"Ein Staat am Drücker"
Sandro Gaycken im Gespräch mit Marietta Schwarz · 09.12.2010
Der Sicherheitsforscher Sandro Gaycken ist davon überzeugt, dass hinter dem Angriff des Computer-Wurms Stuxnet die Interessen eines Staates stecken. Der Wurm soll vor einigen Monaten iranische Atomanlagen befallen haben.
Marietta Schwarz: Im September wurde bekannt, dass iranische Atomanlagen von einem Computervirus befallen seien sollen - eine Geschichte wie aus einem James-Bond-Film, zumal man davon ausging, dass es sich dabei um einen Angriff aus Armee- oder Geheimdienstkreisen handelt. Stuxnet heißt dieser Computerwurm, im Juni tauchte er zum ersten Mal auf, seither treibt er sein Unwesen. Die Manipulation der Siemens-Maschinen im Iran scheint aber nur eine Art Probelauf gewesen zu sein, denn auch in anderen Ländern tauchte das Virus auf. Ein Angriff auf die ganze Welt? So sehen es viele Experten, und mit einem bin ich am Telefon verbunden, Sandro Gaycken forscht zu Cyberwar an der Freien Universität Berlin. Guten Morgen!
Sandro Gaycken: Guten Morgen!
Schwarz: Herr Gaycken, wo überall ist denn dieses Virus inzwischen nachgewiesen worden, und was haben diese Ziele gemeinsam?
Gaycken: Na, das Virus wurde jetzt in sehr vielen Ländern gefunden, also auch im Westen, es gab jetzt eine jüngste Zahl: 1300 Infektionen in den USA und Großbritannien alleine, dann in Russland und Kirgisistan gibt es eigentlich inzwischen die höchsten Infektionsraten, Indien und Indonesien ist auch sehr, sehr stark und hat auch den Iran abgehängt inzwischen, und so richtig was gemeinsam haben die Länder halt alle gar nicht. Das ist so ein bisschen das komische Merkmal.
Natürlich haben sie alle technisch was gemeinsam, dass sie so die Grundvoraussetzungen erfüllen, damit das Virus sich da installieren kann, aber ansonsten, wenn man jetzt mit einer strategischen Perspektive rangeht und versucht, zu analysieren, wer denn diese ganzen Länder hätte angreifen wollen, kommt man so richtig auf keinen einzelnen Angreifer.
Schwarz: Auf keinen einzelnen Angreifer – aber wie kann man erklären, wie Stuxnet dorthin gelangt ist? Wie hat man sich das vorzustellen?
Gaycken: Ja, na, das ist das Spannende, weil Stuxnet eigentlich einen sehr streng kontrollierten Propagationsmechanismus hat, also der verteilt sich nicht wie wild wie ein normaler Internetwurm, also kopiert sich nicht übers Internet, sondern sehr kontrolliert über USB-Sticks und geteilte Folder, und auch das nur sehr begrenzt. Man hat noch nicht jetzt so richtig systematisch erforscht, wie epidemisch sich der so ausbreiten kann, aber eigentlich bedeutet diese sehr breite Infektion in vielen unterschiedlichen Ländern, dass er von seinem Angreifer auch wirklich physisch auf einem USB-Stick da hingetragen worden sein muss. Das ist eigentlich so eine ganz spannende Geschichte, weil man sich dann natürlich fragt, wer – und vor allen Dingen mit welchem Zweck – macht denn so einen militärischen Virenangriff, ein Wurm ist es eigentlich, einen militärischen Wurmangriff in so vielen unterschiedlichen Ländern?
Schwarz: Was spricht denn jetzt dafür, dass es sich bei diesem Science-Fiction-Szenario wirklich um virtuelle Kriegsführung handelt und nicht nur um den Angriff eines normalen, sage ich mal, Hackers?
Gaycken: Man kann sehr deutlich sehen, dass da ein sehr, sehr hoher Entwicklungsaufwand eingeschlossen ist, also einige sprechen so von fünf Mannjahren, die da reingeflossen sind an Entwicklung. Also es muss sehr, sehr viel, sehr hart dran gearbeitet worden sein, auch in einem größeren Team von Ingenieuren aus ganz unterschiedlichen Expertisen. Der Wurm hat ein sehr, sehr hohes Niveau, und vor allem ist dann auch Intelligence eingeflossen, also Kenntnisse konventioneller Spionage über Anlagentypen, und man musste auch auf ein konventionelles Spionagenetz zugreifen können, um den Wurm überhaupt verteilen zu können in den verschiedenen Kraftwerken.
