Cthulhu_Steuer

Aktuell geistert gerade eine Meldung durch die Nachrichten, die die ungünstige Kombination der Schlagworte “Cyberangriff”, “Frankreich” und “Atomkraftwerke” enthält und da ich wohl nun offensichtlich zu den Internet-Ansprechpartnern in solchen Angelegenheiten zähle, habe ich auch schon entsprechende Anfragen bekommen. Das ist für mich ausreichend, um spontan einen kleinen Artikel dazu zu schreiben, anstatt mehrere E-Mails ausführlich zu beantworten.

Wenn man nur die Schlagworte hört, entsteht offensichtlich bei vielen Lesern der Eindruck, dass Kernkraftwerke aus dem Internet irgendwie ferngesteuert manipuliert worden sind oder werden könnten. Diesem Eindruck kann man sich alleine schon dadurch erwehren, dass man die entsprechenden Artikel in den Medien zu Ende liest und sich nicht nur die Überschriften anguckt. Bei dem Hack war das Ziel eine französische Baufirma und es wurden wohl Baupläne, unter anderem vom KKW Fessenheim und einer (geplanten) französischen Endlagerstätte erbeutet und bis Juni diesen Jahres über einen Server in Deutschland zur Verfügung gestellt, bevor dieser im Juni von der deutschen Polizei dann einkassiert wurde.

Was man jetzt mit Bauplänen eines AKWs anfangen kann, das kann ich auch nur erraten. Mein Bauchgefühl sagt mir jetzt zwar schon, dass das keine Informationen sind, die man unbedingt öffentlich verbreiten sollte, aber der Weltuntergang wird das jetzt auch nicht sein. Ein AKW so zu manipulieren, dass man es für einen terroristischen Zweck benutzen kann, erfordert sehr viel Fachwissen in der Größenordnung eines Ingenieurstudiums mit Spezialisierung auf Reaktortechnik. Dabei wären Baupläne sicherlich hilfreich, aber auch nur ein kleiner Teil des Ganzen.

Was das Fernsteuern eines AKWs durch Hacking angeht, kann ich auch zur Beruhigung beitragen: Das funktioniert im Allgemeinen nicht, aus dem simplen Grund, dass alle AKWs in Deutschland oder Frankreich echt alt sind (die modernsten kommen aus den frühen 1980ger Jahren) und daher einfach keinen Internetanschluss haben. Auch wenn Komponenten immer wieder aktualisiert werden, so arbeiten im Grunde alle AKWs doch mit Analogtechnik aus den 70ger oder 80ger Jahren und die ist ziemlich resistent gegen moderne Hacker 😉 Mal ganz abgesehen davon, dass alle sensiblen Systeme auch manuelle Backups haben, die dadurch funktionieren, dass ein Techniker einen großen Hebel umlegt oder an einem großen Ventil dreht. Hackersicher *g*.

Cthulhu_SteuercontrolpanelJetzt werden ein paar KKW- und Hacking-Begeisterte hier aufschreien und wenn ich ganz ehrlich bin, dann muss ich natürlich gestehen, dass meine Pauschalaussage von oben soooo nicht ganz richtig ist… zumindest nicht in dieser groben Verallgemeinerung. Auf diesen zwei Bildern bedienen Strickpuppen-Baby-Cthulhu und ich Deutschlands modernsten Kernreaktor (am Windows NT Terminal) und als Fan der Hardware-Hacking-Vorträge auf der FrOSCon und Gelegenheits-Lurker im C4 in Köln habe ich mir natürlich Gedanken gemacht, wie man so ein System hacken könnte. ABER grundsätzlich stehe ich zu meiner Aussage von weiter oben. Ein deutsches AKW kann man nicht durch Hacking in eine Situation bringen, in der es gefährlich wird. Da braucht es schon wesentlich mehr.

Zusätzlich zu den Zeitungsartikeln, die jetzt dieses Interesse ausgelöst haben, geistert auch noch die Idee durchs Internet, dass der Hack von Atomkraftgegnern initiiert worden ist, die damit gegen die Beteiligung der besagten Baufirma an der französischen Endlagerstätte demonstrieren wollten. Das halte ich, falls es sich so bewahrheiten sollte, für eine echt effiziente Idee, denn die Veröffentlichung der Pläne einer solchen Anlage im Vorfeld ist auf jeden Fall eine der sichersten Möglichkeiten in der Planungsphase einen gewaltigen Schraubenschlüssel in das Getriebe eines solchen Projektes zu werfen und ein Alptraum für alle, die da in den entsprechenden Planungsgremien sitzen.

Kommentare (14)

  1. #1 tomtoo
    4. November 2018

    Hacking ist ja nicht nur ein möglicher Angriff von aussen. Stuxnet war ja auch kein Angriff von aussen. Ein bischen social engineering, das wissen um die eingesetzte Hardware usw. All das kann einen Hack erfolgreich machen.

  2. #2 Tobias Cronert
    4. November 2018

    Ja, auch von Innen halte ich das nur im absoluten Hollywood Fall mit Oceans 15 für möglich.

    Klar könnte man sich theoretisch als Mitarbeiter von Areva rein social-engineeren und dann auf dem alten DOS-Rechner sein spezielles Fortran Programm laufen lassen, dass die Steuerstäbe zum Zeitpunkt X alle ausfährt.
    Ja aber dann dreht der Techniker einfach das Ventil von dem Borwasser-Zulauf auf und der Reaktor ist aus. Eine gefährliche Situation kann man so auch nicht auslösen.

