Stuxnet, Siemens und der Cyber-Krieg gegen den Iran

Seit einigen Tagen macht „Stuxnet“ erneut Schlagzeilen: Der Computerwurm hatte bereits im vergangenen Jahres für Rätselraten gesorgt. Zunächst wurde gemutmaßt, er sei ausschließlich gegen die Atomanlagen des Iran gerichtet, dann fürchtete man, das Problem könne viel größere Kreise ziehen.

Grund: Weltweit sind unzählige Industrieanlagen (z. B. atomare Wiederaufbereitungsanlagen, Kraftwerke allgemein, Automobilindustrie, industrielle Fertigungsanlagen) mit einem speziellen Kontrollsystem der Firma Siemens ausgestattet, das über das Windows-Betriebssystem läuft. Der üble Computer-“Lindwurm“ sei in der Lage, Steuerungs- und Produktionsprozesse zu manipulieren, gleichzeitig aber eine falsch-positive Rückmeldung zu liefern, dass alles in bester Ordnung sei, während in Wirklichkeit z. B. die Zentrifugen einer nuklearen Wiederaufbereitungsanlage gerade heiß liefen. Überdies könne Stuxnet unbemerkt Daten und Informationen stehlen.

Im November vergangenen Jahres waren bereits zehntausende Infektionen bekannt geworden. Über die Urheberschaft des Virus wurde nur gemunkelt. Bereits am 24.9.2010 hatte die Newsplattform news.discovery.com gemeldet: „Stuxnet wurde für das ‘Supervisory Control and Data Acquisition (SCADA) Systems’ von Siemens, das weithin für das Management von Wasserversorgung, Ölbohrtürmen, Kraftwerken und anderen Industrieanlagen genutzt wird, maßgeschneidert. […] Sobald Stuxnet in ein Computersystem eingedrungen ist, sucht es nach irgendeinem der drei Siemens-SCADA-Reglern [Programmable Logic Controllers] (PLCs), die Funktionen wie die Kontrolle der Turbinengeschwindigkeit managen […] wenn es einen Treffer gab, übernahm Stuxnet automatisch die Kontrolle des PLC und versteckte alle Veränderungen vor den Arbeitern, die das System managen oder damit arbeiten.“

Seit September letzten Jahres machte immer wie der Hamburger Sicherheitsexperte Ralph Langner mit seiner Analyse des Wurmangriffs von sich reden. Zdnet.de meldete darüber am 22.9.2010: „Der Wurm, der den Computer mit der Siemens-Software WinCC Scada befällt, wurde im Juli entdeckt. Er kann dazu genutzt werden, Industrieanlagen fernzusteuern. Er dringt über vier Sicherheitslücken in Windows ein, von denen Microsoft bisher zwei geschlossen hat – eine in der Windows-Shell und eine im Druckerwarteschlangendienst.Bei seiner Analyse beruft sich Langner unter anderem auf einen Screenshot eines Rechners in der Buschehr-Anlage, der die Siemens-Anwendung ausführt. ‘Mit den Erkenntnissen, die wir jetzt haben, ist es offensichtlich und beweisbar, dass es sich bei Stuxnet um einen direkten Sabotageangriff mit sehr viel Insiderwissen handelt’, schreibt Langner auf der Website seines Unternehmens. Der Angriff basiere auf einer Kombination mehrerer Zero-Day-Lücken und gestohlenen Zertifikaten. ‘Das wurde von einem hoch qualifizierten Expertenteam zusammengestellt, das über spezielle Erfahrungen mit Kontrollsystemen verfügen muss. Das ist kein Hacker, der im Keller seines Elternhauses sitzt.’ Seiner Ansicht nach deuten die für einen solchen Angriff benötigten Ressourcen darauf hin, dass es sich bei dem Initiator um einen Nationalstaat handelt.

