«Derzeit haben wir null Sicherheit»

Ralph Langner ist Sicherheitsexperte für Industriesteuerungen. Er sagt: Auch 18 Monate nach dem Cyberangriff auf eine iranische Atomanlage haben weder Industrie noch Politik die Gefahr erfasst.

«Daran hat ein ganzes Team jahrelang gearbeitet»: Nuklearanlage in Natanz, welcher der Angriff durch Stuxnet galt.

«Daran hat ein ganzes Team jahrelang gearbeitet»: Nuklearanlage in Natanz, welcher der Angriff durch Stuxnet galt. Bild: Keystone

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Herr Langner, Sie beschäftigen sich mit der Sicherheit von industriellen Kontrollsystemen. Seit wann sind Cyberangriffe ein Thema für Sie?
Den ersten Fall hatten wir schon 2000, und zwar in Australien. Dort hat ein Insider eine Kläranlage manipuliert und Abwasser in die Umwelt geleitet. Der Schaden hielt sich in Grenzen.

Dann ist lange nichts passiert.
Uns war klar, dass diese Ruhe nicht ewig dauern würde. Wenn Sie die völlige Ungeschütztheit dieser Systeme kennen und wenn Sie wissen, wo es sie überall gibt, vom Aufzug bis zum Kernkraftwerk, dann rechnet man laufend damit, dass einmal etwas passiert.

Im Sommer 2010 war es so weit: Stuxnet griff eine iranische Anlage zur Urananreicherung an.
Womit wir nicht gerechnet hatten, war die Komplexität dieses Angriffs. Da ist uns mehrmals die Kinnlade runtergefallen. Das ging weit über das hinaus, was wir erwartet hatten.

Was war technisch neu an Stuxnet?
Es kamen mehrere ganz neuartige Angriffstechniken zusammen. Allein dadurch ist klar, dass ein ganzes Team einige Jahre daran gearbeitet hatte, konzeptionell und professionell.

Was wäre Ihr schlimmster Albtraum eines solchen Angriffs?
Es geht weniger darum, sich Worst-Case-Szenarien auszumalen. Viel wichtiger ist, dass man sich überlegt, für welche Angriffsszenarien sich diese neuartigen Methoden besonders eignen.

Und welche Szenarien sind das?
Das läuft, leider, deutlich auf Terrorismus hinaus. Cyberwaffen wie Stuxnet können Sie sehr leicht skalieren. Denn wenn Sie die Systeme eines Kraftwerks stören oder lahmlegen können, dann kostet es Sie nichts zusätzlich, gleich hundert davon anzugreifen. Das ist anders als bei physischen Angriffen mit echten Waffen, bei denen jede Bombe extra kostet. Bei logischen Bomben zahlen Sie einmal für die Entwicklung, und die Skalierung kostet Sie nichts.

Also statt des chirurgischen Angriffs die Streubombe.
Ja. Der chirurgische Angriff, wie 2010 im Iran, ist die absolute Ausnahme. Das Perfide daran ist des weiteren, dass der einzelne Angriff gar nicht so grossen Schaden anrichten muss, um insgesamt effektiv zu sein. Hundert kleine Schäden an hundert Kraftwerken können schlimmer sein als ein grosser Schaden an einem einzigen.

Wie wurden Sie in die Aufklärung des Stuxnet-Falls involviert? Hat man Sie als Experte angefragt?
Nein, ich habe mich des Themas bemächtigt. Das ist wie bei den Fachärzten. Ein Onkologe, der von einem seltenen, neuartigen Fall hört, der guckt sich das von sich aus an.

Später wurden auch chinesische und indische Anlagen befallen. Wie generisch respektive wie spezifisch war nun Stuxnet?
Diese ganzen Infektionen ausserhalb des Iran sind völlig unbedeutend und ungefährlich. Diese Waffe war völlig spezifisch und gezielt programmiert. In einem Schweizer oder einem chinesischen Kraftwerk würde sie nichts anrichten.

Vorläufig nicht oder gar nicht?
Das ist auch künftig völlig ausgeschlossen. Die Angriffsroutinen sind extrem spezifisch. Die Angreifer haben jedes Detail der Anlage gekannt, was angesichts von deren Geheimhaltung erstaunlich ist.

Also ist die Gefahr vorbei?
Keineswegs. Stuxnet ist aus diversen Modulen aufgebaut, wovon einige extrem zielgerichtet sind. Andere hingegen haben eher generischen Charakter.

Die könnte man also auch für andere Ziele verwenden.
Das ist die grosse Gefahr. Es ist bekannt, dass Stuxnet unter anderem eine Lücke in Windows ausgenutzt hat, die es erlaubt, ab einem USB-Stick Software laufen zu lassen, ohne dass der Benutzer es bemerkt. Das hat nichts mit iranischer Urananreicherung zu tun. Wir haben auch auf den industriellen Steuerungen generische Angriffsmodule gefunden.

