Sabotage an Zentrifugen durch Drehzahländerung

Das bloße Vorhandensein dieser Geräte reicht aber noch nicht: Die Frequenzumrichter müssen von einem finnischen oder iranischen Hersteller stammen und mit einer Frequenz von 807 bis 1.207 Hertz arbeiten. Über Monate hinweg soll Stuxnet laut Symantec diese Frequenzen kurzfristig auf 1.401 Hertz, dann auf 2 Hertz und schließlich auf 1.064 Hertz setzen. Ein so gesteuerter Elektromotor würde also erst über der erwünschten Drehzahl arbeiten, dann fast zum Stillstand kommen, und schließlich wieder einen Mittelwert einnehmen - ein erhöhter Verschleiß ist die Folge, Symantec bezeichnet das als "Sabotage".

• 

Nur solche Konfigurationen befällt Stuxnet.

Eine ähnliche Vermutung hatte bereits Ende September 2010 das CCC-Mitglied Frank Rieger in der FAZ geäußert: Stuxnet soll gezielt iranische Anlagen zur Urananreicherung befallen haben. Für dieses Verfahren werden tausende von Zentrifugen mit hohen Drehzahlen benötigt. Ausführlich stellt Rieger das auch in einem Podcast dar. Dass Stuxnet "bestimmte Aggregate zerstören" soll, hatte auch der PLC-Experte Ralph Langner im Interview mit Golem.de angegeben.

Einen so konkreten Verdacht äußert Symantec bisher noch nicht, weist aber darauf hin, dass präzise Frequenzumsetzer, die mit über 600 Hertz arbeiten, in den USA Exportbeschränkungen unterliegen, weil sie zur Urananreicherung verwendet werden können. Für andere Anwendungen, wie etwa ein Förderband, seien die Frequenzen zu hoch, meint Symantec. Das Unternehmen ruft aber gleichzeitig Anwender von PLCs auf, von anderen Einsatzbereichen für Frequenzumsetzer mit den genannten Arbeitsbereichen zu berichten.

Symantec hat seine Analyse von Stuxnet (PDF) um die jüngsten Erkenntnisse ergänzt. Damit, so der Antivirenhersteller, sei der Code des Wurms vollständig analysiert. Erste Warnungen vor Stuxnet gab es bereits im Juli 2010, mit vereinten Kräften brauchten die Security-Experten in aller Welt also über fünf Monate, um den Wurm zu verstehen.