https://www.faz.net/-gpf-6uiz5

Schadsoftware „Duqu“ : Ein Wurm für alle Fälle

Duqu: der „kleine Bruder“ von Stuxnet ist in Europa aufgetaucht Bild: dpa

Das Schadprogramm Duqu bereitet den nächsten Angriff auf industrielle Steuerungsanlagen vor. Wie verletzbar die sind, hat sein Vetter Stuxnet vor zwei Jahren im Iran gezeigt.

          Für die Techniker im Kontrollraum der Urananreicherungsanlage im iranischen Natans lief alles normal. Auf ihren Kontrollbildschirmen schnurrten die Rotoren der Zentrifugen mit einer gleichmäßigen Frequenz von 1064 Umdrehungen pro Sekunde - wie es nötig ist, um die begehrten leichteren von den schwereren Uran-Isotopen zu trennen. Die Techniker konnten nicht wissen, was in den Aluminiumröhren wirklich vor sich ging.

          Thomas Gutschker

          Redakteur im Ressort Politik in der Frankfurter Allgemeinen Sonntagszeitung.

          Für kurze Zeit beschleunigte der Rotor auf 1410 Umdrehungen pro Sekunde, einen Monat später wurde er gebremst bis zum Stillstand, dann wieder beschleunigt. Für die filigranen Gasschleudern war das wohldosierter, aber tödlicher Stress: Nach und nach fielen sie aus, mehr als 900 von gut 5000 wurden binnen eines Jahres ausgetauscht. Irgendwann muss den Technikern aufgefallen sein, dass sie auf ihren Schirmen einen schlechten Film sahen, nicht die Wirklichkeit: Die Steuerungsanlagen sendeten ihnen alte Daten, die sie im Normalbetrieb aufgezeichnet hatten. Es war der ferngesteuerte Film von der heilen Anreicherungswelt in einem Bunker zwanzig Meter unter der Erde, dem Stolz des iranischen Regimes. Als das aufflog, wurde auch der Chef des iranischen Atomprogramms ausgetauscht.

          Stuxnet - Geburt im Jahr 2009

          So trat 2009 ein Wurm in die Welt, den ein Softwarespezialist später "Stuxnet" taufen sollte. Ein Trojaner, der gut getarnt im Computernetz hängenbleibt (auf Englisch: stuck). Der Mann, der den Wurm enttarnte, Ralph Langner aus Hamburg, spricht heute von der ersten Cyberwaffe der Geschichte. Diese Waffe funktionierte ganz anders als alle vorherigen Angriffsversuche. Sie brauchte das Internet nicht, sie war präziser und zerstörerischer. Und obendrein viel preiswerter als jeder konventionelle Angriff: Mit ein paar Millionen Dollar ließen sich fast tausend tief verbunkerte Zentrifugen ausschalten. "Diese Art von Kriegsführung verändert die Landschaft. Wir werden mehr solcher Angriffe sehen", warnte Langner im Juni auf einer Nato-Konferenz in Tallinn.

          Seit vergangener Woche kann die Welt zusehen, wie die nächste Attacke vorbereitet wird. Symantec, eines der führenden Unternehmen für Computersicherheit, alarmierte die Öffentlichkeit über "Duqu". "Eine fast genauso große Bedrohung wie Stuxnet, aber mit einem völlig anderen Zweck", stellten die Informatiker fest. Der Wurm greift nicht Steuerungssysteme an, sammelt aber Daten über sie bei ihren Herstellern und Betreibern. "Die Angreifer suchen nach Informationen wie Design-Dokumenten, die ihnen helfen können, einen künftigen Angriff auf eine industrielle Steuerungseinrichtung auszuführen", schreibt Symantec in der Analyse des Virus.

          Wo genau sie Duqu aufgespürt haben, lassen die Informatiker im Halbdunkel. Am 14. Oktober seien sie von einem "Untersuchungslabor mit starken internationalen Verbindungen" auf die neue Gefahr hingewiesen worden. Das Labor habe Duqu auf verschiedenen Computersystemen in Europa entdeckt. Ein Sprecher der Firma Siemens, Weltmarktführer für industrielle Steuerungssysteme, sagte dieser Zeitung, derzeit sei bei dem Unternehmen kein Befall eines Computers mit Duqu bekannt. Das muss nichts heißen: Der Wurm ist so programmiert, dass er sich nach 36 Tagen selbst von dem System entfernt, das er vorher ausgespäht hat.

