Der Chef wollte einen Artikel über Stuxnet, und ehrlich gesagt ist das eine jener Geschichten, die jedes Mal genauso außergewöhnlich wirken, egal wie oft man sie erneut liest. Im Jahr 2010 stießen Computersicherheitsforscher auf etwas Beispielloses: einen 500-Kilobyte-Computerwurm, der seit Jahren unbemerkt iranische Nuklearanlagen sabotierte. Die Cyberwaffe Stuxnet war nicht dazu gedacht, Daten zu stehlen oder Lösegeld zu erpressen. Sie war gebaut, um Dinge zu zerstören, echte physische Dinge, mit nichts außer Code.
Hier ist, was geschah, warum es bedeutsam war, und warum wir noch immer in der Welt leben, die Stuxnet geschaffen hat.
Das Problem: Irans Nuklearprogramm
Bis 2006 hatte Iran die Urananreicherung in seiner unterirdischen Anlage in Natanz wieder aufgenommen, einem weitläufigen Komplex mit drei unterirdischen Gebäuden, von denen zwei für 50.000 Zentrifugen ausgelegt sind. Präsident Mahmoud Ahmadinedschad prahlte öffentlich mit Plänen zur Ausweitung des Programms. Westliche Regierungen befürchteten, dies sei ein Weg zur Atombewaffnung.
Militärische Optionen wirkten allesamt gefährlich. Die Bush-Regierung war überzeugt, dass ein israelischer Luftangriff auf Natanz einen regionalen Krieg auslösen könnte. Wirtschaftssanktionen stagnierten, weil europäische Verbündete sich nicht über das weitere Vorgehen einigen konnten. Laut der New York Times schlugen CIA und NSA eine radikale Alternative vor: einen Cyberangriff, der die Zentrifugen von innen sabotieren sollte.
Das geheime Programm trug den Codenamen Operation Olympic Games.
Die Cyberwaffe Stuxnet: Funktionsweise
Zentrifugen sind empfindliche Maschinen. Sie schleudern Urangas mit Überschallgeschwindigkeit, um die für Kernbrennstoff oder Waffen benötigten Isotope zu trennen. Schon kleine Störungen in ihrer Rotation können dazu führen, dass sie sich zerreißen.
Stuxnet nutzte diese Anfälligkeit aus. Der Wurm zielte auf die Siemens-Software, die die speicherprogrammierbaren Steuerungen (SPS) der Zentrifugen kontrollierte, jene kleinen Computer, die Industrieanlagen verwalten. Einmal im System, tat er zwei Dinge: Er ließ die Zentrifugen unregelmäßig rotieren, und er spielte den Bedienerbildschirmen falsche Daten ein, sodass alles normal erschien.
Die Ingenieure in Natanz wussten, dass etwas nicht stimmte. Zentrifugen versagten in ungewöhnlich hohem Maß. Doch sie konnten die Ursache nicht finden, weil Stuxnet sich im Verborgenen hielt und ihnen Aufzeichnungen normaler Abläufe zeigte, während er darunter die Ausrüstung zerstörte.
Eindringen in eine netzwerkisolierte Anlage
Natanz war nicht mit dem Internet verbunden. Dieser „Air Gap” sollte die Anlage immun gegen Cyberangriffe machen. Stuxnet war darauf ausgelegt, diese Barriere über USB-Sticks zu überwinden, die von Personen mit physischem Zugang zur Anlage mitgebracht wurden.
Jahrelang blieb die Identität der Person, die den Wurm einschleuste, ein Rätsel. Dann, im Jahr 2024, identifizierte eine zweijährige Untersuchung der niederländischen Zeitung De Volkskrant ihn: Erik van Sabben, ein 36-jähriger niederländischer Ingenieur, der vom niederländischen Geheimdienst (AIVD) auf Ersuchen amerikanischer und israelischer Behörden rekrutiert worden war. Van Sabben hatte einen technischen Hintergrund, unterhielt Geschäftsbeziehungen im Iran und war mit einer Iranerin verheiratet, was ihn zum idealen Kandidaten machte.
Laut SecurityWeeks Bericht über die Ermittlungen soll van Sabben die Schadsoftware über eine Wasserpumpe eingeschleust haben, die er in Natanz installiert hatte. Niederländische Parlamentarier wurden nie informiert. „Die Amerikaner haben uns benutzt”, sagte eine Geheimdienstquelle der Volkskrant. Van Sabben starb zwei Wochen nach der Operation bei einem Motorradunfall in Dubai.
