Sabotiert ein Computervirus den Iran?
24. November 2010
DW-WORLD.DE: Es gibt Spekulationen, Stuxnet sei gezielt dafür programmiert worden, den Iran zu sabotieren. Für wie realistisch halten Sie diese These?
Daniel Bachfeld: Ich halte sie für relativ realistisch, denn gerade das iranische Atomprogramm ist ja einigen Ländern ein Dorn im Auge, insbesondere Israel und insbesondere die Urananreicherungsanlage in Natans. Dort werden ja unterirdische Zentrifugen betrieben. Man hat durch die Analyse des Stuxnet-Codes auch herausgefunden, dass er bestimmte Motorensteuerungen sabotieren will, die gerade bei solchen Zentrifugen wie in Natans benutzt werden. Da liegt die Wahrscheinlichkeit sehr nahe, dass es sich auch direkt um einen Angriff auf die iranische Atomanlage in Natans handelt. Ob das allerdings wirklich zu den Störungen geführt hat oder ob iranische Experten das abwehren konnten, darüber kann man nur spekulieren.
Vielleicht kommen die Angriffe ja auch aus einer ganz anderen Richtung, vielleicht wollen ja die Chinesen auch irgendwelche indischen Anlagen angreifen und wir fehlinterpretieren die ganze Sache nur. Stuxnet hat nicht nur iranische Rechner befallen, der Wurm hat ja weltweit PCs befallen und nach den letzten Erhebungen, die wir gesehen haben, lag eher Indien im Brennpunkt dieser Epidemie und gar nicht der Iran. Nun wissen wir, dass auch Indien einige Atomwaffenprogramme hat und Indien und China nicht gerade die besten Freunde sind, möglicherweise versucht also gerade China Indien zu schwächen und es wurden nur aus Versehen noch iranische Anlagen in Mitleidenschaft gezogen. Vielleicht haben die Urheber von Stuxnet auch falsche Fährten gelegt, um die Fachwelt in die Irre zu führen und Israel und den Iran ins Zentrum des Interesses gerückt - und in Wirklichkeit ist der Schauplatz ganz woanders.
Hat es Stuxnet immer auf Atomwaffenprogramme abgesehen?
Das kann man so genau nicht sagen, man kann sich nur den Code anschauen: Wie ist der programmiert, was will er manipulieren? Da gibt es eben zwei "digitale Sprengköpfe", die Stuxnet enthält. Das eine ist die erwähnte Motorensteuerung, die vermutlich mit den Zentrifugen zusammenhängt, und wenn diese sabotiert wird, dann entsteht minderwertiges Uran, das eigentlich nicht mehr nutzbar ist. Beim zweiten "digitalen Sprengkopf" sieht es so aus, als wolle er irgendwelche Turbinensteuerungen angreifen. Nun ist gerade das Tubinenwerk in Buschehr in Betrieb gegangen.
Von daher liegt - auch aufgrund der örtlichen Nähe - der Schluss nahe, dass diese beiden "Sprengköpfe" zusammengehören, also dass es sich wirklich um Angriffe auf den Iran handelt und dass, wie es in aller Munde ist, der israelische Mossad es geschafft hat, diese Anlagen zu infizieren. Aber letztendlich weiß man das im Moment noch nicht. Vielleicht müssen noch einige Monate ins Land gehen, bis uns die Spezialisten sagen: 'Es sind wirklich diese Anlagen, genau diese Signatur passt dazu.'
Deshalb kann man zurzeit nur spekulieren, denn der Iran würde natürlich nie zugeben, dass den Israelis dort der Angriff gelungen ist. Auf der anderen Seite muss man auch sagen: Egal was der Iran jetzt macht, man bringt alles mit Stuxnet in Verbindung. Wahrscheinlich, wenn es in irgendeinem kleinen Örtchen einen kleinen Rohrbruch gibt, wäre das dann auch Stuxnet. Hier muss man ein bisschen den Ball flach halten, und schauen, was der Wurm überhaupt anrichten kann und nicht alles im Iran auf Stuxnet schieben.
Ziel dabei ist es immer, etwas zu zerstören? Niemals einfach nur zu spionieren?
Genau, es geht immer darum, etwas zu stören oder zu zerstören, je nachdem wie weit man es wirklich treibt. Es geht nicht darum, etwas auszuspionieren, über diese Ebene ist man schon längst hinweg. Es geht also konkret darum, Anlagen zu stören, außer Betrieb zu setzen oder auch schleichend zum Beispiel die Qualität bei dieser Urananreicherungsanlage zu verschlechtern. Anfang des Jahres gab es ja schon den ersten Ausfall in dieser Anlage in Natans, bei dem man aufgrund von veröffentlichten Dokumenten vermutete, dass es da bereits den ersten Einbruch in der Urananreicherung gab. Man hat damals schon vermutet, dass vielleicht Stuxnet schon zugeschlagen hat. Dass Stuxnet jetzt neuerdings oder vor wenigen Wochen erneut zugeschlagen haben soll, ist deshalb eher unwahrscheinlich.
Wie verbreitet sich Stuxnet?
Stuxnet hat sich ursprünglich nur über USB-Sticks verbreitet, vermutlich über russische Dienstleister, die das dann aus Versehen über ihren Laptop in andere Anlagen eingeschleppt haben. Wenn er dann einen PC befallen hat, dann ist der Wurm auch in der Lage sich über interne Netzwerke zu verbreiten. Und solche Netzwerke gibt es natürlich in allen Anlagen, da kann sich Stuxnet dann austoben, weitere Rechner infizieren. Aber er ist nicht über das Internet gekommen. Kein Mensch würde heute Atomkraftwerke ans Internet anschließen.
Glauben Sie, dass iranische Experten den Virus jetzt wirklich außer Gefecht gesetzt haben?
Ich glaube nicht, dass sie ihn wirklich in seiner Gänze eingedämmt haben. Aber die Frage ist, ob er wirklich in brisante Anlagen eingedrungen ist oder nur Verwaltungsnetze befallen hat. Wenn Stuxnet einen normalen PC befällt, zum Beispiel die Abrechnungsstelle eines Stromversorgers, dann wird er dort keinen Schaden anrichten. Denn dafür ist er nicht ausgerichtet, er sucht sich die bereits erwähnten Steuerungen aus, um sie zu manipulieren. Wenn er diese auf dem infizierten Rechner nicht vorfindet oder sich von dort aus weiterhangeln kann, dann bleibt er einfach inaktiv. Von daher, denke ich, ist es durchaus möglich, dass die Iraner das Problem schon in den Griff bekommen haben.
Daniel Bachfeld ist Computerexperte und Redakteur der Zeitschrift c't.
Das Gespräch führte Karin Jäger
Redaktion: Carolin Hebig / Thomas Latschan