Stuxnet - Wer will da wem an die Produktion?

Zuerst die einfachste Verschwörungstheorie: Der Wurm stammt von [Lieblings-Geheimdienst nach Wahl einsetzen] und soll die iranische Atombombenproduktion lahm legen. Diese Theorie passt wunderbar zu den Fakten, denn wer anders als ein Geheimdienst käme so leicht an die nötigen Ressourcen und das notwendige Wissen über das Zielsystem? Aber betrachten wir das doch lieber etwas genauer.

Der Wurm kann allgemein Daten ausspähen und ganz bestimmte Systeme auch manipulieren. Das spricht nicht gegen die Geheimdienst-Theorie. Erst wird geguckt, was der Iran denn so zu bieten hat und ob man wirklich im richtigen System gelandet ist, erst danach wird es so manipuliert, dass das Ganze in die Luft fliegt. Das erledigt im Idealfall gleich mehrere Probleme auf einmal: Die Atombombenproduktion, evtl. samt zugehöriger Wissenschaftler, ist ausgeschaltet, und wenn es richtig rummst, hat man auch gleich noch den Beweis dafür, dass da Atombomben entwickelt wurden. Wenn die Iraner dabei einen Fehler machen und sich selbst in die Luft sprengen, ist das natürlich bedauerlich, aber man hat ja immer vor den Gefahren gewarnt...

Die meisten Infektionen von SCADA-Systemen wurden im Iran gesichtet. Auch das passt auf den ersten Blick sehr gut. Auf den zweiten aber nicht. Wieso sollte eine streng geheime Atombombenfabrik einen Internetanschluß haben? OK, warum nicht? Aber Gegenfragen sind keine Gegenargumente, und wenn ich etwas verstecken wollte, würde ich es bestimmt nicht ans Internet anschließen. Und wem man zutraut, Atombomben zu bauen, dem sollte man auch zutrauen, sie gut genug zu verstecken. So gut wie z.B. Saddam Hussein seine Massenvernichtungswaffen, die ja auch immer noch nicht aufgetaucht sind. Und gibt es nicht eine viel einfachere Erklärung für die Infektionen im Iran? Vielleicht, dass es da mit dem Virenschutz etwas hapert? Oder dass die Systeme da einfach generell nicht auf dem aktuellen Stand und damit leichtere Opfer sind? Immerhin hat man im Iran ja gewisse Schwierigkeiten beim Einkauf in westlichen Ländern.

Auf allen bisher Siemens bekannt gewordenen infizierten Systemen hat der Wurm keinen Schaden angerichtet, das Zielsystem war aber auch nicht darunter. In beiden Fällen kann ich nur fragen: Woher weiss man dass? Wenn wirklich ein Angriff erfolgreich war, könnte das Opfer schweigen. Zum einem, um sich nicht Lächerlich zu machen, zum anderen, um keine weiteren Informationen preis zu geben. Natürlich passt das auch zur Geheimdienst-Theorie, die Iraner würden natürlich niemals zugeben, dass ihre Atombombenfabrik sich einen Wurm eingefangen hat. Aber wie viele "Data Breaches" werden denn bekannt? Wie viele Angriffe auf Unternehmen vom Unternehmen offen zugegeben? Die wenigsten, sowas hält man schön unter der Decke. Was für normale Systeme gilt, gilt erst recht für Produktionssteuerungen. Da wäre das nämlich nicht nur peinlich, sondern könnte gewisse Probleme für den zukünftigen Betrieb bringen. Wer will schon neben einer Fabrik leben, die irgend ein Cyberterrorist jederzeit ferngesteuert in die Luft jagen kann?

