Krieg der Rechner: Industrie gerät ins Visier der Hacker

In einem sind sich die Experten einig: Das Computervirus Stuxnet ist nicht nur das erste Trojanische Pferd, mit dem Industrieanlagen gezielt angegriffen werden, sondern in seiner komplexen Bauweise einzigartig. 15 Anlagen, die mit Siemens-Software arbeiten, sind weltweit betroffen. Darunter auch Anlagen im Iran, was zu heftigen Spekulationen über den Ursprung des Trojaners führte. Ob mit Stuxnet jedoch der „Cyberwar“ in die heiße Phase gegangen ist, darüber gehen die Einschätzungen auseinander.

Um was für einen Trojaner handelt es sich?

Der Trojaner besteht aus einem ineinander verschachtelten System verschiedener Angriffstechniken, die beim Windows-Betriebssystem ansetzen, um eine mit Siemens-Technik arbeitende Anlagensteuerung zu manipulieren. Jeder einzelne Angriff nutzt eine zuvor nicht bekannte Schwachstelle aus, die in der Fachsprache als „Zero Day Exploit“ bezeichnet wird. Gegen bekannte Schwachstellen können die Hersteller von Betriebssystemen, Anwendungsprogrammen oder Steuerungssystemen Updates und Patches verteilen, die die Sicherheitslücken schließen. Gegen Schwachstellen, die zuvor nicht bekannt waren, gelingt dies nicht, erläutert der Karlsruher IT-Sicherheitsexperte Christoph Fischer.

Wer könnte dahinterstecken?

In der Qualität war der Angriff mit dem Stuxnet-Virus sicherlich neu, sagt Alexander Machowetz, Sprecher des Industry-Sektors der Siemens AG. Ob dahinter, wie in der Sicherheitsszene vermutet, ein Geheimdienst steckt, der damit das iranische Atomprogramm sabotieren will, lasse sich „auf der Grundlage unserer Analyse so nicht kommentieren“, sagte der Sprecher. „Es gibt keinen Hinweis, der eine solche Spekulation belegt“, sagte Machowetz zu einem Beitrag, den Frank Rieger, der ehemalige Sprecher des Chaos Computer Clubs, für die „Frankfurter Allgemeine Zeitung“ geschrieben hat. Speicherprogrammierbare Steuerungen, gegen die sich die Angriffe richten, werden „im Klärwerk genauso eingesetzt wie in einem Kraftwerk oder einer chemischen Anlage“, sagt Machowetz. Mit solchen Systemen lassen sich zum Beispiel Pumpen und Ventile regeln.

IT-Sicherheitsexperte Fischer ist sich sicher, dass Stuxnet weit über die Möglichkeiten von 08/15-Hackern hinausgeht. Für diesen Trojaner sei Know how auf mehreren Ebenen benötigt worden. Die Angreifer mussten sich gleich vier „Zero Day Exploits“ beschaffen, zudem kamen zwei Zertifikate von Computerherstellern zum Einsatz, an die niemand ohne weiteres gelangt. „So etwas ist nur von einem Team zu realisieren. Dazu passt die Vermutung, dass dahinter ein Geheimdienst steckt, sicherlich am besten“, sagt Fischer, der Motive wie Erpressung oder einen Racheakt für unwahrscheinlich hält. Daraus das iranische Atomprogramm als Ziel abzuleiten, sei jedoch Kaffeesatzleserei.

Wie hat Siemens reagiert?

Bislang wurden 15 Anlagen, die mit der Siemens-Prozesssteuerung arbeiten, mit dem Stuxnet-Trojaner infiziert. Fünf der Anlagen stehen in Deutschland, betroffen sind zudem Anlagen in den USA, Südkorea, Großbritannien und Iran. Nach dem Bekanntwerden von Stuxnet hat Siemens den Anlagenbetreibern eine Antivirenlösung über die Firmenwebseite angeboten, die insgesamt 12 000 Mal herunter geladen wurde. Stuxnet gelangte über eine Sicherheitslücke im Windows-Betriebssystem in das System. „In der Leitwarte eines Atomkraftwerks werden keine Windows-Rechner zur Steuerung eingesetzt“, betonte Machowetz. Bei den infizierten Anlagen ist nach Siemens-Angaben kein Schaden entstanden. Die Sicherheitslücke sei geschlossen.

