Die Saboteure wollten die Stromversorgung zur Krim unterbrechen, als sie 2015 in der Ukraine mehrere Freileitungen sprengten. Ihre Aktion hatte einen Kollateralschaden: Weil das Netz den Strom nicht mehr aufnahm, kam es bei den Kernkraftwerken Saparoshje und Südukraine zu automatischen Lastabwürfen: Ventile schlossen die Dampfzufuhr zu den Turbinen, die Leistung von Reaktoren wurde schnell heruntergefahren: "Die Anlage braucht aber selber Strom, um die Hauptkühlmittelpumpen noch weiter betreiben zu können. Ja, und diese Leistung muss also im Kernkraftwerk noch bereitgestellt werden."
Die Kernspaltung soll in diesem Fall möglichst so weit gedrosselt werden, dass das Atomkraftwerk gerade noch genügend Strom für sich selbst produziert, erklärt Christian Küppers vom Ökoinstitut Darmstadt. Fällt die Leistung zu stark, müssen die Notstromdiesel dran: "Wenn jetzt ein Stromnetz größerflächig ausgefallen ist, dann ist es auch schwierig, dieses Stromnetz wieder in Betrieb zu nehmen. Das kann sich über einen längeren Zeitraum hinziehen. Und für solche Zeiträume sind die Notstromdiesel eigentlich nicht gedacht."
Für viele Belegschaften ist Cyber-Sicherheit kein Thema
Im vergangenen Jahr ging in der Ukraine alles gut. Ein paar Wochen später mussten Mitarbeiter in den Kontrollräumen von drei ukrainischen Netzzentralen dann hilflos zusehen, wie Hacker ein Ortsnetz nach dem anderen abschalteten. Diesmal kam es nicht zu Lastabwürfen, aber die Stromversorgung war wieder angegriffen worden: "In Fällen, wo durch eine Attacke auf Überlandleitungen so etwas verursacht wird, oder eine Cyberattacke stattfindet auf das Stromnetz, da muss man sich schon ernsthaft Sorgen machen, dass dann die Kernkraftwerke da noch in der Lage sind, ihre Kühlung aufrechtzuerhalten."
Beide Attacken zielten nicht auf die Kernkraftwerke, aber sie bedeuten ein Risiko. Und die Cyberattacke belegt die Probleme, die die Digitalisierung im Nuklearbereich bringt: "In vielen Belegschaften gibt es die Einstellung, dass Cyber-Sicherheit kein Thema ist, weil die Steuerungssysteme für die Reaktoren und Sicherheitseinrichtungen nicht mit dem Internet verbunden sind. Das ist jedoch ein Irrtum."
Einmal, weil die Digitalisierung über Ersatzteile selbst in die ältesten Anlagen Einzug hält, erklärt Sicherheitsexperte Roger Brunt, ehemals Direktor des britischen Amts für zivile nukleare Sicherung. Zum anderen bewies der Stuxnet-Angriff auf die iranische Urananreicherungsanlage, dass auch Steuerungssysteme, die nicht mit dem Internet verbunden sind, anfällig für Cyberattacken sind. Ein USB-Stick mit Schadsoftware reicht, um die sogenannte Luftschnittstelle zu überwinden.
AKW-Betreiber brauchen die Unterstützung von IT-Sicherheitsfirmen
"Der amerikanische und israelische Geheimdienst haben diesen sehr ausgefeilten Computerwurm Stuxnet entwickelt. Es war ein Fall von aktiver Industriesabotage. Die Frage ist, ob solche Attacken auch ohne so hochkarätige Unterstützung durchgeführt werden können. Und die Antwort ist: wahrscheinlich ja", urteilt Carl Robichaud von der Carnegie Corporation in New York.
Doch ist es schwierig, Abwehrstrategien für Nuklearanlagen zu entwickeln. Um beim Thema IT-Sicherheit neue Wege zu finden, schlägt Roger Brunt vor: "Meiner Meinung nach können Aufsichtsbehörden und Betreiber nicht mit der immens schnellen Entwicklung im IT-Bereich Schritt halten. Vielmehr werden sie sich der Herausforderung gegenübersehen, IT-Sicherheitsfirmen zu finden und sich ihre Unterstützung zu sichern. Diese Spezialisten sollten dann Attacken feststellen und analysieren und die Sicherheitsmaßnahmen beurteilen können."
Dafür müsste ein rechtlicher Rahmen geschaffen werden - samt Überprüfungsmethoden, die die Zuverlässigkeit der externen IT-Dienstleister sicherstellen.
