Siemens hat die Malware auf einer Testanlage isoliert und studiert dessen Funktionsweise. Laut den Informationen zum Stuxnet-Virus auf den Support-Seiten von WinCC lassen dessen bislang analysierten Eigenschaften und sein Verhalten den Schluss zu, dass es sich nicht um die Entwicklung eines Hackers handelt. Stuxnet ist das Produkt eines Expertenteams, das neben ausgezeichneten IT-Kenntnissen auch über umfassendes Know-how in Sachen Industriesteuerungen, deren Einsatz in Produktionsprozessen und dem Engineering solcher Anlagen verfügen muss.

Der Trojaner wird aktiv, wenn WinCC- oder PCS7-Software installiert sind. In einem sehr spezifischen Automatisierungsumfeld oder einer speziellen Anlagenkonfiguration kann das Virus nicht nur Daten weitergeben, sondern auch spezifische Prozesse und Abläufe in der Steuerung beeinflussen.

Das Verhaltensmuster von Stuxnet deutet darauf hin, dass das Virus nur in Anlagen mit einer spezifischen Konfiguration aktiv wird. Dazu sucht das Schadprogramm nach bestimmen Hardware-Baugruppen und Programmmustern, die für einen bestimmten Produktionsprozess stehen. Dieses Muster ist zum Beispiel durch einen Datenbaustein und zwei Codebausteine eingrenzbar.

Im Klartext: Die „Hacker" haben Stuxnet offenbar gezielt auf einen speziellen Prozess oder eine Anlage maßgeschneidert - nicht auf eine bestimmte Marke eines Steuerungsanbieters und auch nicht auf die Mehrheit der industriellen Anwendungen.

Als Indiz dafür nennt Siemens auf ihrer Support-Seite die dem Unternehmen bekannten Fälle einer Infizierung: In 15 Anlagen wurde das Virus bislang entdeckt, jedoch nicht aktiv, weil die spezifische Konstellation nicht vorhanden war. Immer ließ sich das Virus entfernen, ohne dass es bisher zu Schadensfällen kam.

Ablauf und Identifikation der Infektion

Stuxnet schleust eigene Bausteine (zum Beispiel DB890, FC1865 und FC1874) in das System ein und versucht diese in die Zentralbaugruppe (CPU) des Automatisierungssystems zu laden und in den Programmablauf einzubinden. Sind die Bausteine bereits im bisherigen Programmcode vorhanden, erfolgt kein Eingriff in das Anwenderprogramm durch die Malware.

Waren im Ursprungsprogramm einer Steuerung die genannten Bausteine - DB890, FC1865 und FC1874 - nicht vorhanden, und werden jetzt erkannt, ist das Automatisierungssystem mit dem Virus infiziert. In diesem Fall empfiehlt Siemens die Beseitigung des Virus mit den auf den Support-Seiten bereitgestellten Tools und Abläufen. Das Microsoft-Patch KB2347290 wurde mit WinCC und PCS 7 erfolgreich auf Verträglichkeit getestet. Bis dato hat Siemens rund 14000 Downloads ihrer Software-Tools registriert.

Die Spekulationen

In den vergangenen Tagen haben die „Frankfurter Allgemeine Zeitung" (FAZ) und „Der Spiegel" über das Virus in ihren Onlinemedien berichtet. Frank Rieger kommt in seinem Bericht „Der digitale Erstschlag ist erfolgt" nach einer ausführlichen Analyse des extrem aufwendig konstruierten Virus zu dem Schluss, dass nur Staaten einen so großen Aufwand - immerhin im siebenstelligen Euro-Bereich - für die gezielte Infiltration einer Anlage betreiben würden. Zu ähnlichen Ergebnissen kommen auch die Autoren Matthias Kremp und Konrad Lischkau („Der Wurm, der aus dem Nichts kam"). Unter dieser Prämisse drängt sich die Frage auf: Welche Anlage ist für einen oder mehrere Staaten so interessant, dass sie ins Fadenkreuz genommen wird. Rieger mutmaßt jedenfalls das iranische Atomprogramm als ein sehr wahrscheinliches Ziel und baut eine schlüssige Argumentationskette auf.