{
	"id": "a05ee585-74dc-40ba-99b4-f140fc3adb83",
	"created_at": "2026-04-06T00:16:19.265661Z",
	"updated_at": "2026-04-10T13:12:36.574513Z",
	"deleted_at": null,
	"sha1_hash": "ab70018c00696d6dddaac290741d4ced1f08c970",
	"title": "Von der Cyberwaffe zum Schreckgespenst: Vor 10 Jahren wurde Stuxnet entdeckt",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1530600,
	"plain_text": "Von der Cyberwaffe zum Schreckgespenst: Vor 10 Jahren wurde\r\nStuxnet entdeckt\r\nBy Patrick Beuth, DER SPIEGEL\r\nPublished: 2020-06-17 · Archived: 2026-04-05 20:06:32 UTC\r\nhttps://www.spiegel.de/netzwelt/web/die-erste-cyberwaffe-und-ihre-folgen-a-a0ed08c9-5080-4ac2-8518-ed69347dc147\r\nPage 1 of 5\n\n2008: Der damalige iranische Präsident Mahmoud Ahmadinejad besichtigt die\r\nUrananreicherungsanlage Natanz\r\nFoto: HO/ AFP\r\nAm 17. Juni 2010 schrieb Sergey Ulasen in holprigem Englisch ein Stück Computergeschichte. \"Current malware\r\nshould be added to very dangerous category\", heißt es in seinem kaum 20 Zeilen langen Eintrag auf der Website\r\nvon VirusBlokAda  , der kleinen weißrussischen Antivirus-Firma, für die er damals arbeitete.\r\nUlasen beschreibt darin eine bis dahin unbekannte Schadsoftware, die sich über USB-Sticks verbreitet und einen\r\nneuartigen Trick beherrscht, um sich unbemerkt auf Windows-Systemen zu installieren. \"Es hat ungefähr eine\r\nWoche gedauert, bis wir ihn identifiziert hatten\", sagt er heute.\r\nWas Ulasen damals nicht wusste: Er hatte gerade die erste echte Cyberwaffe der Geschichte in die Öffentlichkeit\r\ngezerrt - ein Meisterwerk, das noch viele weitere Überraschungen in sich trug. Es sollte Monate dauern, bis das\r\nwahre Potenzial der Schadsoftware ansatzweise klar wurde. Bekannt wurde sie unter dem Namen Stuxnet.\r\n\"Überrascht\" sei er damals gewesen, sagt er, und \"wahrscheinlich verängstigt\". Denn ihm war zumindest eines\r\nsehr schnell klar: Dieser Installationstrick, den er durchschaut hatte, würde garantiert auf jedem Windows-PC der\r\nWelt funktionieren. Denn Microsoft selbst hatte keine Ahnung von der Schwachstelle in seinem Betriebssystem.\r\nZero-Day-Exploit wird so etwas genannt. Hunderte Millionen Computer wären dagegen machtlos gewesen.\r\nStuxnet, stellte sich später heraus, beinhaltete gleich vier Zero-Day-Exploits. Aber die Schadsoftware sollte nicht\r\nmöglichst viele Rechner befallen, sondern ganz bestimmte: die in der iranischen Urananreicherungsanlage bei\r\nNatanz. Dort sollte sie still und heimlich die Zentrifugen sabotieren und so das iranische Atomprogramm\r\nbehindern.\r\nhttps://www.spiegel.de/netzwelt/web/die-erste-cyberwaffe-und-ihre-folgen-a-a0ed08c9-5080-4ac2-8518-ed69347dc147\r\nPage 2 of 5\n\n\"Operation Olympic Games\" war der Codename  für das gemeinsame Unterfangen der USA und Israels, das nie\r\noffiziell bestätigt wurde. Doch die Enttarnung des Sabotage-Programms beendete die Operation - und wird\r\ngleichzeitig als Beginn der Cyberkrieg-Ära verstanden.