Monika Seynsche: Was ist in Gundremmingen vorgefallen?

Jan Rähm: Ganz genau weiß man das noch nicht. Der Betreiber hat bisher nur mitgeteilt: Bei der Vorbereitung von regelmäßigen Prüfarbeiten habe man eine Büroschadsoftware in einem der Steuerrechner gefunden. Der gehört zu sogenannten Brennelementelademaschine. Das ist also jene Maschine, die die Brennstäbe im Reaktor lädt und entlad. Der Betreiber betont, der Ausfall der Maschine habe die Steuerung dieser Maschine nicht beeinflusst. Es heißt "Eine Gefährdung des Personals, der Umgebung oder der Anlage war damit nicht verbunden."

Seynsche: Keine Gefahr nach Aussage des Betreibers, also alles nicht so schlimm?

Rähm: Das ist die große Frage. Liest man die Mitteilung aus Gundremmingen (*) in Hinsicht auf IT-Sicherheit, stellen sich einige Fragen, auf die mir spontan keine plausiblen Antworten einfallen. Die erste Frage ist: Wenn die Büro-Schadsoftware, die gefunden worden ist, der Fachwelt bereits einige Jahre bekannt ist, wie es in der Mitteilung heißt, warum wurde diese dann erst jetzt bei der Revision des Reaktors entdeckt? Gab es keine Sicherungssysteme, keine regelmäßige Wartung der IT-Infrastruktur? Dabei hätte der Schädling schon längst entdeckt werden können und müssen.

Seynsche: Da stellt sich sofort die Frage: Wie konnte der Rechner eigentlich befallen werden?

Rähm: Das ist auch eine der größeren Fragen. In einem Artikel bei Zeit Online heißt es, man gehe davon aus, dass der Schädling per USB-Stick oder anderem Datenträger von einem Bürorechner aus übertragen wurde.

Seynsche: Sind dann noch viele weitere Rechner verseucht?

Rähm: Es müsste ja noch mindestens ein Rechner im Büro befallen sein. Was mich wundert ist, dass es der Schädling bis auf den Rechner im Kraftwerk in der Steuerung geschafft hat. Normalerweise muss ein Datenträger durch eine Art "digitale Schleuse". Das ist mittlerweile in vielen Institutionen üblich. Da werden Datenträger auf Schadsoftware getestet, bevor Daten von oder nach kritischen Systemen übertragen werden. Wieso gab es die in Gundremmingen nicht? Oder warum wurde sie umgangen? Noch so eine große Frage. Der Schädling steckte laut Bericht in einem Office-Dokument. Und da fragt man sich aus der IT-Sicherheit. Wieso ist auf einem Rechner für die Ladesteuerung des Reaktors ein Office Installiert? Es gibt viele Fragen, die der Betreiber in den kommenden Tagen und Wochen beantworten muss.

Seynsche: Wie steht es denn grundsätzlich um die IT-Sicherheit in Kernkraftwerken in Deutschland?

Rähm: Je nachdem wen man fragt, nur mäßig. Wir haben ja gerade erst Anfang April darüber berichtet, dass Kernkraftwerke durchaus angreifbar sind. Zwar ist die Reaktorsteuerung der Anlagen noch analog und deshalb in den meisten Fällen durch digitale Schädlinge nicht erreichbar. Jedoch werden viele Hilfsaggregate mittlerweile durch digitale Maschinensteuerungsanlagen kontrolliert und diese sind sehr angreifbar und müssen entsprechend geschützt werden. Was da alles möglich ist, haben wir damals im Fall von "Stuxnet" gesehen. Das war ja auch eine Maschinensteuerung die angegriffen wurde.

Seynsche: Aber haben wir nicht gute Vorschriften zum Schutz der Anlagen?

Rähm: Ja, die gibt es. In Europa speziell in Deutschland sind die Sicherheitsvorschriften für solche Anlagen ziemlich hoch. Aber, diese Vermutung lässt sich angesichts Gundremmingen nicht von der Hand weisen: Die Vorschriften können streng sein wie sie wollen, falls Handlungen einzelner Mitarbeiter die Maßnahmen unterlaufen. Jetzt heißt zwar wieder, " Die Vorkehrungen zur IT-Sicherheit sind ausgeweitet worden." Doch wie und warum es - trotz eigentlich strenger Vorschriften - in Sachen IT-Sicherheit in Kernkraftwerken zu einem Befall eines mittelkritischen Systems kommen konnte. Und dann mit einer seit Jahren bekannten Schadsoftware, die erst bei Revisionsarbeiten gefunden wird, ist völlig schleierhaft.

Seynsche: Gibt es denn schon Reaktionen anderer Kraftwerksbesitzer?

Rähm: Bisher noch nicht. Der Vorfall wird zunächst durch die Aufsichtsbehörden untersucht.

(*) Anmerkung der Redaktion: Der Name des Standorts wurde nachträglich korrigiert. Er wurde falsch geschrieben.