© Reuters
Suche nach systematischen Lücken, dann Angriff über die Software: brititscher Supercomputer
Die Saga um den Computerwurm Stuxnet, mit dem die iranischen Urananreicherungsanlagen sabotiert wurden, nimmt kein Ende. Die jüngste Fortsetzung beschreibt die „New York Times“. Sie benennt die wahrscheinlichen Hintergründe und Urheber des Stuxnet-Wurms (Computerwurm: Israel testete Stuxnet in geheimer Atomanlage) und enthüllt, dass es in der israelischen Atomanlage in Dimona eine Replika der iranischen Anlage gibt, um Angriffe gegen das Original zu testen.
Dass es zur Entwicklung des Stuxnet-Wurms einer solchen Testanlage bedurfte, verwundert nicht. Schon bei den ersten Operationen zum Stopp nuklearer Waffenentwicklungen, die in den Geschichtsbüchern verzeichnet sind - den Angriffen britischer und norwegischer Spezialeinheiten während des Zweiten Weltkriegs auf die unter deutscher Kontrolle befindliche Norsk-Hydro-Produktionsanlage für schweres Wasser im norwegischen Vermork -, wurden die Angreifer in detailgetreuen Nachbauten ausgebildet. Sie sollten sich in den Gebäuden wie zu Hause fühlen, notfalls in völliger Dunkelheit die Sprengladungen an den richtigen Stellen anbringen können. Seither gehören Replika-Anlagen zum Arsenal der nuklearen Proliferations-Bekämpfung.
Die Spur führt nach Idaho
Die Analyse des Stuxnet-Codes offenbarte, dass die Angreifer gegen das iranische Atomprogramm über detaillierte Informationen über die Zentrifugen und ihre Steuerungskomponenten verfügten. Die Methode der Zerstörung beruht offenbar darauf, durch den Computerwurm die Hochgeschwindigkeits-Rotoren der Anreicherungsmaschinen in Drehzahlbereichen fahren zu lassen, die zu Eigenschwingungen führen. Derart komplexe Angriffsmethoden erfordern nicht nur ein genaues Detailwissen der zu zerstörenden Zentrifugen, sie müssen auch unter realistischen Bedingungen an einer identischen Anlage getestet werden.
© AFP
Die israelische Nuklearanlage Dimona - inklusive einer Replika der iranischen Atom-Anlage
Wenn man nach Testanlagen für Industriesteuerungen sucht und nach Experten, die sich mit den Sicherheitslücken auskennen, landet man im amerikanischen Idaho National Laboratory. Im dortigen „Scada-Testbed“ sind im Labor Steuerungssysteme aller wichtigen Hersteller versammelt - inklusive qualifizierten Personals. Scada steht für „Supervisory Control and Data Acquisition“ und umfasst den gesamten Bereich industrieller Steuerungen und Kontrollsysteme.
Siemens ist auch dabei
Der Zweck des Aufbaus: Forschung zur Verbesserung der Sicherheit von Industriesteuerungen. Offiziell geht es um den Schutz kritischer Infrastruktur wie etwa der Energieversorgung vor Angriffen aus dem Netz - genau vor der Bedrohung also, die Stuxnet darstellt. Nachdem Forscher des Labors 2006 per Manipulation des Steuerungssystems einen Kraftwerksgenerator in ihrem Labor gesprengt hatten, bekamen sie die Aufmerksamkeit, die finanziellen Mittel und die Kooperation der Hersteller, die für die Einrichtung des umfangreichen „Scada-Testbed“ nötig waren.
Einer der Hersteller, die in Idaho dabei sind, ist Siemens. Den Bitten des amerikanischen Department of Homeland Security, bei der Forschung zum Schutz von kritischen Anlagen mitzuwirken, konnte man sich schließlich schlecht verweigern. Der Artikel der „New York Times“ bestärkt nun aber eine Ansicht, die in den Kreisen derer, die sich mit der Analyse des Stuxnet-Wurms befassen, seit längerem kursiert: Es geht in Idaho nicht nur um Schutz, es geht auch um Angriff - und die Firmen, die in Idaho mitmachen, haben möglicherweise absichtlich oder unabsichtlich geholfen.
Wenn eine Sicherheitslücke offengelegt ist, muss der Hersteller sie schließen
Die Geschichte ist ein Lehrbuchbeispiel für die janusköpfige Natur der Forschung an Sicherheitslücken. Wie bei der Biowaffenforschung entsteht zwangsläufig bei der Suche nach Schutzmöglichkeiten das Wissen um die Wege zur Attacke. Die systematische Suche nach Lücken generiert einen Informationsvorsprung, der offensiv genutzt werden kann. Angriffe gegen Computersysteme nutzen eine Vielzahl von Schwachstellen aus. Schlecht oder nachlässig geschriebene Software ist der häufigste Angriffsvektor. Immer noch tendieren Entwickler dazu, nicht über Sicherheit gegen Angriffe nachzudenken, sondern sich auf das Funktionieren ihrer Systeme zu konzentrieren.
