Blumenthal: Peter Welchering, wer oder was ist Stuxnet und was hat er in einem iranischen Atomkraftwerks zu suchen?
Welchering: Na ja, ein kleiner Steckbrief: bei Stuxnet handelt es sich um einen Windows-32Bit-Computervirus und zwar von der Gattung Trojanisches Pferd. Und vermutlich war er tatsächlich in iranische Produktionsanlagen, vermutlich sogar in iranischen Atommeilern. Das geht hervor aus einigem Serviceanfragen, die weißrussische Wartungsfirmen bekommen haben, und zwar ab Juni 2010. Sie haben daraus geschlossen, dass vermutlich dieser seit einem halben Jahr bekannte Virus dann auch tatsächlich in diesen Anlagen war, der zunächst nur über USB-Sticks verteilt wurde aber seit ungefähr Mai auch über das Internet direkt eben verbreitet wurde.
Blumenthal: Also ist es ein Computerwurm, der ganz zielgerichtet auf diesen Atommeiler ausgerichtet war, oder der sich weltweit verbreitet hat, mit dem Ziel natürlich, irgendwann auch mal im Iran anzukommen?
Welchering: Er hat sich weltweit verbreitet, und man wusste zunächst gar nicht, was er genau ist. Denn er war hochkompliziert. Teile dieses Programm-Codes waren sogar verschlüsselt, Teile waren in einer unglaublich komplizierten Art aufeinander aufgebaut. Es gibt zwei Teile dieses Virus, der eine Teil bricht ein, in Windows-Sicherheitslücken. Der zweite Teil wird dann eben dazu benutzt, dass ein wirklicher Schad-Code ausgeführt wird. Der bisher bekannt gewordene Schad-Code, der nistet sich eben ein in Industriesteuerungsanlagen Marke Scada von Siemens. Und die sind weltweit im Einsatz, unter anderem auch im Iran. Und deswegen war eben auch der Iran davon betroffen.
Blumenthal: Wie ist man dann auf diesem Computerwurm aufmerksam geworden? Wie ist man ihm auf die Spur gekommen?
Welchering: Also zumindest im Iran ist man ihm so auf die Spur gekommen, dass die Messergebnisse - denn Stuxnet hat die Auswerte- und Messeinheiten befallen in den Steuerungsanlagen - dass die Messergebnisse, die dort gezeigt wurden in den Steuerungsanlagen von diesen Systemen, nicht übereinstimmten mit den Messergebnissen, die analoge Geräte gezeigt haben. Und dann hat man lange herum gesucht, woran liegt denn das, stimmen die analogen Geräte nicht, ist da irgendetwas falsch kalibriert? Es sind auch beispielsweise Experten aus Minsk extra nach Teheran geflogen und haben dort nachgeschaut, und dann kam eben heraus: es ist tatsächlich dieser Virus, dieses Trojanische Pferd, das es verursacht hat, dass bei den Auslesemechanismen dann eben falsche Daten angezeigt werden.
Blumenthal: Was weiß man über die Urheberschaft? Wer kann und wer hat solche Viren in der Entwicklung?
Welchering: In der Entwicklung haben solche Viren etwa 30.000 so genannte Schwachstellenanalytiker und Entwickler. Und diese 30.000 Entwickler, die arbeiten unter anderem eben an solchen Viren, die dann auch auf Produktionsanlagen, die aber genauso gut dann auf Internetknotenrechner, die genauso gut auf Mailverteilungsrechner losgelassen werden. Und sie verkaufen diese Angriffsprogramme, großenteils an Regierungen, sehr oft eben auch an Militärs, die diese dann konkret einsetzen, auch im vergangenen Kriegen - denken wir an den Irak-Krieg, denken wir an den Kaukasus-Konflikt - eben schon eingesetzt haben.
