Könnten Geräte des Internet der Dinge die Sicherheit der Schweizer Atomkraftwerke gefährden? Durchaus möglich, meinen Experten. Allerdings stellten frustrierte oder bedrohte IT-Mitarbeiter das grössere Risiko dar.
Wie gefährdet sind kritische Infrastrukturen wie Atomkraftwerke?
Industriespionage, Erpressung oder Sabotage: Atomkraftwerke geraten immer wieder ins Visier von Hackern. Die Schutzvorkehrungen in Schweizer Atomkraftwerken sind gut. Doch ein Risiko steckt im Personal. Es gebe immer wieder frustrierte IT-Mitarbeitende, die für Cyber-Angriffe verantwortlich gemacht werden, sagte Max Klaus. Klaus ist stellvertretender Leiter der Melde- und Analysestelle Informationssicherung (Melani).
Das gelte für alle Branchen, nicht nur für die Stromversorgung. So habe beispielsweise ein Mitarbeiter einer Kläranlage in Neuseeland vor Jahren die Schleusen über einen Remote-Zugriff geöffnet und die halbe Stadt mit Fäkalien geflutet. Auch der Salzburger Terrorexperte Friedrich Steinhäusler, der im Rahmen eines Workshops des Eidgenössischen Nuklearsicherheitsinspektorats (ENSI) verschiedene Fragestellungen in diesem Kontext analysiert hat, sieht im Personal ein Gefahrenpotenzial. So sei ein einzelner Angestellter in der Lage, absichtlich oder unter äusserem Druck - wie etwa durch die Bedrohung von Familienangehörigen - einen Angriff auf ein Kernkraftwerk durchzuführen. Nächste Seite: Gefährliche IoT
Internet-of-Things-Geräte gefährlich
Kritisch seien heutzutage aber auch sogenannte Internet-of-Things-Geräte (IoT), sagte Hernani Marques, Mitglied des Chaos Computer Clubs, auf Anfrage. So werden Gegenstände des Alltags bezeichnet, die mit einer Internet-ähnlichen Struktur verknüpft sind. Die sensitiven Anlagen in AKW sind nicht direkt am Internet angeschlossen, sondern verfügen über einen geschlossenen Computerkreis. Doch diese Geräte würden ein Einfallstor in ein internes, nicht mit dem Internet verbundenes Netzwerk, darstellen, sagte der Profi-Hacker. So hat es laut Marques zum Beispiel schon WLAN-fähige Wasserkocher gegeben. Sollten solche Geräte oder auch Handys vom Personal bewusst oder unbewusst angeschlossen sein und über WLAN eine Verbindung mit internen Anlagen herstellen, die eigentlich nicht mit dem Internet verbunden sind, bestünde ein Risiko.
Nuklearbereich abgeschottet
Das Eindringen auf die Computer in Atomkraftwerken scheint nicht unmöglich. 2014 wurde beispielsweise der südkoreanischen Atomkraftwerk-Betreiber Hydro & Nuclear Power und 2016 das deutsche Kernkraftwerk Grundremmingen von Computerwürmern heimgesucht. Im Mai dieses Jahres legte ein Erpressungstrojaner das Strahlungsmesssystem am havarierten ukrainischen Atomkraftwerk Tschernobyl lahm, weshalb die Kontrolle der Radioaktivität vorübergehend manuell stattfinden musste. Dieser Computerwurm sei offenbar über verseuchte E-Mail-Anhänge verbreitet worden, sagt Max Klaus von Melani. Allerdings erreichen die Hacker meist nur die Geschäftsseite der Kernanlagen. Denn die technische Informatik im Nuklearbereich und der restlichen Informatik der Büroautomation seien physisch getrennt, sagte Mediensprecher Gilles Seuret vom Berner Energiekonzern BKW. Der Betrieb der Anlage könne damit nicht direkt beeinflusst werden. Auch die Kernkraftwerke Gösgen und Beznau bestätigen, dass die Leittechnik der Reaktor-Schutzsysteme von der Aussenwelt abgeschottet ist. Zugriffe auf die Schutzsysteme der nuklearen Sicherheit seien von aussen technisch unmöglich, sagte Barbara Kreyenbühl, Sprecherin des Kernkraftwerks Gösgen. Nächste Seite: Lageradar für Cyber-Bedrohungen
Schaden braucht Geld und Know-how
Wer also auf das operationelle System oder das Sicherheitssystem eines Atomkraftwerks eindringen will, muss dies ohne Internetanbindung tun. So geschehen im September 2010, als der Computerwurm Stuxnet das iranische Atomkraftwerk befallen und dort Zentrifugen zerstört und damit das gesamte Atomprogramm zurückgeworfen hatte. Im Fall von Stuxnet wurde der Virus laut Max Klaus via USB-Stick in das iranische Atomkraftwerk eingeschleust. Solche Angriffe auf die Überwachungs- und Steuerungssysteme sind dem Experten zufolge aber extrem aufwendig und kostenintensiv und benötigen sehr gute Kenntnisse der anzugreifenden Anlagen. So sollen nach bisherigen Informationen der amerikanische und der israelische Geheimdienst hinter «Stuxnet» gesteckt haben. Attacken auf die sensitiven Bereiche von AKW seien daher sehr selten. Mit Ausnahme des Computerwurms Stuxnet gelang es den Tätern bisher nicht, auf den Anlagenbetrieb zuzugreifen.
Lageradar für Cyber-Bedrohungen
In der Schweiz sind die Sicherheitsanforderungen im Nuklearbereich gesetzlich festgeschrieben. Die Kriterien für die Risikobeurteilung legt das ENSI in einer Richtlinie fest, die sich nach den Sicherheitsempfehlungen der internationalen Atomenergie-Organisation (IAEA) richten. Für die Aufsicht der Umsetzung der Schutzmassnahmen der AKW-Betreiber ist ebenfalls das ENSI verantwortlich. 2012 hatte der Bundesrat zudem die «Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken» beschlossen und ein Jahr später den Umsetzungsplan verabschiedet. Dazu sollen die Behörden, die Wirtschaft und die Betreiber kritischer Infrastrukturen zusammenarbeiten. Im vergangenen Jahr sind laut dem Jahresbericht Risiko- und Verwundbarkeitsanalysen für kritische Sektoren durchgeführt worden - auch für die Stromversorgung. Zudem wurde ein Lageradar entwickelt, der die verschiedenen Cyber-Bedrohungen gegen die Infrastrukturen der Schweiz visualisiert und deren Relevanz aufzeigt. Die Fachabteilung Cyber des Nachrichtendienstes hat gemäss dem Bericht Spezialwissen aufgebaut, das es ihr erlaubt, Angriffe zu analysieren und mögliche Täter zu identifizieren. Auch die internationale Zusammenarbeit wurde gestärkt. Im laufenden Jahr soll geprüft werden, wie wirksam die Massnahmen sind.
