Dipl.-Inform. Carsten Eilers

Die im SCADA-System ausgenutzten Schwachstellen wurden vom Idaho National Laboratory und dem US-amerikanischen Department of Homeland Security in Zusammenarbeit mit Siemens im Rahmen eines Projekts entdeckt, in dem es eigentlich gerade um die Abwehr von Cyberangriffen ging (PDF). Der Schadcode wurde aufwendig auf die Urananreicherungsanlagen des Iran abgestimmt, wobei Israel die eigenen Atomanlagen für Tests bereitstellte und Informationen über die Uranzentrifugen beisteuerte. Und es wurde sehr genau darauf geachtet, dass der Wurm nur eine ganz bestimmte Anlage, nämlich eine mit 984 angebundenen Zentrifugen, angreifen kann.

Die Schadfunktion von Stuxnet besteht aus zwei Komponenten: Zum einen werden die Zentrifugen durch lang andauernde Manipulationen der Regelungssysteme nach und nach zerstört, zum anderen den Überwachungsfunktionen korrekte Werte vorgegaukelt, so dass die Manipulationen nicht erkannt werden. Und das mit der Zerstörung scheint auch funktioniert zu haben, zumindest hat der Iran eine passende Anzahl Zentrifugen (984) außer Betrieb genommen.

Schlampig entwickelt

Das klingt doch wie ein sauberes Stück Arbeit, oder? Tom Parker und Nate Lawson haben in Stuxnet dagegen einige Schlampereien entdeckt. So ist die Command&Control-Funktion nicht das Gelbe von Ei, mangels Verschlüsselung und Authentifizierung können die übertragenen Daten belauscht und manipuliert werden. Die Tarnung ist ebenfalls nicht auf dem aktuellen Stand, und dann hat der Wurm sich auch noch durch die Ausbreitung im Internet verraten. Diese Schlampereien können z.B. durch Zeitdruck und/oder dem Einsatz von zwei Teams, einem mit talentierten Entwicklern für die Schadfunktionen und einem sich nicht auf dem "aktuellen Stand der Technik" befindlichen für die Wurm-Komponente, entstanden sein.

Da stimmt was nicht!

Ich fasse mal zusammen: Die Schadfunktionen wurden aufwendig entwickelt, aber für die Tarn-, Kontroll- und Verbreitungsfunktionen reichte die Zeit und/oder das Know How dann nicht mehr. Das kann sein, aber: Wieso sollte die Zeit nicht gereicht haben? Wenn die Entwickler längere Zeit mit der Entwicklung der Schadfunktionen beschäftigt waren und vermutlich auch keine Geldsorgen hatten, hätten sie durchaus parallel dazu schon von Anfang an die Entwicklung der Wurm-Funktionen voran treiben können. Immerhin wussten sie ja von Anfang an, dass sie ihre Schadfunktionen irgendwie in die Urananreicherungsanlage einschleusen und dann steuern müssen. Und was das Know How betrifft: Reichlich Anschauungsmaterial in Form erfolgreicher Würmer ist ja im Internet zu finden, und die entsprechenden Techniken sind alle gut dokumentiert und untersucht. Und wenn man schon ein Team mit Topentwicklern für die Schadfunktionen einsetzt, warum nimmt man dann nicht ein ebenso gutes Team für die Entwicklung der Wurm-Funktionen? Wurde da etwa am falschen Ende gespart? Ich habe eine etwas andere Vermutung. Es heißt zwar, man soll nichts mit Absicht erklären, was sich auch mit Dummheit erklären lässt, aber in diesem Fall sieht mir das sehr nach Absicht aus. Warum?

Betrachten wir mal eine andere Zusammenfassung: Der Wurm war ja wohl durchaus erfolgreich. Und erst, nachdem er seinen Job erledigt hatte, wurde er "in the Wild" gesichtet. Warum nicht schon vorher, wenn er doch so schlampig programmiert ist?

Während des kalten Kriegs wurden etliche Atombomben getestet. Zum einem, um Erfahrungen zu sammeln, zum anderen aber auch, um der jeweiligen Gegenseite zu zeigen, was man so auf Lager hat. Wenn ich das auf den Cyberwar übertrage, finde ich... Stuxnet. Nachdem er die Urananreicherungsanlagen des Iran teilweise zerstört hat, taucht er im Internet auf. Und der Wurm ist so auffällig, dass er sehr schnell entdeckt wird. Nachdem er zuvor in der iranischen Urananreicherungsanlage völlig unentdeckt die Zentrifugen zerstört hat. Das passt nicht, das passt ganz und gar nicht.

