Stuxnet-Sicherheitslücke jahrelang nicht behoben
Es ist bis dato die wohl schwerwiegendste Sicherheitslücke - und sie wurde nicht ordentlich geschlossen. Dabei war eine neue Windows-Version mit dem einzigen Ziel veröffentlicht worden, genau diesen Fehler zu beheben. Das geht aus einem Bericht hervor, den das Unternehmen HP veröffentlicht hat.
"Alle Windows-Rechner sind weiterhin angreifbar gewesen", heißt es dort. Hacker - man geht davon aus, dass es sich hierbei um eine Gemeinschaftsarbeit des amerikanischen und israelischen Geheimdienstes handelt - hatten die Lücke ab dem Jahr 2009 ausgenutzt, um das iranische Atomwaffenprogramm zu sabotieren. In der Öffentlichkeit ist dieser Angriff unter dem Begriff Stuxnet bekannt.
Münchener Student entdeckt die Sicherheitslücke
Die Lücke hat der Student Michael Heerklotz entdeckt - es sei eine Arbeit von wenigen Stunden gewesen. Über Weihnachten habe er das Buch der Journalistin Kim Zetter gelesen. Dort wird der Angriff detailliert geschildert. "Danach wollte ich mir diese Lücke mal genauer anschauen" sagt er.
Heerklotz ist 27 Jahre alt und Informatik-Student an der Universität Augsburg, er lebt in Olching. In diesem Jahr wird er sein Bachelor-Studium abschließen.
"Ich habe mir angeschaut, wie die Sicherheitslücke funktioniert und was Microsoft bei dem Update verändert hat. Dabei habe ich gemerkt, dass der Angriff immer noch möglich sein müsste." Nachdem seine Annahme einer Überprüfung standhielt, habe er seine Informationen schließlich weitergegeben.
Microsoft bestätigt die Analyse
Microsoft hat bereits bestätigt, dass die Analyse von Heerklotz korrekt ist: "Hierbei handelt es sich um eine neue Lücke, die ein weiteres Update erforderlich macht. Es ist eine unerfreuliche Realität der vernetzten Welt von heute, dass einige Menschen und Organisationen versuchen, Technik zu zerrütten und Informationen zu klauen". Das neue Update beseitige nun alle Probleme.
"Es ist der identische Fehler"
Der Computerwurm Stuxnet nutzte insgesamt vier Geheimwege, um sich auf fremden Systemen zu verbreiten und dort die Kontrolle zu übernehmen. So konnte beim Einstecken eines USB-Sticks im Hintergrund automatisch ein Programm ausgeführt werden. Das wollte Microsoft verhindern. "Es ist der identische Fehler, ehrlich gesagt. Microsoft hatte ihn zwar behoben, aber übersehen, dass es auch weitere Möglichkeiten gibt, um exakt den gleichen Angriff auszuführen."
Heerklotz befasst sich nach eigenen Angaben mit IT-Sicherheit, seitdem er elf Jahre alt ist. Die Stuxnet-Entdeckung sei die erste Sicherheitslücke, die er gefunden habe.