Der Schaden
Zwischen Ende 2009 und Anfang 2010 setzte Iran rund 1.000 IR-1-Zentrifugen in Natanz außer Betrieb und ersetzte sie, laut Daten, die das Institut für Wissenschaft und internationale Sicherheit aus IAEO-Sicherungsberichten zusammenstellte. Während Zentrifugenausfälle in Anreicherungsanlagen normal sind, übertraf dieses Ausmaß die Erwartungen bei Weitem.
Der Wurm infizierte weltweit über 200.000 Computer, nachdem er aus der Anlage entkommen war, verursachte aber keinen Schaden an Systemen, die nicht mit der gezielt angesteuerten Siemens-Ausrüstung verbunden waren. Einige Beamte der Obama-Regierung schätzten, das Programm habe Irans Nuklearentwicklung um achtzehn Monate bis zwei Jahre verzögert, obwohl Kim Zetter, die Journalistin, die das maßgebliche Buch über Stuxnet verfasst hat, den Angriff als „verfrüht” bezeichnete, der „eine wesentlich größere Wirkung hätte haben können, wenn die Angreifer gewartet hätten”.
Entdeckung und Konsequenzen
Stuxnet sollte nie gefunden werden. Doch eine aggressivere Version, die 2009 oder 2010 eingesetzt wurde, verbreitete sich zu weit. Ein iranisches Büro ohne Verbindung zum Nuklearprogramm begann, mysteriöse Neustarts und Abstürze zu erleiden. Ein lokaler Sicherheitsexperte rief einen Freund beim belarussischen Antivirenunternehmen VirusBlokAda an, und die folgenreichste Schadsoftware-Untersuchung der Geschichte begann.
Forscher von Kaspersky Lab, Symantec und anderen Unternehmen verbrachten Monate damit, den Code zurückzuentwickeln. Sie stellten fest, dass er vier separate Zero-Day-Schwachstellen ausnutzte, eine für eine einzelne Schadsoftware beispiellose Anzahl, zusammen mit gestohlenen digitalen Zertifikaten von taiwanischen Unternehmen. Kaspersky schätzte, dass ein Team von mindestens zehn Entwicklern zwei bis drei Jahre an seiner Entwicklung gearbeitet hatte.
Im Juni 2012 enthüllte die New York Times, dass Stuxnet das Produkt der Operation Olympic Games war, eines gemeinsamen US-israelischen Programms, das unter Bush begann und unter Obama ausgeweitet wurde. Keine der beiden Regierungen hat offiziell die Verantwortung anerkannt.
Warum Stuxnet noch immer relevant ist
Stuxnet war der erste öffentlich bekannte Cyberangriff, der physische Zerstörung von Infrastruktur verursachte. Wie der ehemalige CIA-Direktor Michael Hayden der New York Times sagte: „Jemand hat den Rubikon überschritten.”
Im Juli 2025 sagte Kim Zetter vor dem Ausschuss für innere Sicherheit des US-Repräsentantenhauses aus, Stuxnet habe „eindrücklich belegt, dass die physische Zerstörung kritischer Infrastruktur allein durch Code nicht nur möglich, sondern auch wahrscheinlich ist”. Sie stellte fest, dass Sicherheitsforscher nach Stuxnet ihre Aufmerksamkeit auf industrielle Steuerungssysteme richteten und „nicht nur Software-Sicherheitslücken, sondern auch ganze Architekturprobleme fanden, die sich nicht mit einem Patch beheben ließen”.
Die Nachfolger von Stuxnets Techniken sind bereits aufgetaucht. Wie Zetter in ihrer Aussage anmerkte, verursachten die Angriffe auf das ukrainische Stromnetz 2015 und 2016, die Russland zugeschrieben werden, Stromausfälle, von denen Hunderttausende Menschen betroffen waren. Die Triton-Schadsoftware von 2017 zielte auf Sicherheitssysteme einer saudischen Petrochemieanlage und stellte einen Schritt in Richtung Angriffe dar, die direkt Menschenleben gefährden könnten.
Marcus Ranum, einer der frühen Pioniere der Computerfirewall, bezeichnete Stuxnet als „einen Stein, der von Leuten geworfen wird, die in einem Glashaus leben”. Dieselben Schwachstellen in industriellen Steuerungssystemen, die Stuxnet im Iran ausnutzte, sind in der amerikanischen und europäischen Infrastruktur allgegenwärtig. Fünfzehn Jahre nach seiner Entdeckung hat die Welt das Problem, das Stuxnet enthüllt hat, nicht gelöst. Sie hat nur immer wieder gezeigt, wie real die Bedrohung ist.
