“Stuxnet ist der Prototyp einer Cyber-Waffe”

Sibylle Gaßner,

Auch wenn der Iran aktuell meldet, alle Industrie-Rechner von Stuxnet gesäubert zu haben – von Entwarnung kann keine Rede sein. Im Interview mit silicon.de beschreibt Kaspersky-Virenjäger Aleks Gostev, warum als nächstes auch Flughäfen und Öl-Pipelines betroffen sein könnten.

Aktuell vergeht kein Tag, an dem es keine Neuigkeiten von Stuxnet gibt. Am Wochenende hatten mehrere deutsche Medien übereinstimmend berichtet, dass Stuxnet auch die Industrieanlagen deutscher Siemens-Kunden befallen hat. Weltweit hätten 15 Siemens-Kunden den Trojaner Stuxnet in ihren Anlagen aufgespürt und an Siemens gemeldet. Die übrigen zehn Kunden hätten ihre Firmensitze in anderen Ländern Westeuropas, in den USA und in Asien.

Unter den befallenen Anlagen seien Kraftwerke, chemische Fabriken und industrielle Produktionsanlagen. In allen Fällen hätten die Betreiber das Virus entdeckt und mit Hilfe von Siemens entfernt. Keine der Anlagen habe sich selbstständig gemacht oder sei zum Stillstand gekommen, betonte Siemens.

Aleks Gostev
Alexander Gostev kämpft an vorderster Front gegen die Cybermafia.
Foto: Kaspersky

Auch der Iran bemüht sich, Zuversicht zu verbreiten. Die Säuberung betroffener Rechner in Industrieanlagen sei erfolgreich abgeschlossen worden, sagte der stellvertretende Industrieminister Mohsen Hatam. Das Ministerium hatte vor einer Woche gemeldet, dass 30.000 Rechner in iranischen Industrieanlagen von dem Computerwurm befallen seien.

Doch vieles deutet darauf hin, dass Stuxnet erst der Anfang gewesen ist. Davon ist Aleks Gostev, Chief Security Expert im Global Research & Analysis Team bei Kaspersky im folgenden Interview mit silicon.de überzeugt.

silicon.de: Der Stuxnet-Virus scheint auch langjährige Malware-Experten zu verblüffen. Oft ist die Rede von einem “bahnbrechenden” Stück Malware. Was genau ist an Stuxnet so innovativ?

Aleks Gostev: Die zahlreichen Technologien, die Stuxnet verwendet, machen diesen Wurm so einzigartig. Zudem missbraucht Stuxnet vier Zero-Day-Schwachstellen und zwei legitime Zertifikate (von Realtek und JMicron). Dadurch blieb der Wurm lange unentdeckt. Der Wurm verbreitet sich über Wechseldatenträger, Netzwerke und Netzwerk-Sharing, eine sehr “smarte” Verbreitung, wenn man bedenkt, dass die Systeme, die der Wurm attackiert, keinen Zugang zum Internet haben.

Im Gegensatz zur Computerkriminalität in den letzten Jahren hat es Stuxnet explizit auf Simatic WinCC SCADA-Systeme, die bei industriellen Anlagen eingesetzt werden, abgesehen. Der Wurm zielt darauf ab, etwas zu zerstören und nicht Geld zu stehlen. Stuxnet versteckt seine Aktivitäten mit PLC (Programmable Logic Controller). So werden Änderungen im Code ausgeblendet. Die Malware kann Informationen über Server und Netzwerk-Konfiguration sowie SCADE-Systeme einholen.