„Gehen Sie weiter und bleiben Sie ruhig, es ist ja nichts passiert!“ Im bayerischen Atomkraftwerk Gundremmingen wurde – ironischerweise überschattet vom 30. Jahrestag der Tschernobyl-Katastrophe – laut Pressemitteilung eine „Büro-Schadsoftware“ entdeckt, deren Ziel es gewesen sei, auf dem befallenen Computer eine „Internet-Verbindung herzustellen“.
Konkret handelte es sich dabei um den berüchtigten und vor allem uralten Wurm Conficker, der natürlich nicht nur „Büro-Computer“ befällt, sondern eben alle Windows-Systeme, die seit 2008 keine Sicherheitsupdates mehr bekommen haben.
Die Kraftwerksbetreiber spielen den Vorfall herunter: Von einer Gefährdung könne keine Rede sein, denn der infizierte Computer sei nur ein nachgerüsteter Teil der Brennelementelademaschine gewesen, hätte aber keinen Einfluss auf deren Steuerung gehabt. Außerdem sei er physisch überhaupt nicht mit dem Internet verbunden gewesen. Und es sei selbstverständlich Antivirensoftware vorhanden. Alles sicher also – was hätte schon schief gehen können?
Meine Meinung: Viel katastrophaler hätte es aus IT-Sicht eigentlich gar nicht kommen können! Denn wenn sich auf einem Rechner in einem Kernkraftwerk ein vermutlich per USB eingeschleppter Schädling befindet, dann ist der – Entschuldigung, aber das muss jetzt sein – GAU zumindest aus Sicht eines Systemadministrators längst eingetreten.
Sollte der befallene Rechner wirklich über keine Internetverbindung verfügt haben, sind eigentlich nur zwei Szenarien denkbar, wie die Schadsoftware auf ihn gelangen konnte: Entweder wurde sie schon 2008 beim Aufsetzen des Systems installiert. Das wäre ein absolutes Armutszeugnis für das verantwortliche Unternehmen.
Warum wird in jeder Werbeagentur auf so etwas geachtet, aber nicht bei sicherheitskritischer Infrastruktur?
Oder aber der Wurm wurde später per Wechseldatenträger eingeschleppt – ebenfalls eine sicherheitstechnische Bankrotterklärung: In jedem mir bekannten Sicherheits-Audit für im Vergleich zu einem Atomkraftwerk irrelevante Dienstleister und Zulieferbetriebe wird verlangt, dass USB-Steckplätze und optische Laufwerke an allen Computern, an denen sie nicht unbedingt nötig sind, deaktiviert werden.
+++ Mehr von WIRED regelmäßig ins Postfach? Hier für den Newsletter anmelden +++
Warum wird in Werbeagenturen auf so etwas geachtet, aber nicht bei sicherheitskritischer Infrastruktur? Und wieso schlagen darüber hinaus die angeblich vorhandenen Virenscanner in einem Atomkraftwerk nicht auf eine acht Jahre alte Schadsoftware an? Die logischste Erklärung ist vermutlich, dass sie mangels Internetverbindung gar nicht aktualisiert werden konnten. Welchen Sinn allerdings nicht aktualisierbare Virenscanner haben, müsste mir noch mal jemand erklären.
Obligatorisch folgte natürlich sofort die Meldung, dass zu keinem Zeitpunkt eine Gefahr für die Bevölkerung bestand. Mit dieser omnipräsenten Floskel könnten wir dann eigentlich wieder zum Alltag zurückkehren. Kleiner Image-Schaden, Sache erledigt.
Aber Moment mal! Ich darf kurz an die Attacke auf das IT-Netz des Bundestages erinnern: Es hat Monate gedauert, bis alle Spuren beseitigt waren. Und ob beim berühmtesten Hack der jüngeren deutschen Vergangenheit wirklich bis zum letzten kleinen Switch in der hintersten Ecke gründlich aufgeräumt wurde, ziehe ich zumindest in Zweifel.
Alles deutet auf eine katastrophale Sicherheitsarchitektur ohne Kontrollen oder Updates hin
Dass im aktuellen Fall ein weltberühmter Schädling aus dem Jahre 2008 offenbar einige Jahre lang unbemerkt in einem deutschen Kernkraftwerk überleben konnte, deutet auf eine katastrophale Sicherheitsarchitektur ohne regelmäßige Kontrollen oder Updates hin. Die bekommt man nicht eben mal mit einer kurzen Routineprüfung, bei der zufällig ein paar Würmer gefunden und entfernt wurden, in den Griff.
Meiner Ansicht nach müssten alle Rechner in dem betroffenen Kraftwerk neu aufgesetzt werden. Darüber hinaus sollten alle anderen Kernkraftwerke einer außerplanmäßigen Überprüfung durch unabhängige Dritte unterzogen werden. Das würde teuer – eine nukleare Katastrophe wäre zweifellos schlimmer.
Natürlich werden die Betreiber nicht müde, darauf hinzuweisen, dass alle sicherheitsrelevanten Teile der Anlage vollkommen von allen anderen Rechnern entkoppelt sind. Und vielleicht ist dieser Text auch ein wenig paranoid. Trotzdem: Es kann nicht sein, dass einer der bekanntesten Computerviren mehrere Jahre in einem deutschen Atomkraftwerk unbemerkt bleibt.
Wie lange dauert es noch bis zum ersten Erpressungs-Trojaner auf Atomkraftwerks-Computern?
Denn was würde wohl passieren, wenn solche Anlagen von modernen Viren befallen würden? Wie lange wird es noch dauern, bis die ersten Erpressungs-Trojaner auf Computern in europäischen Atomkraftwerken zu finden sind? Wenn das Ultimatum dann lauten würde: „Sie haben drei Tage, um ein Lösegeld von zehn Millionen Bitcoins zu überweisen, sonst fliegt hier alles in die Luft.“
Es hilft nichts, wegzusehen und die Augen davor zu verschließen: Solange wir auf das reibungslose Funktionieren kritischer Infrastruktur angewiesen sind, sollten wir keinen Aufwand scheuen, sie so sicher wie möglich zu machen. Das gilt für Kernkraftwerke genauso wie für die Wasserversorgung oder auch nur für Ampelanlagen. Kein System ist wartungsfrei – und ein Update von Zeit zu Zeit nützt eher, als es schadet.
Letztes Mal bei „Neues vom Admin“: Wie ein Datenbankfehler das Leben einer Farmer-Familie zur Hölle macht
