Schweizer Kernanlagen sind auf Cyber-Angriffe vorbereitet

Hintergrundartikel, Artikel, Kernanlagen, Sicherung

Durch die Ausbreitung des Internets sind Informationen zu jedem Zeitpunkt und an jedem Ort verfügbar. Mit der globalen Vernetzung ist auch die Internetkriminalität gestiegen. Das Eidgenössische Nuklearsicherheitsinspektorat ENSI überwacht im Rahmen der Sicherung schweizerischer Kernanlagen auch deren Schutz vor unbefugten Einwirkungen auf die IT-Systeme.

Die Schweizer Kernanlagen tragen den Cyber-Risiken mit einem Schutz auf verschiedenen Ebenen Rechnung. (Bild: iStockphoto/alengo)

Die Kommunikations- und Informationstechnologie ist auch für die Schweizer Kernanlagen ein unverzichtbarer Faktor. Andererseits setzt die globale Vernetzung die IT-Systeme möglichen Gefahren aus. Diese sogenannten Cyber-Angriffe können verschiedenste Ursprünge und Motivationen haben. Neben der generellen Zunahme solcher Attacken treten diese in letzter Zeit auch eindeutig gezielter auf.

IT-Security ist in Kernanlagen nicht erst seit der Entdeckung des Computerwurms „Stuxnet“ im 2010 ein wichtiges Thema. Trotzdem gilt „Stuxnet“ als bisher einzigartig – sowohl aufgrund seiner Komplexität als auch wegen des Ziels, Steuerungssysteme von Industrieanlagen zu manipulieren. Das Schadprogramm wurde speziell auf ein bestimmtes System zur Überwachung und Steuerung technischer Prozesse entwickelt.

Ziel von Cyber-Angriffen auf Kernanlagen können folgende bzw. eine Kombination daraus sein:

  • Informationssammlung und –diebstahl, um Attacken zu planen und durchzuführen
  • Manipulation von Computersystemen und Steuerungen
  • Angriff auf oder Blockierung der Prozesse, welche für die Sicherheit der Kernanlagen wichtig sind

 

IT-Security ergänzt physische Sicherheit

Die Betreiber der Schweizer Kernanlagen müssen IT-Risiken beurteilen, Risikoanalysen entwickeln und entsprechende Schutzmassnahmen umsetzen. Die diesbezüglichen Gefährdungsannahmen werden in einem sogenannten Design Basis Threat beschrieben. Wie im Kernenergiegesetz und der zugehörigen Verordnung verankert, liegt das Hauptaugenmerk bei Kernanlagen auf der physischen Sicherheit: dem sicheren Bau und Betrieb der Anlage, dem Schutz des Kernmaterials, der gestaffelten Sicherheitsbarrieren und der Automation von Sicherheitssystemen zum Schutz von Mensch, Umwelt und Gesellschaft.

Um Cyber-Risiken zu minimieren, kommen zur physischen Sicherheit diverse IT-Aspekte hinzu. Diese sind Teil von Freigaben und werden regelmässig überprüft. Die Steuer- und Kontrollsysteme in Kernanlagen beinhalten technische, administrative und organisatorische Schutzvorkehrungen.

Mit einem Schutz auf verschiedenen Ebenen wird dazu beigetragen, eine unerlaubte oder eine zu einem bestimmten Zeitpunkt nicht angebrachte Handlung an einem IT-System zu verhindern. Ein weiteres Ziel ist es, Ungereimtheiten zu einem frühen Zeitpunkt zu detektieren sowie ein allfälliges Schadensausmass zu minimieren. Unter anderem werden physische Netzwerktrennungen, ein redundanter Systemaufbau sowie restriktive Zonen- und Berechtigungskonzepte implementiert.

Der wachsenden Bedrohung aus dem Internet trägt auch der Bundesrat Rechnung: Bereits seit Oktober 2004 ist die Melde- und Analysestelle Informationssicherheit (MELANI) operativ, welche sich mit dem Schutz der Informations- und Kommunikationsinfrastrukturen unseres Landes vor Angriffen, Missbrauch und Ausfällen befasst. Die Betreiber der Kernanlagen sind im Verbund der MELANI integriert. Ein weiteres Element ist die „Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS)“, welche vom ENSI tatkräftig unterstützt wird.