In jedem Fall eine erstaunliche Erkenntnis aufgrund eines Fotos von einem Buschehr-Bildschirm! Hier das von Langner gemachte Foto.

Was sagte Siemens nun zu alledem?
Die Siemens AG (Berlin und München) ist ein „weltweit führendes Unternehmen der Elektronik und Elektrotechnik“, Arbeitsgebiete des Konzerns sind Industrie, Energie und Gesundheitssektor. „Siemens steht seit über 160 Jahren für technische Leistungsfähigkeit, Innovation, Qualität, Zuverlässigkeit und Internationalität. Siemens ist außerdem weltweit der größte Anbieter umweltfreundlicher Technologien. Mit rund 28 Milliarden Euro entfällt mehr als ein Drittel des Konzernumsatzes auf grüne Produkte und Lösungen. Insgesamt erzielte Siemens im vergangenen Geschäftsjahr, das am 30. September 2010 endete, einen Umsatz von 76 Milliarden Euro und einen Gewinn nach Steuern von 4,1 Milliarden Euro. Ende September 2010 hatte das Unternehmen weltweit rund 405.000 Beschäftigte.“

Der weltweit agierende Konzern bemüht sich um eine Standardisierung von Automatisierungsprozessen  und unterhält z. B.  mit seiner PLM (=Product Lifecycle Management) eine riesige IT-Plattform bzw. Datenbasis für seine Kunden im Bereich  „ Automobil-, Elektrotechnik- und Konsumgüterindustrie sowie in der Luft- und Raumfahrt und im Maschinenbau.“ Mehr als 53.000  Ingenieure an 50 Standorten seien so weltweit über eine Datenmanagement-Plattform miteinander verknüpft.  „Technologisch wird der Markt in vielen Segmenten vom Zusammenwachsen der PLM-, Fertigungs- und Unternehmens-IT beeinflusst. Die bislang üblichen Insellösungen von Produktentwicklungs-, Produktions- und Service-Software wandeln sich zunehmend zu einer integrierten Systemlandschaft.“ (Dies soll nur als Beispiel für die Unternehmenspolitik dienen die genannte Software hat ansonsten nichts mit der zu tun, die vom Angriff des Stuxnet betroffen ist).

Unter IT-Security heißt es bei Siemens mit Blick auf die vom Virus betroffenen SIMATIC PCS 7 Regler:
„Durch die Vernetzung mit anderen Unternehmensbereichen sind Prozessanlagen heute direkt oder indirekt mit dem Internet verbunden und damit auch der Bedrohung durch Cyber-Kriminalität ausgesetzt.“

Der Trend zu Arbeit in Netzwerken ist in sehr vielen Bereichen spürbar, nicht nur bei Siemens; er entspricht auch Peter Löschers Ruf nach stärkerer Internationalisierung. Der Siemens-Vorstandsvorsitzende hatte moniert, der Konzern sei „zu deutsch, zu weiß, zu männlich.“

Die Arbeit mit starken Standardisierungen in Netzwerken, integrierten Systemlandschaften und internationaler Integration ist andererseits jedoch auch eine ideale Voraussetzung für Virusattacken und Cyber-Wars. Im genannten Kontext ist es jedoch sicherlich müßig zu fragen, ob nicht möglicherweise mehr Sicherheit durch Dezentralisierung und stärker hierarchische statt vernetzte Software-Strukturen zu erreichen wäre – auf nationaler und auf Firmenebene.

Jedenfalls hat Siemens schon auf Stuxnet reagiert und stellt Hilfe gegen die Malware bereit, die abrufbar ist. Gleichzeitig bestätigt Siemens, dass sich das Virus via Netzwerke verbreitet – oder wenn ein infizierter USB-Stick benutzt wird.

Jetzt wurde ein Wurm-Fortsatz aktuell, nachdem man in Israel stolz die Vaterschaft für den malignen Computer-Würmeling anerkannt hat. (Streng genommen natürlich noch kein Beweis). Die New York Times (NYT) meldete am 16.1.2011 jedoch auch US-Beteiligung bei der Stuxnet-Schöpfung an.

