Stuxnet sollte Irans Uran-Anreicherung stören
Von "[email protected]"
"[email protected]"
AP
Iranisches Atomkraftwerk Buschehr: Sollte Stuxnet hier zum Dauergast werden?
Der Stuxnet-Wurm scheint endlich enträtselt. Virenforscher sind jetzt überzeugt: Die mysteriöse Software ist eine Art Undercover-Agent, der die iranischen Uranzentrifugen sabotieren sollte - gezielt, subtil und hinterhältig.
Welches Ziel verfolgt Stuxnet? Über diese Frage rätseln Experten, seit die ungewöhnliche Schadsoftware im Juli entdeckt wurde. Schnell war klar, dass sie Industriesteuerungsanlagen der Firma Siemens angreift. Wie sie das tut und vor allem, was sie dort anrichtet, war allerdings selbst Virenforschern ein Rätsel. Jetzt haben Schadsoftware-Spezialisten die Arbeitsweise des Angreifers analysiert und sind zu dem Schluss gekommen: Stuxnet ist noch viel hinterhältiger als gedacht, soll seine Ziele über Jahre manipulieren, ohne dabei Spuren zu hinterlassen. Der Schädling hatte wohl wirklich iranische Atomanlagen zum Ziel, sollte Irans Atomprogramm unbemerkt langfristig sabotieren.
Befürchtungen, Stuxnet habe dort katastrophale Schäden, den Austritt von radioaktivem Material oder gar eine Kernschmelze auslösen sollen, konnten die Experten des IT-Sicherheitsunternehmens Symantec aber nicht bestätigen. Stattdessen fanden sie heraus, dass Stuxnets Einsatz auf eine lange Verweildauer ausgerichtet war. Er sollte die Anlagen ganz subtil manipulieren, die Prozesse der Uran-Anreicherung kaum spürbar aber wirkungsvoll unterwandern. Das Ergebnis wäre minderwertiges Uran gewesen.
Diskreter Schädling
Dass es so lange gedauert hat, zu diesem Schluss zu kommen, liegt an der Komplexität der Software. Stuxnet, da sind sich alle Beobachter einig, ist eine ausgesprochen ungewöhnliche Software. Die Entwicklungskosten werden auf Millionen Dollar geschätzt, das Programmierer-Team muss groß gewesen sein. Alleine die Kosten für den Erwerb von Wissen um bis dahin unbekannte Windows-Sicherheitslücken dürften siebenstellig gewesen sein. Sie haben es ermöglicht, Stuxnet selbst an aktueller Schutzsoftware vorbei unbemerkt auf Rechner einzuschleusen.
Wie der Wurm das schaffte und was er auf den befallenen Systemen tun sollte, haben Symantecs Forscher jetzt in dem Bericht "W32.Stuxnet Dossier" ( PDF) auf 63 Seiten zusammengefasst. Eine leichte Lektüre ist das nicht, eine spannende schon.
Bei der Sabotage des iranischen Atomprogramms sollte die Schadsoftware ausgesprochen subtil vorgehen. Zwar hat sich Stuxnet laut Symantec auf mehr als 100.000 Systemen eingenistet, aktiv wird er aber nur, wenn er ganz bestimmte Bedingungen vorfindet. Demnach ist er darauf ausgerichtet, bestimmte Siemens-Industriecomputer anzugreifen, die über Steuerungsmodule sogenannte Frequenzumrichter regeln. Symantec zufolge geht die Software dabei nur auf Umrichter los, die entweder vom finnischen Hersteller Vacon oder von der iranischen Fararo Paya stammen. Das mag kein Beweis sein, immerhin jedoch ein Indiz dafür, dass Stuxnets Ziel die iranische Kernbrennstoff-Anreicherungsanlage in Natans ist.
Die richtigen Frequenzen
So explizit ist das Symantecs Bericht zwar nicht zu entnehmen, zwischen den Zeilen aber doch deutlich zu lesen. Denn dort wird darauf hingewiesen, dass Stuxnet nur Frequenzumrichter beeinflusst, die mit Frequenzen zwischen 807 Hz und 1210 Hz arbeiten. Darauf folgt im Bericht der Hinweis, dass der Export von Umrichtern, die Frequenzen oberhalb von 600 Hz unterstützen, aus den USA verboten ist - weil solche Geräte in Urananreicherungsanlagen verwendet werden.
Eben diese Frequenzumrichter sind dringend nötig, um die Drehzahl jener Zentrifugen zu regeln, die für die Anreicherung von Kernbrennstoffen so wichtig sind. Eine konstante Drehzahl ist für den Erfolg des Prozesses essentiell, erklärt Symatec-Forscher Eric Chien im Firmenblog. Deshalb sind die Umrichter so wichtig. Werde die Umdrehungszahl der Zentrifugen verändert, würde die Konzentration der schweren Uran-Isotope unterbrochen. Das Resultat wäre minderwertiges Uran.
Genau an dieser Stelle setzt Stuxnet dem Bericht zufolge an. Über einen Zeitraum von Monaten sollte er die Frequenz der Umrichter wieder und wieder in unterschiedlichen Schritten variieren. In einem Beispiel zeigen die Virenforscher, dass er in einem Beispielsystem die Frequenz zunächst nach 13 Tagen auf 1410 Hz erhöht, um sie 27 Tage später zunächst auf 2 Hz zu senken und gleich danach auf 1064 Hz hochzufahren. In dieser Art geht es über Monate weiter.
Ein großer Erfolg - und dennoch gescheitert
Darüber ob Stuxnet seine Mission schon begonnen hat, herrscht bis heute Unklarheit. Iranische Behörden widersprechen Annahmen, wonach die Software bereits zu Unfällen und Unregelmäßigkeiten im iranischen Atomprogramm geführt habe. Die Entwicklung von Stuxnet lässt sich laut Symantec aber bis mindestens Juni 2009 zurückverfolgen.
Wenige Monate später, etwa ab August 2009, nahm die Zahl der betriebsbereiten Zentrifugen in Iran dramatisch ab - während gleichzeitig die Gesamtzahl an Zentrifugen erhöht wurde. Ein Hinweis darauf, dass es im iranischen Anreicherungsprozess sehr wohl Probleme mit den Zentrifugen gibt, die man zu beheben versucht, indem man einfach neue Zentrifugen neben unbrauchbar gewordene stellt. Denkbar ist das. Stuxnets Mission ist dennoch gescheitert. Symantecs Experten bestätigen, dass der Aufwand für seine Entwicklung immens gewesen sein muss, sehen in Stuxnet einen Meilenstein in der Geschichte von Schadsoftware. Allerdings einen, der so schnell wohl kaum wiederholt werden wird. Stuxnets Malaise ist, dass er entdeckt wurde und seit Monaten öffentlich diskutiert wird, obwohl er eigentlich jahrelang im Verborgenen hätte wirken sollen - er ist quasi ein Undercover-Agent, der enttarnt und dadurch - wenigstens zum Teil - nutzlos wurde.
Bleibt die Frage, wie seine Entwickler auf die öffentliche Zurschaustellung ihres Projekts reagieren. Unter wirtschaftlichen Gesichtspunkten wäre nur eine Weiterentwicklung sinnvoll, jetzt, da die Schwachstellen bekannt sind.
Quelle: spiegel.de
Sehr geiler Artikel fand ich.