attacken schützen soll, seien militärischen Schlägen letztlich vorzuziehen: "Cyberwar hat den Vorteil, heimlich und abstreitbar zu sein."

Gesagt hat Borg das bereits im Juli 2009 : Israel, mutmaßte er damals, könne eine Cyberattacke, womöglich mit Hilfe kontaminierter USB-Sticks, einem Militärschlag auf iranische Nuklearanlagen vorziehen. Ein naheliegendes Ziel für eine solche Attacke seien Aufbereitungsanlagen für Uran - wie beispielsweise Zentrifugen.

Im Juli 2009 war der später unter anderem via USB-Stick verteilte Stuxnet-Wurm längst in der Entwicklung. Eine erste Testversion des Virus wird auf den Juni 2009 datiert - nicht ausgeschlossen, dass Borg nur eine Gerüchtelage wiedergab. Denn die gab es zu dem Zeitpunkt längst, wie schon die Schlagzeile der Reuters-Meldung vom 7. Juli 2009 zeigt: "Auf der Hut vor blanker Gewalt, erwägt Israel den Cyberwar gegen Iran."

Fotostrecke

Stuxnet-Wurm: Heimlich entwickelt in Israel und den USA?

Foto: REUTERS/ Presidential official website

So ist Urheberschaft und Ziel der Stuxnet-Attacke auch in der nicht-westlichen Presse inzwischen eine ausgemachte Sache. In Artikeln zu dem Thema zeigt sich auch, welche Wirkung die Sabotageaktion noch entfalten dürfte: Die Angst geht um, dass solche Cyberschläge nun zu einem oft, aber schwer nachweisbaren Instrumentarium werden könnten, Gegner zu attackieren oder unter Druck zu setzen.

Zumal man nun den Stuxnet-Virus quasi als Blaupause für eigene Cyberwar-Attacken habe, argumentiert Sebastian Linko in der "Los Angeles Times". Der Unternehmenssprecher von Vanco, dem Hersteller der von Stuxnet abgeschossenen Zentrifugen, glaubt, dass nun auch andere Staaten oder sogar Kriminelle eigene Stuxnet-Cyberwaffen kreieren könnten .

OECD-Studie: Cyberwar-Risiko wird übertrieben

So weit aber sei es noch nicht, argumentiert die am 14. Januar 2011 veröffentlichte OECD-Studie "Reducing Systemic Cybersecurity Risk"  (PDF, 121 Seiten). Cyber-Kriegsführung, sagten die Studien-Autoren Peter Sommer und Ian Brown dem "Register" , sei weder etwas, was herkömmliche militärische Aktionen ersetzen könne noch eine Methodik, die sich für Staaten wirklich anbiete - weder als Waffe noch als Abschreckungspotential.

Zwar gibt es laut Studie zahlreiche Infrastrukturen, die manipulierbar und angreifbar sind. Dazu zählten auch solche Systeme, wie Stuxnet sie befiel. Tatsächlich aber seien solche Attacken mit einem erheblichen Aufwand verbunden - auch Stuxnet wurde offenbar über mehr als zwei Jahre vorbereitet. Das Gerede über den schnellen Cyberwar-Schlag übertöne die Diskussion um weit virulentere Bedrohungen - wie zum Beispiel ganz primitive Denial-of-Service-Attacken auf unzureichend abgesicherte Netzwerke. Die gibt es zwar vor allem im privatwirtschaftlichen Sektor - doch die machen das Gros der sogenannten kritischen Infrastrukturen aus, die einen industrialisierten Staat erst am Laufen halten.

Die primäre Bedrohung sei also nicht eine Flut von aufwendigen, ausgefuchsten Stuxnet-ähnlichen Würmern, sondern die Leichtigkeit, mit der man mit herkömmlichen Mitteln wie DDoS Infrastrukturen stören könne - siehe die Anonymous-Attacken auf Visa, Mastercard und andere Unternehmen im Dezember, die mit Hilfe eines primitiven Toolkits quasi auf Zuruf organisiert wurden.

Die Wiedergabe wurde unterbrochen.