IT-Security: Atomkraftwerke oft ungeschützt am Netz

Atomkraftwerke gelten nicht erst seit dem Reaktorunglück in Fukushima als Sicherheitsrisiko - eine Untersuchung zeigt jetzt gravierende Sicherheitslücken im Bereich IT-Sicherheit auf.

Artikel von veröffentlicht am
Viele AKW haben gravierende Sicherheitslücken in ihrer IT.
Viele AKW haben gravierende Sicherheitslücken in ihrer IT. (Bild: GUILLAUME SOUVANT/AFP/Getty Images)

Entgegen weitläufiger Annahmen sind viele Atomkraftwerke direkt mit dem Internet verbunden - und auch sonst sind die IT-Sicherheitsstandards der Anlagen oft schlecht. Zu diesem Ergebnis kommt eine Studie des Think Tanks Chatham House. Über einen Zeitraum von 18 Monaten hatten die Forscher Sicherheitsstandards, interne Vorgänge und Prozesse europäischer AKW in Bezug auf IT-Sicherheit untersucht.

Stellenmarkt
  1. Client Service Director (m/w/d)
    ecx international GmbH, Düsseldorf
  2. IT-Service- und Supportbetreuer (m/w/d)
    Psychiatrisches Zentrum Nordbaden, Wiesloch
Detailsuche

Die Ergebnisse sind bedrückend: Viele AKW-Betreiber würden sicherheitsrelevante IT-Vorfälle nicht an die zuständigen Kontrollinstanzen melden, außerdem herrsche oft ein Kommunikationsproblem zwischen den Nuklear-Ingenieuren und dem IT-Sicherheitspersonal. Das Problem werde häufig dadurch verschärft, dass die IT-Experten nicht am Standort der AKW arbeiten, sondern bei Tochterfirmen und bei externen Dienstleistern.

Air Gap nicht vorhanden oder nutzlos

Die Forscher sprechen von einem weitläufigen Glauben an den sogenannten Air Gap - also vom restlichen Internet physisch abgetrennte Atommeiler. Doch dieser Air Gap könne mit einfachen Mitteln, etwa infizierten USB-Sticks überwunden werden. Die Forscher zitieren hier Stuxnet als Beispiel. Viele der damals innovativen Angriffsmethoden seien heute weit verbreitet.

Außerdem würden immer mehr AKW-Betreiber ihre Meiler mittlerweile ans Internet anschließen. Die Zugänge zum Netz seien dabei nicht immer dokumentiert oder würden schlichtweg vergessen - zum Beispiel, wenn Auftragsunternehmen Fernwartungen durchführen und die Verbindungen danach nicht abschalten.

Shodan zeigt Online-AKW

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Atomkraftwerke, die mit dem Internet verbunden sind, können nach Angaben der Forscher leicht über spezielle Suchmaschinen wie Shodan gefunden werden. Mit einer einfachen Anfrage fanden die Experten nach eigenen Angaben alle in Frankreich mit dem Internet verbundenen AKW.

Die Experten empfehlen vor allem, bessere Wege des Informationsaustausches zu etablieren. AKW-Betreiber sollten IT-Sicherheitsbedrohungen anonym untereinander und mit den Aufsichtsbehörden teilen, um besser vor künftigen Gefahren gewappnet zu sein. Regierungen sollten auf industrielle Steueranlagen (Scada) spezialisierte Computer Emergency Response Teams (CERT) gründen, um den Informationsaustausch zu verbessern und Industriestandards zu erarbeiten.

Auf Anfrage von Golem.de teilt das zuständige Ministerium für Umweltschutz und Reaktorsicherheit mit, dass "IT-Sicherheitsvorkommnisse insbesondere nach dem IT-Sicherheitsgesetz an das BSI (Bundesamt für Sicherheit in der Informationstechnik) zu melden sind und sowohl vom BSI als auch von den atomrechtlichen Behörden und den Betreibern analysiert und bewertet werden". Außerdem gebe es konkrete IT-Sicherheitsvorschriften, die AKW-Betreiber beachten müssen, insbesondere wenn Anlagen mit dem Internet verbunden sind.

Wir haben RWE und Vattenfall um ein Statement gebeten und werden dies bei Gelegenheit nachreichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


plutoniumsulfat 07. Okt 2015

Oder Tschechien...

plutoniumsulfat 06. Okt 2015

Kann man auch nicht von jedem erwarten oder? Oder muss jetzt jeder Leser eines...

Arystus 06. Okt 2015

Ja ein Kernkraftwerk benötig um zu Funktionieren Strom. Im falle das ALLE Stromleitungen...

yeti 06. Okt 2015

Ich habe doch lediglich ein Link http://pvbrowser.de/pvbrowser/index.php?lang=en&menu=3...

UweSarpe 06. Okt 2015

Politik ist durch Totalüberwachung schon lange viel erpressbarer.



Aktuell auf der Startseite von Golem.de
Bundestagswahl 2021
Die Parteien im Datenschutz-Check

Gesagt, getan? Wir haben geprüft, was CDU, SPD, Grüne, FDP, Linke und AfD zum Datenschutz fordern - und was sie selbst auf ihren Webseiten umsetzen.
Eine Analyse von Christiane Schulzki-Haddouti

Bundestagswahl 2021: Die Parteien im Datenschutz-Check
Artikel
  1. ARM: Apples M1 bekommt ausführliche Reverse-Engineering-Doku
    ARM
    Apples M1 bekommt ausführliche Reverse-Engineering-Doku

    Wie genau funktioniert Apples M1-Chip? Diese Frage hat ein Entwickler durch ausgiebiges Reverse Engineering versucht zu beantworten.

  2. Leserumfrage: Wie wünschst du dir Golem.de?
    Leserumfrage
    Wie wünschst du dir Golem.de?

    Ob du täglich mehrmals Golem.de liest oder ab und zu: Wir sind an deiner Meinung interessiert! Hilf uns, Golem.de noch besser zu machen - die Umfrage dauert weniger als 10 Minuten.

  3. Google Cloud: Google braucht wohl mehrere Rechenzentren in Brandenburg
    Google Cloud
    Google braucht wohl mehrere Rechenzentren in Brandenburg

    Ähnlich wie bei Tesla wird die Frage der Ansiedlung von Google in Brandenburg nun kontrovers diskutiert.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Club-Tage: Bis zu 15% auf TVs, PCs, Monitore uvm.) • Alternate (u. a. Razer Kraken X für Konsole 34,99€) • Xiaomi 11T 5G vorbestellbar 549€ • Saturn-Deals (u. a. Samsung 55" QLED (2021) 849,15€) • Logitech-Aktion: 20%-Rabattgutschein für ASOS • XMG-Notebooks mit 250€ Rabatt [Werbung]
    •  /