Symantec beschreibt in ihrem Stuxnet-Dossier, wie der Trojaner die Sollwerte von Antrieben variiert. (Quelle: Symantec)

Als Indiz führt Symantec in ihrem aktualisierten Whitepaper „W32.stuxnet Dossier V1.3" (ab Seite 42) die Beeinflussung von Sollwertvorgaben für Frequenzumrichter-Arrays an. Deren hohe Ausgangsfrequenzen - über 1 kHz - sind beispielsweise für die Ansteuerung von hochtourig drehenden Uran-Zentrifugen notwendig. Hier setzt das Virus an und variiert - für die Anlagenbediener unsichtbar - die Solldrehzahlen für Frequenzumrichter von zwei Anbietern (Vacon drive und Fararo Paya drive / Seite 54). Die Folge wäre eine ungenügende Anreicherung des Urans.

Zu den gleichen Ergebnissen kommen die Experten von Langner Communications in Berlin. Auf seiner Homepage nennt das Unternehmen zwei unterschiedliche Angriffsziele von Stuxnet:

1. Gaszentrifugen-Kaskaden zur Urananreicherung: Der in Stuxnet für S7-315 enthaltene Schadcode manipuliert jeweils ein Array von bis zu 186 Antrieben.
2. Eine Turbinensteuerung, wie sie im Kraftwerksbereich eingesetzt wird.

„Die Schadroutine Nummer 2 ist vollständig anders strukturiert und zeigt eine Angriffsart, die bisher auf Industriesteuerungen nicht für möglich gehalten wurde", betont Ralph Langner in einer Pressemitteilung. Technisch wird sie als "Man-in-the-middle" bezeichnet. Langner vermutet, dass sich diese Angriffsroutine gegen das iranische Kernkraftwerk in Bushehr richtet. Die dort zur Turbinensteuerung eingesetzte Steuerungstechnik entspricht von der Konfiguration her dem Code, den Schadroutine 2 verwendet. Speziell aufgrund der aus der Codeanalyse des zweiten digitalen Sprengkopfes gewonnenen Erkenntnisse schließt Langner aus, dass es sich bei den Tätern um "Hacker" handelt.

Für Ralph Langner steht fest: „Nationalstaaten beziehungsweise Geheimdienste waren involviert, da andere Organisationen nicht entfernt über die hier eingesetzten Ressourcen verfügen." Interessante Details zur Funktionsweise des Virus fasst das Unternehmen in seinem englischsprachigen Blog zusammen, beispielsweise wie Stuxnet dafür sorgt, dass die Anlagenfahrer von den Manipulationen nichts mitbekommen. Dazu verändert das Virus nicht nur die Anzeigen im Prozessleitsystem, sondern spielt zusätzlich auf den Monitoren zuvor aufgezeichnete Video-Sequenzen der Überwachungskameras ein.