Manfred Kloiber: Bundesumweltminister Norbert Röttgen will strengere Sicherheitsvorschriften für Atomkraftwerke einführen. Das ARD-Magazin Kontraste hatte am Donnerstag über ein internes Papier aus dem Ministerium berichtet. Eine zentrale Rolle nimmt dabei die IT-Sicherheit in den Kraftwerken ein. Peter Welchering, Sie haben das interne Papier aus dem Bundesumweltministerium gelesen. Was soll denn in Sachen IT-Sicherheit in bundesdeutschen Kernkraftwerken anders werden?
Peter Welchering: Naja, also wenn man das, was da in Teil III dieses Papiers aus dem Umweltministerium in Berlin steht, wirklich zu Ende denkt, dann ist das schon ein Kurswechsel um 180 Grad. Da findet man beispielsweise unter Punkt B einen ganz hervorragendes Zitat: ""Ein wirksames IT-Security-Konzept wird in allen deutschen Anlagen kurzfristig umgesetzt. Dadurch wird gewährleistet, dass der sichere Betrieb der Anlagen nicht nur IT-Angriffe beeinträchtig werden kann" Das ist natürlich eine unglaublich weitgehende Forderung. Denn so etwas kann im Augenblick eigentlich niemand seriös gewährleisten. Spätestens Stuxnet hat ja gezeigt, was Computerviren etwa auch in kerntechnischen Anlagen alles anrichten können. Und nach Stuxnet haben wird dann auch noch darüber hinaus spezielle Schadsoftware gesehen, mit der etwa einzelne Steuerungssysteme ganz gezielt manipuliert werden können. Und mit solchen Manipulationen kann eben durch Schadsoftware sogar eine Kernschmelze ausgelöst werden. Und ein zweiter Punkt, der ist noch spannender: Unter Punkt F heißt es da, ich zitiere nochmal: "Auswirkungen auf die Sicherheit von KKW aufgrund von Stromnetzausfällen zum Beispiel bei simultanen IT-Angriffen auf Einrichtungen der Stromversorgungsinfrastruktur müssen ausgeschlossen werden"
Kloiber: Welche Konsequenzen müssten denn die Kernkraftwerksbetreiber aus solch einer Sicherheitsanforderung ziehen?
Welchering: Die müssten nachweisen, - wenn man dieses Papier tatsächlich zugrunde legt und davon ausgeht, es wird eine Richtlinie – dass die Lastverteilungsrechner, die für bestimmte Regionen zuständig sind, in denen eben Kernkraftwerke betrieben werden, so ausgelegt sind, dass ein Angriff mit Schadsoftware auf diese Lastverteiler unmöglich ist, also sie dadurch nicht lahmgelegt werden können. Denial-of-Service-Angriffe: All das muss eben dann ausgeschlossen werden. Und nun ist das gerade ein Gebiet, auf dem die Cybertruppen von mindestens zwei Dutzend Staaten ganz hochwirksame Schadsoftware entwickelt haben, um den Strom in einzelnen Städten, aber auch in einzelnen Regionen oder sogar Flächendeckend einfach ausknipsen zu können.
Kloiber: Hängen denn diese Lastverteilungsrechner direkt am Internet?
Welchering: Also in Deutschland sollte das zumindest ausgeschlossen sein. In anderen europäischen Staaten ist das durchaus der Fall, auch in Nordamerika. Aber auch in Deutschland habe ich schon Leitwarten in der Netzüberwachung gesehen, deren Systeme dann teilweise über Brückensysteme auch tatsächlich via Internet erreichbar waren. Das ist die Ausnahme in Deutschland, das muss man sehen. Das sollte eigentlich nicht stattfinden, aber es findet hin und wieder statt. Und darüber hinaus sind die Lastverteilungsrechner normalerweise untereinander hier in Deutschland mit einem eigenen Kommunikationsnetz ausgestattet – und so auch darüber verbunden. Und das ist übrigens auch in Großbritannien so. Und da wiederum ist ganz spannend: In Großbritannien hat sich bei einer IT-Sicherheitsübung vor wenigen Jahren gezeigt, dass über ganz klassische Data-Links Computerviren und andere Schadsoftware auf genau diese Lastverteilungsrechner geschleust werden konnten.
