Von Computerviren erfahren wir im Alltag nicht viel: Ein Antivirusprogramm meldet sich einmal die Woche, um aktualisiert zu werden und landet doch mal ein Virus auf dem Computer hilft oft eben jenes Programm bei der Beseitigung. Während ein Virus sich auf einem System einnistet, infiziert ein Wurm lediglich Programme. Werden diese ausgeführt oder der Wurm direkt (unabsichtlich) gestartet, kann er sich weiter verbreiten. Dazu kann er etwa das E-Mail-Adressbuch auslesen und sich selbst verschicken. Einige Würmer schaffen es auch, nach der Verbreitung die neue Kopie selbst zu starten. Der Wurm nutzt Lücken, die man sich wie Hintertüren vorstellen kann, durch die der Wurm auf die Computer gelangt.
Neben der eigenen Verbreitung kann ein Wurm noch verschiedene weitere Dinge umsetzen: Einige kommunizieren untereinander, um Angriffe ausführen, etwa je eine Nachricht an einen bestimmten Computer im Netzwerk verschicken. Dieser wird ist dann so beschäftigt, dass er andere Anfragen, wie etwa „schicke mir die Homepage des StudentenPACKs“ nicht mehr erfüllen kann. Dann spricht man von einer Denial-of-Service-Attacke, denn der Server kann seinen eigentlichen Dienst nicht mehr erfüllen.
Was macht Stuxnet?
Im Juni tauchte der Wurm Stuxnet auf. Zunächst sah er aus, wie andere Würmer auch, er nutzte allerdings eine Sicherheitslücke, die bis dahin noch nicht bekannt war. So eine Lücke heißt auch „Zero Day Exploit“, da erst nach Bekanntwerden des Wurmes die Schwachstellen durch Aktualisierung behoben werden kann. In diesem Falle wurde eine Lücke genutzt, die beim Anstecken eunes USB-Sticks Programme ausführt, ohne dass der Benutzer dieses bemerkt. Die Sicherheitslücke war nicht nur komplett unbekannt, sie betraf auch noch viele Systeme, vom schon etwas älteren Windows 2000 bis hin zu neusten Systemen mit Windows 7. Da der Wurm sonst nichts zu machen schien, war es merkwürdig, dass für so ein kleines Programm so einen Vorschlaghammer als Angriff nutzt.
Für Sicherheitslücken gibt es einen eigenen Markt, diejenigen, die Schwachstellen herausfinden verkaufen diese an Virus-Programmierer. Je mehr Systeme mit dieser Lücke überwunden werden können, um so mehr kostet die Information. Ebenso variiert der Preis je nach Umfang der Kontrolle, die man über andere Computer gewinnen kann, also ob man nur das Adressbuch auslesen kann, oder ob man sogar beliebige Programme starten kann. Dass ein auf den ersten Blick so unscheinbarer Wurm so eine große Sicherheitslücke ausnutzt, weckte das Interesse der Experten.
Bei genauerer Analyse stellte sich dann heraus, dass in dem Wurm versteckt noch ein zweiter Wurm enthalten ist, der ebenfalls mit einem weiteren „Zero Day Exploit“ arbeitet, um sich im System festzusetzen. Insgesamt enthält Stuxnet vier solcher Exploits, die schlussendlich ermöglichen, dass der Wurm auf Computern, die Großindustrieanlagen steuern, genau diese Steuerung verändern kann. Bei einem Computer im industriellen Herstellungsprozess kommt es darauf an, bis auf wenige Mikrometer oder bei einer ganz exakten Temperatur zu arbeiten, damit die Produktion gelingt. Wird dies verfälscht, dem Computer aber trotzdem vorgespielt, die Temperatur stimme, schlägt die Herstellung fehl, im schlimmsten Fall wird die Produktionsanlage beschädigt.
Wen betrifft das?