Und das alles kann nur noch ein Staat gewesen sein oder eine sehr große organisierte Kriminalität, aber bei der letzteren ist natürlich dann diese Variante des Angriffs, also so ein Sabotageangriff auf Produktionsanlagen und auf Kraftwerke einfach nicht interessant – da kann man kein Geld mit verdienen, von daher interessiert es Kriminelle nicht. Für Staaten ist es schon interessant, (…) bewiesen in Cyberwar, dass man diese Anlagen angreift. Und von daher kann man hier relativ eindeutig darauf schließen, dass ein Staat am Drücker gewesen sein muss.
Schwarz: Sie haben gesagt, man weiß nicht, von wem dieser Wurm kommt, aber es gibt doch bestimmt Vermutungen, Spekulationen.
Gaycken: Klar gibt es Spekulationen, aber Sie haben jetzt hier eine ganz interessante Situation in Cyberwar, und zwar: Sie kriegen ... Bei so einem Cyberangriff haben Sie eigentlich fast keine Spuren. Es gibt natürlich so ein paar physische Spuren, wo sich dann die Forensiker dransetzen, die untersuchen dann zum Beispiel diese USB-Sticks. Aber das sind halt handelsübliche Dinger, wo dann auch keine Fingerabdrücke drauf sind und gar nichts, die werden halt professionell von Nachrichtendiensten verteilt. Und da finden Sie also physische Spuren gar nicht, das heißt, Sie haben also nur die Datenspuren, also nur das, was in dem Code drinsteckt, was der Code tut.
Und da haben Sie jetzt allerdings das Problem, dass das natürlich eine vom Angreifer vollkommen frei konstellierte und erfundene Geschichte ist. Also da können Sie ja alles reinschreiben, was Ihnen irgendwie einfällt, und da haben wir jetzt halt einmal diesen relativ starken Indikator auf den Iran drin, dass also tatsächlich da diese Urananreicherungsanlagen befallen sein könnten von diesem Wurm, und man hat ja auch zeitweise eine relativ hohe Verbreitung im Iran gefunden, die jetzt inzwischen nicht mehr aktuell ist, aber damals ist man davon ausgegangen, dass das dann ein Ziel sein müsste.
Aber Sie haben jetzt natürlich die Situation, dass Sie das einfach nur nach diesem alten römischen Prinzip des Cui bono geschlossen haben, also wer profitiert davon? Sie haben dann gesehen, ja okay, na ja, da greift jemand Atomanlagen im Iran mit einem Wurm an, dann muss dann also Israel, USA gewesen sein, das war so die einzige Vermutung. Aber es gibt beim Militär halt eben auch so eine ganz normale Standardoperation, False Flag heißt die: Wenn man Angriffe macht, die prinzipiell zivile Infrastukturen befallen können, dann ist es ein Kriegsverbrechen, und wenn die auch Produktionsanlagen befallen können, ist es auch wirtschaftspolitisch sehr schwierig.
Das heißt, wenn man so einen Angriff mal loslässt auf die Welt, dann wird man sich bemühen, da eine falsche Flagge zu setzen, also einen Kontext einzubauen, wo dann alle dieses sehen, Analysten und Öffentlichkeit, die das sehen, die dann nicht sehr intensiv darüber nachdenken, halt sagen, ach, das waren nur wieder die Amerikaner und so was. Von daher wäre ich mir da nicht so sicher mit der ganzen Iran-Geschichte. Es war halt auch bei Nachrichtendiensten üblich, 70 bis 80 Prozent teilweise des Aufwands da reinzustecken, einen falschen Verdacht zu erregen, und das ist also nicht der Weisheit letzter Schluss.
