Computerwurm Stuxnet Die Angreifer kennen ihr Ziel offenbar ganz genau

Kaum etwas hat die Computersicherheitsexperten dieses Jahr so aus dem Häuschen gebracht wie die Entdeckung von Stuxnet, einem äußerst ungewöhnlichen Computerwurm. Mit bis dato unerreichter Durchschlagskraft infizierte er Systeme, vor allem in Iran. Der hohe technische Aufwand diente allein dazu, die eigentliche Schadsoftware zu plazieren. Dieser Softwarekern von Stuxnet manipuliert Industrieanlagen (siehe Der Trojaner „stuxnet“: Der digitale Erstschlag ist erfolgt).

Nachdem sich der erste Wirbel gelegt hatte, wurden Analysen über den Wurm publiziert, die sich meist jedoch nur mit der äußeren Hülle befassten. Schon allein diese digitale Virenfähre war beeindruckend, eine Kombination sehr fortgeschrittener Angriffswege, die es so noch nicht gegeben hatte. Praktisch alle Experten stimmen überein, dass der Aufwand für Stuxnet nur mit den finanziellen und organisatorischen Ressourcen eines Staates, allenfalls eines Großkonzerns zu bewältigen war und wahrscheinlich einen Cyber-Angriff auf Iran darstellt.

Weitere Artikel

• Stuxnet-Virus: Unternehmen und Staaten im Cyberkrieg 
• Atomkraftwerk Buschehr geht später als geplant ans Netz 
• Der Trojaner: Rätselhaftes Schadprogramm Stuxnet 
• Iran bestätigt Cyber-Angriff durch „stuxnet“ 
• Der Trojaner „stuxnet“: Der digitale Erstschlag ist erfolgt 
• Blühende Geschäfte mit Computerzombies 
• Cyber-Kriminalität: „Die IT-Sicherheit ist katastrophal“ 

Kleine Teams von Experten wandten sich dem Zerlegen der eigentlichen Schadroutine zu, die in die Abläufe der sogenannten Step-7-Industrieanlagen-Steuerungen von Siemens eingreift. Solche Analysen sind zwangsläufig mit Unwägbarkeiten behaftet, da mühsam rekonstruiert werden muss, wie genau die industrielle Anlage beschaffen ist. Man kann sich das etwa so vorstellen: Mit einer Wegbeschreibung für ein großes, unbekanntes Gebäude in der Hand soll der Analyst erschließen, was der Zweck der einzelnen Räume ist, und daraus wiederum, wo das Haus wohl steht.

Ausflug in die Welt der Urananreicherung

Doch langsam fügen sich die Puzzleteile zusammen. Aus einer Analyse kurz nach der Entdeckung ergab sich der Hinweis, dass der Schadcode darauf ausgelegt ist, auf vielen gleichartigen Steuerelementen zu laufen und einzelne ihrer Funktionen zu manipulieren. Diese Baugruppen werden in Industrieanlagen verwendet, um Motoren und Ventile zu steuern und Messwerte abzufragen. Aus diesem Hinweis und aus Datumsfragmenten im Stuxnet-Code, die zu Nachrichten über das iranische Atomprogramm passten, ergab sich die Theorie, dass der Computerwurm nicht gegen den iranischen Reaktor in Buschehr, sondern eine Urananreicherungsanlage gerichtet war.

Nun sind neue Details einer Analyse des Sicherheitsunternehmens Symantec publiziert worden, die diese Theorie stützen. Stuxnet greift danach gezielt auf ein Modul zu, das dazu verwendet wird, die Drehzahl vieler elektrischer Motoren direkt zu steuern. Für dieses spezifische Steuermodul gibt es laut Symantec zwei bekannte Hersteller – einen in Finnland, einen in Iran. Stuxnet verändert die Drehzahl der Motoren entsprechend merkwürdigern Mustern. Das erhärtet die Annahme, dass Stuxnet gegen die iranischen Zentrifugenanlagen zur Urananreicherung gerichtet ist.

Um zu verstehen, was Stuxnet anrichten konnte, lohnt sich ein kleiner Ausflug in die Welt der Urananreicherung. Natürlich vorkommendes Uran besteht aus zwei verschieden schweren Isotopen. Nur das leichtere der beiden – Uran-235 – ist für Kernspaltungskettenreaktionen in Kraftwerken oder Atombomben verwendbar, das schwerere Isotop Uran-238 nicht. Der Prozess der Anreicherung dient dazu, den Anteil des Uran-235 zu erhöhen. Für Reaktoren muss der Anteil des spaltbaren Isotops drei bis fünf Prozent betragen, für Atomwaffen 85 Prozent oder mehr.

