Atomaufsicht sieht «keinen Bedarf», wegen IT-Problemen einzugreifen

Insider sorgen sich um 
die Sicherheit der Informatik im AKW Mühleberg. Doch 
die Atomaufsicht Ensi sieht «derzeit» keinen Anlass, aktiv zu werden.

Die Informatikprobleme beim AKW Mühleberg sind für das Ensi kein Grund, einzugreifen.

Die Informatikprobleme beim AKW Mühleberg sind für das Ensi kein Grund, einzugreifen.

(Bild: Adrian Moser)

Simon Thönen@SimonThoenen

Eine Reorganisation der Informatik im AKW Mühleberg habe zu gravierenden Sicherheitslücken geführt, warnen Insider. Sie taten dies zuerst intern, und als dies wenig bewirkte, äusserten sie ihre Bedenken anonym gegenüber dem «Beobachter». Zu viele Leute hätten im Zug der Reorganisation Zugriff auf Server im AKW erhalten, zu unvorsichtig seien sensible Informationen übermittelt worden, was die Gefahr von Hacker-Angriffen erhöhe.

Wie stellt sich das Eidgenössische Nuklear­sicher­heits­inspek­torat (Ensi) zu den Sorgen und zur Kritik der Insider? Mit zeitlicher Verzögerung hat das Ensi Fragen beantwortet. Die Aufsichtsbehörde bestätigt zunächst die Angabe der BKW, dass sie die Reorganisation bewilligt hat. Diese sieht vor, dass ein grosser Teil der Informatikaufgaben nicht mehr vor Ort im AKW, sondern vom Hauptsitz der BKW aus erledigt wird. Die BKW betont, dass dies nicht für die technische Informatik im AKW gelte.

Zugriff auf Sicherheitssysteme

Laut Ensi betrifft die IT-Wartung vom BKW-Hauptsitz aus aber sehr wohl 
Sicherheitssysteme im AKW. Nicht die primären Schutzsysteme zwar, denn diese werden im alten AKW gar nicht mit Informatik, sondern elektromechanisch gesteuert. Das Ensi bestätigt aber, dass es «den Zugriff auf die sekundäre Prozessinformatik» im AKW erlaubt hat. Dabei handelt es sich um Systeme der Sicherheitsstufen 2 und 3. Das sind laut einem Handbuch der internationalen Atomenergieorganisation IAEA «operationelle Kontrollsysteme, die einen hohen Schutzgrad benötigen» (Stufe 2). Beziehungsweise «Überwachungssysteme», die nicht direkt der AKW-Steuerung dienen, aber dennoch «in einem mittleren Grad durch Cyber-Attacken diverser Art bedroht sind» (Stufe 3).

Es sei in gewissen Fällen sogar sehr wichtig, dass Daten von aussen in die AKW-Informatiksysteme fliessen können, schreibt das Ensi. So etwa Daten «des Meteo-, des Erdbebendienstes oder auch der Blaulichtorganisationen». Das Ensi wiederum benötige für seine Notfallorganisation Daten aus dem AKW «in Echtzeit». Den Zugriff auf die AKW-Informatik zwecks Fernwartung durch die Berner BKW-Zentrale habe man unter «gewissen Beschränkungen» erlaubt. Dabei habe man die einschlägigen Empfehlungen der IAEA berücksichtigt, betont das Ensi. Die Atomaufsicht «sieht derzeit keinen Bedarf, weitere Forderungen zu stellen».

Ensi-Anweisung «missachtet»

Das Ensi wisse nicht, was in Mühleberg ablaufe, kritisiert dagegen im «Beobachter» ein Insider: «Den Verantwortlichen des Ensi wurden Dinge präsentiert, die mit der Realität nichts zu tun haben.» Zu diesem Vorwurf schreibt das Ensi, es stütze sich nicht nur auf Informationen des Betreibers, sondern «auch auf Erkenntnisse, die sich das Ensi selber verschafft». Nicht beschafft hat sich das Ensi aber offenbar einen BKW-internen Ereignisbericht vom 11. Februar 2014, der auch dem «Bund» vorliegt. Darin steht explizit, dass eine Ensi-Anweisung «mehrmals missachtet» wurde. Konkret: Die Anweisung des Ensi, dass Informationen über die IT-Architektur und die IP-Adressen der Server im AKW «als geheim behandelt werden sollten». Auch nachträglich will sich das Ensi diesen Bericht nicht beschaffen. Man sehe dafür ebenfalls «keinen Bedarf», schreibt die Atomaufsicht. Die Verantwortung für «den sicheren Betrieb einer Kernanlage liegt beim Bewilligungsinhaber und nicht beim Ensi». Die «Relevanzschwelle» für eine Meldung liege deshalb beim Betreiber tiefer als bei der Aufsicht, zumal eine solche auch Aspekte enthalte, die für die Sicherheit nicht relevant seien.

Hacker-Angriffe wurden bereits auf südkoreanische und amerikanische AKW durchgeführt. Dennoch hat das Ensi bisher keine Richtlinie zur Informatiksicherheit in Schweizer AKW erlassen. Das Ensi wende die einschlägigen Empfehlungen an und arbeite in Fachgruppen der IAEA mit, heisst es dazu.

Der Bund

Diese Inhalte sind für unsere Abonnenten. Sie haben noch keinen Zugang?

Erhalten Sie unlimitierten Zugriff auf alle Inhalte:

  • Exklusive Hintergrundreportagen
  • Regionale News und Berichte
  • Tolle Angebote für Kultur- und Freizeitangebote

Abonnieren Sie jetzt