Im System des bayerischen Atomkraftwerks Gundremmingen wurde ein Computervirus entdeckt. Die Betreibergesellschaft spricht von einer "Büro-Schadsoftware", die bei der Vorbereitung der Revision in Block B aufgefallen sei. Das Personal oder die Bevölkerung sei nicht gefährdet gewesen, da alle sensiblen Bereiche des Kraftwerks entkoppelt und nicht mit dem Internet verbunden seien. 

Die Aufsichtsbehörde und das Bundesamt für Sicherheit in der Informationstechnik (BSI) seien informiert worden. Spezialisten des Energiekonzerns RWE sollen nun herausfinden, wie das Virus in das 2008 nachgerüstete Computersystem gelangte. Das betroffene System gehört den Angaben zufolge zur Brennelementelademaschine, hat allerdings selbst keinen Einfluss aus die Steuerung der Anlage.

Bei der Software handelt es sich offenbar nicht um einen gezielten Angriff, sondern um eine gewöhnliche Schadsoftware, wie sie regelmäßig auf Privatrechnern zu finden ist. Konkret seien der Virus W32.Ramnit und der Wurm Conficker entdeckt worden, teilte  Tobias Schmidt, Presseprecher des AKWs auf Anfrage von ZEIT ONLINE mit. Fast 1.000 Geräte seien inzwischen überprüft worden, "kein System mit sicherheitstechnischer Bedeutung" sei betroffen.


Die Schadsoftware kann auf verschiedenen Wegen auf die Computer gelangen: Mitarbeiter könnten einen schädlichen Link in einer E-Mail, auf einer Website angeklickt haben, sie könnte als sogenannter Makrovirus in einem Word-Dokument gesteckt haben oder über einen Wechseldatenträger von einem Rechner auf den nächsten übertragen worden sein.

Die in Gundremmingen entdeckte Software ziele darauf ab, "ungewollte Verbindungen zum Internet" herzustellen. Das ist nicht ungewöhnlich: Schadsoftware kann versuchen, zusätzliche Module aus dem Internet zu laden oder die infizierten Rechner ohne Wissen ihrer Besitzer zu einem Teil eines Botnets zu machen, um nur zwei Beispiele zu nennen.

Kritik an der IT-Sicherheit von Industrieanlagen

In der Pressemitteilung des Betreibers heißt es, die bei einer "Prüfung von Wechseldatenträgern und Programmiergeräten gefundene Schadsoftware wurde erkannt und bereinigt". Auf Nachfrage erklärt Schmidt, die erwähnte Software wurde auf 18 Wechseldatenträgern, vornehmlich USB-Sticks, gefunden. Der genaue Infektionsweg, also wo genau die Viren als erstes im System landeten, müsse nun nachverfolgt werden. Die herkömmlichen Bürorechner im AKW seien mit einem Virenschutz ausgestattet, heißt es weiter. Wieso dieser aber die bekannten Viren nicht erkannt, sagen die Betreiber nicht.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte in seinem jüngsten Lagebericht (2015) vor Angriffen auf industrielle Anlagen. "Zielgerichtete Angriffe nehmen meist ihren Anfang über die Office-IT oder auf Engineering Workstations. Dabei stellt sich im industriellen Umfeld häufig heraus, dass eine Ausbreitung der Angreifer im Unternehmen bis in die Produktionsnetze hinein nicht hinreichend verhindert wird." Anders gesagt: Auch wenn kritische Systeme nicht mit dem Internet verbunden sind, könnten sie sich Malware über das interne Netz oder USB-Sticks einfangen.

Dass ein gewöhnlicher Computervirus ein Atomkraftwerk sabotieren könnte sei unwahrscheinlich, heißt es vonseiten der Gesellschaft für Reaktorensicherheit (GRS) in Köln. Aus Sicherheitsgründen aber könne die GRS keine genauen Angaben zum Aufbau der Anlagen machen. Im Fall von Gundremmingen müsse nun zuerst eine genaue Untersuchung stattfinden. Vonseiten der AKW-Betreiber heißt es, "eine gegenseitige Beeinflussung von Büro-PCs und Steuerungssystemen" sei ausgeschlossen, wirklich sicherheitsrelevante Funktionen des Reaktorschutzes seien zudem "hart verdrahtet", funktionieren also ohne IT.

In den vergangenen Jahren gab es zumindst immer wieder Zweifel an der IT-Sicherheit kritischer Infrastruktur. Die von der NSA mitentwickelte Schadsoftware Stuxnet sabotierte das iranische Atomprogramm. 2014 beschädigten Hacker einen Hochofen in einem deutschen Stahlwerk. Anfang des Jahres wurde ein Fall aus der Ukraine bekannt, bei dem Schadsoftware ein Stromkraftwerk in der Ukraine lahmlegte. Und zuletzt gab es Meldungen aus mehreren Krankenhäusern, deren Rechner von Erpressungssoftware betroffen waren.

Atomkraftgegner fordern Untersuchung

Erst am Wochenende hatte der neue Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, in einem Interview mit der Welt am Sonntag vor Hackerangriffen auf Autos oder Flugzeuge gewarnt. Dass sich Hacker Zugang zu Atomreaktoren verschaffen und sie zum Explodieren bringen, halte er allerdings für "Quatsch".

Als Reaktion auf den Fund seien die Vorkehrungen zur IT-Sicherheit ausgeweitet worden. Nach der Bekanntmachung des Vorfalls forderte eine regionale Initiative von Atomkraftgegnern unter anderem Aufklärung darüber, wie lange die Schadsoftware unentdeckt auf dem Rechner war. Am Wochenende hatten rund 750 Menschen vor der Anlage im Landkreis Günzburg für eine baldige Stilllegung der beiden verbliebenen Blöcke demonstriert.

Am 7. April wurde der Block B des Kernkraftwerks Gundremmingen vom Netz genommen und für die diesjährige Revision abgeschaltet. Voraussichtlich Mitte Mai sollte er wieder ans Netz gehen, teilte das Kraftwerk mit. Ob die Entdeckung des Virus Auswirkungen auf diesen Termin hat, ist nicht bekannt. Endgültig soll Gundremmingen 2021 abgeschaltet werden.

Der Text wurde mit Stellungnahmen vonseiten der Betreiber ergänzt.

Terrorismus - Sorge um die Atom-Sicherheit Terroristen haben offenbar Pläne gehabt, sich Zugang zu belgischen Atomkraftwerken zu verschaffen. Wie sind die Risiken einzuschätzen?