Meine persönliche Hypothese ist, dass es ein Waffentest war, Stuxnet hat ja jetzt auch nichts Schlimmes gemacht. Man hat sich da eigentlich nur installiert und sich dann bei seinem Angreifer gemeldet, und dann aber keine Payload nachgeladen, das war also nur so ein Hausfriedensbruch, und das dann aber in sehr vielen unterschiedlichen Sicherheitskulturen. Das spricht eigentlich sehr dafür, dass man da mal getestet hat. Und es gibt dann auch noch einige andere Merkmale im Wurm selber, die sehr intensiv gegen eine gezielte Attacke auf dieses Atomprogramm sprechen.
Schwarz: Sandro Gaycken war das, Cyberwar-Experte an der Freien Universität über Stuxnet. Herzlichen Dank!
Gaycken: Bitte!
Sandro Gaycken: Guten Morgen!
Schwarz: Herr Gaycken, wo überall ist denn dieses Virus inzwischen nachgewiesen worden, und was haben diese Ziele gemeinsam?
Gaycken: Na, das Virus wurde jetzt in sehr vielen Ländern gefunden, also auch im Westen, es gab jetzt eine jüngste Zahl: 1300 Infektionen in den USA und Großbritannien alleine, dann in Russland und Kirgisistan gibt es eigentlich inzwischen die höchsten Infektionsraten, Indien und Indonesien ist auch sehr, sehr stark und hat auch den Iran abgehängt inzwischen, und so richtig was gemeinsam haben die Länder halt alle gar nicht. Das ist so ein bisschen das komische Merkmal.
Natürlich haben sie alle technisch was gemeinsam, dass sie so die Grundvoraussetzungen erfüllen, damit das Virus sich da installieren kann, aber ansonsten, wenn man jetzt mit einer strategischen Perspektive rangeht und versucht, zu analysieren, wer denn diese ganzen Länder hätte angreifen wollen, kommt man so richtig auf keinen einzelnen Angreifer.
Schwarz: Auf keinen einzelnen Angreifer – aber wie kann man erklären, wie Stuxnet dorthin gelangt ist? Wie hat man sich das vorzustellen?
Gaycken: Ja, na, das ist das Spannende, weil Stuxnet eigentlich einen sehr streng kontrollierten Propagationsmechanismus hat, also der verteilt sich nicht wie wild wie ein normaler Internetwurm, also kopiert sich nicht übers Internet, sondern sehr kontrolliert über USB-Sticks und geteilte Folder, und auch das nur sehr begrenzt. Man hat noch nicht jetzt so richtig systematisch erforscht, wie epidemisch sich der so ausbreiten kann, aber eigentlich bedeutet diese sehr breite Infektion in vielen unterschiedlichen Ländern, dass er von seinem Angreifer auch wirklich physisch auf einem USB-Stick da hingetragen worden sein muss. Das ist eigentlich so eine ganz spannende Geschichte, weil man sich dann natürlich fragt, wer – und vor allen Dingen mit welchem Zweck – macht denn so einen militärischen Virenangriff, ein Wurm ist es eigentlich, einen militärischen Wurmangriff in so vielen unterschiedlichen Ländern?
Schwarz: Was spricht denn jetzt dafür, dass es sich bei diesem Science-Fiction-Szenario wirklich um virtuelle Kriegsführung handelt und nicht nur um den Angriff eines normalen, sage ich mal, Hackers?
Gaycken: Man kann sehr deutlich sehen, dass da ein sehr, sehr hoher Entwicklungsaufwand eingeschlossen ist, also einige sprechen so von fünf Mannjahren, die da reingeflossen sind an Entwicklung. Also es muss sehr, sehr viel, sehr hart dran gearbeitet worden sein, auch in einem größeren Team von Ingenieuren aus ganz unterschiedlichen Expertisen. Der Wurm hat ein sehr, sehr hohes Niveau, und vor allem ist dann auch Intelligence eingeflossen, also Kenntnisse konventioneller Spionage über Anlagentypen, und man musste auch auf ein konventionelles Spionagenetz zugreifen können, um den Wurm überhaupt verteilen zu können in den verschiedenen Kraftwerken.
