Der grüne Bundestagsabgeordnete Hans-Joachim Fell, der vergangene Woche auch beim Berliner Lichtsmog-Panel dabei war, hat heute die Ergebnisse einer kleinen Anfrage an die Bundesregierung zur Sicherheit von EDV-Anlagen in Atomkraftwerken ins Netz gestellt.

Das folgende “Highlight” erlaube ich mir mal zu posten, bevor ich wieder zurück an meine Daten muss (werte gerade eine Online-Erhebung mit NSDstat aus – schönes Programm):

Die Frage:

Welche Fälle sind der Bundesregierung international bekannt, bei denen Computersysteme von Atomkraftwerken mit schädlichen Programmen […] infiziert wurden, und gab es dabei auch Fälle, in denen diese Programme bzw. Programmteile dazu beigetragen haben, dass die Performance des Kraftwerks bzw. von Kraftwerksteilen wie dem Computersystem von deren Standard-Performance abwich?

Die Antwort:

Der Bundesregierung ist ein Fall im Ausland bekannt, in dem in einem Kraftwerk der Anlagen-Prozessrechner mit einem Computervirus infiziert war. Dadurch war zunächst das Anzeigesystem für Sicherheitsparameter beeinträchtigt und fiel für einige Stunden aus. Ebenfalls war der Anlagen-Prozessrechner für ca. 6 Stunden nicht verfügbar. Die automatisierten Sicherheits- und Betriebsfunktionen der Anlage waren hiervon nicht beeinträchtigt.

Die Schadsoftware drang über eine ungeschütze Datenverbindung ein und nutzte eine nicht rechtzeitig geschlossene Sicherheitslücke eines Datenbank- programms. Entsprechende Software zum Schließen der Lücke war verfügbar.

Schön zu sehen, dass die leidigen Software-Sicherheitsupdates in zumindest einem AKW ebenso ernst genommen werden, wie traditionell bei den meisten Privatanwendern.

Das Original-Antwortdokument gibts via Fells Twitter-Account.

Kommentare (7)

  1. #1 Christian W
    28. April 2009

    Die Schadsoftware drang über eine ungeschütze Datenverbindung ein …

    Vielleicht sollte man AKW-Angestellte noch einmal öfter darüber belehren, dass das Benutzen selbstbeschriebener Datenträger und/oder eigener Hardware allgemein am Arbeitsplatz nicht deshalb verboten ist, weil der Chef seine Mitarbeiter trietzen will, sondern weil das Menschenleben und die Natur insgesamt gefährdet? Reichlich beunruhigend das – und anderes heute…

    Grüße
    Christian W

  2. #2 Wolfgang Flamme
    29. April 2009

    “Die automatisierten Sicherheits- und Betriebsfunktionen der Anlage waren hiervon nicht beeinträchtigt.”

    Natürlich nicht. Ein Prozeßleit- und Visualisierungssysten kann mit der eigentlichen Anlagenkontrolle nur über ein vordefiniertes Befehlsrepertoire kommunizieren, kann also im schlimmsten Fall lediglich einen vordefinierten, automatisch überwachten Ablauf (eigentlich eher ein ‘Ersuchen’) fehlerhaft anstoßen.
    Also nichts, was ein verpoofter Bediener am PC nicht auch versehentlich falsch machen könnte.

    Glaubt hier irgendjemand, daß ein Projektierer EINEM PC sicherheitsrelevante Funktionen zubilligen würde? Noch nichtmal in ‘ner Autowaschanlage!

  3. #3 Sven Türpe
    30. April 2009

    Also nichts, was ein verpoofter Bediener am PC nicht auch versehentlich falsch machen könnte.

    Könnte ein Bediener zum Beispiel in eine Endlosschleife geraten und seinen Unsinn — oder etwas, das beim ersten Mal noch sinnvoll war — beliebig oft wiederholen? Wird ein Computer stutzig, wenn er Blödsinn macht?

    Glaubt hier irgendjemand, daß ein Projektierer EINEM PC sicherheitsrelevante Funktionen zubilligen würde?

