Stuxnet reloaded: Die Welt der Hacker wird zum Alltag

Stuxnet reloaded: Die Welt der Hacker wird zum Alltag
Die Szene ist schillernd und kaum fassbar: Kein Tag ohne Angriffe aus dem digitalen Untergrund. Ob Pentagon oder Zoll, Sony oder Rewe - niemand scheint sicher vor Hackern. Nun ist ein Stuxnet-ähnlicher Computervirus aufgetaucht, der nach Insider-Informationen zu Steuersystemen von Industrieanlagen sucht.
19.10.2011
Von Peter Zschunke

Digitale Technik ist nie zu hundert Prozent sicher. Jeder Fehler kann ausgenutzt werden - von findigen Leuten, die als Hacker bezeichnet werden. Die Motive sind so vielfältig wie die Gesellschaft: Es gibt Hacker im Auftrag von kriminellen Banden oder ausländischen Geheimdiensten. Einige wollen nur auf Sicherheitslücken hinweisen, andere wollen diese ausnutzen und als "Hacktivisten" aus politischen Gründen Sand ins Systemgetriebe streuen.

Schon jetzt lässt sich sagen, dass 2011 das Jahr der Hacker ist. "In einem solchen Ausmaß wie in diesem Jahr waren wir bisher noch nicht mit öffentlichkeitswirksamen Aktionen von Hackern konfrontiert", sagte der Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI), Matthias Gärtner.

Duqu: "Kleiner Bruder" von Stuxnet in Europa aufgetaucht

Aktuell ist auf Computern in Europa laut Experten eine Art "kleiner Bruder" des berüchtigten Computerwurms Stuxnet entdeckt worden. Die neue Software, die den Namen "Duqu" bekam, ist ein Trojaner, der Entwickler von Industrieanlagen ausspähen sollte, berichtete die IT-Sicherheitsfirma Symantec in der Nacht zum Mittwoch. Das Alarmierende: Duqu enthalte Teile des Software-Codes von Stuxnet, des berüchtigten Virusprogramms, das wahrscheinlich das iranische Atomprogramm sabotiert hat.

"Duqu ist im Grunde der Vorbote einer zukünftigen Stuxnet-artigen Attacke", schrieben Experten von Symantec in einer Analyse. Der Trojaner sammele Daten von Computern und übermittele sie an seine Entwickler. Duqu sei auf Computern von sieben oder acht europäischer Unternehmen gefunden worden, die an der Entwicklung von Industrieanlagen-Software beteiligt seien, sagte ein Symantec-Analyst dem Online-Dienst CNET. Die Software sei so programmiert, dass sie sich nach 36 Tagen automatisch von den Rechnern entfernt. "Wir wissen bisher nicht, worauf genau sie es abgesehen haben." Die erste Attacke dürfte bereits im Dezember 2010 erfolgt sein. Den Namen Duqu bekam die Software, weil sie Dateien mit dem Namensteil "~DQ" anlegt.

Die IT-Sicherheitsfirma McAfee kam zu dem Schluss, dass mit Duqu auch Unternehmen angegriffen werden konnten, die digitale Zertifikate zur Autorisierung von Websites und Software ausgeben. Mit geklauten Zertifikaten kann man sich im Netz als jemand anderer ausgeben oder gefährliche Programme legal wirken lassen.

Kaspersky: In Zukunft weitere Angriffe wie Stuxnet

Der russische Sicherheitssoftware-Spezialist Kaspersky rechnete bereits im März mit weiteren Angriffen auf Industrie und lebenswichtige Infrastrukturen nach dem Vorbild des Stuxnet-Virus. "Das ist eine große Gefahr", betonte Gründer Eugene Kaspersky auf der diesjährigen IT-Messe CeBIT in Hannover.

Online-Kriminelle werden in Zukunft noch mehr die Smartphones ins Visier nehmen, warnte Kaspersky. "Es ist eine lukrative Industrie, und sie geht dorthin, wo die Nutzer sind - und das Geld." Die "Post-PC-Ära" sei angebrochen. "In Zukunft werden wir im Alltag weitgehend ohne die heute üblichen Computer auskommen und alles mit unseren Handys machen." Daher würden sich auch die Internet-Kriminellen umstellen.

Auch der Trend zum Cloud Computing bringe neue Risiken: "Die Frage ist: Wer ist zuständig für die Sicherheit in der IT-Wolke?" Wenn der Anbieter des Cloud-Dienstes sich nicht genug um die Sicherheit kümmere, nütze auch der beste Virenschutz auf einem Computer nichts.

Digitaler Erstschlag im Computerkrieg?

Der Computerwurm Stuxnet ist im vergangenen Jahr zum Synonym für Angriffe auf große und wichtige Infrastrukturen wie Industrieanlagen oder Stromnetze geworden. Der raffinierte Schädling war speziell auf eine bestimmte Konfiguration von Siemens-Industriesysteme zugeschnitten. Er konnte im Prinzip aber auf jegliche Art von Industrieanlagen abgerichtet werden. Da der Arbeitsaufwand für ein derartiges Programm immens hoch ist, vermuten viele Spezialisten Staaten oder zumindest eine staatlich unterstütze Gruppe hinter dem Angriff.