Blumenthal: Das heißt aber auch, dass Militärs dann diese Würmer, diese Trojaner, all diese Schadprogramme ganz gezielt in Auftrag geben oder einkaufen, oder einen Baukasten haben, wo sie dann je nach Ziel und Angriffsidee solche Bedrohungen zusammensetzen?
Welchering: Ja, diese Bedrohung und diese Sicherheitslücken und diese Angriffsprogramme, die werden teilweise im Internet über Auktionen angeboten. Dann allerdings müssen die Cyberwar-Teams oder die Cyberdefense-Teams , die Sondereinheiten der Militärs diese Programme da selbst noch sozusagen zusammenschrauben und für ihre Angriffsziele konditionieren. Oder aber sie werden eben auch konkret bei Freiberuflern in Auftrag gegeben, das ist dann ein bisschen teurer, da sprechen wir dann von ungefähr 10.000 bis 15.000 Dollar pro Angriffsprogramm.
Blumenthal: Und können Computerviren wie beispielsweise Stuxnet ganze Produktionsstraße und möglicherweise ganz Industriebetriebe und Volkswirtschaften lahmlegen?
Welchering: Das hängt von ihrem Schad-Code ab. Was bisher bei Stuxnet bekannt wurde, ist, dass sie nur die Mess- und Auswerte-Systeme sozusagen manipuliert haben und dass dadurch falsche Messwerte angezeigt wurden. Aber seit Tschernobyl wissen wir: Das kann in einigen Bereichen wie etwa Kernkraftwerken auch fatale und verhängnisvolle Folgen haben. Es gibt andere, allerdings wurden die nicht bei Stuxnet gefunden, andere Schadroutinen, die können tatsächlich dann eingreifen in bestimmte Industriesteuerungsanlagen, aber auch nur dann, wenn bestimmte Sicherheitsmaßnahmen außer acht gelassen wurden. Beispielsweise kann man Industriesteuerungsanlagen nur dann neu beschreiben, den Speicher dieser Anlagen, wenn tatsächlich ein bestimmter Sicherheitsschlüssel umgelegt wurde und ein Schalter für die Programmierung vor Ort dann auch eingerichtet wurde.
Welchering: Na ja, ein kleiner Steckbrief: bei Stuxnet handelt es sich um einen Windows-32Bit-Computervirus und zwar von der Gattung Trojanisches Pferd. Und vermutlich war er tatsächlich in iranische Produktionsanlagen, vermutlich sogar in iranischen Atommeilern. Das geht hervor aus einigem Serviceanfragen, die weißrussische Wartungsfirmen bekommen haben, und zwar ab Juni 2010. Sie haben daraus geschlossen, dass vermutlich dieser seit einem halben Jahr bekannte Virus dann auch tatsächlich in diesen Anlagen war, der zunächst nur über USB-Sticks verteilt wurde aber seit ungefähr Mai auch über das Internet direkt eben verbreitet wurde.
Blumenthal: Also ist es ein Computerwurm, der ganz zielgerichtet auf diesen Atommeiler ausgerichtet war, oder der sich weltweit verbreitet hat, mit dem Ziel natürlich, irgendwann auch mal im Iran anzukommen?
Welchering: Er hat sich weltweit verbreitet, und man wusste zunächst gar nicht, was er genau ist. Denn er war hochkompliziert. Teile dieses Programm-Codes waren sogar verschlüsselt, Teile waren in einer unglaublich komplizierten Art aufeinander aufgebaut. Es gibt zwei Teile dieses Virus, der eine Teil bricht ein, in Windows-Sicherheitslücken. Der zweite Teil wird dann eben dazu benutzt, dass ein wirklicher Schad-Code ausgeführt wird. Der bisher bekannt gewordene Schad-Code, der nistet sich eben ein in Industriesteuerungsanlagen Marke Scada von Siemens. Und die sind weltweit im Einsatz, unter anderem auch im Iran. Und deswegen war eben auch der Iran davon betroffen.
Blumenthal: Wie ist man dann auf diesem Computerwurm aufmerksam geworden? Wie ist man ihm auf die Spur gekommen?
