Gerade rast die Nachricht durch die Medien, dass „im AKW Gundremmingen“ in Bayern ein Computervirus gefunden wurde. Die Frage ist, was „Virus“ und was „im AKW“ im Hinblick auf die Anlagensicherheit konkret bedeutet. Vielleicht wird der „Schadstoff der Woche“ bald durch den „Anlagenvirus der Woche“ abgelöst? Im einen wie im andern Fall leben die Medienmeldungen zumindest ein Stück weit davon, dass man als normaler Mensch, der nicht vom Fach ist, erst einmal nicht einschätzen kann, ob die Nachricht mehr wert ist als eine, die einen „Riss im AKW“ meldet – da kommt es ja auch darauf an, ob im Pförtnerhaus oder im Reaktordruckbehälter.

Kommentare (20)

  1. #1 Nick Thiele
    25. April 2016

    …aber ein Virus ist doch etwas schlechtes. Das kann in einem AKW nicht gut sein.

  2. #2 Hobbes
    25. April 2016

    Ohne selber großes Fachwissen zu haben.
    Ich gehe einmal davon aus, dass es keine gezielte Schadsoftware war sondern ein Zufallsprodukt war. Da die wichtigen Systeme jedoch weder vernetzt sind noch auf Windows laufen dürfte es in etwa dem Riss im Pförtnerhaus entsprechen.
    Anders sieht es bei gezielten Attacken aus. Da die Turbinen wohl auch über ein Netzwerk gesteuert werden kann hier wohl starker Schaden angerichtet werden. Allerdings nicht im Kerntechnischen Bereich. Wie aktuell (und übertragbar) das alles noch ist weiß ich nicht. Ich hatte nur einmal einen Bericht über potentielle Sabotage auf Iranische Kernkraftwerke gelesen.

  3. #3 Stefan
    26. April 2016

    @ Hobbes: “Da die wichtigen Systeme jedoch weder vernetzt sind noch auf Windows laufen dürfte es in etwa dem Riss im Pförtnerhaus entsprechen.”

    Dass die Kraftwerksteuerung nicht mit dem Internet verbunden sei, war heute auch als Aussage des Pressesprechers irgendwo zu lesen. Von daher glaube ich das einfach mal, auch weil ich es gerne glauben will. (So besonders weit weg ist Gundremmingen nämlich von hier nicht.)

    Aber das zweite, das mit dem Windows, ist das irgendwie verbürgt? Ich meine, vor Stuxnet hätte ich auch nicht geglaubt, dass man Uranzentrifugen und Kernkraftwerke (Buschehr) im Iran mit einem Computervirus für Windows beeindrucken kann. Was ich aber dann revidieren musste, denn die Steuerungssoftware ist sogar im Iran von Siemens und für Windows.

  4. #4 rolak
    26. April 2016

    Steuerungssoftware ist sogar im Iran von Siemens und für Windows

    Nee, Stefan, die läuft auf den SPS, nur die IDE zum Entwickeln der Software läuft unter Win.

    Anlagenvirus der Woche

    Sicherlich ein kurz- bis mittelfristig erfolgversprechendes PublikationsKonzept – nur ohne die wesentlichen Details bestenfalls für Propaganda geeignet, nicht zur Information.

  5. #5 AfD Wähler
    26. April 2016

    @Rolak #4
    Vielleicht läuft Windows in der Leitzentrale auf den Fernwirkrechnern? Ist zumindest bei uns so.

    • #6 rolak
      26. April 2016

      zumindest bei uns

      Hat aber nichts mit der Antwort zu tun, AW, es ging nur darum, in welcher Umgebung die letztendliche Steuersoftware, also das zB von Step7 generierte Programm läuft.

  6. #7 Adent
    26. April 2016

    @Joseph Kuhn
    “Anlagenvirus der Woche”, ob du damit wohl an der Börse was losgetreten hast? 🙂

    • #8 rolak
      26. April 2016

      was losgetreten

      Ja und wie, Adent, Pharma-F.I.A. hats schon ausgewertet und wird ab nächsten Freitag ihr neues Modell vorstellen: die VirusAnlage. Zocken mit Pocken, Per Influenza ad Penunzia – ich seh die PR-Aktionen schon vor mir…

  7. #9 Spritkopf
    26. April 2016

    Hier gibt es etwas mehr Information zu dem Fund.

    Wobei folgende Textstelle meiner Ansicht nach etwas zu verharmlosend formuliert wurde und Fragen aufwirft:

    Der betroffene Computer gehört zur Brennelement-Lademaschine des Kraftwerks. Diese hebt beispielsweise alte Brennelemente aus dem Reaktorkern und transportiert sie zum Lagerbecken. Einen Einfluss auf die Steuerung dieser Lademaschine hat der infizierte Computer nach Angaben des Betreibers aber nicht. Er diene dazu, Protokolle zu erstellen.