"Der digitale Erstschlag ist erfolgt", erklärte damals Frank Rieger vom Chaos Computer Club (CCC) zum Computerwurm Stuxnet. Ähnlich martialisch war die Begleitmusik zu Hacker-Angriffen von Unterstützern der Enthüllungsplattform WikiLeaks auf Firmen wie Visa und Mastercard. "Der erste ernsthafte Info-War ist jetzt im Gange. Das Schlachtfeld ist WikiLeaks. Ihr seid die Truppen", twitterte Anfang Dezember 2010 der Internet-Aktivist John Perry Barlow.

Dieser Teil der Hackerszene formiert sich um die Gruppe Anonymous, die 2008 erstmals mit Aktionen gegen Scientology auftrat. Ihre Mitglieder organisieren "Operationen", die sich mal gegen autoritäre arabische Regime, mal gegen Polizeibehörden in Großbritannien oder den USA richten. Kleinster gemeinsamer Nenner ist der Kampf gegen "freiheitsfeindliche Organisationen".

Einen Schwerpunkt in Deutschland hat die Hackergruppe No Name Crew, die mit einem Einbruch in IT-Systeme von Bundespolizei und Zoll für Schlagzeilen sorgte. "Das Hacken ist für uns allerdings kein bloßes Hobby oder nichts weiter als ein Job. Für uns ist Hacken eine Lebensphilosophie", sagte ein Mitglied der Gruppe in einem Gespräch mit dem Internet-Portal gulli.com.

Vom Lahmlegen einer Webseite bis zum Datendiebstahl

Der digitale Untergrund organisiert sich dezentral über das Netz, wobei Kanäle bevorzugt werden, die wie das Chat-Protokoll IRC eine weitgehende Anonymität ermöglichen. Eine Gruppe von Aktivisten bereitet unter dem Namen AnonPlus ein eigenes Soziales Netzwerk vor, eine Art Facebook der Hackerszene.

Ein beliebtes Werkzeug unter den Hacktivisten vom Schlage Anonymous sind Denial-of-Service-Attacken (DDoS). Dabei werden Webseiten mit einer Flut sinnloser Datenanfragen überschwemmt und in die Knie gezwungen. Dafür nutzen die Angreifer manchmal ein so genanntes Botnet - das ist ein Zusammenschluss von vielen Computern, die unfreiwillig auf ein gemeinsames Ziel angesetzt werden. Es geht aber auch über die freiwillige Beteiligung sehr vieler Personen.

Schwerer als das Lahmlegen eines Webservers oder ein "Defacement", also die Umgestaltung einer Webseite, wiegt der Diebstahl von Daten wie bei Sony und beim Einzelhandelskonzerns Rewe. Im Fall Rewe waren mehrere zehntausend Sammler von Tierbildchen betroffen, an deren Namen, Passwörter und E-Mail-Adressen die Täter gelangt sind. Bei einem kriminellen Hintergrund ist der Missbrauch zum Einkaufen unter falscher Identität oder für den Versand von Spam-Mails zu befürchten. Auch an Kreditkartendaten können kriminelle Hacker gelangen, wenn sie sich beispielsweise in schwach gesicherte Online-Shops einklinken.

Cyber-Abwehrzentrum soll vor Gefahr aus dem Netz schützen

Während es bei privaten Nutzern meistens um den Diebstahl von Geld oder Identitäten geht, werden staatliche Stellen gleich von zwei Seiten attackiert - von Hacktivisten ebenso wie von rivalisierenden Staaten. Im Juli wurde der bislang schwerste Angriff auf das Pentagon bekannt, bei dem 24.000 Dokumente gestohlen wurden und ein ausländischer Geheimdienst als Täter vermutet wird.

In Bonn wurde nach den Angriffen auf Zoll und Bundespolizei das in diesem Jahr eingerichtete Cyber-Abwehrzentrum aktiv. "Wir können jetzt schneller zu einer umfassenden Lageeinschätzung gelangen und auch schneller Gegenmaßnahmen ergreifen", sagte Gärtner vom Bundesamt für Sicherheit in der Informationstechnik (BSI). "In der Prävention von Angriffen bleibt aber noch viel zu tun."

Das Zentrum in Bonn ist keine neue Behörde, sondern eine Informations- und Kooperationsplattform. Das BSI hat die Federführung und stellt neben den Räumlichkeiten auch sechs der zehn Mitarbeiter. Jeweils zwei Mitglieder kommen vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BKK) und vom Bundesamt für Verfassungsschutz (BfV). Seit Juli werden auch Verbindungsbeamte der Bundespolizei, des Bundeskriminalamts, des Bundesnachrichtendienstes, der Bundeswehr und des Zollkriminalamts einbezogen.

"Wir haben es mit hochprofessionellen Angreifern zu tun, die ausreichend Ressourcen haben", sagt Hartmut Isselhorst vom BSI. Die erforderlichen Zutaten für einen Angriff aus dem Netz könnten recht problemlos beschafft werden. "Das Ganze kann man sowohl zu Spionage- als auch zu Sabotagezwecken machen, das haben wir spätestens seit Stuxnet gelernt"

dpa/evangelisch.de