Was kann der Trojaner anstellen?

Das IT-Sicherheitsunternehmen Symantec hat im Zusammenhang mit Stuxnet auf einen Fall hingewiesen, bei dem ein Trojaner in einer Industrieanlage den Druck in einer Pipeline über eine infizierte Ventilsteuerung so stark erhöhte, dass die Röhre zerstört wurde. Für Fischer zeigt Stuxnet, wie angreifbar Infrastruktureinrichtungen insgesamt sind. Selbst wenn keine Siemens-Steuerungstechnik eingesetzt wird, könnten Anlagen bei Lieferanten betroffen sein. „Es muss sich ja nicht gleich um die Kühlmittelpumpe in einem Atomkraftwerk handeln, dort gelten ganz besondere Sicherheitsregeln.“ In gefährdeten Anlagen wird über mehrfach redundante Systeme versucht, trotz des Ausfalls einzelner Steuerelemente die Sicherheit aufrecht zu erhalten. Beim Kraftwerksbetreiber Vattenfall verweist man darauf, dass die Anlagen informationstechnisch „hervorragend abgeschottet“ sind. Für USB-Sticks gelten strenge Sicherheitsvorschriften. Stuxnet gelangt durch das bloße Anstecken eines USB-Sticks in die Steuerungssysteme. Laut Fischer befanden sich auf den Sticks die Lizenzschlüssel für die Systemsoftware.

Wie reagieren Sicherheitsbehörden?

In Sicherheitskreisen waren unterschiedliche Meinungen zu dem möglichen Trojaner-Angriff auf das iranische Atomprogramm zu hören. Es überwog allerdings Skepsis, andererseits prüfen die deutschen Behörden noch, ob die Geschichte zumindest in Teilen stimmen könnte. Jedenfalls habe man bislang nicht festgestellt, dass ein Trojaner die technischen Probleme der Iraner beim Aufbau ihrer Atomanlagen verursacht hat. Zu beobachten seien vielmehr Schwierigkeiten im Umgang mit Gas-Ultra-Zentrifugen, hieß es. Das habe aber mit Unstimmigkeiten in der Fertigungstechnik zu tun und nicht mit Steuerungssystemen, in die ein Trojaner eindringen könnte.

Übereinstimmend äußerten Experten, ein Trojaner dieser Art sei nur unter Einsatz von viel Geld und Sachverstand zu programmieren. Mehrere Fachleute halten zwei Theorien für möglich: Sollte tatsächlich das iranische Atomprogramm getroffen werden, kämen wahrscheinlich nur US-Geheimdienste wie die CIA in Frage, oder der israelische Mossad. Aber auch Wirtschaftsspionage sei nicht ausgeschlossen, so könnte der Trojaner in China konzipiert worden sein – in einer Hochschule im Umfeld des Militärs.

Generell wird der Gefahr so genannter Cyberwar-Attacken in den Sicherheitsbehörden weltweit zunehmend Aufmerksamkeit zuteil. Schon im Jahr 2001 warnten Experten bei einer Fachtagung in Israel, Hacker könnten Steuerungssysteme der Infrastruktur angreifen und ein Chaos auslösen. Es genüge schon, in einer Großstadt wie Tel Aviv oder New York die Ampelanlagen lahmzulegen, um die Beweglichkeit von Polizei und Feuerwehr dramatisch einzuschränken. Die USA ernannte im Mai 2009 sogar einen „Cyber Command“. Denn alles was am Netz hängt, könnte auch Ziel eines Anschlags werden. Beispiele gibt es: Chinesische Hacker drangen schon in Computer des Bundeskanzleramts ein, sie spionierten im Streit mit dem Oberhaupt der Tibeter E-Mails des Dalai-Lama aus; und von Israel aus sollen spezielle Computerprogramme syrische Radaranlagen infiziert und abgeschaltet haben. Immer handelten die Hacker auf Anweisung einer Regierung. Aber: „Man weiß es nie mit Sicherheit“, sagt Sandro Gaycken von der Universität Stuttgart, Experte für digitale Kriegsführung und Berater der Bundeswehr. Denn die Täter hinterlassen keine Spuren, weshalb die Angriffe schwer nachweisbar seien.