Achtzehn Monate lang recherchierte eine Forschungsgruppe von Chatham House in Atomkraftwerken und bei den Aufsichtsbehörden in den USA, Kanada, Deutschland, Japan, Grossbritannien, Frankreich und der Ukraine. Das Ergebnis ist ernüchternd: Die Cyberbedrohung wird krass unterschätzt.
Robert Brunt, Mitautor der Studie, Ex-Chef der britischen AKW-Aufsicht und heute Berater der Uno-Atombehörde IAEA, hat dafür sogar ein gewisses Verständnis. Seit den Terroranschlägen von 9/11 lag das Augenmerk auf Vorkehren gegen physische Attacken. Brunt sagt auch, die Sicherheitskultur in Atomkraftwerken sei Teil der DNA jedes Angestellten, vom Direktor bis zum Tellerwäscher in der Kantine.
Das Problem aber ist, dass man sich mit den Gefahren aus dem Cyberraum vielerorts noch kaum auseinandergesetzt hat.
AKW sind zwar nicht am Internet, aber…
Vielfach wird gar bestritten, dass sie existieren, und zwar mit dem Argument, die Systeme eines AKW seien nicht mit dem Internet verbunden, ein Eindringen sei somit unmöglich. Doch das stimmt nicht mehr.
Je mehr alte Komponenten aus der Vor-Cyber-Ära durch neue Komponenten ersetzt würden, umso leichter lassen sich Viren einschleusen. Oder Mitarbeiter greifen von aussen über ihre Laptops auf interne Netzwerke zu. Und manche arbeiten mit externen, also potenziell infizierten Laptops im AKW selber.
Die Schäden könnten beträchtlich sein, ist Robert Brunt überzeugt. Wie gross, wurde sichtbar, als das Stuxnet-Virus ins iranische Atomprogramm eingeschleust wurde.
Der Bericht listet viele Fälle auf, etliche davon in US-Atommeilern, wo Probleme auftraten. Allerdings sei es nicht so, dass ein einzelner Hacker von seiner Garage aus gleich eine Kernschmelze auslösen könnte. Es brauche schon immens grosse und raffinierte Mittel, um all die Sicherheitsschranken zu überwinden oder zu blockieren.
Schweiz: eher über dem Durchschnitt
Irritierend sei aber, so Brunt, dass sich viele Verantwortliche noch immer blind stellten gegenüber der neuen Gefahr. Sie ahnten zwar, dass sie bestehe, aber versuchten, sie auszublenden. Zunächst gehe es daher gar nicht darum, teure Anti-Cyber-Technologie für AKW einzubauen oder zu entwickeln. Hingegen müsse ein Bewusstseinswandel in den Köpfen stattfinden. Erst wenn man weltweit die Gefahr erkenne, könne man sich dagegen wehren.
In der Schweiz, so Robert Brunt, seien die Vorkehren übrigens eher über dem internationalen Durchschnitt. Man habe das Land deshalb nicht näher untersucht, weil man das Augenmerk primär auf Problemfälle richten wollte.