          Schwarze Kästen

          Steuereinheiten, auf Englisch Controller, sind aus der modernen Welt nicht mehr wegzudenken. Sie kommen überall zum Einsatz, wo Prozesse automatisch gesteuert werden. In jeder Ampel befindet sich ein Controller, der festlegt, wie lange die Grünphase dauert. Er kann mit anderen Controllern vernetzt sein und die Rotphase verlängern, wenn eine Straßenbahn naht. In jeder automatisierten Produktion - sei es das Befüllen von Flaschen oder die Montage von Fahrzeugen - regeln Steuereinheiten die Arbeitsprozesse. Kein Kraftwerk, keine Flugleitzentrale, keine Talsperre kommt heute mehr ohne Controller aus.

          Obwohl sie in jedem Computer stecken, sind sie selbst keine Computer. Controller sind schwarze Kästen, oft kleiner als ein Schuhkarton. Sie haben weder Bildschirm noch Tastatur. Sie benötigen keine Netzwerkanbindung und besitzen kein eigenes Sicherheitssystem. Mit Anlagen kommunizieren sie über Sensoren und Aktoren. In Natans geht das so: Ein Sensor misst die Frequenz des Rotors in einer Zentrifuge, vergleicht diese Information mit einem gespeicherten Sollwert und sendet dann elektrische Impulse an den Motor, der den Rotor beschleunigt oder bremst.

          Stuxnet war der erste bekannte Computerwurm, der es auf Controller abgesehen hatte. Bis dahin dienten digitale Angriffe dazu, Websites, Server und Netzwerke lahmzulegen oder auszuspionieren. Dadurch konnte mittelbar auch physischer Schaden entstehen. So war es während des Angriffs auf estnische Server im Jahr 2007 für einige Zeit nicht möglich, an Automaten Geld abzuheben; die Automaten konnten nicht auf Kontodaten zugreifen, weil das Netz gestört war.

          Die Waffe fand ins Ziel

          Die Urananreicherungsanlage in Natans hängt aber nicht an einem von außen zugänglichen Netz. Irgendjemand hatte Stuxnet wahrscheinlich auf den USB-Stick eines Servicetechnikers oder Wissenschaftlers mit Zugang zu Natans geschmuggelt. Der Wurm kroch auf einen Laptop und von dort auf Rechner in der Anlage. Er war so programmiert, dass er immer nur drei weitere Rechner infizierte.

          Als Stuxnet aufflog, staunten Fachleute, weil der Wurm gleich vier Schwachstellen im Windows-Betriebssystem ausnutzte - normalerweise verbreiten sich Viren nur über eine Schwachstelle. Schon da war klar, dass kein Amateur-Hacker am Werke war. Doch das bezog sich nur auf das Trägersystem. Noch viel raffinierter war die Ladung: Sie bestand aus Programmcode, der nur auf einem ganz besonderen Anlagendesign ausgeführt wird. In Natans fahndete der Wurm gemäß der Analyse von Ralph Langner nach Siemens-Steuereinheiten der Baureihe Simatic S7-300. Seine Schadmodule wurden aktiv, wenn sie mit Frequenz-Umrichtern der Hersteller Vacon (Finnland) und Fararo Paya (Iran) verbunden waren und diese in einem bestimmten Frequenzbereich arbeiteten. So fand die Waffe ihr Ziel: die Steuerungselemente für Gaszentrifugen.

          „Das ist topsecret“

          "Der Angreifer wusste genau, was er suchte. Er musste dafür die detaillierte Konfiguration der Anlage kennen. Das ist topsecret", sagt Langner, der als Fachmann für die Sicherheit von Steuerungsanlagen Industriekunden berät. Im Fall von Natans müssen Agenten - spekuliert wird über die amerikanische CIA und den israelischen Mossad - dieses Wissen beschafft haben. Für den nächsten Cyberangriff könnte Duqu diese Aufgabe übernehmen.