    Hängt der Rechner nicht trotzdem am internen Netzwerk? Handelt es sich bei den Protokollen um solche, die automatisch erstellt werden? Dann muss der Rechner zwingend Netzwerkzugriff haben, ansonsten könnte er nämlich nicht irgendwelche Statusinformationen von der Brennelement-Lademaschine auslesen und daraus ein Protokoll generieren.

    Den harmlosesten Fall – der Rechner hat keinen Zugriff auf das interne Netzwerk, hat nur einen angeschlossenen Drucker und die Protokolle werden manuell in einer Textverarbeitung geschrieben, ausgedruckt und ausschließlich lokal gespeichert – kann ich mir nicht so recht vorstellen.

  8. #10 jochen
    26. April 2016

    Das die Rechner nicht im Internet hängen, ist ja heutzutage auch kein Problem mehr. Der Mensch ist nunmal der Risikofaktor nummer eins und trägt auf einem USB Stick gerne mal Viren überall hin. Eigentlich ist es schwer vorstellbar, dass heutzutage noch jemand einen USB Stick vom Parkplatz aufhebt und in seinem Rechner steckt. Aber wie heißt es so schön: Die menschliche Dummheit ist grenzenlos.

    Und das Anlagen in Deutschland schon geziehlt sabotiert werden, ist auch keine Neuheit mehr: Hacker sabotieren Stahlwerk und erzeugen Physikalischen Schaden

    Wer wirklich glaubt, das unsere Kernkraftwerke vor Computersabotage gefeit sind, lebt in einer Scheinwelt.

  9. #11 roel
    ******
    26. April 2016

    https://www.kkw-gundremmingen.de/presse.php?id=571

    Detektion von Büro-Schadsoftware an mehreren Rechnern

    25.04.2016

    “Im Kernkraftwerk Gundremmingen ist im Rahmen revisionsvorbereitender Prüfarbeiten in Block B so genannte Büro-Schadsoftware gefunden worden. Diese Software ist in der Fachwelt bereits einige Jahre bekannt; sie zielt unter anderem darauf ab, eine ungewollte Verbindung zum Internet herzustellen.

    Die im Kraftwerk an technischen Komponenten eingesetzten Rechner, die für die Steuerung der Anlage genutzt werden, sind nicht mit dem Internet verbunden. Die gefundene Schadsoftware kann zudem keine Veränderungen an technischen Steuerungen bewirken. Alle sensiblen Kraftwerksbereiche sind entkoppelt und grundsätzlich redundant sowie manipulationsgeschützt ausgelegt. Das betroffene IT-System, das 2008 zur Datenverarbeitung und -visualisierung nachgerüstet wurde, gehört zur Brennelement-Lademaschine. Einen Einfluss auf die Steuerung der Lademaschine konnte es aufgrund der Systemarchitektur nicht geben.

    Die zuständige Aufsichtsbehörde und das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden informiert. Die Aufklärung erfolgt mit Unterstützung durch IT-Fachleute des RWE-Konzerns. Im Kraftwerk sind zwischenzeitlich alle weiteren sicherheitstechnisch wichtigen IT-Systeme ohne Befund überprüft worden. Bei einer am 24.04.2016 abgeschlossenen Prüfung von Wechseldatenträgern und Programmiergeräten gefundene Schadsoftware wurde erkannt und bereinigt. Die Vorkehrungen zur IT-Sicherheit sind ausgeweitet worden.

    Das Vorkommnis wurde gemäß den deutschen Meldekriterien in die Kategorie N (Normal) eingestuft. Nach der internationalen Skala zur Bewertung von Vorkommnissen (INES) ist es der Stufe 0 zuzuordnen (unterhalb der Skala, keine oder sehr geringe sicherheitstechnische Bedeutung). Eine Gefährdung des Personals, der Umgebung oder der Anlage war damit nicht verbunden.”

  10. #12 Stefan
    26. April 2016

    @ rolak (#4)

    Soso, die Software selbst läuft also *nicht* unter Windows. Wenn du das so sicher weißt, dann weißt du ja sicherlich auch, unter welchem Betriebssystem sie stattdessen läuft. Dann schreib das halt bitte auch hin. Mich würde so was nämlich interessieren

  11. #13 Orci
    26. April 2016

    Er meint vermutlich, dass die Steuerungssoftware selbst nicht auf einem handelsüblichen PC läuft, sondern auf dem Controller einer (S)SPS/eines PLS und damit unter einem propriäteren, herstellerabhängigen Betriebssystem.
    Nur Bedien- und Beobachterfunktionen laufen auf normalen Rechnern, das Programm der Steuerung selbst nicht.