Der Chef wollte einen Artikel über Stuxnet, und für jeden, der in der Cybersicherheit tätig ist, ist das die Fallstudie, die nie altert. Im Juni 2010 identifizierten Forscher einen 500-Kilobyte-Wurm, der seit Jahren still die iranische Urananreicherungsinfrastruktur sabotierte. Die Cyberwaffe Stuxnet stellte einen Paradigmenwechsel dar: die erste bestätigte Schadsoftware, die zur physischen Zerstörung von Industrieanlagen durch Manipulation speicherprogrammierbarer Steuerungen entwickelt worden war.
Operativer Kontext: Olympic Games
Bis 2006 hatte Iran die Anreicherung in der Brennstoffanreicherungsanlage (FEP) in Natanz wieder aufgenommen, einer unterirdischen Anlage mit drei unterirdischen Gebäuden, von denen zwei für 50.000 Zentrifugen ausgelegt sind. Die Bush-Regierung stand vor einem strategischen Dilemma: Sanktionen stagnierten, Militärschläge riskierten eine regionale Eskalation, und frühere CIA-Sabotageaktionen (Einschleusung fehlerhafter Komponenten in die iranische Lieferkette) hatten nur begrenzte Ergebnisse erbracht.
Laut der Untersuchung der New York Times von 2012 schlug General James Cartwright vom US Strategic Command eine Cyberoperation gegen die industriellen Steuerungssysteme von Natanz vor. Die NSA entwickelte die Waffe in Zusammenarbeit mit der CIA und der israelischen Einheit 8200 (SIGINT). Das Programm mit dem Codenamen Olympic Games begann unter Bush und wurde unter Obama beschleunigt.
Die erste Phase bestand darin, einen Beacon in Natanz’ Siemens-Steuerungssysteme einzuschleusen, um die Architektur der Anlage zu kartieren. Der Beacon „telefonierte nach Hause” zur NSA-Zentrale mit Plänen der elektronischen Verzeichnisse und Controllerverbindungen. Die Geheimdienstarbeit dauerte Monate.
Die Cyberwaffe Stuxnet: Angriffsarchitektur
Stuxnets Architektur operierte auf drei Ebenen: Windows-Verbreitung, Ausnutzung der Siemens Step 7-Software und Nutzlastübertragung an die SPS. Die Europäische Agentur für Cybersicherheit (ENISA) klassifizierte ihn als spezialisierte Schadsoftware, die SCADA-Systeme mit Siemens SIMATIC WinCC oder STEP 7 anvisiert.
Der Wurm nutzte vier Zero-Day-Schwachstellen gleichzeitig aus, eine beispiellose Anzahl für ein einzelnes Schadsoftware-Exemplar:
- Eine LNK-Schwachstelle (Windows-Verknüpfung) zur USB-Verbreitung
- Eine Schwachstelle im gemeinsamen Druckerspooler für seitliche Netzwerkbewegung
- Zwei Privilege-Escalation-Exploits zur Erlangung von Systemzugang auf gesperrten Maschinen
Zusätzlich verwendete er digital signierte Treiber mit privaten Schlüsselzertifikaten, die von zwei taiwanischen Hardwareherstellern (Realtek und JMicron) gestohlen worden waren, was es ihm ermöglichte, einen Kernelmodus-Rootkit zu installieren, ohne Sicherheitswarnungen auszulösen. Kaspersky Lab schätzte, der Wurm habe ein Team von mindestens zehn Entwicklern erfordert, das zwei bis drei Jahre lang arbeitete.
Zwei unterschiedliche Nutzlastsequenzen
Stuxnet enthielt zwei separate Sabotagesequenzen, die jeweils verschiedene Aspekte des Zentrifugenbetriebs zielten. Das Institut für Wissenschaft und internationale Sicherheit (ISIS) analysierte beide ausführlich anhand von Symantecs Rückentwicklung:
Sequenz A (Ventilmanipulation): Wie Kim Zetter in ihrer Kongressaussage von 2025 darlegte, zielte die erste Version auf die Auslassventile der Zentrifugen. Nach der Aufzeichnung von 30 Tagen Normalbetrieb schloss Stuxnet die Ventile, um das Entweichen von Gas zu verhindern, wodurch der Innendruck auf das Fünffache des Normalwerts anstieg. Gleichzeitig deaktivierte er die Sicherheitssysteme der Kaskaden und spielte voraufgezeichnete Normaldaten an die Überwachungsstationen. Dieser zweistündige Sabotageablauf wiederholte sich alle 30 Tage.
