Stuxnet: Die erste Cyberwaffe und ihre Bedeutung für heutige KMU

Im Jahr 2010 wurde ein IT-Support mit Computerproblemen konfrontiert. Was als alltäglicher Auftrag begann stellte sich als die Entdeckung einer unglaublichen Geschichte heraus, die jedoch bereits Jahre vorher ihren Ursprung verzeichnete. Denn die IT-Supporter fanden nicht einfach irgendeinen Virus - sie fanden eine Schadsoftware, die so komplex und entwickelt war, dass sie später als erste bekannte Cyberwaffe der Welt gelten sollte.

Das Atomprogramm

Seit Ende des 20. Jahrhunderts erweiterte der Iran seine Atom-Ambitionen stetig. Obwohl die iranische Regierung seither vehement verneint, den Bau einer Atomwaffe anzustreben, fürchteten sich die USA und Israel vor den iranischen Atomanlagen. Ihrer Einschätzung nach war der Iran auf dem Weg eine Atomwaffe zu bauen, was die Machtverhältnisse im Nahen Osten fundamental verschieben würde. Die amerikanischen und israelischen Geheimdienste suchten nach einer Möglichkeit, das iranische Atom-Programm einzuschränken, zu stoppen oder wenigstens zu verzögern. Dabei fiel die Wahl auf einen Cyberangriff - eine verrückte Idee, da die iranischen Atomanlagen aus Sicherheitsgründen nicht digital mit der Außenwelt verbunden sind. Diese Operation startete wahrscheinlich 2009.

Die Implementierung

Wie bekommt man nun aber eine Malware in ein System, in das man nicht eindringen kann? Wenn es keine digitale Tür gibt, muss man analog einen Fuß reinbekommen. Dafür wurde berichten zufolge der niederländische Geheimdienst mit ins Boot geholt. Einer ihrer Agenten arbeitete als Ingenieur in Dubai und wurde beauftragt, Maschinen in einer iranischen Atomanlage einzubauen. Auf diesen Maschinen gelangte jedoch auch die amerikanische Schadsoftware in die Anlage. Bei diesem ersten Versuch war die Schadsoftware jedoch nicht weit genug entwickelt und hatte keine Auswirkungen auf die Anlage. Erst eine neuere Version, diesmal durch gezielte Angriffe auf iranische Industrieunternehmen und deren Produkte in die Anlage implementiert, konnte die gewünschten Schäden anrichten.

Entgegen der gewünschten Vorgehensweise installierte sich der Virus später auf dem Laptop eines Angestellten in der Atomanlage und gelangte so an die Außenwelt.

Der IT-Support

Mitte des Jahres 2010 wurden IT-Support-Mitarbeiter im Iran mit einer IT-Problematik konfrontiert, bei der Computer immer wieder abstürzten und sich komisch verhielten. Bei ihren Nachforschungen fanden sie eine Malware auf dem Computer, die einen sogenannten Zero-Day-Exploit verwendete. Mit diesem Fund wendeten sie sich direkt an Microsoft - und erhielten keine Antwort. Also veröffentlichten sie ihre Entdeckung.

Schnell arbeiteten viele IT-Experten an der Entschlüsselung des Stuxnet-Schädlings - ein Unterfangen, das Monate dauern sollte. Immer komplexer wurden die Informationen, die aus den Programmdateien ausgelesen wurden. So stellte sich heraus, dass Stuxnet mit einem Rootkit auf Kernel-Ebene seine Spuren verwischen konnte und als Programm mithilfe von Zertifikaten für Windows-Systeme als legitim eingestuft war. Einem deutschen Malware-Experten fiel bald auf, dass der Wurm keinerlei Funktionen hatte, wenn nicht eine bestimmte Software zur Maschinensteuerung auf dem PC installiert war.

Experten schätzten daher die Funktion auf ein hochsensibles Ziel abgestimmt und schlossen auf einen gezielten Angriff auf Irans Atomprogramm. Das wurde zwar in vielen Berichten und Leaks bestätigt, jedoch haben die USA und Israel nie zugegeben an der Entwicklung beteiligt gewesen zu sein.

Die Nachwirkungen

Moderne Unternehmen setzen immer mehr auf vernetzte und digitalisierte Produktionslinien, die sogenannte Industrie 4.0. Das bedeutet aber auch, dass neben den üblicherweise bedachten IT-Security-Konzepten im Bürobereich auch eine entsprechende Absicherung der Produktion stattfinden muss. Stuxnet hat diese bis dahin weitgehend hypothetische Gefahr in den Vordergrund gerückt. Seither sollte Unternehmen deutlich mehr bewusst sein, wie anfällig eine digitalisierte Produktion sein kann. Selbst wenn es nicht um ein Atomprogramm oder andere Waffen geht, können auch deutsche KMU von Sabotage und Spionage betroffen sein, wenn sie über strategisch wertvolles Wissen verfügen.

Stuxnet bewies nicht nur die Möglichkeit einer Cyberwaffe, sondern auch, dass sie bereits eingesetzt werden. Wie viele weitere Cyberwaffen bislang eingesetzt wurden, ist jedoch unbekannt - öffentlich bekannt sind nur wenige, wirklich als Cyberwaffe definierbare Programme, während hunderte weitere Programme fertig und einsatzbereit sein oder bereits im Einsatz sein könnten.

Wir hoffen, dieser kleine Ausflug in die Geschichte von Stuxnet hat Ihnen gefallen. Wenn Sie gerne Ihre Büro- oder Produktions-IT weiter schützen möchten, helfen wir Ihnen gerne weiter! Ihr Bee-IT Team!