\r\nCostin Raiu, Leiter des Bereichs Forschung und Entwicklung bei Kaspersky Lab, wo auch Ulasen heute arbeitet,\r\nnennt dessen Fund \"das vielleicht wichtigste Ereignis des ganzen Jahrzehnts\". Es habe \"so ziemlich alles in der IT-Sicherheitsindustrie verändert\", sagt er im Gespräch mit dem SPIEGEL: \"Die Art, wie wir über Bedrohungen\r\nnachdenken, die Art, wie wir gegen Cyberattacken kämpfen, was möglich ist und was in den kommenden Jahren\r\npassieren wird.\"\r\nAuch für Ralph Langner war Stuxnet \"der große Knalleffekt\", wie er im Gespräch sagt. Der Beweis, dass etwas,\r\nwovor Sicherheitsexperten lange gewarnt hatten, \"keine Fiktion ist\". Langners Firma gehört zu den wenigen, die\r\nsich auf die Cybersicherheit von großen Produktionsanlagen und kritischen Infrastrukturen spezialisiert haben.\r\nZusammen mit zwei Kollegen hatte Langner 2010 die Payload von Stuxnet entschlüsselt  , jene Teile des Codes,\r\ndie jenseits von Windows-PCs wirksam wurden - nämlich in den von Siemens entwickelten\r\nIndustriesteuerungsanlagen (Industrial Control Systems, kurz ICS) in Natanz.\r\n\"Das Geniale an Stuxnet war, dass es sich um eine Cyberwaffe handelte, die völlig autonom arbeitet\", sagt\r\nLangner. \"So etwas hatten wir vorher noch nie gesehen. Insbesondere in der frühen Version gab es keine\r\nMöglichkeit, sie fernzusteuern. Und obwohl wir uns schon damals Tag und Nacht mit diesen Dingen beschäftigt\r\nund uns mögliche Angriffsszenarien ausgedacht hatten, gegen die wir unsere Kunden beschützen wollten, wären\r\nwir nie im Leben auf die abgefahrenen Dinge gekommen, die wir dann im Stuxnet-Code gesehen haben.\"\r\nZum Beispiel sei die Software in der Lage gewesen, zunächst normale Sensorwerte in der befallenen\r\nIndustriesteuerungsanlage aufzuzeichnen und sie anschließend immer wieder abzuspielen. Dadurch sah für die\r\ninterne Logik der Anlage alles normal aus, und Stuxnet konnte die automatisierten Sicherheitsvorrichtungen – die\r\nsogenannten Safety-Steuerungen – umgehen. \"Die aber braucht man überall dort, wo einem Dinge richtig um die\r\nOhren fliegen können\", sagt Langner, \"wo es Explosionen geben oder wo toxische Substanzen freigesetzt werden\r\nkönnten. Ein menschlicher Bediener wäre nicht in der Lage, schnell genug zu reagieren.\"\r\nDoch auf den vermeintlichen großen Knall folgte Stille. \"Damals hat man von einem Weckruf gesprochen\", sagt\r\nLangner, \"komischerweise ist man aber sehr schnell wieder in den Tiefschlaf übergegangen. Ich kann das\r\neigentlich auch keinem Unternehmen und keinem Politiker verdenken. Denn in den vergangenen zehn Jahren ist\r\nin dem Bereich so gut wie nichts passiert.\" Nachgewiesene Cyberangriffe auf Industrieanlagen habe es nur\r\n\"ungefähr eine Handvoll\" gegeben. \"Aber die Risiken sind nicht verschwunden, sondern werden immer größer,\r\nweil immer mehr digitalisiert wird.\"\r\nIndustriesteuerungsanlagen seien immer noch so schlecht geschützt wie damals, \"das ist Fakt\". Langner weiß, wie\r\nes in dieser Hinsicht in entsprechenden Unternehmen aussieht und für wie viele Sicherheitslücken sie anfällig\r\nwären: \"Das sind Zahlen, da schlackern Sie mit den Ohren.