Jede Unregelmäßigkeit wirkt sich verheerend aus

Um das Uran anzureichern, wird aus ihm zuerst Uranhexafluorid gewonnen, eine Substanz, die nicht nur radioaktiv ist, sondern auch hochgiftig, korrosiv und schon mit geringen Mengen Wasser heftig reagiert. Diese Unannehmlichkeiten werden jedoch in Kauf genommen, um einen gasförmigen Zustand zu erreichen. Der geringe Gewichtsunterschied – weniger als ein Prozent – zwischen dem spaltbaren und dem nicht spaltbaren Uranatom spiegelt sich auch im unterschiedlichen Gewicht jedes Uranhexafluorid-Teilchens wider. Wenn man aber ein Gas mit verschieden schweren Teilchen in sehr schnelle Rotation versetzt, tendieren die schwereren Teilchen dazu, sich nach außen abzusetzen. Die leichteren sind dagegen innen anzutreffen. Um das Gas schnell rotieren zu lassen, werden rasend schnell drehende Zentrifugen verwendet. Wird nun das Gas aus dem Inneren der Zentrifuge abgesaugt, erhält man darin einen höheren Anteil der leichteren Teilchen, die das spaltbare Uran-235 enthalten. Um das Ziel der Anreicherung zu erreichen, werden Tausende Zentrifugen in sogenannten Kaskaden aneinandergereiht, bei denen jeweils immer das angereicherte Gas aus einer Zentrifuge in die nächste geleitet wird.

Rein mechanisch ist so eine Zentrifuge ein geradezu fragiles Gebilde. Ein präzise gefertigtes meterlanges Rohr – Rotor genannt – dreht sich senkrecht stehend mit der unvorstellbaren Geschwindigkeit von bis zu hunderttausend Umdrehungen pro Minute in einem schützenden Stahlmantel. In dem Schutzmantel wird ein Vakuum aufrechterhalten, um die Luftreibung am Rotor zu reduzieren. Bei diesen Rotationsgeschwindigkeiten wirkt sich jede Unregelmäßigkeit verheerend aus. Wegen der Korrosivität des Uranhexafluorids müssen für Rohre und Dichtungen spezielle Materialien verwendet werden.

Hier setzen die bisherigen Embargostrategien des Westens an, um Iran am Aufbau einer Urananreicherung zu hindern. Die Embargolisten des Bundesamts für Wirtschaft und Ausfuhrkontrolle beschränken den Export von allerhand Industrieteilen. Hochpräzise, besonders feste Aluminiumrohre etwa, die für die Rotoren der Zentrifugen benötigt werden, sorgten für Ausfuhrskandale.

Klammheimliche Übernahme der Kontrolle

Die Effizienz einer Anreicherungsanlage – also wie schnell hochangereichertes Uran erzeugt werden kann – hängt neben den vielen konstruktiven Details von einigen kritischen Parametern ab, die heutzutage natürlich sämtlich computergesteuert sind. Einer der wichtigsten Faktoren ist die Drehzahl der Zentrifugen. Sie muss möglichst hoch und vor allem konstant gehalten werden, um eine gute Trennung von leichten und schweren Gasteilchen zu erreichen.

Eines der Probleme der Anreicherung ist die Resonanzvibration. Man kennt das von älteren Autos: Bei bestimmten Motordrehzahlen vibriert das ganze Fahrzeug. Es scheppert, klappert und brummt. Was bei Musikinstrumenten gewünscht ist – Resonanz, also das Mitschwingen des ganzen Korpus mit der Frequenz der Schwingung –, wird für Ingenieure zum Albtraum. Auch die Rotoren der Gaszentrifugen haben Resonanzfrequenzen. Beim Anfahren der Zentrifugen versucht man – wie beim Gasgeben im Auto – die Drehzahlen schnell zu passieren, bei denen diese Schwingungen entstehen. Die mechanischen Belastungen, die durch die Resonanzschwingungen auftreten, können enorm sein und bis zum Zerbersten aufgrund von angeschlagenen Lagern oder Rissen führen. Um die Anlage nicht vorzeitig zu verschleißen, lässt man die Rotoren also am besten auf der optimalen Drehzahl durchlaufen – möglichst hoch, aber nicht zu nahe an einer Resonanzfrequenz.