Die Story der NYT geht so: Anfang 2008 habe Siemens mit einem der führenden US-Labors in Idaho zusammengearbeitet, um Schwachstellen an Computerreglern zu identifizieren, die die Firma weltweit für Industriemaschinen verkauft. Amerikanische Geheimdienste hätten sie als Schlüsselausrüstung für Irans Uran-Anreicherungsanlagen identifiziert. (Letzteres war sicherlich nicht allzu schwer, da die Regler mit einer sehr gebräuchlichen speicherprogrammierbaren Steuerung (PLC = Programmable Logic Controller) arbeiten, womit quasi alles zum Laufen und Produzieren gebracht werden kann.

Die NYT weiter: „Siemens sagt, das Programm war Bestandteil von routinemäßigen Anstrengungen, ihre Produkte gegen Cyber-Attacken zu sichern. Nichtsdestotrotz gab sie dem Idaho National Laboratory – welches Teil des Energieministerium ist und verantwortlich  für Amerikas Atomwaffen – die Gelegenheit, die gut versteckten Löcher im Siemens-System herauszufinden, die im darauffolgenden Jahr von Stuxnet ausgenutzt wurden“.

Siemens selbst bestätigt auf seiner Hausseite die Sicherheitszusammenarbeit mit dem amerikanischen Labor, allerdings erwähnt die Firma auch noch eine Abteilung (for Advanced Energy Systems) der Rutgers-Universität als dritte im Bunde.

Die österreichische „Presse“ (17.1.2011) macht Siemens dabei zum „unfreiwilligen Helfer“ des Malware-Coups:

„Siemens unfreiwilliger Helfer? – Siemens hatte angeblich mit dem US-Energieministerium bei einem Programm zum Schutz vor Cyber-Attacken kooperiert. Dabei entdeckte Sicherheitslücken habe man zum Bau des Wurms genutzt.“

Die Webseite des Idaho National Laboratory vermeldet ebenfalls, dass Siemens Zugang zu seinem Kontroll-System gewährt habe.

Halt! Möchte man da rufen. So etwas würden die Amerikaner nie machen. Immerhin verbinden Deutschland und die USA die westliche Wertegemeinschaft, die transatlantische Verbundenheit, die Demokratie. Das US-Ministerium würde doch so etwas Frau Schavan oder Herrn Brüderle niemals antun! Dennoch: Möglich wäre diese Version, gleichzeitig muss man jedoch auch im Auge behalten, dass sie u. U. nur zur Desinformation verbeitet wird.

Bei Linkedin.com liest man allerdings über einen Siemens-Sicherheitsingenieur, dass er im fraglichen Zeitraum in Idaho war, und dass noch ein paar weitere US-Behörden involviert waren (z. B. das Ministerium für Heimatschutz), die Daten sind offensichtlich von ihm selbst eingestellt.

Hat Siemens tatsächlich Sicherheitslücken aufgezeigt, die dann u. U. einschlägig genutzt werden konnten?

Dies wird von dem Sicherheitsingenieur gegenüber der Autorin verneint:

„Wir haben seit Jahren große Anstrengungen unternommen, um selbst solche raffinierten Angriffe wie ein STUXNET auf die Anlagen unserer Kunden zu verhindern. Da die meisten Anlagen jedoch nicht von Siemens betrieben werden und auch nur ein Teil von Siemens selbst gebaut wird, obliegt es dem Besitzer und Betreiber der Anlage, die Anlagen wie von uns empfohlen aufzubauen und zu betreiben – wir als Hersteller können hier aber unterstützen.

