Wer im Internet nach etwas sucht, wird das in der Regel bei Google tun. Die Suchmaschine gilt als besonders schnell und mächtig, zumindest sind die meisten Menschen mit dem zufrieden, was sie hier finden. Doch gibt es eine weitaus mächtigere, allerdings weithin unbekannte Suchmaschine. Sie hört auf den Namen Shodan und findet alles, was über eine Adresse im Internet verfügt: Rechner, Router, Server oder Smartphones. Wer auf Shodan.io sucht, entdeckt allerdings sehr schnell ganz andere Dinge, zum Beispiel Krankenhäuser, Ampelanlagen, Fußballstadien, Waschstraßen, Kraftwerke oder Hochöfen – alles, was computergesteuert ist und eben einen Internetanschluss hat. Besonders beliebt sind hier die Suchen nach Kühlschränken und Überwachungskameras; sie hängen zumeist ungeschützt am Netz und gewähren tiefe Einblicke in die Privatsphäre.

Eine Massenvernichtungswaffe

Ein Blick in Shodan zeigt also nicht nur, dass unsere digitale Infrastruktur alle Lebensbereiche erfasst hat, sondern auch, dass viele dieser Bereiche nur sehr ungenügend gesichert sind. Und das wiederum betrifft nicht nur die Privatsphäre, sondern das gesamte öffentliche Leben. Politiker und Militärs bereiten sich seit längerem auf Cyberattacken gegen unsere digital vernetzte, hochverletzliche Gesellschaft vor, zumeist, indem sie mehr Überwachung im Internet fordern. Zugleich haben sie das Internet schon in einen Kriegsschauplatz verwandelt: In diesem globalen Cyberkrieg bekämpfen sich Regierungen mit elektronischen Mitteln, mit Würmern und Trojanern und zielen auf die überlebenswichtige Infrastruktur ihrer Gegner. Doch genauso wenig, wie mehr Überwachung das Netz sicherer macht, sorgen die neuen digitalen Massenvernichtungswaffen für mehr Schutz.

Genau darum geht es in Alex Gibneys „Zero Days“. Der krimispannende Dokumentarfilm verfolgt den Weg von Stuxnet, einem Computerwurm, mit dessen Hilfe die CIA und der Mossad im Jahre 2009 um die tausend Zentrifugen der Urananreicherungsanlage im iranischen Natans zerstörten – das Ziel war offenkundig, Teheran vom Bau der Atombombe abzuhalten. Gibney erzählt zuerst die Geschichte dieses Wurms, dessen hochkomplexe, etwa 50 Millionen Dollar teure Programmierung schon früh den Verdacht aufkommen ließ, nur eine Regierung könne sich einen solchen Aufwand leisten: Die Schad-Software zielte auf die Steuerungselektronik der Zentrifugen und enthielt einige Zero-Day-Exploits, das heißt, sie nutzte bislang unbekannte Schwachstellen in der attackierten Elektronik aus. Das Wissen um solche Sicherheitslücken wird auf Schwarzmärkten für sehr viel Geld gehandelt.

Doch geht es bei „Zero Days“ nicht nur um die Expertisen von Hackern und Spezialisten, die bei Sicherheitsdienstleitern wie Symantec und Kasperski den Stuxnet-Wurm eingehender untersucht haben. Alex Gibney lenkt unsere Aufmerksamkeit auf die Zusammenarbeit zwischen Israel und den USA, denn offenbar kam es zu Spannungen zwischen Mossad und CIA: Benjamin Netanjahu wollte eine aggressive Version des Wurms aufsetzen, der sich über die ganze Welt verbreitet und damit auch die Wahrscheinlichkeit erhöht, in die gut gesicherte Urananreicherungsanlage im Iran einzudringen; die Amerikaner befürchteten dagegen außenpolitische Verwicklungen, könnten andere Länder diese Aggression doch als kriegerischen Akt verstehen. Netanjahu setzte sich schließlich durch, Stuxnet fand wohl über den infizierten USB-Stick eines Wartungsmitarbeiters zum Ziel.

Bei der CIA lief die Operation unter dem Titel „Olympic Games“, erklärt im Film eine digital verfremdete Figur, die Gibney einführt, um die Aussagen einiger Whistleblower wiederzugeben, ohne deren Identität zu verraten. Jedoch, erzählt die Figur weiter, verfügten die USA über noch mächtigere Cyberwaffen, eine heiße „Nitro Zeus“ und sollte dereinst Irans Luftverteidigung und Stromversorgung lahmlegen. Ob es deswegen zum Atomdeal mit Teheran kam? In der Folge des Stuxnet-Angriffs attackierten jedenfalls iranische Cyberkrieger amerikanische Banken, die New Yorker Börse und die Nasa mit einem gewaltigen Botnet. Unterdessen rief das amerikanische Ministerium für Innere Sicherheit die höchste Alarmstufe aus, weil man den Stuxnet-Wurm in den heimischen Netzen gefunden hatte, aber von der CIA und der eigentlich zuständigen NSA nicht informiert worden war.

Die neue Cyber-Unsicherheit

Die USA, ist Gibney überzeugt, haben mit Stuxnet – einer eigenständig sich verbreitenden Schad-Software mit erheblichem Zerstörungspotenzial – einen neuen Standard gesetzt. Andere Nationen werden da kaum hintenanstehen. Und tatsächlich griffen außer Iran ja auch schon Länder wie Russland, China oder Nordkorea die digitale Infrastruktur der Supermacht erfolgreich an.

Die USA haben mit Stuxnet aber auch die Büchse der Pandora geöffnet, denn gerade weil der Wurm sich unkontrolliert im Netz verbreitet, ist er nun für jeden zugänglich: „Der IS könnte sich jederzeit eine Kopie von Stuxnet besorgen“, so Gibney, „wir haben Hackern weltweit die Blaupause für das Manhattan-Projekt geliefert.“ Und damit auch einen Verwand für die staatlichen Sicherheitsagenturen, das unsicherer werdende Internet noch stärker zu überwachen.