Sequenz B (Frequenzmanipulation): Laut Zetters Aussage zielte die zweite Version auf die Frequenzumrichter, die die Rotationsgeschwindigkeit der Zentrifugen steuern. Nach einer 26-tägigen Aufzeichnungsphase erhöhte sie die Motorfrequenz von den nominellen 1.064 Hz auf 1.410 Hz für 15 Minuten. ISIS bestätigte, dass 1.410 Hz einer Rotorwandgeschwindigkeit von 443 Metern pro Sekunde entspricht, nahe der mechanischen Grenze des Aluminiumrotors der IR-1-Zentrifuge (440-450 m/s). Nach 13 Tagen senkte sie die Frequenz dann für 50 Minuten auf 2 Hz, machte damit jeden Anreicherungsfortschritt zunichte, bevor der Normalbetrieb wiederhergestellt wurde.
Einschleusung: Überqueren der Luftlücke
Natanz’ Steuerungssysteme waren vom Internet isoliert. Stuxnet war darauf ausgelegt, sich über Wechseldatenträger, insbesondere USB-Sticks, zu verbreiten. Die NYT berichtete, dass „es immer einen Idioten gibt, der nicht lange über den USB-Stick in seiner Hand nachdenkt”, wie ein Operationsarchitekt es formulierte.
Ein entscheidendes Element des Einschleusungsmechanismus tauchte im Januar 2024 auf, als eine zweijährige Untersuchung der niederländischen Zeitung De Volkskrant Erik van Sabben identifizierte: einen niederländischen Ingenieur, der 2005 vom AIVD (Allgemeiner Nachrichten- und Sicherheitsdienst der Niederlande) auf Ersuchen der US-amerikanischen und israelischen Geheimdienste rekrutiert wurde. Van Sabben infiltrierte Natanz über seine Geschäftsverbindungen im Iran und seine Ehe mit einer Iranerin.
SecurityWeek berichtete, die Schadsoftware sei angeblich über eine Wasserpumpe eingeschleust worden, die van Sabben in der Anlage installiert hatte. Sicherheitsforscher Ralph Langner, der seine eigene eingehende Analyse von Stuxnet durchführte, merkte jedoch an, dass „eine Wasserpumpe keine Kopie von Stuxnet tragen kann”, was darauf hindeutet, dass der tatsächliche Einschleusungsmechanismus umstritten bleibt. Der ehemalige CIA-Direktor Michael Hayden, von De Volkskrant befragt, konnte die Wasserpumpentheorie weder bestätigen noch dementieren, da sie der Geheimhaltung unterliege.
Schadensbeurteilung
Von ISIS ausgewertete IAEO-Sicherungsdaten zeigten, dass Iran zwischen Ende 2009 und Anfang 2010 in der FEP etwa 1.000 IR-1-Zentrifugen außer Betrieb setzte, ungefähr sechs Kaskaden mit je 164 Zentrifugen. Modul A26 war am stärksten betroffen: 11 seiner 18 Kaskaden wurden abgeklemmt, was 1.804 Zentrifugen betraf. Die Spitzenzahl installierter Zentrifugen in Natanz hatte vor dem Vorfall 8.692 IR-1 erreicht.
Irans Präsident Ahmadinedschad räumte ein, dass westliche Gegner „es geschafft haben, Probleme für eine begrenzte Anzahl unserer Zentrifugen mit der Software zu verursachen, die sie in elektronische Teile installiert hatten”. Die IAEO-Daten deuten auf mehr hin. Allerdings stieg Irans Produktionsrate an niedrig angereichertem Uran in diesem Zeitraum tatsächlich an, was darauf hindeutet, dass die Anlagenbediener durch vorrangige Reparatur anreichernder Kaskaden kompensierten.
Die Einschätzungen des strategischen Impacts gehen auseinander. Interne Obama-Verwaltungsschätzungen sprachen von einer Verzögerung um achtzehn Monate bis zwei Jahre. Kim Zetter argumentierte in Stanford, „Stuxnet hatte tatsächlich sehr wenig Auswirkung auf Irans Nuklearprogramm” und sei „verfrüht” gewesen, da Iran während des Angriffs einen Nettoanstieg seines Uranvorrats verzeichnete und anschließend auf widerstandsfähigere Zentrifugendesigns umstieg.
