“Stuxnet ist der Prototyp einer Cyber-Waffe”

Auch wenn der Iran aktuell meldet, alle Industrie-Rechner von Stuxnet gesäubert zu haben – von Entwarnung kann keine Rede sein. Im Interview mit silicon.de beschreibt Kaspersky-Virenjäger Aleks Gostev, warum als nächstes auch Flughäfen und Öl-Pipelines betroffen sein könnten.

silicon.de: Also ist Stuxnet mehr als ein gut gemachter Einzelfall?

Aleks Gostev: Stuxnet bedeutet einen Wendepunkt. Wir glauben, dass es in Zukunft weitere Beispiele für solche ausgefeilten Angriffen geben wird. Stuxnet ist der Prototyp einer Cyber-Waffe, die nicht dazu entwickelt wird, um einfach nur Geld zu stehlen.

silicon.de: Der Iran hat zuletzt gemeldet, dass inzwischen wieder alle Rechner von Stuxnet befreit wurden – ein Grund aufzuatmen?

Aleks Gostev: Nicht wirklich. Stuxnet hat sich schon über ein halbes Jahr “in-the-wild” befunden. Außerdem hat sich die Infektionsdynamik in den unterschiedlichen Ländern geändert. Die aktuellsten Statistiken von Kaspersky Lab sind in meinem Blog zu finden.

Die meisten Infektionen gab es im Iran, Indien und Indonesien. Doch die Stuxnet-Epidemie ist wie jede Epidemie nicht statisch: Der Wurm verbreitet sich weiter, und während einige Systeme infiziert bleiben, wurden andere bereits wieder gesäubert. Die folgende Tabelle listet die Top-20 der am meisten infizierten Länder seit Anfang Juli bis jetzt auf:

Stuxnet Statistik
Stuxnet bahnt sich seinen Weg durch die Welt.
Foto: Kaspersky Lab

silicon.de: Wie groß ist die Infektionsgefahr für Industriezweige, die nicht die Siemens-Steuerungssoftware für Industrieanlagen und Kraftwerke einsetzen, auf die Stuxnet offensichtlich in erster Linie abzielt?

Aleks Gostev: Stuxnet attackiert SCADA-Systeme, speziell Siemens Simatic WinCC. Simatic WinCC SCADA wird als industrielles Kontrollsystem zur Überwachung und Kontrolle von Industrieanlagen, Infrastrukturanlagen oder Facility-Prozessen eingesetzt. Ähnliche Systeme werden bei Öl-Pipelines, Kraftwerken, große Kommunikationssystemen, Flughäfen, Schiffen und sogar militärischen Anlagen weltweit verwendet. Stuxnet injiziert und versteckt Code mit PLC (Programmable Logic Controllers).

silicon.de: Eines der größten Rätsel gibt im Augenblick die Frage auf, wer für den Schädling verantwortlich ist. Was denken Sie?

Aleks Gostev: Wir haben keine Beweise und wollen deshalb nicht mit dem Finger auf irgendjemand zeigen. Allerdings deuten das Insider-Wissen um die SCADA-Technologie, die Raffinesse der vielschichtigen Attacke, die Verwendung mehrerer Zero-Day-Schwachstellen und legitimer Zertifikate darauf hin, dass Stuxnet von einem Team von sehr erfahrenen Profis, denen enorme Ressourcen und finanzielle Unterstützung zur Verfügung standen, erstellt wurde.

silicon.de: Vor diesem Hintergrund gibt es auch immer wieder Spekulationen, wonach die Attacke nur mit der Unterstützung einer Regierung möglich gewesen sein kann…

Aleks Gostev:…wir denken auch, dass diese Art von Angriff mit der Unterstützung eines Nationalstaats durchgeführt werden konnte.

silicon.de: Haben Sie einen konkreten Verdacht?

Aleks Gostev: Die technische Analyse des Codes gibt keine Hinweise darauf, wer die Urheber sein könnten. Hier sind die Strafverfolgungsbehörden gefragt.

silicon.de: Vielen Dank für das Gespräch!