Wer vor allem das Basis Whitepaper aufmerksam durchliest, dessen Aufmerksamkeit müsste eigentlich auch auf den verantwortungsvollen Umgang mit denjenigen Risiken gelenkt werden, die nicht rein technisch abgefangen werden können z. B. der Umgang mit mobilen Datenträgern wie USB-Sticks, die einfach nicht unbeaufsichtigt gelassen werden oder gar aus unsicheren Quellen stammen dürfen – siehe dem Hauptverbreitungsweg des STUXNET.

Im Sommer 2008 wurde in Idaho eine Testanlage aufgebaut, deren Sicherheit auf den Empfehlungen der Whitepapers basiert und durch die Security Researcher des INL [Idaho National Laboratory] überprüft und bestätigt werden sollte. Die dabei gefundenen Sicherheitslücken wurden in der Reihenfolge ihrer Priorität durch die zuständigen Entwicklungsabteilungen behoben. Keine der Sicherheitslücken entsprach jedoch genau der Vorgehensweise des STUXNET.

So gesehen gibt es eigentlich keinen Zusammenhang zwischen STUXNET und meinem Einsatz 2008 in Idaho, außer, dass es in beiden Fällen um die Sicherheit von Industrieanlagen geht.“

Ob die erwähnte Idaho-Zusammenarbeit die einzige Zugangsmöglichkeit zum Siemens-Kontrollsystem war bzw. ist? Einmal abgesehen davon, dass Peter Löscher gerne Tee mit Shimon Perez trinkt: Siemens hat als international agierender „Global Player“ natürlich auch eine Niederlassung in Israel. Unter “Siemens in Israel” heißt es:

„Siemens Israel Ltd. wurde 2000 gegründet und ist ein Subunternehmen des deutschen Giganten Siemens AG. Sein Hauptquartier liegt in Rosh Ha’ayin, die Gesellschaft bietet Siemens’ solutions und services in Israel.  Beinahe 85 Jahre lang operiert Siemens schon in Israel und war hilfreich bei der  Bereitstellung von vieler wichtiger Infrastruktur im Bereich Energie, Industrie und Gesundheit. Die Firma hat über 900 Angestellte in Israel.“

Dies ist jedoch nicht die einzige Siemens-Direkt-Kooperation mit dem Nahoststaat. Annette Schavan  (und Vorgängern) vom Bundesministerium für Bildung und Forschung ist es schon lange ein wichtiges Anliegen, deutsche und israelische Forschung zu verbinden.

So kooperiert Siemens auch direkt mit der israelischen Technion Universität in Haifa (eine Zusammenarbeit pflegen auch andere Firmen, z. B. Bayer, Carl Zeiss, Bosch). Auch „im Rahmen der Minerva-Forschungszentren, die von der Minerva Stiftung der Max-Planck-Gesellschaft finanziert werden, wird die Kooperation zwischen deutschen und israelischen Wissenschaftlern und Wissenschaftlerinnen in verschiedenen Forschungsbereichen gefördert. In einigen Minerva-Zentren forscht das Technion unter seiner eigenen Leitung; andere Zentren werden in Zusammenarbeit mit israelischen Universitäten geführt“, so das Ministerium.

Will sagen: Möglichkeiten, sich über Sicherheitslücken in den Siemens-Reglern zu informieren gab es u. U. nicht nur in Idaho, sondern ganz einfach in Israel selbst … Jedenfalls scheint das erlangte Wissen direkt praktisch umgesetzt worden zu sein und zwar in der Wüste Negev.