    Manchmal erfährt man erst hinterher, was sicherheitsrelevant war und zu einer Ereigniskette beigetragen hat. Da kann auch eine durchgebrannte Glühbirne den Anfang machen und die Bediener derart ablenken, dass ihnen die Sicherheitsmechanismen nicht mehr helfen. Im verlinkten Beispiel handelte es sich ebenfalls um ein Anzeigesystem für Sicherheitsparameter, und es war sogar redundant ausgelegt.

    Das sind gewiss keine Gründe zur Panik, zumal Sicherheitsparameter ein sehr schwammiger Begriff ist, der sich nicht unbedingt auf den Reaktor beziehen muss. Aber eben auch keine dafür, sich mit Schadsoftware in der näheren Umgebung kritischer Anlagen wohlzufühlen.

  4. #4 Wolfgang Flamme
    1. Mai 2009

    Sven,

    ich bin mir da mit Dir eigentlich einig, auch bei der Sicherheitsbewertung: es ist ziemlich dumm, wenn man so einfach vermeidbare Risiken mißachtet, deshalb gehört der Fall sicher und berechtigt an die Öffentlichkeit.

    Kontraproduktiv ist allerdings die Präsentation von …

    “Weil ein Hufeisen verloren ging, ging ein Pferd verloren. Weil ein Pferd verloren ging, (…)”

    … im Kontext. Denn wenn Du mich fragst, wodurch in den letzten Jahren mein Leben und das meiner Lieben konkret am meisten gefährdet wurde, dann lautet die Antwort nicht ‘Biblis’. Nein, die drei- oder viermal, wo ich mich wirklich heimlich beim Lieben Gott bedankt habe, da waren allesamt mobiltelefonierende Autofahrer die Ursache – zu geizig, um ein BT-Headset zu kaufen oder zu nachlässig, um es zu verwenden. Und einmal, es ist inzwischen 8 Jahre her, habe ich bloß wegen Streß und Übermüdung meine Familie und andere völlig unnötig in Lebensgefahr gebracht – ich schäme mich immer noch dafür.

    Da liegen die wirklich relevanten Lebensrisiken und das Tragödienpotential: Bei den kleinen, tagtäglichen Entscheidungen und scheinbar überschaubaren Sicherheitskompromissen, die sich in der Summe zu zigtausenden Opfern pro Jahr aufaddieren. Die stellen alles, was aufwendig und gewissenhaft abgesicherte Großanlagen mit Gefährdungspotential uns je realistischerweise antun könnten weit in den Schatten.

  5. #5 Sven Türpe
    1. Mai 2009

    Wir reden über zwei verschiedene Bezugssysteme. Mein Leiblingsangstauslöser heißt auch nicht Biblis, aber das lässt sich mühelos in einer makroskopischen Betrachtung rechtfertigen. Genügend viele Kernreaktoren sind genügend lange gelaufen, um die Risikobewertung und den Risikovergleich anhand von Unfall- und Opferstatistiken zu erlauben. Computerviren sind nun auch schon seit einigen Jahrzehnten bekannt, sie stellen also keine völlig neuartige und unerforschte Bedrohung dar, die alle bisherigen Daten auf einen Schlag irrelevant machen würde. Über technische Details müssen wir bei einer solchen Betrachtung kaum nachdenken. Ein grobes Verständnis ist sicher hilfreich, aber selbst wenn man einfach Tschernobyl ansetzt und sich um technische Unterschiede nicht kümmert, kommt es am Ende doch vor allem auf den Vergleich mit anderen, ebenfalls statistisch betrachteten Risiken an.

