Donnerstag, 18. April 2024

Archiv

Alte Computerwürmer in altem AKW
Der "Schädlingsbefall" im Kernkraftwerk Gundremmingen

Eigentlich ist der Computerwurm Conficker, der 2008 die Welt ein wenig in Aufregung versetzte, schon lange Geschichte. Quasi ein Fall für's IT-Museum. Wären da nicht die kleine bayerische Gemeinde Gundremmingen und ihr Kernkraftwerk. Denn aus dem war diese Woche zu hören, dass dort auf einem der Steuerrechner Conficker und ein anderer Computerschädling gefunden worden seien.

Jan Rähm im Gespräch mit Manfred Kloiber | 30.04.2016
    Das Atomkraftwerk Gundremmingen
    Das Atomkraftwerk Gundremmingen in Schwaben. (Karl-Josef Hildenbrand / picture alliance / dpa)
    Manfred Kloiber: Jan Rähm, wie kamen denn die alten Würmer ins Kraftwerk?
    Jan Rähm: Das ist unklar und derzeit Gegenstand der Untersuchungen. Klar ist: 18 Wechseldatenträger sind befallen und mindestens ein Computer. Der Betreiber des KKW sagt, die Schadsoftware sei eventuell per Mail oder gar durch einen Mitarbeiter von zu Hause mitgebracht worden. Ein Experte der Branche berichtete mir in einem Hintergrundgespräch, es sei gar nicht einmal so unüblich, dass Mitarbeiter daheim und innerhalb von Industrieanlagen die gleichen Datenträger nutzten und auch deren Angehörige.
    Kloiber: Da nutzen dann vielleicht die Kinder Mamas oder Papas USB-Stick und verseuchen ihn dann ganz nebenbei? Klingt ein wenig abenteuerlich.
    Rähm: Ja durchaus, so muss man sich das vorstellen. Ich fand das auch ein wenig abenteuerlich, aber es wurde mir von zwei Seiten in dieser Art bestätigt. Es sei wohl aber auch so, sagte der Sprecher des KKW Gundremmingen, dass die Datenträger, auf denen jetzt die Viren gefunden wurden, zum Teil seit Jahren in irgendwelchen Schubladen gelegen hätten und nun nur zur bevorstehenden Revision überprüft worden seien. Das klingt für mich auch ziemlich abenteuerlich! Aber es sei wohl noch ein Infektionsweg möglich, beschrieb mir ein Brancheninsider in Bezug auf den befallenen Rechner, der zur sogenannten Lademaschine gehört. Deshalb meinte er, dass bei der Vorbereitung der Revision und zur Revision eine Vielzahl an Menschen an diesen Rechner kommen würde. Da könne man nicht ausschließen, dass dieser Virus auf dem Rechner nicht auch von außen eingeschleppt worden sei.
    Kloiber: Wie steht es grundsätzlich um die IT-Sicherheit in solchen kerntechnischen Anlagen?
    Rähm: Da sagt der Insider, ähnlich gut oder schlecht wie in der Industrie. Grundsätzlich gibt es in einem KKW drei unterschiedliche Arten von IT-Infrastruktur, Bürorechner und vergleichbare Rechner, die im unmittelbaren Anlagenbetrieb eingesetzt werden und es sind fest installierte IT-Systeme zur Messung und Steuerung von Anlagenteilen. Die dritte Art ist dabei laut Aussage mehrerer Quellen sowohl von Internet wie auch von internen Netzen getrennt und außerdem würden die eingesetzten IT-Systeme, strikt auf die notwendigen Funktionen beschränkt. In Gundremmingen würden beispielsweise die Steuerungsanlagen, wo Siemens S7 speicherprogrammierbare Schaltungen eingesetzt und von WinCC-Rechnern gesteuert werden, massiv beschränkt. USB-Anschlüsse wären dort gar nicht nutzbar.
    Da der jetzt betroffene Rechner jedoch zur zweiten Kategorie gehört, also den Geräten für den Anlagenbetrieb, war er - zwar geschützt durch diverse Barrieren - doch mit Netzen verbunden und wie es der vorliegende Fall zeigt, augenscheinlich nicht ausreichend geschützt.
    Kloiber: Was hätten denn Conficker und W32.Ramnit anrichten können?
    Rähm: Wären die befallenen Systeme aktuell gewesen in Sachen Betriebssystemupdates und Anti-Viren-Software, wäre gar nichts passiert. Dann wären sie ja auch viel früher entdeckt und beseitigt worden. Nun waren sie aber da und konnten wahrscheinlich auch nicht viel anrichten, da beide Viren als vergleichsweise harmlos einzustufen sind. Aber: beide konnten Code nachladen und sich über Datenträger und Netzwerke weiterverbreiten. Daher würde ich nicht grundsätzlich ausschließen, dass vielleicht doch noch die ein oder andere Überraschung auf die Ermittler wartet.
    Kloiber: Hätte denn die Steuerung der Reaktoren beeinträchtigt werden können?
    Rähm: Nach vorliegenden Erkenntnisse nicht. Die in Deutschland betriebenen KKWs werden allesamt analog gesteuert. Aber die Zusatzaggregate sind durchaus digital vernetzt, so dass sich über diesen Weg durchaus Schaden anrichten ließe. Zum Beispiel wenn der Betrieb der Kühlwasserkreisläufe gestört würde.
    Kloiber: Nun heißt es aus Gundremmingen: Die Vorkehrungen zur IT-Sicherheit sind ausgeweitet worden. Warum erst jetzt und wird es wirklich helfen?
    Rähm: Warum erst jetzt? - diese Frage müssen die Betreiber beantworten. Doch es ist meist so, das kennen wir aus der Industrie und Wirtschaft, dass IT-Sicherheit halt kein Geld einbringt, sondern nur kostet und deswegen sehr oft vernachlässigt wird. Wird's helfen? Dazu meinte ein Brancheninsider, in den ersten ein zwei Jahren ja, aber dann werden die Ereignisse wieder vergessen und dann wird wieder geschludert.
    Kloiber: Alte Würmer in alten Kernkraftwerken – das waren Informationen von Jan Rähm, danke!