Meine Theorie: Der Wurm sollte entdeckt werden

Der aktuelle Stuxnet-Wurm ist ein Proof of Concept, um allen zu zeigen "Seht her, wir können eure Industrieanlagen zerstören, ohne auch nur eine Bombe abwerfen oder auch nur einen Soldaten in den Kampf schicken zu müssen".

Was wäre denn gewesen, wenn Stuxnet nicht entdeckt worden wäre? Er hätte im Iran ständig die Uranzentrifugen zerstört, und die iranischen Techniker hätten auf ihre Anzeigen geguckt und "Hier ist alles in Ordnung, die haben uns Schrott-Zentrifugen geliefert!" gerufen. Der Iran hätte im Kleingedruckten der Garantiebedingungen nach den passenden Klauseln gesucht und Ersatz gefordert oder sich anderswo andere Zentrifugen oder Bauteile besorgt. Das Spiel hätte man sicher einige Zeit spielen können, aber ob das nicht irgendwann langweilig geworden wäre?

Stuxnet gibt es mehrmals

Was spricht dagegen, dass der aktuelle Stuxnet-Wurm nicht die Schadsoftware ist, die die Zentrifugen zerstört hat? Die sitzt vielleicht immer noch unerkannt in den iranischen Steuerrechnern, und der im Internet kursierende Wurm ist eine speziell für diesen Zweck entwickelte Variante, die aus dem eigentlichen Schadcode und einer absichtlich stümperhaften Wurm-Komponente besteht. D(ies)er Wurm sollte entdeckt werden! Denn warum sonst ist der Wurm erst im Juli 2010 massenhaft aufgetreten, wenn er die Zentrifugen doch schon 2009 zerstört hat? Was hat er in der Zwischenzeit gemacht? Urlaub in der iranischen Wüste?

Und wie ist der Wurm in die Urananreicherungsanlage rein gekommen? Durch einen Glückstreffer gleich beim ersten Versuch, und danach hat er ganz zufällig gewartet, bis die Zentrifugen zerstört sind, bevor er weiter zog? Wenn das stimmt, sollte man den Verantwortlichen sofort die Teilnahme an aller Art von Lotterien, Glücksspielen etc. verbieten, die würden die entsprechenden Veranstalter in den Ruin treiben.

Wie schon geschrieben: Das passt nicht. Erst zerstört Stuxnet heimlich und unerkannt eine Vielzahl von Uranzentrifugen, dann ist eine Zeitlang Ruhe, und dann taucht er massenhaft im Internet auf? Für mich schreit das geradezu nach zwei Wurm-Varianten als Erklärung. Oder vielleicht auch einem Trojaner und einem Wurm? Zuerst wurde eine Version mit ausgefeilten Tarn-, Verbreitungs- und Command&Control-Funktionen in die iranische Urananreicherungsanlage eingeschleust. Und nachdem die ihre Aufgabe erfüllt hat, wurde die Wurm-Version mit den stümperhaften Tarn-, Verbreitungs- und Command&Control-Funktionen in Marsch gesetzt, um die Möglichkeiten eines entsprechenden Angriffs zu demonstrieren. Das könnte durchaus auch über die angenommenen ausgefeilten Command&Control-Funktionen ausgelöst worden sein: Nachdem die Zentrifugen zerstört waren, wurden die ausgefeilten Funktionen darüber durch die absichtlich schlampig entwickelten ersetzt und der Wurm quasi "von der Leine gelassen".

Carsten Eilers

Übersicht über alle Artikel zum Thema

Stuxnet - Ein paar Fakten

Standpunkt: Stuxnet - Wer will da wem an die Produktion?

Standpunkt: Stuxnet - Der erste Schritt zum Cyberwar?

Standpunkt: Stuxnet - Ein Überblick über die Entwicklung

Standpunkt: Stuxnet: Kaum neue Fakten, ein neues Gerücht

Standpunkt: Stuxnet - Stand der Dinge

Standpunkt: Der Wink mit dem Stuxnet

Standpunkt: Neues zu Stuxnet, Android-Trojanern, USB-Keyloggern und Facebook

Standpunkt: Conficker ist wieder da. Und was macht Stuxnet?

Das RAT, das aus dem Stuxnet kam

Standpunkt: Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!

Standpunkt: Neues zu SSL und Duqu

Standpunkt: Wie gefährlich ist die Duqu-0-Day-Schwachstelle?

Standpunkt: Neues zu Duqu