    Ein anderes Bezugssystem ergibt sich aus dem mikroskopischen Blick auf die konkrete technische Umsetzung, auf einzelne Kraftwerke oder Kraftwerkstypen. Der Maßstab ist dann nicht mehr das Gesamtrisiko über die gesamte Technologie, sondern das individuelle Risiko der betrachteten Teilmenge. Die zentrale Frage ist in dieser Betrachtung, ob sich dieses individuelle Risiko sinnvoll reduzieren lässt. Da werden Ereignisketten relevant, gerade auch die grotesken und unerwarteten. Nicht umsonst unternimmt man dort, wo Sicherheit wichtig ist, große Anstrengungen, um nach einem Vorfall den exakten Ablauf zu rekonstruieren und daraus zu lernen. Dass der Auslöser am Anfang des Geschehens selten das Kernproblem ist und oft auch nicht der richtige Ansatzpunkt für effektive Lösungen, das ist mir wohl bewusst. Aber hinschauen und nachdenken muss man schon erst einmal, Alles andere wäre nachlässig, und mit Schlamperei hat schon so manches Unglück angefangen.

  6. #6 Wolfgang Flamme
    2. Mai 2009

    Ich bin mit Dir nur in einem einzigen Punkt nicht ganz einig: Macht es Sinn, jede Sicherheitsebene maximal zu härten?

    Am Beispiel solcher PLS: Diese unterstützen das Personal iw bei administrativen Aufgaben, weil sie die Daten der eigentlichen Anlagensteuerung laufend mitschreiben und verdichten. Du kannst zB für ein BM nicht nur den aktuellen Zustand und die Betriebshistorie abfragen, Du kriegst auch noch die Laufzeit seit der letzten Wartung, die voraussichtliche Fälligkeit der nächsten Wartung, die Störhistorie usw. angezeigt. Sehr bequem, erspart einem einiges an körperlicher Bewegung, Blättern in Papierkram und immerhin einige der unvermeidlichen Excel-Dateien, die wohl in jeder Anlage nebenher geführt werden.

    Jetzt erfahren wir also von einem Fall, wo so ein System virenbedingt abgeschmiert ist. Was wir nicht erfahren ist, wie oft es ansonsten wg. Softwarefehlern oder sonstigen Problemen abgeschmiert ist und welche Fehler, Macken und Schwächen es darüber hinaus noch hat – und die hat es ganz sicher, das weiß ich aus persönlicher Erfahrung mit verschiedensten PLS.
    Diese Informationen sind beim ‘mikroskopischen Blick’ doch mindestens ebenso wichtig und addieren sich über Laufzeit und Einsatzzahlen schnell zu Problembereichen (und potentiellen Auslösern oder Verstärkern) auf, gegen die ein einziger, mehrstündiger Ausfall wg. Virenbefall kaum mehr relevant erscheint. So bin ich mir sicher, daß selbst das Betriebspersonal des dort betroffenen PLS eine Liste mit dutzenden von Punkten vorlegen würde, was man an dem System noch verbessern sollte, daß aber Virenschutz auf dieser Liste trotz des Vorfalls keine besondere Priorität genießt. Das ist keine Ignoranz, sondern eine nüchterne, praxisnahe Bewertung des konkreten Ärgernis- und Störpotentials, das sich beim Technikeinsatz nunmal ergibt. Die akademische Diskussion um Virenschutz (und daß da wiedermal jeder mitreden kann) verstellt wahrscheinlich den Blick auf deutlich relevantere Probleme.
    Gerade wenn man der Meinung ist, daß auch kleinere Lästigkeiten sich mitunter zu größeren Problemen auswachsen können, sollte man auf die Leute hören, die sich mit diesen Dingen alltäglich rumschlagen müssen und ihre Bewertungen und Prioritäten ernst nehmen.

  7. #7 Isidro Zorns
    16. März 2011

    Hört mal, muss eigentlich immer erst ein Desaster geschehen, damit die Regierung merkt, was sie für einen Müll da macht? Erst waren sie gemeinsam für eine Verlängerung der Laufzeit der AKWs, jetzt wird die Laufzeitverlängerung auf einmal aufgrund des Unglücksfalls in Fukushima verschoben. Wir alle sollten aus diesem Grund den Appell an die Bundeskanzlerin Angela Merkel unterschrieben, Kernkraftwerke in Deutschland jetzt endlich auszzuschalten. Sowie hunderttausend Menschen den Appell unterzeichnet haben, soll er als Anzeige in bundesweiten Tagesblättern veröffentlicht werden. Signiere hier