Und das alles kann nur noch ein Staat gewesen sein oder eine sehr große organisierte Kriminalität, aber bei der letzteren ist natürlich dann diese Variante des Angriffs, also so ein Sabotageangriff auf Produktionsanlagen und auf Kraftwerke einfach nicht interessant – da kann man kein Geld mit verdienen, von daher interessiert es Kriminelle nicht. Für Staaten ist es schon interessant, (…) bewiesen in Cyberwar, dass man diese Anlagen angreift. Und von daher kann man hier relativ eindeutig darauf schließen, dass ein Staat am Drücker gewesen sein muss.
Schwarz: Sie haben gesagt, man weiß nicht, von wem dieser Wurm kommt, aber es gibt doch bestimmt Vermutungen, Spekulationen.
Gaycken: Klar gibt es Spekulationen, aber Sie haben jetzt hier eine ganz interessante Situation in Cyberwar, und zwar: Sie kriegen ... Bei so einem Cyberangriff haben Sie eigentlich fast keine Spuren. Es gibt natürlich so ein paar physische Spuren, wo sich dann die Forensiker dransetzen, die untersuchen dann zum Beispiel diese USB-Sticks. Aber das sind halt handelsübliche Dinger, wo dann auch keine Fingerabdrücke drauf sind und gar nichts, die werden halt professionell von Nachrichtendiensten verteilt. Und da finden Sie also physische Spuren gar nicht, das heißt, Sie haben also nur die Datenspuren, also nur das, was in dem Code drinsteckt, was der Code tut.
Und da haben Sie jetzt allerdings das Problem, dass das natürlich eine vom Angreifer vollkommen frei konstellierte und erfundene Geschichte ist. Also da können Sie ja alles reinschreiben, was Ihnen irgendwie einfällt, und da haben wir jetzt halt einmal diesen relativ starken Indikator auf den Iran drin, dass also tatsächlich da diese Urananreicherungsanlagen befallen sein könnten von diesem Wurm, und man hat ja auch zeitweise eine relativ hohe Verbreitung im Iran gefunden, die jetzt inzwischen nicht mehr aktuell ist, aber damals ist man davon ausgegangen, dass das dann ein Ziel sein müsste.
Aber Sie haben jetzt natürlich die Situation, dass Sie das einfach nur nach diesem alten römischen Prinzip des Cui bono geschlossen haben, also wer profitiert davon? Sie haben dann gesehen, ja okay, na ja, da greift jemand Atomanlagen im Iran mit einem Wurm an, dann muss dann also Israel, USA gewesen sein, das war so die einzige Vermutung. Aber es gibt beim Militär halt eben auch so eine ganz normale Standardoperation, False Flag heißt die: Wenn man Angriffe macht, die prinzipiell zivile Infrastukturen befallen können, dann ist es ein Kriegsverbrechen, und wenn die auch Produktionsanlagen befallen können, ist es auch wirtschaftspolitisch sehr schwierig.
Das heißt, wenn man so einen Angriff mal loslässt auf die Welt, dann wird man sich bemühen, da eine falsche Flagge zu setzen, also einen Kontext einzubauen, wo dann alle dieses sehen, Analysten und Öffentlichkeit, die das sehen, die dann nicht sehr intensiv darüber nachdenken, halt sagen, ach, das waren nur wieder die Amerikaner und so was. Von daher wäre ich mir da nicht so sicher mit der ganzen Iran-Geschichte. Es war halt auch bei Nachrichtendiensten üblich, 70 bis 80 Prozent teilweise des Aufwands da reinzustecken, einen falschen Verdacht zu erregen, und das ist also nicht der Weisheit letzter Schluss.
Meine persönliche Hypothese ist, dass es ein Waffentest war, Stuxnet hat ja jetzt auch nichts Schlimmes gemacht. Man hat sich da eigentlich nur installiert und sich dann bei seinem Angreifer gemeldet, und dann aber keine Payload nachgeladen, das war also nur so ein Hausfriedensbruch, und das dann aber in sehr vielen unterschiedlichen Sicherheitskulturen. Das spricht eigentlich sehr dafür, dass man da mal getestet hat. Und es gibt dann auch noch einige andere Merkmale im Wurm selber, die sehr intensiv gegen eine gezielte Attacke auf dieses Atomprogramm sprechen.
Schwarz: Sandro Gaycken war das, Cyberwar-Experte an der Freien Universität über Stuxnet. Herzlichen Dank!
Gaycken: Bitte!