AKW MühlebergEinladung für Hacker

AKW Mühleberg: Insider warnen vor neuen Risiken. Bild: Dominic Büttner/Lunax

Das Computersystem des AKWs Mühleberg soll künftig aus der Ferne gewartet werden: eine Gefahr für die Sicherheit.

von Thomas Angeliaktualisiert am 2015 M07 22

Gegendarstellung der BKW Energie AG vom 22. Juli 2015

Der Beobachter behauptet, das Computersystem des Kernkraftwerks Mühleberg (KKM) werde aus der Ferne gewartet. Das ist falsch. Richtig ist, dass die für den sicheren Betrieb des KKM wesentliche technische Informatik nicht ferngewartet wird und vom ferngewarteten Wirtschaftsinformatik-System getrennt ist. Falsch ist sodann die Behauptung, die BKW habe der Aufsichtsbehörde Ensi wesentliche Tatsachen bezüglich des Fernzugriffs vorenthalten. Das Ensi hat die Reorganisation der Informatik KKM in voller Kenntnis der relevanten Sachlage geprüft und freigegeben.

Nicht richtig ist weiter die Behauptung, das Ensi hätte einschreiten müssen. Die Informatik im KKM erfüllte stets sämtliche Sicherheitsanforderungen, einschliesslich der IAEA-Regeln und sämtlicher Gesetzesvorschriften und Vorgaben des Ensi. Sodann ist die Behauptung unzutreffend, das IT-System des KKM sei besonders anfällig für Hackerangriffe. Die IT-Sicherheit des KKM wird laufend durch Spezialisten überprüft und aufdatiert, was auch einen stets aktuellen Schutz gegen Hackerangriffe beinhaltet. 

  • Der Beobachter hält an seiner Darstellung fest. 

Die E-Mail erreichte die 350 Angestellten des AKWs Mühleberg am 14. Dezember 2014, und ­einigen verdarb es die vorweihnachtliche Stimmung gründlich. Nicht nur, dass ein langjähriger und geschätzter Kollege sich darin mit einem simplen «Ciao, Mario*» verabschiedete. Auch die Gründe, die er aufführte, liessen aufhorchen: «Ich tat mein Bestes, um die nukleare Sicherheit ernst zu nehmen, und im Zweifelsfall ­bleibe ich auf der sicheren Seite. Aber jetzt habe ich keine Wahl mehr, denn ich bin nicht bereit, all diese kleinen Kompro­misse einzugehen.»

Er sei, so schreibt der Mann zudem, «bereits der Siebte, der seine Arbeit aus ähnlichen ICT-Gründen verlassen hat».

«ICT» ist ein Reizwort im AKW Mühleberg, das der BKW Energie AG gehört. Die Abkürzung für «Information and Communications Technology» steht innerhalb der BKW für die Informatik­abteilung in der Konzernzentrale in Bern. In Mühleberg hingegen bestimmte bis vor kurzem die Abteilung IT-KKM über alles, was die Informatik betraf.

Dieser Zustand war der Konzernzentrale jedoch ein Dorn im Auge, und so startete man am 1. Januar 2013 ein ehrgeiziges Projekt: die Reorganisation des IT-Bereichs mit dem Ziel, fortan die gesamte Informatik des AKWs Mühleberg von Bern aus zu warten – ein Grossprojekt, über das die BKW-Spitze in der Öffentlichkeit kein Wort verlor.

Timeline: Jüngste Cyber-Attacken

Hier finden Sie eine Chronik der grössten Hackerangriffe auf Industrie- und Energieanlagen in den vergangenen Jahren:

Der Beobachter hat in den vergangenen Monaten die Hintergründe und ­Details der IT-Reorganisation im Kernkraftwerk Mühleberg (KKM) recherchiert und dabei mit zahlreichen Fachleuten und Kennern des AKWs gesprochen. Sämtliche Gesprächspartner waren nur unter der Bedingung der absoluten Verschwiegenheit zu einem Treffen bereit. Und selbst so gab es Grenzen: «Das ist ­sicherheitsrelevant.» Bedeutete: «Dieses Thema ist tabu.» Zu den Treffen waren die Spe­zialisten schliesslich bereit, weil sie sich Sorgen machen: Sorgen, dass die ­Reorganisation der IT für die Sicherheit des AKWs gefährlich werden kann.