Wie automatisch muss man sich so einen Angriff vorstellen? Sitzen da Leute irgendwo in einem Kontrollzentrum und steuern das live?
Nein, das läuft vollautomatisch ab. Die meisten Leute stellen sich vor, dass ein Angriff übers Internet abläuft und dass ein böser Hacker mit der Strumpfhose über dem Kopf von einem abgedunkelten Raum aus alles fernsteuert. Das ist völlig unrealistisch. Das ginge bei Stuxnet gar nicht, denn es wird ein sogenannt hartes Ziel angegriffen, das übers Internet gar nicht erreichbar ist.

Wie greift man solch ein Ziel an?
Das geschieht indirekt und offline. Die Cyberwaffe wird auf den Systemen von Personen platziert, die physischen Zugang zum Ziel haben, beispielsweise während Wartungsarbeiten.

Löst sich also die Grenze zwischen industriellen Anlagen und dem Internet zunehmend auf?
Viele Industrieanlagen hängen bereits am Internet, zwar nicht öffentlich, aber etwa für Fernwartung. Solche Dinge kann man auch relativ sicher machen.

Passiert das auch in AKW?
Nein, da gelten strengere Vorschriften.

Was weiss man heute über die Urheber von Stuxnet?
Theoretisch kommen einige Urheber infrage. China wird verdächtigt, Israel oder Russland. Tatsache ist aber, dass die einzigen Indizien, die wir in diesem Fall haben, aus den USA kommen.

Auch das politische Ziel legt diese Vermutung nahe.
Das ist völlig klar. Vergessen Sie mal für einen Moment, dass es ein Cyberangriff war. Es ist klassische, nukleare Antiproliferation, das gibt es seit Jahrzehnten. Stuxnet macht einfach das, was früher mit etwas kruderen Methoden gemacht worden ist, nämlich Sabotage.

Verglichen mit klassischer Sabotage ist Stuxnet eine elegante Lösung. Empfinden Sie Bewunderung für die Ingenieurleistung dahinter?
Es steckt sicher viel Können dahinter. Und was wären denn die Alternativen? Man könnte die iranische Anlage auch einfach bombardieren. Wenn man ohne Bomben auskommt, ist das vielleicht einen Versuch wert.

Wegen kleinerer Kollateralschäden?
Ich sage bewusst «vielleicht», denn die Kollateralschäden von Stuxnet sind leider überhaupt nicht absehbar. Hier wurde quasi ein grosses Experiment gestartet, das noch massive Auswirkungen haben wird.

Wer ausser den USA hätte denn das nötige Fachwissen? Und wie lange dauert es, bis andere Länder es auch haben?
Wir wissen, dass einige Staaten digital aufrüsten, etwa Russland oder China. Eine Waffentechnologie wie Stuxnet lässt sich viel schneller entwickeln als etwa eine Atombombe. Und das lässt sich weder beobachten noch kontrollieren. Früher oder später werden auch kleinere Länder über diese Waffen verfügen, sei es Nordkorea, Syrien oder der Iran. Man muss nicht einmal das ganze Know-how selbst aufbauen, das lässt sich auf dem Graumarkt zukaufen.

Wie hoch schätzen Sie die Entwicklungskosten für Stuxnet?
Über den Daumen gepeilt sind wir auf etwa 10 Millionen Dollar gekommen.

Das ist nichts im Vergleich zu einem Kampfjet, einer Drohne oder einem nuklearen Sprengkopf.
Korrekt. Wenn man diesen Betrag mit herkömmlicher Schadsoftware vergleicht, dann wirken 10 Millionen enorm teuer. Doch im militärischen Kontext sind diese Kosten vernachlässigbar. Die CIA gibt jedes Jahr mehr Geld für Büroklammern aus.

Erste Nachfolger von Stuxnet gibt es schon, Ende 2011 ist Duqu aufgetaucht, der als Abkömmling gilt.
Den habe ich im Detail nicht studiert, weil er sich nicht gegen industrielle Systeme richtet. Er verdeutlicht aber, dass da bestimmt noch etwas nachkommt. Ich hätte anhand meiner Analysen selbst schon vor einem Jahr eine ähnliche Waffe bauen können.

Das wäre wahrscheinlich auch ein lukratives Geschäft.
Das mag sein, ist aber aus ethischen Gründen kein Thema für mich.

Wir sind froh, wenn Sie der Security treu bleiben. Inwiefern ändert sich deren Arbeitsweise, wenn plötzlich Geheimdienste mitmischen? Bisher pflegten die IT-Sicherheitsfirmen einen offenen, globalen Austausch untereinander. Müssen sie nun vermehrt im Geheimen agieren?
Das ist eine gute Frage, und ich muss gestehen: Ich weiss die Antwort nicht. Es stellt sich zudem die Frage, ob ein Anbieter von Anti-Schadstoff-Software nicht auch eine Art von Waffe verkauft, einfach eine defensive. Für uns ist diese Frage bereits sehr konkret, und wir haben eines unserer Produkte nicht in den Mittleren Osten geliefert. Die Auftraggeber hatten offensichtlich Verbindungen in den Iran. Und ich würde diesem Land nicht unbedingt dabei helfen wollen, seine Anlagen besser zu schützen.