\"\r\nEr will den Herstellern der Steuerungsanlagen aber \"keinen Vorwurf machen\". Deren Kunden, also die Betreiber\r\nvon Industrieanlagen, hätten schlicht \"keine Bereitschaft gezeigt, für zusätzliche Cybersicherheit tiefer in die\r\nTasche zu greifen\". Das liege an der Komplexität und dem Ausmaß des Problems: \"Stellen Sie sich einen großen\r\nhttps://www.spiegel.de/netzwelt/web/die-erste-cyberwaffe-und-ihre-folgen-a-a0ed08c9-5080-4ac2-8518-ed69347dc147\r\nPage 3 of 5\n\nAutomobilhersteller vor. Bei dem geht es ja nicht um drei Industriesteuerungen, sondern vielleicht um 30.000.\r\nWenn Sie da zum Beispiel Mehrkosten von 1000 Euro pro Stück ansetzen, kommt einiges zusammen.\" Außerdem\r\nkämen höhere Wartungskosten dazu, und die Netzwerktechnik rund um die Steuerungsanlagen sei ebenfalls\r\ninhärent unsicher.\r\nErschwerend komme hinzu, dass in der Industrie häufig noch PCs mit veralteten Windows-Versionen wie XP oder\r\nWindows 7 eingesetzt würden, für die es keine Sicherheitspatches mehr gibt. Und selbst wenn es sie gibt, würden\r\nsie manchmal ignoriert, sagt Langner, weil so ein Update mitunter dafür sorge, dass eine Industrieanwendung\r\nnicht mehr läuft. Auch könnten die Anlagen nicht mal eben neu gestartet werden wie ein Desktop-PC, denn sie\r\nmüssten 24 Stunden am Tag laufen.\r\nAber ausgehend von \"einer statistisch orientierten Risikobetrachtung\", sagt Langner, sei die Gefahr eben gering,\r\nda steckten Unternehmen ihr Geld vielleicht lieber in verbesserten Brandschutz oder in den Umweltschutz. Er\r\nwolle auch keine Angst schüren. Wichtig sei, dass Cybersicherheit nicht als Projekt innerhalb einiger Monate\r\nerledigt und abgehakt werden könne, sondern langfristig und top-down, ausgehend von der Chefetage,\r\nangegangen werden müsse.\r\n\"Ich hatte große Angst\", sagt ein IT-Experte\r\nAngebote gibt es reichlich, auch wenn die meisten auf die klassische IT von Unternehmen ausgelegt sind, nicht\r\nauf die OT, die Operations Technology. Die Branche ist mittlerweile so groß, dass es jährlich aktualisierte Listen\r\nder Top-500-Cybersicherheitsfirmen gibt. Große Anbieter wie Kaspersky haben nach Stuxnet spezialisierte Teams\r\naufgebaut, die sich ausschließlich um die Analyse besonders ausgeklügelter Angriffe kümmern. Ihre Gegner sind\r\nmitunter Geheimdienste oder andere staatlich unterstützte Organisationen – was zu vormals undenkbaren\r\nKollisionen führt.\r\nMitte 2012 zum Beispiel entdeckten Costin Raiu und sein Team die Spionagesoftware Flame auf Rechnern von\r\niranischen Kunden – und darin eine Verwandtschaft zu Stuxnet  , die auf eine Zusammenarbeit der Entwickler\r\nhindeutete. \"Wir sahen damals Anzeichen dafür, dass unsere Arbeit bestimmten Leuten nicht gefiel\", sagt er.\r\n\"Während einer Konferenz in München verfolgten uns Menschen von der Hotellobby bis zu unseren Zimmern und\r\ntaten dabei so, als würden sie telefonieren. Es gab mehrere solche Vorfälle. Vielleicht wollte man uns nur Angst\r\neinjagen, aber das hat funktioniert: Ich hatte große Angst.\"\r\nFür eine Weile habe das Team dann aufgehört, diese Art Forschung zu betreiben und entsprechende Erkenntnisse\r\nzu verkünden. \"Wir befürchteten physische Vergeltung gegen uns und unsere Familien\", sagt der IT-Experte.