  12. #14 Spritkopf
    26. April 2016

    @Stefan

    Soso, die Software selbst läuft also *nicht* unter Windows. Wenn du das so sicher weißt, dann weißt du ja sicherlich auch, unter welchem Betriebssystem sie stattdessen läuft.

    Hat er doch geschrieben. Die Software in den iranischen KKW läuft auf SPS von Siemens. Genauer gesagt: Auf S7-300.

    Ob deren “Betriebssystem” (falls man das überhaupt so nennen kann) einen Namen hat, weiß ich nicht. Aber mit Windows hat es nichts zu tun und funktioniert auch nach ganz anderen Prinzipien.

  13. #15 rolak
    26. April 2016

    Er meint vermutlich

    Meine Meinung ist da völlig irrelevant, Orci, kann alles nachgelesen werden – doch unsere Beschreibungen sind schon ziemlich identisch 😉

    Dann schreib das halt bitte auch hin

    Jawollja, Herr Stefan, alles untertänigst zu Ihren Diensten, wie wir es hätten von vorneherein wissen und erledigen müssen!
    Zu faul zum Nachgucken? Dann TL;DR für 08/15-PC-user: Gar kein Betriebssystem, außen ein IP/Feldbus/Ethernet/CAN/I²C-oder was-auch-immer-Interface für die Kommunikation, innen ein kleiner endlicher Automat, der Listen abarbeitet.

    Falls Dich interessiert, wie ein Einbruch dennoch gelingen kann, zerlegst Du am besten einen bekannten Protagonisten, in diesem Falle zB StuxNet. Als Zusatzlektüre empfehlenswert: diverse Jurablogs.

  14. #16 Stefan
    26. April 2016

    Also security by obscurity.
    Muss ich jetzt tunlichst beruhigt sein, Herr rolak?

  15. #17 Spritkopf
    26. April 2016

    Meine Güte, da will aber einer jeden Scheiß bis ins letzte Detail vorgekaut bekommen. Sich mal selber in Bewegung setzen? Aber nicht doch.

  16. #18 Dr. Webbaer
    26. April 2016

    Hier geht es um Systeme der Informationstechnologie, die wirtschaftliche Betriebsabläufe, sogenannte Prozesse, manchmal auch Projekte (die haben ein Ablaufdatum, dies ist ihr Distinktionsmerkmal zu den Prozessen), angreifen, um Schaden zu generieren oder Nutzen (für andere, nicht Betreibende) anzuleiten.

    I.p. Malware spielen sogenannte Computerviren nur eine untergeordnete Rolle, viel problematischer sind Angriffe auf das Sicherheitssystem oder Rechtssystem [1] einer betrieblichen Einrichtung, die per Authentifizierung, dann falscher, Rechte erwirken, die der Authentifizierung geschuldeten Autorisierung geschuldet sind.

    Plump formuliert:
    Ein Außenstehender tritt (im schlimmsten Fall) als “bevorrechtigter und allumfassender” Administrator auf und übernimmt sozusagen den Besitz des Betriebs oder zumindest der zugrunde liegenden IT-technologischen Implementierung.

    Bei AKWs, aber auch anderswo, wäre dies der Worst Case, hier ist dann von Erpressung bis Terrorismus alles möglich.
    Die betroffenen IT-Systeme müssten dann neu aufgesetzt werden, die Rechtevergabe neu geregelt werden, Sicherheitslücken identifiziert und ausgemerzt werden etc. – der betriebliche Schaden geht hier schnell in Millionenhöhe.

    Der oder das Virus ist hier aber vglw. nett und eher antiquiert Schaden anrichtend, weil er oder es eben nicht konzentriert das Gesamtvorhaben anzugreifen vermag.

    MFG
    Dr. Webbaer

    [1]
    ‘Rechtssysteme’ gibt es im Betrieb und definieren, wer etwas machen darf. Insofern werden oft auch wirtschaftliche Stake-Holder (auch: auf Vorstandsebene) eingebunden, die dann vielleicht witzigerweise dieses Konzept nicht verstehen.
    Gerade hier entstehen erst “Sicherheitslücken”.

  17. #19 Dr. Webbaer
    26. April 2016

    *
    die der Authentifizierung folgenden Autorisierung geschuldet sind

    **
    Rechtesystem (vs. ‘Rechtssystem’)

  18. #20 Dr. Webbaer
    26. April 2016

    PPS:
    ‘ IT-basiert’ vs. ‘IT-technologisch’ gefällt dem Schreiber dieser Zeilen im Nachhinein “eine Spur” besser.