Der bereits erwähnte NYT-Artikel weiß: „Der Dimona-Komplex in der Wüste Negev, das schwer bewachte Herz von Israel nie zugegebenen Atomwaffenprogramm, wurde zu einem gefährlichen Testgelände bei einer gemeinsamen amerikanisch-israelischen Bemühung, Irans Anstrengungen zu unterminieren, selbst eine Bombe zu machen. Hinter dem Stacheldraht von Dimona, so die Experten, ließ Israel Zentrifugen laufen, die tatsächlich identisch  mit denen in Natanz im Iran waren, wo iranische Wissenschaftler darum kämpfen, Uran anzureichern. Sie sagten, Dimona habe die Effizienz des Computerwurms getestet, ein kritischer Schritt um seine Effektivität auszuprobieren.“

In der Tat, Dimona dürfte theoretisch für einige Überraschungen gut sein. Allerdings würde sich wohl niemals ein UNO-Inspektor der Internationalen Atomenergiebehörde dorthin verirren, da es vermutlich lebensgefährlich sein könnte, etwas inspizieren zu wollen. Man wird sich noch erinnern, wie es dem israelischen Dimona-Techniker Mordechai Vanunu 1986 erging. Er wollte die Welt darauf aufmerksam machen, dass Israel Atommacht geworden war und kontaktierte in London die “Daily Mail”. Deren Besitzer Maxwell leitete die Beweisfotos umgehend nach Israel weiter. Vanunu wurde daraufhin in Rom mit Hilfe einer attraktiven Agentin eingefangen, nach Israel entführt und schmorte dort bis 2004 (!) als Geheimnisverräter im Gefängnis. Seitdem wechseln sich bis heute bei Vanunu erneute Verhaftungen, kurze Entlassungen und Hausarreste ab, obwohl er nur ein einfacher Wartungsarbeiter war und nie tiefere technische Einblicke hatte.

Über die Vaterschaft des Wurms der besagte Artikel weiter: „Sie  ist noch umstritten, aber Offizielle aus Israel antworteten mit einem breiten Grinsen als sie gefragt wurden, ob Israel hinter dem Angriff stecke oder wisse, wer es war. Verschiedene dunkle Hinweise, die tief in seinem [des Wurms] Code versteckt sind, deuten auf einen möglichen israelischen Ursprung – oder einen Versuch, Untersucher zu täuschen.“

Versteckte Hinweise in den Eingeweiden des Stuxnets, obskure Codes im Wurmkot? Tatsächlich hatte sich der bereits erwähnte Computersicherheitsconsultant Ralf Langner schon im September vergangenen Jahres nicht nur als Wurm-Spezialist, sondern auch als bibelfester Exeget betätigt.

Die NYT vom 30.9.2010: „Es gibt viele Gründe für die Annahme, dass Israel mit Stuxnet zu tun hat. Die Geheimdienste sind die größte einzelne Abteilung beim Militär und die Militäreinheit, die sich um Signale, Elektronik und Computernetzwerksicherheit kümmert, bekannt als Einheit 8200, ist innerhalb des Geheimdienstes die größte Gruppe.“ Untersucher hätten immer wieder bei der Malware-Analyse einen Textbaustein namens „Myrtus“ gefunden. Das führte sie zu der Annahme, dass vielleicht das Projekt so heißen könnte. „Mr. Langner war es, der zuerst bemerkte, dass Myrtus eine Anspielung auf das hebräische Wort für Esther [Hadassah] ist. Das Buch Esther erzählt die Geschichte einer persischen Verschwörung gegen Juden, die ihre Feinde präventiv angriffen. ‘Wenn Sie die Bibel lesen, können Sie mal raten’, sagte Lagner bei einem Telefon-Interview von Deutschland aus am Mittwoch.“ Langner sei auch der Ansicht, dass der Stuxnet-Wurm von russischen Lieferanten eingeschleppt worden sein könnte.

Das hört sich doch alles etwas nach Häkelspitze mit Schneegestöber an. Die israelische Zeitung Haaretz befand jedenfalls ganz handfest am 17.1.11: „Israel hat den Iran schon angegriffen“.