Diese Ängste sind nicht unbegründet, wie mehrere Vorfälle der letzten Jahre zeigen. Grosse Infrastrukturanlagen gelangen immer öfter ins Visier von Hackern. In seinem aktuellen Jahresbericht warnt denn auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI), dass Steuerungssysteme in der Industrie häufig unzureichend abgesichert seien.

Das AKW würde von Bern aus gewartet

Eine vom BSI geortete grosse Bedrohung ist der «Einbruch über Fernwartungs­zugänge» in die Informatiksysteme von Unternehmen. Doch genau das plante die BKW mit ihrer grossen Reorganisation: Die IT-Systeme des AKWs Mühleberg sollten künftig aus der Ferne gewartet werden. Dazu sollte die Informatikabteilung des AKWs Mühleberg in die ICT-Abteilung am Hauptsitz der BKW am Berner Vikto­ria­platz integriert werden.

Der ursprüngliche Plan war, dass die elf Computerspezialisten, die in Mühleberg arbeiteten, fortan die Systeme von Bern aus bedienen sollten. Nur bei Bedarf sollte einer von Bern aus ins AKW kommen. Dabei wollte man mit einem sogenannten Remote-Zugriff nicht bloss die gesamten administrativen Bereiche der KKM-Informatik via Intranet von der Zentrale aus warten. Auch sämtliche technischen Systeme wie die Überwachungsanlagen für Prozesse im AKW sollten fortan von Bern aus gewartet werden. Fachleute schütteln ob dieser Idee nur den Kopf.

«Die für Sicherheit, Sicherung und Notfallbeherrschung notwendigen Systeme in Nuklearanlagen müssen vom Internet isoliert sein. Sie haben weder einen direkten noch einen indirekten Zugang zum World Wide Web, denn sie sind nicht mit den internen Netzwerken der Anlage verbunden.»

Dies schreibt das Nuclear Energy Institute, der Interessenverband der amerikanischen Atomindustrie, in ­einem eben erschienenen Artikel über ­Cyber-Security in Nuklearanlagen.

Auch die Internationale Atomenergie-Agentur (IAEA) hat klare Regeln, wie mit Fernzugriffen auf die Systeme von Atomanlagen umzugehen ist. Für Computersysteme der zweithöchsten Sicherheitsstufe – IT-Anlagen der höchsten Sicherheitsstufe sind im 43-jährigen Atommeiler nicht vorhanden – dürfen Fernwartungen gemäss der IAEA höchstens «fallweise und für eine definierte Arbeitszeit bewilligt werden».

Das war vor der Reorganisation auch im AKW Mühleberg eine eiserne Regel, wie Fachleute bestätigen. «Die technischen Systeme, die den nuklearen Teil betrafen, waren immer so weit als möglich isoliert», sagt ein Insider. «Das geht nicht anders, wenn man die Sicherheit der Anlage gewährleisten will.» Seit der «feindlichen Übernahme» durch die ICT-Abteilung der BKW sei dies nicht mehr der Fall. Zwar seien einige der ursprünglich geplanten Massnahmen nicht umgesetzt worden, aber: «Die Hoheit über die meisten IT-Systeme zur Überwachung des KKM und über die Administration liegt nun in Bern, nicht mehr in Mühleberg.»

Die BKW bestreitet dies. «Die technische Informatik ist weiterhin in Mühleberg angesiedelt und somit nicht fern­bedient», erklärt Mediensprecher Tobias Fässler. Zudem sei die technische Informatik strikt von den Systemen für die Bürokommunikation getrennt.

Die vom Beobachter kontaktierten Insider halten an ihrer Darstellung fest: «Das erklärte Ziel des Reorganisationsprojekts hiess immer: ‹Kein Ressort Informatik mehr in Mühleberg›», sagt einer von ihnen.

*Name geändert

Kontrollraum des AKW Mühleberg: Genügend sicherer Umgang mit sensiblen Daten?
Quelle: Dominic Büttner/Lunax

Administratoren à discrétion

In der Cyber-Security gibt es eine simple Grundregel: Je weniger Personen auf ein System Zugriff und entsprechendes Wissen darüber haben, desto sicherer ist es.