Kasperski beispielsweise sitzt in Russland, Symentec in den USA. Spielt das plötzlich eine Rolle?
Ob die ihren Ländern stärker verpflichtet sind als der gemeinsamen, globalen Malware-Abwehr, wissen wir noch nicht. Es wird sicher spannend sein, das zu beobachten.

Hat die Industrie eigentlich die Gefahren hinreichend erkannt? Und unternimmt sie etwas dagegen?
Leider ist die eigentliche Botschaft des Falls nicht verstanden worden. Ich habe vor ein paar Monaten mit einem Vertreter einer grossen Mineralölfirma gesprochen. Deren Management liess nur abklären, ob man dieselbe Siemens-Software wie in den iranischen Kraftwerken im Einsatz habe. Und da dies nicht der Fall war, ging man sofort zur Tagesordnung über. Das ist natürlich eine bizarre Reaktion, denn die betreffende Software war nur einer von vielen Faktoren. Viel wichtiger wäre es zu prüfen, ob man dieselben Industriesteuerungen von Siemens verwendet. Und davon hätten sie sicherlich Abertausende im Einsatz.

Aber so viel Fachwissen müsste doch vorhanden sein.
Diese Industrieanlagen werden nicht von klassischen IT-Leuten betreut, sondern, salopp gesagt, von Elektrikern. Denen fehlt das Fachwissen, diese Zusammenhänge zu sehen. Nicht, weil sie doof sind, sondern weil sie einfach eine andere Ausbildung haben.

Welche Rolle hat Siemens gespielt?
Fatal war, dass Siemens sich sehr grosse Mühe gemacht hat, das Problem unter den Teppich zu kehren. So wurde behauptet, die Schwachstellen würden bloss Windows betreffen und Microsoft habe diese ja unterdessen gefixt. Als Betreiber einer Industrieanlage sind Sie erst einmal versucht, dies zu glauben. Wer denkt schon, dass der Lieferant, der ja keine Garagenfirma, sondern ein Weltkonzern ist, einen anlügt?

Also hat kaum jemand seit Stuxnet Gegenmassnahmen ergriffen?
Es gibt auch positive Ausnahmen. In regulierten Industrien wie etwa der Nuklearindustrie ist die Cybersicherheit als Thema bei den Behörden angekommen, die Amerikaner sind da Vorreiter.

Also wäre auch die Politik gefragt.
Industriesteuerungen sind zwar überall, von der Verkehrsampel bis zum Kraftwerk, doch die meisten Leute kommen damit nie direkt in Kontakt. Das führt zu diesem blinden Fleck. Die Politik ist völlig überfordert und hat überhaupt kein Bild vom Schadenpotenzial, das rasch volkswirtschaftliche Dimensionen annehmen kann. Wenn dann einmal etwas passieren wird, wird vermutlich relativ kopflos reagiert werden, aus der Not der Stunde heraus.

Was müsste man denn unternehmen, um zu einer flächendeckenden Sicherheit zu kommen?
Der Schutz der bestehenden Systeme ist weder teuer noch enorm aufwendig. Es geht weniger darum, bei einzelnen Anlagen die grösstmögliche Sicherheit herzustellen, als flächendeckend mindestens einmal eine minimale Sicherheit zu implementieren. Derzeit haben wir null Sicherheit bei diesen Anlagen.

Erstellt: 19.02.2012, 13:52 Uhr

War massgeblich an der Aufklärung des Stuxnet-Falls beteiligt: Ralph Langner, Experte für Sicherheit bei industriellen Kontrollsystemen. (Bild: PD)

Artikel zum Thema

Warum Stuxnet einzigartig ist

Der Wurm wurde programmiert, um gezielt ein Steuerungsprogramm einer iranischen Urananreicherungsanlage lahmzulegen. Nun erhält er Geschwister. Mehr...

Wie eine «elektronische Aufklärungsdrohne»

Hintergrund Hinter dem Computerwurm Duqu, der einen ähnlichen Code wie Stuxnet verwendet, werden staatliche Institutionen vermutet. Mehr...

Stuxnet: Teheran macht die USA und Israel verantwortlich

Zum ersten Mal macht ein iranischer Verantwortlicher die beiden Staaten für die Lancierung des Wurms verantwortlich, welcher Computer des iranischen Atomprogramms befallen hat. Mehr...

Service

Ihre Spasskarte

Mit Ihrer Carte Blanche von diversen Vergünstigungen profitieren.

Kommentare

Abo

Abo Digital - 26 CHF im Monat

Den Tages-Anzeiger unbeschränkt digital lesen, inkl. ePaper. Flexibel und jederzeit kündbar.
Jetzt abonnieren!

Die Welt in Bildern

Spielvergnügen: Kinder spielen in einem 20'000 Quadratmeter grossen und zwei Kilometer langen Maislabyrinth bei «Urba Kids» in Orbe, Waadt. (22. August 2019)
(Bild: Laurent Gillieron) Mehr...