Solche Industrieanlagen sind zwar hochspezialisiert, können aber bei einem Hersteller aus Einzelkomponenten zusammengestellt werden, ähnlich dem Lego-Prinzip. Dazu ist die Software ebenfalls mit standardisierten Anzeigen entworfen, die kombinierbar sind. Genau auf eine solche Software zielt Stuxnet ab, er kann sich sogar auf einer dieser Anlagen direkt einnisten. Um exakt zu arbeiten bestehen solche Anlagen aus kleinen Minicomputern, den speicherprogrammierbaren Steuerungen, kurz SPS, auf dessen Speicher nur das kleine Programm mit den aktuellen Einstellungen liegt. Der Virus sucht dort spezielle Komponenten, um festzustellen, was die Anlage steuert. Auf allen anderen Computern, also etwa auf dem eigenen Laptop „schläft“ der Wurm bzw. verbreitet sich lediglich weiter.
Woher weiß man, was Stuxnet macht?
Woher Stuxnet kommt und welche Industrieanlage das Ziel war beziehungsweise ist, steht noch nicht vollständig fest und sein Urheber wird vielleicht nie ermittelt werden können. Einige Experten arbeiten gerade daran, das Programm vollständig zu verstehen. Das ist allerdings recht kompliziert, denn während jeder Programmierer Quelltext lesen kann, liegt der Virus ja nur in der Sprache, die ein Computer versteht vor. Darin noch zu verstehen, was ein Programm macht, erfordert forensische Fähigkeiten und viel Detailwissen.
Eine andere Möglichkeit ist, aus gewissen Daten und Meldungen auf die Funktion von Stuxnet zu schließen. So sind etwa 60% des „Vorkommens“ von Stuxnet im Iran Dort stehen Anlagen, die von dem Virus manipuliert werden können. Ein Ziel von Stuxnet ist, von einer großen Menge gleichartiger Baugruppen nur einige wenige in einzelnen Werten zu verändern, etwa die Drehzahl elektronischer Motoren, die dann anstelle einer Konstanten Drehzahl ein zufälig aussehendes Muster ablaufen lassen. Einige Daten aus der Analyse bestätigen dies und fallen zusammen mit dem Ausfall einer Uran-Anreicherungsanlage im Iran. Bei der Anreicherung von Uran werden die beiden Isotope – Uran-235 und Uran-238 – durch Zentrifugen voneinander getrennt. Bei einem so geringen Unterschied im Gewicht ist eine sehr präzise Arbeit notwendig, um Innen ein Gas mit ein klein wenig höherem Uran-235-Anteil abzusaugen. Bei einer Staffelung der Zentrifugen, die je mit bis zu hunderttausend Umdrehungen pro Minute arbeiten, ist schon eine einzige leicht veränderte Drehzahl verheerend, da dann etwa die Lager stärker abnutzen.
Cyberwar – Kriegsführer unbekannt
Wer jedoch den Virus programmiert hat, ist noch unklar. Bei dem Aufwand, sowohl zur Verbreitung, finanziell, aber auch vom technische Wissen her, kann es sich nur um eine staatliche Aktion handeln. Obwohl der Wurm seit Juni bekannt ist, werden einige Details erst jetzt bekannt. Der Wurm ist nur 400kB groß, passt also auf eine alte 51⁄4-Zoll-Diskette, die man vielleicht noch vom C64 kennt.
Somit ist Stuxnet der erste große Angriff auf digitalem Wege, der aufgrund der vielen Details nur den Anreicherungsanlagen im Iran gegolten haben kann. Dass weder ein Sicherheitsmechanismus gegriffen hat, noch jetzt welche verfügbar sind, ist die eigentliche Sorge daran. Es muss viel Aufwand in die Entwicklung investiert worden sein. Weder Staaten noch die Industrie haben bisher Pläne, wie sie mit derartigen Szenarien umgehen. Es liegen zumindest keine Äußerungen dazu vor, so dass der Umgang mit Szenarien dieser ein spannendes Thema bleibt.
Rubrik
Themen
Der Autor 
Datum
Ausgabe Dezember 2010
Mundpropaganda
Diskussion 
Sonderseiten