Im Bereich der Industriesysteme ist dieses Phänomen noch ausgeprägter als bei normaler Alltagssoftware. Hacker haben durch ihre mehr oder minder spielerische Ausnutzung von Lücken und die Publikation der Probleme viel dazu beigetragen, Computersysteme sicherer zu machen. „Full disclosure“ heißt das Prinzip, dem die Szene lange Zeit folgte. Der Grundgedanke: Wenn eine Sicherheitslücke offengelegt ist, muss der Hersteller sie auch schließen. Selbstverständlich sind die Hersteller davon nicht begeistert. Neben der Blamage sehen sie sich dem Druck der Kunden ausgesetzt, die schnelle Abhilfe fordern. Die Gegenbewegung war so einfach wie unidealistisch: Spezialisierte Beratungsfirmen kaufen für die Hersteller unter der Hand auf dem grauen Markt die Sicherheitslücken, bevor sie publiziert werden und reichen sie an ihre Zweitkundschaft aus dem Geheimdienstbereich weiter.
Produkte mit Hintertüren
Parallel dazu ist eine Reihe von Forschungseinrichtungen - wie das „Scada-Testbed“ in Idaho - entstanden, die systematisch nach Sicherheitslücken suchen. Die Forschung findet im Verborgenen statt, nur an Anzahl und Umfang der Sicherheitsupdates ihres Herstellers können Kunden erkennen, mit welchen Lücken sie bis dato gelebt haben. Ein wichtiger Seiteneffekt der neuen Verschwiegenheit: Ob wirklich alle gefundenen Sicherheitslücken schnell geschlossen werden oder ob nicht die besten für geheimdienstliche Zwecke aufgespart werden, ist zu einer Frage des Vertrauens in die Ehrlichkeit des Herstellers geworden.
Berichten von Insidern zufolge gibt es seit Jahrzehnten informelle Gremien, in denen die marktführenden Hersteller von Computerhard- und -software und Telekommunikationsnetzen mit den Geheimdiensten ihres Heimatlandes darüber feilschen, ob eine spezifische Lücke schnell oder erst später geschlossen wird. Insbesondere Hersteller aus Ländern wie Israel oder China stehen in dem Ruf, ihren Ländern bei der digitalen Informationsgewinnung direkt zu helfen - mit Hintertüren in ihren Produkten. Damit das Ansehen im Markt nicht aufs Spiel gesetzt wird, was bei der Entdeckung offensichtlicher Hintertüren schnell der Fall ist, werden traditionell Sicherheitslücken offiziell unentdeckt gelassen und erst geschlossen, sobald sie bekannt werden. In der Zwischenzeit können die Schwachstellen von den Geheimdiensten ausgenutzt werden.
Der digitale Erstschlag
Die wenigen Schlaglichter, die im Rahmen der Stuxnet-Saga auf die schattigen Gefilde des Sicherheitslücken-Handels und der mehr oder minder freiwilligen Kooperation der Hersteller mit den Geheimen geworfen werden, zeichnen ein besorgniserregendes Bild. Der Stuxnet-Angriff richtete sich gegen das iranische Atomprogramm, ein Ziel, bei dem niemand die konventionelle Angriffsmethode - einen Luftangriff, möglicherweise mit Atomwaffen - bevorzugen würde. Was aber, wenn es das nächste Mal gegen venezolanische Erdölraffinerien, russische Staudämme oder chinesische Atomkraftwerke geht? Alles deutet darauf hin, dass der Einsatz von Cyberwaffen zum Regelfall der klandestinen Auseinandersetzung wird. Anfangs wird der digitale Erstschlag wohl auf Ziele beschränkt sein, bei denen eine weitgehende Zustimmung der Öffentlichkeit angenommen oder arrangiert werden kann.
Was aber passiert, wenn in wenigen Jahren das digitale Schlachtfeld um immer mehr Angriffsspieler erweitert wird, wenn durch fortschreitende Bildung und Digitalisierung immer mehr Länder sich die entsprechenden Forschungs- und Ausbildungszentren für eine elektronische Kriegerkaste leisten können? Die immer wieder geschürte Panik vor chinesischen Cyber-Angriffen kennzeichnet nur den Anfang der Entwicklung. Es verfestigt sich der Eindruck, als hätten die Vereinigten Staaten und Israel die digitale Büchse der Pandora verfrüht geöffnet. Die meisten Länder des Westens haben keine oder nur sehr hilflos anmutende Cyber-Verteidigungskonzepte.
Die bisherigen Mechanismen genügen nicht
Mehr Überwachungsgesetze werden ebenso wenig helfen wie mehr Firewalls, Virenscanner und das sonstige, weitgehend nutzlose Produktangebot der Computersicherheitsbranche. Auch das geplante deutsche Cyber-Sicherheitszentrum hätte einen Angriff auf dem Niveau von Stuxnet weder erkennen noch verhindern können. Um sich für das neue Zeitalter zu wappnen, bedarf es grundlegenderer Anstrengungen, die bis an die technischen und ideellen Wurzeln unserer Hightech-Gesellschaft reichen. Die Länder des Westens müssen sich darüber klarwerden, dass die bisherigen Mechanismen der gesellschaftlichen Kontrolle ihrer geheimen Dienste und des Militärs angesichts der neuen Machtmittel im digitalen Bereich nicht mehr ausreichen.
Cyberkrieg...
Uwe Wagner (view)
- 18.01.2011, 13:31 Uhr
Wissen ist Macht.
Karl Krivan (CarolusIV)
- 18.01.2011, 13:37 Uhr
Zwei Anmerkungen ...
Hendrik Sehlbach (Sehlbach)
- 18.01.2011, 13:51 Uhr
Die Lösung: Eigene Computer und Betriebssysteme bauen ...
K. Peter Luecke (microplan2002)
- 18.01.2011, 14:42 Uhr
Mal als Prekariat, mal als ein Subjekt im Widerstand – Teil 1
Herold Binsack (Devin08)
- 18.01.2011, 14:48 Uhr
