Es ist ein Horror-Szenario, das Experten schon seit Jahren auf Konferenzen diskutieren: Hacker dringen mit einem Schadprogramm gezielt in die Steuerungssysteme großer Industrieanlagen, Kraftwerke oder Staudämme vor, um diese zu sabotieren. Die Folgen wären womöglich verheerend: eine Talsperre lässt unkontrolliert Wassser ab, eine Raffinerie explodiert oder es gerät gar ein Atomkraftwerk außer Kontrolle.
Archivbild der Atomanlage im zentraliranischen Natans: Ziel eines Cyberangriffs ungeahnten Ausmaßes?
(Foto: dpa/dpaweb)Was bisher nur im Labormaßstab demonstriert worden ist, soll sich jetzt erstmals "in freier Wildbahn" zugetragen haben. Diese Vermutung hegt zumindest Frank Rieger, Sprecher des Chaos Computer Club, der größten Hacker-Vereinigung Europas. Das Ziel sei womöglich das iranische Atomprogramm gewesen, mutmaßte er in einem Beitrag für die Frankfurter Allgemeine Zeitung - genauer: die unterirdische Urananreicherungsanlage von Natans.
Unstrittiger Ausgangspunkt für seine Indizienkette ist der schwerste Hackerangriff auf eine spezielle, zur Steuerung von Industrieanlagen entwickelte Software von Siemens. Standardisierte computerbasierte Steuerungen überwachen heutzutage fast alle großtechnischen Anlagen, sie werden allerdings speziell für jede Anwendung zugeschnitten.
So müssen in einer Anreicherungsanlage Druck, Temperatur und Durchflussmengen des gasförmigen Uran-Hexafluorid in den Zentrifugen überwacht und geregelt werden. Die Maschinen sind höchst empfindlich. Genau an dieser Schwachstelle soll der Sabotage-Angriff angesetzt haben.
Für den deutschen Sicherheitsspezialisten Ralph Langner steht fest, dass es sich bei der Attacke um einen gezielten Akt von Sabotage handelt. Das sei aufgrund der mittlerweile vorliegenden computerforensischen Erkenntnisse "offensichtlich und überprüfbar", schreibt er auf seiner Webseite.
Eine hochkomplexe Attacke
Den Angreifern, argumentiert er, müsse klar gewesen sein, dass man die Sache anhand des benutzten Codes würde zurückverfolgen können und dass sie nur einen Versuch hatten. Er vermutet deshalb, dass der Angriff bereits abgeschlossen ist.
Allerdings dürfte ein Geheimdienst kein großes Interesse haben, sein Schadprogramm weltweit zu verbreiten und damit seine Technologie einer breiten Analyse preiszugeben - der Schädling, Stuxnet genannt, machte sich aber gerade Lücken im weltweit am weitesten verbreiteten Betriebssystem Windows und der ebenso weitverbreiteten Siemens-Software zu nutze. Als "vollkommen spekulativ" bezeichnet Langer die weitere Vermutung, dass das Ziel die iranische Atom-Anlage gewesen sein könnte.
Auch der US-Sicherheitsexperte Dale Peterson, der sich auf die angegriffene Systeme spezialisiert hat, glaubt nicht an Industriespionage, sondern geht von einem Angriff aus: "Stuxnet benötigte detaillierte Informationen über das Kontrollsystem oder den Prozess, den es angreifen sollte. Da gab es nichts mehr zu stehlen."
Ob Natans oder eine andere Anlage das Ziel war, das müsse die Zeit zeigen, so Peterson. Die Attacke jedenfalls ist von einer technischen Meisterschaft, wie sie bei gewöhnlichen Angriffe von Internetkrimininellen schon aus Kostengründen kaum zu finden ist.
Außerdem, das hat unter anderem der amerikanische Sicherheitsdienstleister Symantec analysiert, setzt die Software detaillierte Kenntnisse der attackierten Datenbank- und Steuerungssysteme voraus.
Irans Probleme mit den Zentrifugen
Um an den Virenwächtern und anderen Sicherheitseinrichtungen moderner Betriebssystem vorbeizukommen, setzten die Programmierer auf sogenannte Zero-Day-Exploits. Das sind Sicherheitslücken, für die es noch keinen Schutz gibt - meist weil die Softwarehersteller noch gar wissen, dass die Lücke existiert. Diese Exploits werden mit bis zu sechsstelligen Summen gehandelt.
Stuxnet enthält vier solcher Exploits, er zeigt sich auch sonst auf der Höhe der Zeit. So versteckt er sich als sogenanntes Rootkit auf den befallenen Rechnern sehr tief im Betriebssystem, wo ihn Virenscanner kaum aufspüren können, wie die Sicherheitsfirma Symantec gezeigt hat.
Ursprünglich hatte es auch noch einen Rechner gegeben, der als Kontrollinstanz für die befallenen Computer fungierte. Doch dieser wurde sofort abgeschaltet, als die Attacke im Juli dieses Jahres aufflog.
Während der aggressive Charakter des Trojaners ebenso klar ist, wie der enorme Programmieraufwand, bleiben zum Angriffsziel und Herkunft viele Fragen. Rieger stützt seine Vermutung auf einen angeblichen "nuklearen Unfall" in Natans, den die Enthüllungsseite Wikileaks im Juli 2009 publiziert habe und die allgemeine Aussage, "dass Iran gerne Siemens-Industriesteueranlagen verwendet".
Digitale Sabotage oder schlechtes Material?
Tatsächlich hat Iran seit einiger Zeit mit technische Probleme seiner Zentrifugen zu kämpfen. Die mit Schallgeschwindigkeit rotierenden Maschinen müssen mit extremer Präzision gefertigt werden: Abdrücke einer Hand auf dem Aluminium-Rotor reichen schon, um sie aus dem Gleichgewicht zu bringen.
Nuklearexperten und Geheimdienste halten es daher auch für gut möglich, dass Qualitätsprobleme bei der Herstellung oder der Mangel an bestimmten Ausgangsmaterialien und der damit verbundene hohe Verschleiß dafür verantwortlich sind, dass den Iranern binnen eines Jahres bis zu ein Fünftel der Maschinen zu Bruch geht.
Zudem ist bekannt, dass die US-Geheimdienste und möglicherweise klandestinen Beschaffungsnetzwerke, deren sich auch Iran bedient, erfolgreich manipulierte Komponenten wie Vakuumpumpen oder elektrische Gleichrichter untergejubelt haben.
Riegers stärkstes Argument ist, dass 60 Prozent der Infektionen in Iran auftraten, auch Indien war später betroffen. Plausibel erscheint seine Theorie durchaus. Experten aber warnen vor voreiligen Schlüssen: Bislang sei der Schädling nicht einmal vollständig analysiert.