Im Atomkraftwerk Gundremmingen ist ein Computervirus entdeckt worden, Gefahr für das Personal und die Bevölkerung besteht laut Betreiber nicht. Der Vorfall wirft aber einmal mehr Fragen zur IT-Sicherheit der Kernkraftwerke auf: Wie kommen Viren in Atomkraftwerke, welchen Schaden können sie anrichten und wie gut sind die Meiler geschützt?
Der Stuxnet-Virus hat es vor rund fünfeinhalb Jahren vorgeführt: Er infizierte und manipulierte Tausende Rechner in Industrieanlagen, unter anderem wohl auch Maschinen der Urananreicherungsanlage in Natanz im Iran.
2013 soll es wieder einen Stuxnet-Angriff gegeben haben - dieses Mal auf ein russisches Atomkraftwerk. 2014 wurde ein weiterer Cyber-Angriff gemeldet - auf ein Kernkraftwerk in Südkorea. Und jetzt der Computervirus in Gundremmingen.
Die Fälle machen deutlich, dass Atomkraftwerke vor Cyber-Angriffen nicht gefeit sind. "Dass sich Viren in Steuerungssysteme einschleusen lassen, ist nicht ausgeschlossen - und damit auch nicht die Gefahr, mit einem Cyberangriff einen Super-GAU auszulösen", so der Atomkraft-Experte der Umweltorganisation Greenpeace, Heinz Smital, im Gespräch mit unserer Redaktion.
So könnten etwa wichtige Pumpen ausgeschaltet, die Stromversorgung gekappt oder Signale mit falschen Werten gefüttert werden.
Keine Datenverbindung nach außen?
Trivial sei das natürlich nicht, so Smital weiter. Neben einem großen Wissen über die betreffende Anlage müssten die Täter über besondere IT-Kenntnisse verfügen. Bei den meisten Kraftwerken bräuchten sie zudem Zugang zu den Systemen der Anlage. Denn viele Kernkraftwerke hätten keine Datenverbindungen nach außen. Das sei früher der Standard gewesen, gelte aber vor allem bei jüngeren Kraftwerken heute vielfach nicht mehr.
Die britische Denkfabrik Chatham House veröffentlichte im vergangenen Herbst eine Studie zum Thema Atomkraftwerke und Cyber-Sicherheit, für die sie nach eigenen Angaben 18 Monate lang in Kraftwerken und Aufsichtsbehörden in den USA, Kanada, Deutschland, Japan, Großbritannien, Frankreich und der Ukraine recherchiert hatte. Das Ergebnis: Die Cyber-Bedrohung werde erheblich unterschätzt.
Bisweilen werde sogar bestritten, dass es überhaupt eine gebe - etwa mit ebenjenem Verweis auf die nicht vorhandene Verbindung nach außen. Mittlerweile würden jedoch auch bei älteren Kraftwerken nach und nach Komponenten aus der Vor-Cyber-Ära durch neuere ersetzt, so der Bericht.
Gefahr durch Innentäter
Besteht Kontakt zu einer Person, die sich im Umfeld oder direkt in der Anlage bewegt, ist eine Verbindung nach außen gar nicht nötig. Das legen auch die Stuxnet-Fälle von 2010 und 2013 nahe, bei denen vermutet wird, dass der Virus über einen USB-Stick in das System gebracht wurde.
Die Chatham-Studie nennt noch weitere Szenarien: Mitarbeiter des Atomkraftwerks greifen von außen über ihre - potenziell infizierten - Laptops auf interne Netzwerke zu, Mitarbeiter arbeiten mit externen - potenziell infizierten - Laptops in den Anlagen selbst, Auftragsfirmen führen Fernwartungen durch und schalten die Verbindungen danach nicht wieder ab.
Dass es dennoch nicht leicht ist, einen Störfall zu provozieren, betont auch die Studie: Ein einzelner Hacker in der Garage werde keine Kernschmelze herbeiführen, es brauche immense Mittel, um alle Sicherheitsschranken zu überwinden.
Bedrohung durch Cyber-Sabotage "besorgniserregend"
In Deutschland ist man sich der potenziellen Gefahr dennoch bewusst. In seinem jüngsten Lagebericht nennt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Bedrohung durch Cyber-Sabotage "besorgniserregend". Das gelte nicht nur für die Atomkraftwerke direkt, sondern auch für Unternehmen und kritische Infrastruktur, die mit den Anlagen in Verbindung stünden.
Seit Stuxnet wisse man, "dass die Sabotage von Maschinen und Einrichtungen durch Cyber-Angriffe nicht nur denkbar ist, sondern tatsächlich durchgeführt wird", heißt es weiter.
Und: Unternehmen seien in vielen Fällen nicht ausreichend gegen Cyber-Angriffe gerüstet. "Dies gilt auch für kritische Infrastrukturen." Durch das neue IT-Sicherheitsgesetz würden Betreiber kritischer Infrastrukturen jedoch verpflichtet, ein Mindestniveau an IT-Sicherheit einzuhalten und das auch überprüfen zu lassen.
Wie der Schutz von Atomkraftwerken gegen Angriffe von außen genau aussieht, ist kaum in Erfahrung zu bringen. "Ich vermute, dass die Behörden Maßnahmen treffen", sagte die Grünen-Atomkraftexpertin Sylvia Kotting-Uhl nach den Anschlägen von Brüssel. Damals wurde auch bekannt, dass ein Mitarbeiter eines belgischen Atomkraftwerkes von Islamisten beobachtet worden war. "Aber Genaues erfahren selbst wir Abgeordneten nicht."
Zu Gundremmingen teilte das BSI auf Anfrage mit: Man bestätige, dass der Betreiber des Kernkraftwerks Gundremmingen das BSI über einen IT-Sicherheitsvorfall informiert habe. "Das BSI prüft den Vorfall in Zusammenarbeit mit den Aufsichtsbehörden. Details oder weitere Informationen kann das BSI derzeit aufgrund der laufenden Prüfung nicht geben."
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.