Stuxnet - ein Trojaner auf staatlicher Sabotage-Mission?

IT-Spezialisten und die Community der digitalen Kriminalistik kennen seit Tagen nur noch ein Thema: Stuxnet, der Trojaner, der es sogar bis in die Tagesthemen geschafft hat. Das hat seinen guten Grund, den ich bereits vorgestern in einem anderen Blog versucht habe zu erklären – daher findet sich der Eintrag mit aktuellen Updates hier nun auch.

Ein Trojaner, den IT-Sicherheitsexperten seit Wochen auseinandernehmen und zu verstehen versuchen, der gezielt die Steuerung von Industrieanlagen ins Visier nimmt und – angeblich wie beabsichtigt – zu Problemen innerhalb des iranischen Atomprogramms geführt haben soll? Hört sich beinahe so an, als ob die Prophezeiungen vom sogenannten Cyber-Warfare, der digitalen Kriegsführung der Zukunft, die man seit Jahren insbesondere von hohen Militärs wie von Verkäufern entsprechender Technologien und mit zunehmender Frequenz vernehmen kann, tatsächlich zutreffen könnten.

Doch der Reihe nach: Was war passiert? Bereits im Sommer warnte die IT-Sicherheits-Community lautstark und völlig zurecht vor einer neuen Zero-Day-Lücke im Zusammenhang mit LNK-Dateien, einer bislang unbekannten Schwachstelle im Windows-Betriebssystem, mit deren Hilfe sich ein "Stuxnet" getaufter Trojaner über USB-Sticks verbreiten konnte. Darüber hinaus, so weiß man inzwischen, verfügt dieselbe Malware über ein ganzes Arsenal weiterer Angriffsmethoden, zu dem auch über ein Jahr alte Sicherheitslücken gehören. Weitere Analysen ergaben, dass sich der Trojaner auf gewöhnlichen Windows-Rechnern wie dem Familien-PC zuhause zwar einnistet, aber – derzeit – sonst nichts weiter Schädliches unternimmt.

Trifft die Schadsoftware hingegen auf einen Rechner, der zur Steuerung von bestimmten Industrieanlagen verwendet wird, kommt eine offenbar als Spezialanfertigung eingebaute Funktionalität zum Einsatz: Stuxnet kann solche Anlagen mit speicherprogrammierbaren Steuerungen (SPS), die meist auf eine von Siemens entwickelte Steuerungssoftware für Windows namens WinCC setzen und zu denen anscheinend Teile des iranischen Atomprogramms zählen, gezielt manipulieren.

Diese Details, gepaart mit der hohen Professionalität und dem extremen Aufwand, der mit Stuxnet betrieben worden war – etwa soll der Programmcode des Schädlings aus mehreren, gut gegen Reverse Engineering geschützten Codeschichten bestehen –, veranlassten Frank Rieger, Sprecher des Chaos Computer Clubs, in der FAZ über die möglichen Urheber des Trojaners, deren Absichten und die denkbaren Folgen für das digitale Wettrüsten in der Spionageszene zu spekulieren. Seine These: Nur ein Staat mit entsprechendem Interesse an einer Verzögerung bzw. anderweitigen Problemen beim iranischen Atomprogramm konnte die Ressourcen aufbringen, die für diese Schöpfung und ihren Einsatz mittels Agenten, die mit USB-Sticks bewaffnet sind, notwendig waren.

Auch wenn anders…