Hier kommt nun die Schadfunktion von Stuxnet ins Spiel, die Teile der auf der Anlage laufenden Steuerprogramme ersetzt und damit klammheimlich die Kontrolle übernimmt. Die Angreifer haben mit Hilfe des Wurms, der Analyse von Symantec zufolge, gezielt die Drehzahl der Motoren abwechselnd auf spezifische Werte gesetzt, dann fast vollständig heruntergefahren, schließlich wieder auf den Ausgangswert gebracht. Wenn diese Interpretation des Schadcodes korrekt ist, dürften die Angreifer zwei Ziele verfolgt haben.

Hochgenaues Wissen über die Zielanlage

Zum einen wäre durch langfristige Manipulation der Drehzahl die Kapazität der Anreicherungsanlage gesenkt worden. Da die Anreicherung von Kaskadenstufe zu Kaskadenstufe direkt von der Drehzahl der Zentrifugenrotoren abhängt, wäre das Ergebnis niedriger angereichertes Uran als erwartet. Die Folge wären erhebliche Kostensteigerungen und Zeitverzögerungen im gesamten Atomprogramm – egal, ob nun zivil oder militärisch. Zum anderen wäre – durch das wiederholte Betreiben der Zentrifugen in kritischen Drehzahlbereichen, die Resonanzen auslösen – der Verschleiß der Anlage erhöht worden. Sowohl die strukturelle Integrität der Rotoren als auch die Haltbarkeit der Lager und Dichtungen wird durch Resonanzvibrationen deutlich beeinträchtigt. Interessant daran ist, dass zum Erzielen einer solchen Wirkung präzise Kenntnisse über Material, Abmessungen und Konstruktion der Zentrifugen notwendig sind. Wie schon für die Erstellung von Stuxnet insgesamt müssen die Angreifer über hochgenaues Wissen über die Zielanlage verfügt haben – nicht nur über die Hard- und Software der Steuerung, auch über die mechanischen Details der Zentrifugen.

Welche Art von Störung oder Zerstörung Stuxnet im iranischen Atomprogramm angerichtet hat, ist von außen schwer zu beurteilen. Möglich ist vieles: von der schleichenden Sabotage, die ein effektives Betreiben der Anreicherungsanlage erschwert, den Ertrag mindert und die laufenden Kosten für Wartung und wegen des Embargos schwer zu beschaffende Ersatzteile erhöht, bis zur Auslösung einer Resonanzkatastrophe, bei der eine ganze Kaskade von Zentrifugen in einem destruktiven Drehzahlbereich gehalten wird, bis sie zerstört sind.

Die strategische Büchse der Pandora

Die publizierten Statistiken der Internationalen Atomenergiebehörde über das Sinken der effektiven iranischen Anreicherungskapazität trotz steigender Anzahl von Zentrifugen passen zur Theorie der schleichenden Sabotage. Eine Meldung über den Rücktritt des Leiters des iranischen Atomprogramms nach einem größeren Unfall, die von einer Wikileaks-Quelle stammt, passt eher zur Resonanzkatastrophe. Möglich ist auch, dass in verschiedenen Anreicherungsanlagen unterschiedliche Strategien zum Einsatz kamen. Bekannt ist immerhin, dass es noch mindestens eine bis September 2009 nicht offiziell zugegebene Anreicherungsanlage in Qum gibt.

Die Analyse von Stuxnet ist nicht vollständig abgeschlossen. Weitere Überraschungen und Erkenntnisse sind zu erwarten. Jedoch sind die deutlichen Indizien dafür, dass Stuxnet ein gezielter Cyber-Angriff auf die iranischen Anreicherungszentrifugen war, wohl nicht mehr wegzudiskutieren. Die IT-Sicherheitsbranche musste zähneknirschend eingestehen, dass ihre Verteidigungsmechanismen einem derart gezielten, hochklassigen Angriff derzeit nicht gewachsen sind. Die politischen und gesellschaftlichen Implikationen dürften dieser Einsicht kaum nachstehen. Die strategische Büchse der Pandora, die mit dem Einsatz einer Cyber-Waffe gegen Iran geöffnet wurde, wird sich so schnell nicht wieder schließen und uns in Zukunft noch öfter beschäftigen. Auf die Frage, durch welche Sicherheitsmaßnahmen deutsche Nuklear- und Produktionsanlagen vor einem Angriff mit der Durchschlagskraft eines Stuxnet-Wurms geschützt wären, hat die Industrie bisher noch keine überzeugende Antwort präsentiert.