Kaum war die Reorganisation richtig angelaufen, mussten die AKW-Angestellten dort jedoch feststellen, dass diese Regel offenbar nichts mehr galt: «Plötzlich gingen in der IT-Abteilung Leute ein und aus, die man dort noch nie gesehen hatte», erzählt einer, der das Treiben beobachten konnte: «Es waren Leute aus der ICT der BKW und ganz viele Externe.»

Und zwar so viele, dass es den Internen im AKW Mühleberg nicht mehr wohl war dabei. «Heute haben wir Server mit 72 Systemadministratoren», schreibt Mario in seiner Abschieds-E-Mail. «Wer sind diese Administratoren (Mitarbeiter von BKW, Swisscom, Unisys und so weiter . . .)?»

Der Chef spielt den Ball zurück

Die Führung des AKWs Mühleberg reagierte prompt auf den Vorwurf – und wenig überzeugend. In einer internen Stellungnahme an die Mitarbeiter schreibt Kraftwerksleiter Martin Saxer: «Als Mario von 72 Personen mit Administratorenrechten geschrieben hat, hat er sich meiner Meinung nach vertippt.» Vielmehr handle es sich um 27 Personen, schreibt Saxer – und spielt den Ball gleich zurück: «Die meisten dieser Personen sind Mitarbeitende des KKM, und alle ausser drei Accounts wurden zu den KKM-IT-Zeiten angelegt. Als Systemverantwortlicher hat Mario die Aufgabe, die Anzahl Administratoren auf einem Minimum zu halten.»

«Blödsinn», sagt ein Mitarbeiter des AKWs dazu, «Mario kennt den Unterschied zwischen 27 und 72 sehr genau.» Und ein anderer fragt rhetorisch: «Wozu hätte man im KKM für elf IT-Spezialisten 27 Administratoren-Accounts gebraucht? Das hätte Mario nie und nimmer gestattet.»

Das stärkste Argument gegen die vielen Accounts kommt jedoch von unverdächtiger Seite: Wie Mario in seiner E-Mail schreibt, hatte die Gruppe der schweizerischen Kernkraftwerksleiter (GSKL) in einem Audit kritisiert, dass bei einem überprüften Server fünf Personen Administratorenrechte hatten. Schon diese Zahl sei zu hoch.

Die BKW geht darauf auf Anfrage nicht ein. Mediensprecher Tobias Fässler hält bloss fest, «momentan» hätten weniger als 27 Personen Administratorenrechte für die Server. Diese Mitarbeiter würden einer Sicherheitsprüfung unterzogen.

Den Hackern Tür und Tor geöffnet

Beim Server, der in der E-Mail erwähnt ist, handelt es sich jedoch nicht um einen x-beliebigen Rechner. Er enthält Kopien von wichtigen Mess­daten und ist daher für die Visualisierung von Abläufen im KKM zentral.

Für Hacker wäre es durchaus möglich, diese Daten zu manipulieren und die Techniker vor Ort zu Fehlinterpretationen über den Zustand der Anlage zu verleiten. Allerdings, so Insider, benötige es dazu «Insider-Know-how». Zudem seien für alle überwachten Systeme auch analoge Anzeigen montiert, die von den Technikern bei Unregelmässigkeiten laut Reglement zuerst überprüft werden müssten. Dazu müssten Hacker allerdings erst einmal in das System eindringen. Dabei hätten sie ein wesentlich leichteres Spiel, wenn sie die IP-Adressen der wichtigen Server im AKW kennen würden. «Wer in einer Stadt einbrechen will, wird sich bemühen, in ein Haus einzusteigen, wo es sich lohnt», zieht der Zürcher IT-Spezialist Guido Rudolphi einen Vergleich. «Da hilft es sehr, wenn er eine Adresse hat.»

«Das erklärte Ziel des Projekts hiess immer: Kein Ressort Informatik mehr in Mühleberg.»

Quelle: Insider

Umgemünzt auf die IT-Infrastruktur in einem AKW heisst das: Die ­IP-Adressen der sensiblen Server dürfen nur den wenigen Personen bekannt sein, die damit arbeiten. Ein Versand per E-Mail ist dabei absolut tabu, denn E-Mails können – auch ­unabsichtlich – weitergeleitet werden. Trotzdem verschickten Mitarbeiter der ICT-Abteilung der BKW offenbar munter elek­tronische Nachrichten mit diesen geheimen Informationen. Dies belegt der interne Ereignisbericht mit der Nummer IEB-BM-2014/004.