Die Entwicklung des Wurms war sehr aufwändig. Das spricht vielleicht dafür, dass ein Staat sie bezahlt hat, aber wer weiß schon, wie viel Geld Cyberkriminelle für einen bestimmten Zweck einsetzen? Solange wir das Ziel der Angriffe nicht kennen, können wir nicht wissen, wie wertvoll es für welche möglichen Täter ist. Und da komme ich zum nächsten Punkt, der im Fall der Geheimdienst-Theorie eigentlich unwichtig ist:

Der Wurm kann an andere SCADA-Systeme angepasst werden. Das wäre für einen gezielten Angriff auf die iranische Atombombenfabrike nicht nötig. Da der Geheimdienst genau weiß, auf welche Systeme er es abgesehen hat, kann er den Schädlich genau dafür entwickeln lassen. Dieser Punkt spricht also eher für einen kommerziellen Hintergrund. Ebenso übrigens wie die Tatsache, dass der Wurm seit über einen Jahr "sichtbar" getestet wird. Würde ein Geheimdienst das nicht im geheimen tun, wie es schon sein Name nahe legt?

Ein kommerzieller Hintergrund?

Betrachten wir das ganze mal vom kommerziellen Standpunkt: Gibt es einen Markt für das Angebot "Wurm zum Ausspähen und Manipulieren von Produktionsanlagen"? Für das Ausspähen bestimmt, Wirtschaftsspionage ist auch nach Aussage der zuständigen Behörden ein boomender "Markt". Und für die Manipulation, also Sabotage, lässt sich mit etwas Phantasie durchaus auch ein "Markt" annehmen. Lohnt dieser "Mark" die sicher hohen Entwicklungskosten? Das kommt auf viele Faktoren an, z.B. wie oft das Angebot nachgefragt wird, wie viel die Kunden zu zahlen bereit sind und wie viel Konkurrenz es gibt. Zumindest Konkurrenz gibt es zur Zeit noch nicht, das treibt die Preise schon mal hoch. Wie viel die Kunden zu zahlen bereit sind hängt vom jeweiligen Vorteil ab, den sie aus dem Wurm-Einsatz ziehen können.

Wie viel ist es wohl einem Unternehmen wert, zu wissen, wie ein Konkurrent seine Produktionssysteme steuert? Ich weiss ja nicht, was sich da alles ausspähen lässt, aber ich könnte mir vorstellen, dass da durchaus auch mal ein kompletter Produktionsprozess samt Zutaten etc. dabei ist. Auf den ersten Blick sicher eine interessante Information für die Konkurrenz, auf den zweiten eigentlich eher nicht. Da steht ja kaum z.B. ein Kuchenrezept nach dem Muster "250kg Mehl, 50 kg Zucker, ..." im Speicher, sondern nur etwas mach dem Muster "250kg aus Silo 1, 50 kg aus Silo 2, ...". Und wenn sich auch bei den großen Mengen noch mit sicher gutem Erfolg raten lässt, was es wohl ist, hört es bei den kleinen Mengen für Gewürze etc. doch wohl sehr schnell auf. Und damit dürfte so ein Rezept für die Konkurrenz eher uninteressant sein, außerdem kommen die sicher auf anderen Wegen einfacher an die Rezepte. Die hat ja wohl nicht jeder so wie angeblich Coca Cola im Tresor verschlossen. Wahrscheinlich gibt es viele Detailinformationen, die sich aus den Steueranweisungen für die Produktionsanlagen ausspähen lassen und die für die Konkurrenz interessant sind. Aber ob man an die nicht über Spionageangriffe auf die normale IT viel einfacher dran kommt?

Und wie viel ist es einem Unternehmen wohl wert, die Konkurrenz lahm zu legen? Einfach mal so in einen Produktionsprozess einzugreifen kann je nachdem, was da produziert wird und wie das manipuliert wird, mehr oder weniger gravierende Folgen haben. Da dürfte die Bandbreite von auf den ernsten Blick kaum auffallenden Qualitätsverschlechterungen im Endprodukt bis zur Zerstörung der aktuellen Produktion und evtl. auch der Produktionsanlagen alles dabei sein. Die Produktionsanlagen zu zerstören und die Konkurrenz los zu werden mag sicher ein verlockender Gedanke sein, wird aber meist unangenehme Gegenreaktionen zur Folge haben, wenn es raus kommt. Ich vermute mal, dass würde sich sogar die Chinesen sehr gut überlegen, denen man ja ansonsten fast alles zutraut. Qualitätsverschlechterungen sind da sicher noch am interessantesten, wenn die Konkurrenz nur noch mit schlechter Qualität produziert, dürfte das die eigenen Absatzchancen erhöhen. Aber für wie lange? Der "Fehler" wird sicher recht schnell gefunden und behoben, ein evtl. entstandener schlechter Ruf hängt dem Opfer wahrscheinlich etwas länger an, aber ob das als Anreiz reicht, um dafür viel Geld auszugeben?