          Symantec behauptet, die Entwickler von Duqu hätten Zugang zur Quelldatei von Stuxnet gehabt. Da die nur dem Entwickler bekannt ist, hätten beide Würmer denselben Absender. Langner äußert sich vorsichtiger: Es sei auch möglich, dass die Entwickler einzelne Module von Stuxnet abgekupfert hätten, ohne die Quelldatei zu kennen. Das ist über Rekonstruktionsverfahren möglich, die auch Langner angewendet hat, um die Schadmodule von Stuxnet zu entziffern. Proliferation, die unkontrollierte Verbreitung von Waffen, gibt es auch in der digitalen Welt. "Es war extrem schwer, die erste Cyberwaffe zu bauen. Aber um sie zu kopieren, braucht man nur einen durchschnittlichen Ingenieur", sagt Langner.

          Wirkungslose Drohungen

          Abschreckung funktioniert in diesem Fall so wenig wie in der konventionellen Welt. Drohungen gegen Akteure, die niemand kennt, bleiben wirkungslos. Langner fordert, dass die Hersteller von Steuerungsanlagen nicht nur Sicherheitslücken in der Software schließen, mit der Controller programmiert und überwacht werden. Sie sollen auch Sicherheitssysteme auf den Controllern selbst errichten. Die führenden Unternehmen lehnen das ab. "Controller sind per se Steuerungssysteme und keine Sicherheitssysteme. Ihre Aufgabe ist, für eine hohe Produktivität zu sorgen", sagt der Siemens-Sprecher Wieland Simon und stellt unmissverständlich klar: "Ein eigenes Sicherheitssystem auf den Controllern werden wir nicht errichten."

          Siemens, das jeden dritten weltweit ausgelieferten Controller herstellt, hält seine bisherige Sicherheitsarchitektur für ausreichend. Die Controller bieten "ein hohes Maß an Robustheit und Sicherheit", sagt Simon. Der Stuxnet-Angriff sei nicht auf eine bestimmte Marke oder Prozesstechnik ausgerichtet gewesen.

          Duqu öffnet langsam die Tür

          Wie verwundbar die Steuerungssoftware von Siemens ist, hat Dillon Beresford im August dieses Jahres nachgewiesen. Der amerikanische Sicherheitsfachmann demonstrierte bei einer Konferenz in Las Vegas vor versammeltem Publikum, wie er über eine Hintertür in Steuereinheiten der Simatic- S7-Baureihe eindringt, ein dort fest hinterlegtes Passwort verwendet und die Controller neu programmiert. Beresford gelang auch eine sogenannte Replay-Attacke, wie Stuxnet sie in Natans ausgeführt hatte. Dabei fängt der Angreifer Befehle ab, die das Kontrollsystem an die einzelnen Steuergeräte sendet. Diese Befehle spielt der Eindringling später ein, um ein bestimmtes Steuergerät fernzusteuern.

          Eigentlich wollte Beresford diese Schwachstellen schon bei einer Konferenz im Mai offenlegen. Auf Drängen der amerikanischen Heimatschutzbehörde und von Siemens verschob er die Präsentation, damit das Unternehmen die Lücken in seiner Software stopfen konnte. Doch berichtete Beresford nach der Schonfrist, dass die Korrekturen unzulänglich seien und Siemens seine Kunden unzureichend aufgeklärt habe. Heute heißt es bei Siemens, die von Beresford aufgedeckten Schwachstellen seien nur bedeutsam, wenn sich ein Angreifer direkt im Automatisierungsnetzwerk einer Anlage befinde. Normalerweise sicherten Betreiber sich gegen solche Situationen ab. Doch selbst da, wo die Absicherung am größten war, in Natans, blieb Stuxnet nicht draußen. Duqu ist nun dabei, die Tür für den nächsten Präzisionsschlag zu öffnen.

          Weitere Themen

          Topmeldungen

          Sowohl Trump als auch Johnson winken mit ihrem zerstörerischen Potential. Nur schätzen sie ihre Position falsch ein.

          Schwäche der EU? : Boris Trump

          Sowohl Trump als auch Johnson verschätzen sich: Man kann aus den Wechselbeziehungen der globalisierten Welt nicht in Trotzecken fliehen und dabei nachhaltige Gewinne machen. Europa ist da in einer stärkeren Position.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.