Der Wurm infizierte schließlich weltweit über 200.000 Computer, nachdem er aus Natanz entkommen war, wobei die Mehrzahl der Infektionen im Iran konzentriert war. Außerhalb der Anlage verursachte er nur lästige Symptome (Neustarts, Blue Screens) auf Maschinen, denen die gezielte Siemens-Konfiguration fehlte.
Entdeckung und Reverse Engineering
Stuxnets Entdeckung begann mit einem technischen Support-Anruf. Ein iranisches Büro litt unter anhaltenden Neustarts selbst nach vollständigen Betriebssystemneuinstallationen. Sergey Ulasen vom belarussischen Unternehmen VirusBlokAda isolierte die Schadsoftware und erkannte die Zero-Day-Exploits. Er teilte seine Erkenntnisse mit der breiteren Sicherheitsgemeinschaft.
Symantecs Liam O’Murchu beschrieb ihn als „bei weitem das komplexeste Stück Code, das wir je gesehen haben, in einer völlig anderen Liga als alles, was wir zuvor gesehen hatten”. Nach drei bis sechs Monaten Reverse Engineering hatte sein Team „99 Prozent von allem, was im Code passiert” bestimmt. Der entscheidende Durchbruch kam, als sie die Parameter des Codes (acht oder zehn Arrays mit je 168 Frequenzumrichtern) mit den von der IAEO veröffentlichten Spezifikationen einer Urananreicherungsanlage abglichen.
Kasperskys Roel Schouwenberg bemerkte, die vier Zero-Days „ergänzen sich alle wunderschön” und der Code sei „zu ausgereift, um das Werk einer zusammengewürfelten Gruppe von Black-Hat-Hackern zu sein”. Der Code enthielt die Zeichenkette „DEADFOO7″, wahrscheinlich eine Anspielung auf den Luftfahrtbegriff „dead foot” (toter Motor).
Erbe und anhaltende Bedeutung
Im Juli 2025 sagte Zetter vor dem Ausschuss für innere Sicherheit des Repräsentantenhauses aus, Stuxnet habe „eindrückliche Belege geliefert, dass die physische Zerstörung kritischer Infrastruktur allein durch Code nicht nur möglich, sondern auch wahrscheinlich ist”. Sie warnte, dass „sobald Sicherheitsforscher ihren Blick auf diese Systeme richteten, sie nicht nur Software-Sicherheitslücken, sondern auch ganze Architekturprobleme fanden, die sich nicht mit einem Patch beheben ließen”.
Die Schadsoftware-Familien, die folgten, weisen eine klare Abstammungslinie von Stuxnets Innovationen auf:
- Duqu (2011): Nachrichtensammelnde Schadsoftware, die Code mit Stuxnet teilt und auf Industrieunternehmen zur Aufklärung abzielt
- Flame (2012): Spionageplattform, die auf iranische Regierungssysteme abzielt, mit Code, der bei seiner Entdeckung mindestens fünf Jahre alt war
- BlackEnergy/Industroyer (2015-2016): Angriffe auf das ukrainische Stromnetz, die Stromausfälle für Hunderttausende verursachten, Russland zugeschrieben
- Triton (2017): Zielt auf die sicherheitsinstrumentierten Systeme einer saudischen Petrochemieanlage ab, ein Schritt in Richtung Angriffe, die Arbeitern physisch schaden könnten
Stuxnets strategische Lektion ist zweischneidig. Er demonstrierte, dass Cyberoperationen kinetische Militäraktionen ersetzen könnten und potenziell einen israelischen Luftangriff auf Iran verhinderten. Doch er öffnete, wie Zetter dem Kongress sagte, auch eine Ära, in der dieselben Techniken „gegen zivile und militärische Systeme weltweit eingesetzt werden könnten, lebenswichtige Dienste störend, Ausrüstung beschädigend und in manchen Fällen Menschenleben kostend”. Die Schwachstellen in industriellen Steuerungssystemen, die Stuxnet 2007 ausnutzte, sind in kritischen Infrastrukturen weltweit nach wie vor weit verbreitet. Fünfzehn Jahre nach seiner Entdeckung ist Stuxnets grundlegende Erkenntnis, dass Code zerstören kann, nur dringlicher geworden.
