Im nächsten Leben werde ich IT-Sicherheitsexperte. Zumindest kam mir dieser Gedanke mehrmals beim Lesen von „Countdown To Zero Day“ von Kim Zetter.
Der Titel bezieht sich auf Zero-Day-Exploits. Das ist die Bezeichnung für Sicherheitslücken in Computersystemen, die ausgenutzt werden bevor sie geschlossen worden. In diesem Fall erfahren die Softwarehersteller erst durch Entdecken des Angriffs von der Schwachstelle und beginnen dann, einen Patch zu entwicklen. In der Zwischenzeit kann die Attacke großen Schaden angriffen.
In Zetters Buch geht es aber nicht um dieses Problem im Allgemeinen, sondern um einen ganz speziellen Angriff: um Stuxnet. Der Virus, mit dem die USA und Israel das iranische Atomprogramm sabotiert haben.
Zetter beschreibt die Arbeit von Fachleuten bei IT-Sicherheitsfirmen wie Symantec und Kaspersky, die das Rätsel um Stuxnet gelöst haben. Weil die Entwickler leichtsinnig waren, hat Stuxnet nicht nur ein paar Rechner in iranischen Atomanlagen infiziert, sondern über 100.000 Computer in 100 Ländern. So landete das Programm irgendwann bei den Virenjägern auf dem Schreibtisch. Die fingen dann an, mittels Reverse Engineering herauszufinden, was das Ding macht, wofür es bestimmt ist und wer es gebaut hat. Wie sie dem Ziel (Zentrifugen einer Urananreicherungslage in Natanz, Iran) und der Quelle (das US Cyber Command und die Unit 8200 der Israel Defence Forces) von Stuxnet nach und nach auf die Spur kommen, ist wahnsinnig spannend zu lesen und bildet den roten Faden des Buchs.
Dazwischen stehen Hintergrundkapitel etwa über das iranische Atoprogramm oder die Geschichte von Zero-Day-Exploits. Diese Abschnitte lesen sich nicht ganz so atemlos wie die Kerngeschichte, sind aber trotzdem sehr interessant. Darin steht beispielsweise, wie schlecht kritische Infrastruktur wie Kraftwerke und Staudämme auch im Westen gegen Cyberangriffe geschützt ist (vielleicht ist es eben keine so gute Idee, kopflos erstmal alles ans Netz zu hängen). Und wie die Geheimdienste durch das Aufkaufen von Sicherheitslücken einen lukrativen Hacker-Markt geschaffen haben, der unser aller Computer unsicherer macht.
Hochinteressant ist das Buch aber auch einfach durch die historische Bedeutung von Stuxnet: Der Angriff gilt als erster Akt der Cyber-Kriegsführung überhaupt. Sieht so die Zukunft aus? Aus Sicht der Amerikaner und Israel war das eine sehr elegante Methode, das iranische Atomprogramm zu stoppen schwächen. Verhandlungen waren vorher gescheitert und die Kontrolleure der Internationalen Atomenergiebehörde wurden von den Iranern an der Nase herumgeführt. Die Alternative wären Luftangriffe gewesen, die sehr wahrscheinlich einen iranischen Gegenschlag zur Folge gehabt hätten. Das wäre schnell ziemlich blutig geworden. Stuxnet hat nur Sachschäden verursacht (wobei parallel dazu Mordanschläge auf einige führende Köpfe des iranischen Atomprogramms verübt wurden).
Andererseits ist es vermutlich nicht verkehrt, das Krieg mit einem großen Risiko und Aufwand verbunden ist. Das ferngesteuerte Töten von Menschen mittels Drohnen ist schon unheimlich. Einen Computervirus über zig Proxy-Server in feindliche Systeme einzuschleusen bringt nochmal eine ganz andere Distanz zwischen Ursache und Wirkung. Und Cyberattacken bieten gigantische Möglichkeiten für Terroristen und sonstige Verrückte. Auf jedem der 100.000 von Stuxnet infizierten Computer liegt die mächstige digitale Waffe unserer Zeit herum. Die dabei verwendeten Sicherheitslücken dürften zwar längst geschlossen sein, aber zur Inspiration taugen sie allemal.
Update 10.01.2015: Im Lagebericht 2014 des Bundesamts für Sicherheit in der Informationstechnik taucht ein Hacker-Angriff auf ein Stahlwerk in Deutschland auf. Dieses sei „massiv beschädigt“ worden. Dieser Fall gilt nach Stuxnet als zweite Cyber-Attacke weltweit, bei der es zu tatsächlichen physischen Schäden gekommen ist.