Kommen wir zum letzten bzw. ersten Punkt: Wie viele mögliche Kunden gibt es wohl für so einen Wurm? Immerhin scheint der ja anpassungsfähig zu sein, die aktuellen Angriffe auf Siemens-Systeme sind also nur eine Möglichkeit. Das nötige Know-How für die Anpassung an andere Systeme können evtl. die Auftraggeber beisteuern, so dass die Entwicklung bzw. Anpassung günstiger wird. Das Angebot richtet sich also im Prinzip an alle Unternehmen, deren Konkurrenz entsprechende Systeme einsetzt. Davon gibt es jede Menge. Aber wie viele davon würden kriminell handeln? So viele, dass sich das Angebot eines entsprechenden Wurms lohnt? Ich hoffe, nicht!

Auf jedem Fall muss es jemanden gegeben haben, der den Anstoß für die Wurm-Entwicklung gegeben hat, auf gut Glück wird sicher niemand die Kosten dafür aufgebracht haben. Auch wenn man den Wurm danach "zweitverwerten" kann, muss sich schon der erste Einsatz lohnen, immerhin sind danach die Antivirenhersteller und die potentiellen Opfer gewarnt und die Erfolgswahrscheinlichkeit sinkt. Ich gehe davon aus, dass der Wurm wirklich eine Auftragsarbeit für einen ganz bestimmten Zweck ist, bei der auf eine mögliche Anpassung geachtet wurde, um auf Änderungen beim Ziel reagieren zu können. Dass das auch die spätere "Zweitverwertung" erleichtert, ist sicher ein angenehmer Nebeneffekt. Wenn wir wissen, wer das Opfer ist bzw. war, dürfte sich recht schnell ermitteln lassen, wer der Angreifer war. Ähhh... nein, da stimmt was nicht, das wäre zu einfach, denn damit würde sich der Angreifer selbst wahrscheinlich genau so viel schaden wie dem Opfer. Wer will schon noch mit jemandem Geschäfte machen, der so mit einem Mitbewerber umgeht? Wer weiß schon, was der erst mit seinen Kunden macht? Gibt es also doch keinen kommerziellen Grund? Dann bleiben ja doch nur die Geheimdienste übrig. Oder herkömmliche Cyberkriminelle oder gar Terroristen?

Erpressung per Wurm?

Herkömmliche Cyberkriminelle als Täter? Da fällt mir spontan die "Ransomware" ein, die Daten verschlüsselt (oder so tut als ob) und ein Lösegeld für die Freigabe fordert. "Wir haben Ihre Produktion lahm gelegt, überweisen Sie viele Millionen in kleinen Scheinen auf dieses Konto" - das würde man ja nicht mal in einem billigen Hollywood-Schinken als Plot nehmen können. Wie lange würde es dauern, bis das Opfer den Fehler selbst behoben hat? Damit lässt sich sicher kein Gewinn machen, und eine Drohung "Zahlen Sie, oder wir legen die Produktion lahm" funktioniert erst recht nicht, da das Opfer dann einfach nur seine Systeme vom Internet trennen und die Software aus einem Backup restaurieren muss, um den Angriff zu verhindern. Herkömmliche Cyberkriminelle können wir als Täter wohl ausschließen. Die hätten sicher die nötigen Kapazitäten und könnten sich auch das notwendige Wissen verschaffen, aber es dürfte sich ganz einfach nicht lohnen.

Terroranschlag mit Wurm?