\r\nSolche Ängste gab es in der Branche noch nicht, als Hacker entweder profitgetriebene Kriminelle oder ideologisch\r\nmotivierte Aktivisten waren.\r\nBis heute sind nicht alle Rätsel rund um Stuxnet gelöst. Noch immer suchen manche nach Antworten. So hat Kim\r\nZetter, die Autorin des Standardwerks zu Stuxnet, \"Countdown to Zero-Day\", erst im vergangenen September\r\nerfahren, dass es der niederländische Geheimdienst war, der einen Mann in die Urananreicherungsanlage Natanz\r\neinschleusen konnte  , um die erste Version von Stuxnet auf einem präparierten USB-Stick ins Innere zu bringen.\r\nWas aus ihm wurde, ist öffentlich nicht bekannt. Costin Raiu sagt: \"Stuxnet wird sich bald wie Paläontologie\r\nhttps://www.spiegel.de/netzwelt/web/die-erste-cyberwaffe-und-ihre-folgen-a-a0ed08c9-5080-4ac2-8518-ed69347dc147\r\nPage 4 of 5\n\nanfühlen. Aber so wie manche Menschen gern Dinosaurier erforschen, untersuchen andere eben\r\nCyberdinosaurier.\"\r\nFrüher oder später wird es weitere Stuxnets geben, spätestens im Kriegsfall, da ist sich Ralph Langner sicher. Zu\r\nFriedenszeiten könnten es mittlerweile aber auch Kriminelle schaffen, Schadcode für ICS zu entwickeln, glaubt er.\r\nUnd es gebe dabei einen wichtigen Unterschied zu regierungsgestützten Angriffen, wie es Stuxnet war: \"Bei\r\neinem politisch oder militärisch motivierten Cyberangriff möchten Sie beim ersten Schuss treffen, sonst verpufft\r\ner. Kriminelle hingegen können es sich leisten, zu experimentieren. Es kann ihnen egal sein, ob ihr Schadcode\r\nentdeckt und analysiert wird. Die Betreiber von Industrieanlagen können sich nicht von heute auf morgen\r\nschützen.\"\r\nSource: https://www.spiegel.de/netzwelt/web/die-erste-cyberwaffe-und-ihre-folgen-a-a0ed08c9-5080-4ac2-8518-ed69347dc147\r\nhttps://www.spiegel.de/netzwelt/web/die-erste-cyberwaffe-und-ihre-folgen-a-a0ed08c9-5080-4ac2-8518-ed69347dc147\r\nPage 5 of 5\n\nStuxnet By Patrick Beuth, entdeckt DER SPIEGEL  \nPublished: 2020-06-17 · Archived: 2026-04-05 20:06:32 UTC \n   Page 1 of 5",
	"extraction_quality": 1,
	"language": "DE",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://www.spiegel.de/netzwelt/web/die-erste-cyberwaffe-und-ihre-folgen-a-a0ed08c9-5080-4ac2-8518-ed69347dc147"
	],
	"report_names": [
		"die-erste-cyberwaffe-und-ihre-folgen-a-a0ed08c9-5080-4ac2-8518-ed69347dc147"
	],
	"threat_actors": [
		{
			"id": "d7c5a1bf-85c9-4d2f-bdbd-1455f5f2ae65",
			"created_at": "2022-10-25T16:07:23.978074Z",
			"updated_at": "2026-04-10T02:00:04.817311Z",
			"deleted_at": null,
			"main_name": "Operation Olympic Games",
			"aliases": [
				"GOSSIPGIRL"
			],
			"source_name": "ETDA:Operation Olympic Games",
			"tools": [
				"Stuxnet",
				"W32.Stuxnet"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434579,
	"ts_updated_at": 1775826756,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/ab70018c00696d6dddaac290741d4ced1f08c970.pdf",
		"text": "https://archive.orkl.eu/ab70018c00696d6dddaac290741d4ced1f08c970.txt",
		"img": "https://archive.orkl.eu/ab70018c00696d6dddaac290741d4ced1f08c970.jpg"
	}
}