Steuerungssysteme deutscher Atomkraftwerke: Keine Gefahr durch Malware

Bundesregierung zur "Sicherheitsrelevanz hochentwickelter Schad-Software wie Stuxnet für deutsche Atomkraftwerke und industrielle Prozesssteuerung"

(13.09.11) - Die Steuerungsanlagen deutscher Atomkraftwerke sind derzeit nicht mit Schadsoftware (Malware) infiziert. Das geht aus einer Antwort der Bundesregierung (17/6793) auf eine Kleine Anfrage der Fraktion Bündnis 90/Die Grünen (17/6619) hervor. Die zuständigen atomrechtlichen Aufsichtsbehörden der Länder haben laut Regierung bestätigt, dass "die relevanten Leittechnik-systeme und Komponenten untersucht worden seien und keine Infektion festgestellt wurde".

Eine detaillierte Aufschlüsselung der Ergebnisse habe das Bundesumweltministerium allerdings nicht angefordert. Die Grünen-Fraktion hatte in ihrer Kleinen Anfrage auf Medienberichte über ein von Schadsoftware wie beispielsweise "Stuxnet" ausgehendes "Risiko für deutsche AKW". hingewiesen. "Stuxnet" habe bereits "irreparable Schäden" an Komponenten iranischer Atom-anlagen verursacht.

Die Bundesregierung hatte u.a. vorbemerkt:

"Bei der Bewertung des Risikos eines Cyberangriffs auf die digitale Leittechnik von Kernkraft-werken ist vom realisierten kerntechnischen Sicherheitskonzept mit gestaffelten Sicherheits-ebenen auszugehen. Das auf der höchsten Sicherheitsebene angesiedelte Sicherheitssystem der Kernkraftwerke einschließlich des Reaktorschutzsystems basiert auf analoger Leittechnik. In einigen deutschen Kernkraftwerken werden außerhalb des Sicherheitssystems, auf den niedrigeren Sicherheitsebenen, auch digitale Steuerungssysteme eingesetzt.

Diese dienen dazu, das Kernkraftwerk bestimmungsgemäß zu betreiben. Zwar kann nicht ausgeschlossen werden, dass diese digitalen Systeme von Schadsoftware befallen werden, es kann aber davon ausgegangen werden, dass das analoge Reaktorschutzsystem den hypothe-tischen Fall eines von einer eingedrungenen Schadsoftware ausgelösten Störfalls auslegungs-gemäß beherrscht. Überdies besteht derzeit kein Verdacht, dass geeignete Schadsoftware programmiert und auch in die Steuerungssysteme deutscher Kernkraftwerke eingebracht werden kann, die in der Lage wäre, in der Störfallauslegung nicht berücksichtigte und demnach möglicherweise nicht beherrschte Ereignisse auszulösen.

Bereits die Programmierung, die anlagenspezifisch umgesetzt werden müsste, detaillierte Kenntnisse des Anlagenverhaltens erforderte und darauf aufbauend bislang nicht bekannte hypothetische Ablaufszenarien beinhalten müsste, erscheint praktisch ausgeschlossen. Gleichwohl wird auch der Schutz der Systeme außerhalb des Reaktorschutzes aufsichtlich verfolgt. Dies ist Aufgabe der zuständigen atomrechtlichen Behörden der Länder. Die Bundesregierung sieht im Hinblick auf die dargestellte Risikobeurteilung derzeit keinen Anlass, sich über die ergriffenen Maßnahmen hinaus in die Aufsichtsverfahren einzuschalten." (Deutsche Bundesregierung: ra)