Kloiber: Wo liegen denn da die Gefahrenpunkte?
Welchering: Zum einen liegen Gefahrenpunkte ganz klar bei den Netzübergängen. Und die klassischen Angriffspunkte haben zumindest die Militärs mit ihren digitalen Waffen ganz gut im Visier und können die auch ausnutzen. Und dann gibt es daneben natürlich auch noch berühmten Data-Links, also die Zugangspunkte in das Netz, die entweder illegal angelegt wurden, etwa von Geheimdiensten, oder Militärs haben so etwas auch in der Planung. Oder Data-Links sind dann auch einfach Zugangspunkte, die Wartungszwecken dienen und eben nicht nur dann vom Wartungspersonal genutzt werden können, sondern eben nicht ganz legaler Weise auch von anderen. Und auf der zehnten Energiekonferenz in Dubai, im Mai vergangenen Jahres, sind diese Data-Links von den Experten sogar als Sicherheitsrisiko ersten Ranges bezeichnet worden. Und dann gilt natürlich auch für die Lastverteilungsrechner, was für die gesamten Steuerungssysteme so eines Kernkraftwerks eben auch gilt: Viren und Schadsoftware können eben nicht nur über die Netze in die Rechner eingeschleust werden, sondern die kommen auch über Datenträger in Rechner. Und Stuxnet etwa war ja für die Weiterverbreitung mittels USB-Stick besonders optimiert.
Kloiber: Was würden denn so weitreichende IT-Sicherheitsanforderungen, wie sie im Augenblick im Berliner Umweltministerium diskutiert werden, für die Betreiber der Kernkraftwerke überhaupt bedeuten?
Welchering: Wenn es bei der Forderung bleibt, dass IT-Angriffe den sicheren Betrieb der Anlagen nicht beeinträchtigen dürfen, wenn es weiterhin bei der Forderung bleibt, dass Stromnetzausfälle aufgrund von IT-Angriffen ausgeschlossen sein müssen, dann wäre die Voraussetzung in Sachen IT-Sicherheit für den weiteren Betrieb von Kernkraftwerken in Deutschland überhaupt nicht mehr gegeben. Aber das ist nur eine Ideenskizze. Wobei: Wenn die wirklich würde, dann müssten tatsächlich schon allein aus IT-Sicherheitsgründen die Kernkraftwerke hierzulande abgeschaltet werden.
Peter Welchering: Naja, also wenn man das, was da in Teil III dieses Papiers aus dem Umweltministerium in Berlin steht, wirklich zu Ende denkt, dann ist das schon ein Kurswechsel um 180 Grad. Da findet man beispielsweise unter Punkt B einen ganz hervorragendes Zitat: ""Ein wirksames IT-Security-Konzept wird in allen deutschen Anlagen kurzfristig umgesetzt. Dadurch wird gewährleistet, dass der sichere Betrieb der Anlagen nicht nur IT-Angriffe beeinträchtig werden kann" Das ist natürlich eine unglaublich weitgehende Forderung. Denn so etwas kann im Augenblick eigentlich niemand seriös gewährleisten. Spätestens Stuxnet hat ja gezeigt, was Computerviren etwa auch in kerntechnischen Anlagen alles anrichten können. Und nach Stuxnet haben wird dann auch noch darüber hinaus spezielle Schadsoftware gesehen, mit der etwa einzelne Steuerungssysteme ganz gezielt manipuliert werden können. Und mit solchen Manipulationen kann eben durch Schadsoftware sogar eine Kernschmelze ausgelöst werden. Und ein zweiter Punkt, der ist noch spannender: Unter Punkt F heißt es da, ich zitiere nochmal: "Auswirkungen auf die Sicherheit von KKW aufgrund von Stromnetzausfällen zum Beispiel bei simultanen IT-Angriffen auf Einrichtungen der Stromversorgungsinfrastruktur müssen ausgeschlossen werden"
Kloiber: Welche Konsequenzen müssten denn die Kernkraftwerksbetreiber aus solch einer Sicherheitsanforderung ziehen?
