Die SPD im bayerischen Landtag ist sauer. Denn die Berichte zur im Atomkraftwerk (AKW) Gundremmingen in diesem Jahr gefundenen Schadsoftware gehen in einem entscheidenden Punkt auseinander. Während das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht zur IT-Sicherheit 2016 feststellt, dass die Infektion zuerst über einen mit dem Internet verbundenen Computer erfolgte, ist für das Landesumweltministerium als Aufsichtsbehörde des Kraftwerks klar: „Es ist davon auszugehen, dass als Infektionseinfallsweg nur der Weg über externe Wechseldatenträger oder Notebooks in Frage kommt.“
So steht es zumindest in dessen Abschlussbericht zu dem Vorfall. Weiter heißt es dort: „Die gefundene Schadsoftware wäre im Falle eines Eindringens in das Bürocomputernetz via Internet von diesem unmittelbar detektiert worden. Ein gezieltes Einbringen (…) ist nicht zu unterstellen.“ Wie andere Rechner und Datenträger infiziert wurden, sei nicht mehr zu klären. Für die SPD ist die Einschätzung des Ministeriums aufgrund der Erkenntnisse des Bundesamts allerdings „völlig unglaubwürdig“.
Das BSI stellte auch fest, dass die Schadprogramme weit verbreitet seien und von Virenscannern seit längerer Zeit gut erkannt würden. Der betroffene Rechner der Brennelementelademaschine im Kraftwerk sei aber nicht mehr mit einer aktuellen Version des Betriebssystems gelaufen und habe keinen Virenscanner gehabt – was bei solchen Systemen nicht ungewöhnlich sei. Allerdings sei es dadurch erst ermöglicht worden, dass der Rechner von einem Wurm befallen werden konnte, der bereits 2009 für weltweites Aufsehen gesorgt habe.
RWE kann Schlussfolgerung nicht nachvollziehen
Die gefundene Schadsoftware nutze neben Computernetzwerken auch USB-Datenträger, um Systeme zu infizieren. „So konnte ein ursprünglich mit dem Internet verbundener PC, der via Internet mit der Schadsoftware infiziert wurde, die Schädlinge auf einen solchen USB-Datenträger übertragen. Der wurde zu einem späteren Zeitpunkt am Visualisierungsrechner verwendet und konnte so den ungeschützten Computer infizieren, obwohl dieser mit keinem Netzwerk verbunden war.“ Zur Frage, ob die Software gezielt eingeschleust wurde, erklärt das BSI: „Bei dieser Form von Schadprogrammen handelt es sich um Programme, die von Kriminellen in der Regel ungezielt eingesetzt werden.“ Ein Schaden am Kraftwerk sei nicht entstanden.
Das hatten auch die Betreiber des AKW stets betont. Jan Peter Cirkel, Sprecher von RWE Power, kann zu den Unterschieden in den Berichten jetzt nichts sagen, da ihm die Unterlagen des Ministeriums nicht vorlägen. Mit Blick auf den BSI-Bericht könne aber die Schlussfolgerung nicht direkt nachvollzogen werden, dass die Schadsoftware über einen mit dem Internet verbundenen Computer ins Kraftwerk gelangte.
Der vollständige Bericht soll bald vorliegen
Fest stehe, dass gegen interne Vorgaben verstoßen worden, aber der Infektionsweg lückenlos nachvollzogen worden sei – wenn auch noch untersucht werden müsse, wo genau der Rechner stand, von dem aus die Software auf den Datenträger gelangt ist. Also ob er im Kraftwerk stand oder außerhalb. Der vollständige Bericht der internen Untersuchung solle bald vorliegen.
Das Ministerium sieht ebenfalls keinen Widerspruch in den beiden Berichten. So sei nie bestritten worden, dass die Software über einen ursprünglich mit dem Internet verbundenen Computer auf den USB-Stick gelangt ist. Es sei nur betont worden, dass der Rechner, auf dem der Virus gefunden wurde, keinen Zugang zum Internet gehabt habe. Dass er innerhalb des Kraftwerks dann weiter verschleppt wurde, hätte verhindert werden müssen. Es sei jetzt aber dafür gesorgt worden, dass so etwas nicht mehr passieren könne. Zu den konkreten bisherigen und künftigen Schutzmaßnahmen könne jedoch aus Gründen der Geheimhaltung nichts gesagt werden.