Wir dürfen daher an dieser Stelle wohl alle einmal ganz herzlich aufatmen! Wenn auch leider nur bis 2015, denn Meir Dagan, der kürzlich pensionierte, bullige Mossad-Geheimdienstchef, soll laut Haaretz der Hauptverantwortliche für das Sabotage-Werk gewesen sein, er „kann stolz verkünden, dass Irans Fähigkeit, Atomwaffen zu entwickeln, vereitelt worden ist und vor 2015 nicht wieder aktuell werden wird.“ Auch Israels Minister für Strategische Angelegenheiten, Moshe Yaalon, schloss sich dem an und  sagte  laut „Die Presse“ (s. o.) im Dezember, der Iran sei „,wegen technologischer Schwierigkeiten’ noch Jahre vom Bau von Atomwaffen entfernt’.“

Sollten uns Politiker also vor 2015 noch einmal mit Kriegsrethorik in Sachen Iran belästigen, dürfen wir mit Fug und Recht Meir Dagan und Moshe Yaalon als unseren Kronzeugen dafür anführen, dass wir jetzt erst einmal ein Anrecht auf eine Auszeit haben!

Dachten wir, denn erneut hören wir Warnungen, diesmal aus einer anderen Richtung: Russische Wissenschaftler, die im Iran arbeiten, haben den Kreml vor einer möglichen Atomexplosion à la Tschernobyl in Buscher gewarnt. Die Iraner setzten alles daran, trotz Stuxnet die Anlage zum Laufen zu bringen. Sie hätten eine Deadline Ende letzten Jahres gesetzt, andernfalls fürchteten sie einen großen Ansehensverlust für das Land.

Das im Iran angeblich ein echter Schaden angerichtet werden konnte, ist merkwürdig. Denn auch in Deutschland waren 14 Standorte infiziert. Siemens-Sprecher Wieland Siemon sagte gegenüber ZDNet, dass es sich in erster Linie um weiterverarbeitende Betriebe handele. „,In keinem Fall haben wir irgendwelche Schäden registriert.’ Sogenannte kritische Infrastrukturen wie Kraftwerke seien nicht betroffen.“ Microsoft selbst hatte rasch reagiert und für die von dem Wurm ausgenutzte Codelücke ein Sicherheitspflaster bereitgestellt. Auch Siemens selbst stellt technischen Support zur Verfügung (s. o.).

Ist also alles halb so wild? Warum richtet Stuxnet in Deutschland kaum Schaden an, während es den Iran bei der Urananreicherung angeblich um Jahre zurückwirft? Einen Fix zu installieren, sollte auch für iranische Techniker kein Problem sein. Oder verlief es mit Stuxnet  dort so, wie beim Anbau genmanipulierte Pflanzen? Ist der Pollen einmal im Flug, kann er nicht mehr zurückgeholt werden …

(Anmerkung: Alle Hervorhebungen, eckigen Klammern und Übersetzungen aus dem Englischen wurden von der Autorin besorgt).

— Anzeigen —



Tags: , , , , ,

3 Antworten zu “Stuxnet, Siemens und der Cyber-Krieg gegen den Iran”

  1. [...] erstes möchte ich den Artikel von Friederike Beck empfehlen … Stuxnet, Siemens und der Cyberkrieg gegen den Iran … er bietet eine Menge Informationen, die für den durchschnittlich informierten [...]

  2. Googlehupf sagt:

    Vielleicht sind sowohl die iranische “Atomgefahr”, wie auch ihre “Entschärfung” propagandistische Schimären.

    Interessant ist auch, dass der deutsche Thinktank-Chef Volker Perthes den USA eine solche Sabotage empfohlen hat:
    http://alles-schallundrauch.blogspot.com/2011/01/deutsche-denkfabrik-empfahl-sabotage.html

  3. [...] sogar schon eine haben. Das Virus Stuxnet war speziell auf Siemenssteuerungen ausgelegt und man munkelt, das Virus sei von einer unbekannten Größe gegen den Iran (Siemens Anreicherungsanlagen) eingesetzt worden. Andere Kriege sind derzeit nicht sooo aktuell und [...]

Eine Antwort hinterlassen