Cyber-Security? Ist für die anderen. Das eidgenössische Nuklearsicherheitsinspektorat (ENSI) nimmt Empfehlungen von internationalen Organisationen zur Computer-Sicherheit in Atomkraftwerken nur als unverbindliche Richtschnur.
Eine Firewall hat «mehr Löcher als ein Fliegennetz». Ein Server verfügt plötzlich über 72 Administratoren, und die bisher für den Rechner Verantwortlichen wissen nicht, wer diese Personen sind. IP-Adressen von wichtigen Servern werden per Email in der Gegend herumgeschickt. Und wichtige Systeme sollen aus der Ferne gewartet werden.
Die beschriebenen Missstände an Computersystemen finden sich nicht in einem unbedarften KMU, sondern im AKW Mühleberg. Die Geschichte, die ich im Beobachter 12/2015 erzähle, lässt einem heftig daran zweifeln, wie ernst es der Mühleberg-Betreiberin BKW mit der Sicherheit des AKWs ist.
Sie lässt aber auch am eidgenössichen Nuklearsicherheitsinspektorat (ENSI) zweifeln, denn detaillierte Richtlinien und Vorschriften für die Computer-Sicherheit in AKWs fehlen in der Schweiz. Danach gefragt, verweist das ENSI auf Artikel 22 des Kernenergiegesetzes, auf die «Verordnung des UVEK über die Gefährdungsannahmen und Sicherungsmassnahmen für Kernanlagen und Kernmaterialien» und auf die «Verordnung des UVEK über die Gefährdungsannahmen und die Bewertung des Schutzes gegen Störfälle in Kernanlagen». Grundsätzlich, so ein ENSI-Sprecher, würden die Vorgaben des Kernenergiegesetzes und der Kernenergieverordnung gelten. Bloss: Von Computersicherheit steht in diesen Vorschriften kein Wort. Mehr noch: Die Betreiber müssen gemäss Gefährdungsannahmen-Verordnung (732.112.2) nicht einmal nachweisen, dass sie gegen solche gerüstet sind.
“Bloss: Von Computersicherheit steht in diesen Vorschriften kein Wort.”
Dabei gibt es durchaus mehr oder weniger detaillierte Richtlinien für die Computer-Sicherheit in Atomkraftwerken. Die amerikanische Nuklearaufsicht NRC etwa hat entsprechende Vorschriften verfasst, und auch die Internationale Atomenergie-Agentur (IAEA) kennt ein Referenz-Handbuch zum Thema «Computer-Sicherheit in Nuklearanlagen». Am detailliertesten beschreibt die Internationale Elektrotechnik-Kommission (IEC) in ihrem Standard mit Nummer IEC 62645 sämtliche Anforderungen an die Computersysteme in Atomkraftwerken.
Richtlinien und gar Standards wären also vorhanden, um den AKW-Betreibern Vorschriften zu machen, was sie in Sachen Computersicherheit zu tun und lassen haben. Aber wie sagt der ENSI-Sprecher: «Keine der erwähnten technischen Empfehlungen ist für die schweizerischen Kernanlagen gesetzlich bindend. Diese werden aber als Basis für Bewertungen durch das ENSI berücksichtigt.»
Und, siehe Mühleberg, von den Betreibern nach Gutdünken ignoriert.