Welchering: Also zumindest im Iran ist man ihm so auf die Spur gekommen, dass die Messergebnisse - denn Stuxnet hat die Auswerte- und Messeinheiten befallen in den Steuerungsanlagen - dass die Messergebnisse, die dort gezeigt wurden in den Steuerungsanlagen von diesen Systemen, nicht übereinstimmten mit den Messergebnissen, die analoge Geräte gezeigt haben. Und dann hat man lange herum gesucht, woran liegt denn das, stimmen die analogen Geräte nicht, ist da irgendetwas falsch kalibriert? Es sind auch beispielsweise Experten aus Minsk extra nach Teheran geflogen und haben dort nachgeschaut, und dann kam eben heraus: es ist tatsächlich dieser Virus, dieses Trojanische Pferd, das es verursacht hat, dass bei den Auslesemechanismen dann eben falsche Daten angezeigt werden.
Blumenthal: Was weiß man über die Urheberschaft? Wer kann und wer hat solche Viren in der Entwicklung?
Welchering: In der Entwicklung haben solche Viren etwa 30.000 so genannte Schwachstellenanalytiker und Entwickler. Und diese 30.000 Entwickler, die arbeiten unter anderem eben an solchen Viren, die dann auch auf Produktionsanlagen, die aber genauso gut dann auf Internetknotenrechner, die genauso gut auf Mailverteilungsrechner losgelassen werden. Und sie verkaufen diese Angriffsprogramme, großenteils an Regierungen, sehr oft eben auch an Militärs, die diese dann konkret einsetzen, auch im vergangenen Kriegen - denken wir an den Irak-Krieg, denken wir an den Kaukasus-Konflikt - eben schon eingesetzt haben.
Blumenthal: Das heißt aber auch, dass Militärs dann diese Würmer, diese Trojaner, all diese Schadprogramme ganz gezielt in Auftrag geben oder einkaufen, oder einen Baukasten haben, wo sie dann je nach Ziel und Angriffsidee solche Bedrohungen zusammensetzen?
Welchering: Ja, diese Bedrohung und diese Sicherheitslücken und diese Angriffsprogramme, die werden teilweise im Internet über Auktionen angeboten. Dann allerdings müssen die Cyberwar-Teams oder die Cyberdefense-Teams , die Sondereinheiten der Militärs diese Programme da selbst noch sozusagen zusammenschrauben und für ihre Angriffsziele konditionieren. Oder aber sie werden eben auch konkret bei Freiberuflern in Auftrag gegeben, das ist dann ein bisschen teurer, da sprechen wir dann von ungefähr 10.000 bis 15.000 Dollar pro Angriffsprogramm.
Blumenthal: Und können Computerviren wie beispielsweise Stuxnet ganze Produktionsstraße und möglicherweise ganz Industriebetriebe und Volkswirtschaften lahmlegen?
Welchering: Das hängt von ihrem Schad-Code ab. Was bisher bei Stuxnet bekannt wurde, ist, dass sie nur die Mess- und Auswerte-Systeme sozusagen manipuliert haben und dass dadurch falsche Messwerte angezeigt wurden. Aber seit Tschernobyl wissen wir: Das kann in einigen Bereichen wie etwa Kernkraftwerken auch fatale und verhängnisvolle Folgen haben. Es gibt andere, allerdings wurden die nicht bei Stuxnet gefunden, andere Schadroutinen, die können tatsächlich dann eingreifen in bestimmte Industriesteuerungsanlagen, aber auch nur dann, wenn bestimmte Sicherheitsmaßnahmen außer acht gelassen wurden. Beispielsweise kann man Industriesteuerungsanlagen nur dann neu beschreiben, den Speicher dieser Anlagen, wenn tatsächlich ein bestimmter Sicherheitsschlüssel umgelegt wurde und ein Schalter für die Programmierung vor Ort dann auch eingerichtet wurde.