Darin heisst es: «Das Ensi informiert über das Jahr bei diversen Gelegenheiten die IT-Verantwortlichen des KKM, dass Informationen über die IT-Architektur und auch die IP-Adressen als geheim behandelt werden sollten. Dokumente dürfen keine solchen Informationen in Texten, Tabellen oder Bildern enthalten.» Mahnungen des Sicherheitsbeauftragten hätten nichts genützt: «ICT hat sowohl Dokumente wie auch E-Mails mit diesen sensiblen Informationen verschickt.»

Löchrige Firewall

Beim Eidgenössischen Nuklearsicherheitsinspektorat (Ensi) wusste man davon nichts. Interne Ereignisberichte aus einem Atomkraftwerk müssten nicht automatisch an die Aufsichtsbehörde geleitet werden, sagt Ensi-Sprecher David Suchet.

Immerhin, so bestätigen verschiedene Insider, habe das Herumschicken von IP-Adressen nach diesem Ereignisbericht aufgehört. Zudem habe es bisher noch niemand geschafft, sich in die Server zu hacken. Verschiedene sogenannte Penetrationstests durch eigens beauftragte Firmen seien immer negativ verlaufen.

Das muss nicht für immer gelten, denn die Firewall, die Hackerangriffe abwehren sollte, habe «mehr Löcher als ein Fliegennetz», schreibt Mario in seiner E-Mail. Die Mängel waren bereits im Mai 2013 bei einem externen Audit festgestellt worden und unbestritten. Die Abteilung für technische Informatik im AKW erhielt denn auch grünes Licht für eine Neuanschaffung, eva­luierte ein Produkt, testete es und bekam Budget zugesprochen. Dann kam jedoch die Reorganisation, «und seither sind wir im Stand-by-Modus».

Die kurze Antwort der BKW auf diesen Vorwurf: Die Firewalls würden «laufend überprüft und den neusten Anforderungen angepasst. Die aktuelle Firewall erfüllt alle Sicherheitsanforderungen».

Das Ensi im Irrglauben

Eine Fernwartung für die Informatik im AKW Mühleberg, Dutzende von Administratoren für heikle Server und IP-Adressen, die per E-Mail verschickt werden: Eigentlich müsste da das Ensi längst eingeschritten sein. Mehr noch: Nach Meinung von Fachleuten, die nicht genannt werden wollen, hätte das Ensi allein schon für die Fernwartung der AKW-Informatik von Bern aus nie und nimmer eine Bewilligung – eine sogenannte Freigabe – erteilen dürfen.

Das hat es auch nicht, wie Leute bestätigen, die mit der Materie vertraut sind. Beim Ensi räumt man ein, man habe einen «Zugriff auf die sekundäre Prozessinformatik» freigegeben. Dabei habe man berücksichtigt, «in welche Richtungen und mit welchen Berechtigungen» ein solcher Remote-Zugriff erfolge, hält Mediensprecher David Suchet fest.

Auch zur grossen Anzahl Administratorenrechte will er sich nicht konkret äussern: «Es ist Sache des Betreibers, die für die Sicherheit und Sicherung der Kernanlage notwendige Anzahl an Zugriffsrechten zu verwalten.»

«Das Ensi meint heute noch, dass die Zugriffe auf die Computer von der BKW-Zentrale in Bern aus nur fall­weise und für eine klar definierte Zeitspanne erfolgen», sagt ein Insider. «Den Verantwortlichen des Ensi wurden Dinge präsentiert, die mit der Realität nichts zu tun haben.»

Hinweis: Dieser Artikel entstand aufgrund eines Hinweises auf der Whistleblower-Plattform www.sichermelden.ch.

Haben auch Sie in Ihrem Unternehmen etwas beobachtet, das sie melden möchten? Korruption, Steuerhinterziehung oder sonstige unlautere Machenschaften? Dann können Sie sich gerne bei uns melden, denn nur  mit Ihrer Hilfe können Missstände aufgedeckt und behoben werden.