Bleibt die klassische Sabotage oder Terroranschläge. "Al Quaida legt Stromproduktion lahm" gäbe sicher eine tolle Schlagzeile ab, bisher haben Terroristen aber immer Wert auf viele Opfer und einen großen "Knalleffekt" gelegt. Sicher lässt sich auch mit digitalen Terroranschlägen Terror verbreiten, vor allem, wenn ich mir vorstelle, was die dann mal wieder Amok laufenden Sicherheitspolitiker dann wieder alles anstellen würden. Aber ob Terroristen die notwendigen finanziellen Mittel haben (auf die es ja hinaus läuft, das Wissen lässt sich damit ja kaufen) UND es für so eine Aktion ausgeben würden? Das Geld mögen sie haben, aber dass sie es so verpulvern würden, bezweifle ich. Laut Kaspersky hat der Wurm auch in Afghanistan gewütet, aber das dürfte eher auf mangelnde Schutzmaßnahmen als auf die Wurm-Herkunft hindeuten. Ich halte die Wurmentwicklung durch Terroristen bzw. in deren Auftrag für die unwahrscheinlichste Erklärung.

Doch ein Geheimdienst?

Fassen wir noch mal alles zusammen, bietet sich meines Erachtens eine Kombination der Geheimdienst-Erklärung und des kommerziellen Hintergrunds als beste Erklärung an. Wurde der Wurm zur Industriespionage entwickelt und nachträglich bzw. zusätzlich mit den Manipulationsfähigkeiten ausgestattet, um einem weiteren Zweck zu dienen? Wirtschaftsspionage im großen Stil, da fallen mir sofort die Chinesen ein - und auch die USA waren in der Hinsicht ja nicht gerade untätig, Echelon lässt grüßen. Und was die Manipulationsfähigkeiten betrifft: Mal angenommen, man hat jemandem etwas geliefert und hinterher Bedenken bekommen, was der damit wohl anstellen könnte. Sicherheitshalber möchte man da nun doch die Finger drauf haben. Bietet es sich dann nicht an, die sowieso vorhandene Spionagesoftware zu erweitern? Wie, weiß man ja - man hat das Zielsystem ja selbst geliefert. Womit wir wieder bei der anfänglichen Verschwörungstheorie landen, diesmal aus einer anderen Richtung. Möchte da jemand sicher gehen, dass der Iran eine (wahrscheinlich heimlich) gelieferte Anlage nicht entgegen seiner Zusagen für die Atombombenproduktion einsetzt und hat deshalb den Wurm darauf angesetzt? So unwahrscheinlich ist das gar nicht, oder?

Fakt ist, der Wurm ist los

Egal wer den Wurm nun los gelassen hat, er hat damit auf jedem Fall eine Büchse der Pandora geöffnet. Diesem ersten Wurm werden sicher weitere folgen, nachdem die Idee eines speziellen Schädlings für Produktionsanlagen erst mal in die Welt gesetzt wurde. Die Lösung des Problems ist allerdings recht einfach: Man muss nur dafür sorgen, dass die Produktionsanlagen nicht ans Internet angeschlossen sind und keiner einen verseuchten USB-Stick in den zur Bedienung verwendeten Rechner steckt. Oder das auf dem nicht gerade Windows läuft, oder hat schon mal jemand was von einem AutoRun-Wurm für Linux gehört? Ach ja, und ein System, das ein Default-Passwort verwendet, dass man nicht ändern soll, sollte man vielleicht besser zur Nachbesserung an den Produzenten zurück schicken.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Stuxnet - Ein paar Fakten

Standpunkt: Stuxnet - Wer will da wem an die Produktion?

Standpunkt: Stuxnet - Der erste Schritt zum Cyberwar?

Standpunkt: Stuxnet - Ein Überblick über die Entwicklung

Standpunkt: Stuxnet: Kaum neue Fakten, ein neues Gerücht

Standpunkt: Stuxnet - Stand der Dinge

Standpunkt: Der Wink mit dem Stuxnet

Standpunkt: Neues zu Stuxnet, Android-Trojanern, USB-Keyloggern und Facebook

Standpunkt: Conficker ist wieder da. Und was macht Stuxnet?

Das RAT, das aus dem Stuxnet kam

Standpunkt: Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!

Standpunkt: Neues zu SSL und Duqu

Standpunkt: Wie gefährlich ist die Duqu-0-Day-Schwachstelle?

Standpunkt: Neues zu Duqu