Welchering: Die müssten nachweisen, - wenn man dieses Papier tatsächlich zugrunde legt und davon ausgeht, es wird eine Richtlinie – dass die Lastverteilungsrechner, die für bestimmte Regionen zuständig sind, in denen eben Kernkraftwerke betrieben werden, so ausgelegt sind, dass ein Angriff mit Schadsoftware auf diese Lastverteiler unmöglich ist, also sie dadurch nicht lahmgelegt werden können. Denial-of-Service-Angriffe: All das muss eben dann ausgeschlossen werden. Und nun ist das gerade ein Gebiet, auf dem die Cybertruppen von mindestens zwei Dutzend Staaten ganz hochwirksame Schadsoftware entwickelt haben, um den Strom in einzelnen Städten, aber auch in einzelnen Regionen oder sogar Flächendeckend einfach ausknipsen zu können.
Kloiber: Hängen denn diese Lastverteilungsrechner direkt am Internet?
Welchering: Also in Deutschland sollte das zumindest ausgeschlossen sein. In anderen europäischen Staaten ist das durchaus der Fall, auch in Nordamerika. Aber auch in Deutschland habe ich schon Leitwarten in der Netzüberwachung gesehen, deren Systeme dann teilweise über Brückensysteme auch tatsächlich via Internet erreichbar waren. Das ist die Ausnahme in Deutschland, das muss man sehen. Das sollte eigentlich nicht stattfinden, aber es findet hin und wieder statt. Und darüber hinaus sind die Lastverteilungsrechner normalerweise untereinander hier in Deutschland mit einem eigenen Kommunikationsnetz ausgestattet – und so auch darüber verbunden. Und das ist übrigens auch in Großbritannien so. Und da wiederum ist ganz spannend: In Großbritannien hat sich bei einer IT-Sicherheitsübung vor wenigen Jahren gezeigt, dass über ganz klassische Data-Links Computerviren und andere Schadsoftware auf genau diese Lastverteilungsrechner geschleust werden konnten.
Kloiber: Wo liegen denn da die Gefahrenpunkte?
Welchering: Zum einen liegen Gefahrenpunkte ganz klar bei den Netzübergängen. Und die klassischen Angriffspunkte haben zumindest die Militärs mit ihren digitalen Waffen ganz gut im Visier und können die auch ausnutzen. Und dann gibt es daneben natürlich auch noch berühmten Data-Links, also die Zugangspunkte in das Netz, die entweder illegal angelegt wurden, etwa von Geheimdiensten, oder Militärs haben so etwas auch in der Planung. Oder Data-Links sind dann auch einfach Zugangspunkte, die Wartungszwecken dienen und eben nicht nur dann vom Wartungspersonal genutzt werden können, sondern eben nicht ganz legaler Weise auch von anderen. Und auf der zehnten Energiekonferenz in Dubai, im Mai vergangenen Jahres, sind diese Data-Links von den Experten sogar als Sicherheitsrisiko ersten Ranges bezeichnet worden. Und dann gilt natürlich auch für die Lastverteilungsrechner, was für die gesamten Steuerungssysteme so eines Kernkraftwerks eben auch gilt: Viren und Schadsoftware können eben nicht nur über die Netze in die Rechner eingeschleust werden, sondern die kommen auch über Datenträger in Rechner. Und Stuxnet etwa war ja für die Weiterverbreitung mittels USB-Stick besonders optimiert.
Kloiber: Was würden denn so weitreichende IT-Sicherheitsanforderungen, wie sie im Augenblick im Berliner Umweltministerium diskutiert werden, für die Betreiber der Kernkraftwerke überhaupt bedeuten?
Welchering: Wenn es bei der Forderung bleibt, dass IT-Angriffe den sicheren Betrieb der Anlagen nicht beeinträchtigen dürfen, wenn es weiterhin bei der Forderung bleibt, dass Stromnetzausfälle aufgrund von IT-Angriffen ausgeschlossen sein müssen, dann wäre die Voraussetzung in Sachen IT-Sicherheit für den weiteren Betrieb von Kernkraftwerken in Deutschland überhaupt nicht mehr gegeben. Aber das ist nur eine Ideenskizze. Wobei: Wenn die wirklich würde, dann müssten tatsächlich schon allein aus IT-Sicherheitsgründen die Kernkraftwerke hierzulande abgeschaltet werden.