    Ja, einzelne Sensoren, Steuerelemente etc. pp. kann man durchaus manipulieren, klar. Aber man kann eben nicht “die Kontrolle übernehmen” indem man sich einfach mal in den den Zentralrechner des AKWs hackt, denn einen solchen Zentralrechner gibt es eben nicht. Und eben dieses “ferngesteuerte Kontrolle übernehmen”, wie beim smart home scheint eine der ersten Assoziationen zu sein, wenn Leute eine Überschrift mit Cyberangriff + AKW lesen.

  3. #3 tomtoo
    4. November 2018

    Ja, die Movie Industrie. Klicker die Klapper, gehackt! Aber die Filme wären auch verdammt lang(weilig), ging es realistisch zu. ; )

  4. #4 gedankenknick
    4. November 2018

    Ist es eigentlich eine schlaue Idee, die Schaltfläche für “Steuerstab EINWERFEN” direkt über einen “diesen gesamten Vorgang abbrechen”-Feld anzubringen? :-)

  5. #5 tomtoo
    4. November 2018

    @gedankenknick
    “…schlaue Idee.?..” Wie soll’s denn noch schlimmer kommen? Hallo? Der @Tobi spielt mit den Steuerstäben eines AKW’s. ; )

  6. #6 rolak
    4. November 2018

    Tobi spielt mit den Steuerstäben

    Na, solange das Bo in der Spur bleibt…

    direkt über?

    Konditionierung via dem andauernden WinDateiKontext, gedankenknick, da steht ‘Löschen’ auch direkt über ‘Umbenennen’.

    Übrigens brauchst Du nicht immer dazu schreiben, daß ‘gedankenk’ Dein nick ist. :•P

  7. #7 Tobias Cronert
    4. November 2018

    @gedankenknick
    “…schlaue Idee.?..” Wie soll’s denn noch schlimmer kommen? Hallo? Der @Tobi spielt mit den Steuerstäben eines AKW’s. ; )

    Hey, ich hab ein Blatt Papier vom Verfassungsschutz, dass behauptet, dass ich vertrauenswürdig bin!
    … und neuerdings sogar ein ärztliches Attest, dass behauptet, dass ich kein Psychopath bin 😉

    @Gedankenknick: Bei dem System muss man immer erst die entsprechende Schaltfläche (den Befehl) markieren (loggen) und dann über eine separate Schaltfläche aktivieren. Außerdem ist es (wie ich hier verwerflicherweise angedeutet habe) kein Touch-Screen, sondern ein Display wo mit einer Maus (sieht man auf dem anderen BIld in meiner rechten Hand) klickt. Da ist schon ein wenig Gedankenschmalz reingesteckt woren und mMn auch recht gut ausgearbeitet. Ich glaube verklickt habe ich mich da bislang noch nicht.

  8. #8 tomtoo
    4. November 2018

    Clearence vom Verfassungsschutz und kein Psycho? Ich hege Verdacht! ; )

  9. #9 Walter Benda
    Bochum
    5. November 2018

    Es gibt keine Versicherung dagegen, dann kann das Risiko nicht real sein! 😛

  10. #10 Laie
    5. November 2018

    Es gilt vorsichtig zu sein, denn die Leute kommen ja auf komische Ideen:

    So gibt es auf Youtube ein Video, in dem irgendwelche “Geistreiche” eine Drohne mit Kamera drauf über einen Kühlturm fliegen haben lassen. (In der Schweiz wo).

    Von daher müssen die Betreiber sich absichern, falls Radikale oder Verrückte diese Idee aufgreifen und etwas anderes dort hin transportieren….

    Aus der Medienberichterstattung ist ja zu sehen, auf welche Ideen manche kommen, wie Leute-vor-Die-U-Bahn-Schupser, oder Fahrgästeverprügler, die aus welchen Gründen auch immer im Zunehmen sind.

    Dann braucht man also eine Funküberwachung und ständige Überwachung des näheren Geländes vor ungebetenen “Gästen”.

  11. #11 tomtoo
    5. November 2018

    @Laie
    Sebst wenn die mit einer Drohne C4 transportieren können die nix wirklich sicherheitsrelevantes kaputt machen.

  12. #12 Tobias Cronert
    5. November 2018

    Ja, Dumfug kann man mit AKWs genauso gut machen, wie mit Flughäfen oder anderen speziell gesicherten Gebäuden.

    Das würde aber idR. nur einen Schnellabbschaltung auslösen. Zumindest bei uns im Forschungsreaktorbereich sind die Operatuere immer recht triggerhappy, wenn es um den großen roten Knopf geht. Sobald irgendwas komisch erscheint (und eine Drohne über dem Gelände würde sicherlich dazugehören) würde jemand auf den großen roten Knopf drücken.

    Da kann der Dronenpilot dann nur hoffen, dass man ihn nicht erwischt, denn so ein Ausfall kann echt teuer werden. Vorallem, wenn man ihn nicht direkt wieder hochfahren kann, sondern in der Xenon-Vergiftung landet.

  13. #13 tomtoo
    5. November 2018

    @Tobi
    Kann mir nicht vorstellen das ein kommerzieller Reaktor wegen einer Drone schnellabgeschaltet würde. Aber angenommen die würde(mit C4) einen Netzeinspeisetrafo beschädigen, müsste halt abgeschaltet werden. Dafür ist so ein AKW aber ausgerüsted, also nix wirklich sicherheitsrelevantes. Aber sau teuer.

  14. #14 Till
    14. November 2018

    @tomtoo

    Ja, die Movie Industrie. Klicker die Klapper, gehackt!

    Du hast die durchlaufenden Linux Bootmeldungen vergessen 😉