Hadmut Danisch

Ansichten eines Informatikers

Über das Kernkraftwerk Neckarwestheim

Hadmut
17.3.2011 3:34

Es ging gerade durch die Presse, daß das Kernkraftwerk Neckarwestheim I endgültig stillgelegt werden soll, nachdem die Politik gerade einen kompletten Meinungswechsel vollzogen hat. Das Kraftwerk kenne ich, dazu fällt mir was ein.

In den Kernkraftwerken Neckarwestheim I und II habe ich als IT Security Consultant von 1998 bis 2002 für das Computernetzwerk die Sicherheitsuntersuchung durchgeführt, Änderungen vorgenommen und die sichere Anbindung an das Internet entworfen.

Ich war damals oft in dem Kraftwerk unterwegs und habe auch einiges über Kernkraftwerke, wie sie gefahren werden und deren allgemeine Sicherheitsanforderungen gelernt und mitbekommen. Es war einer der interessantesten Aufträge, die ich bisher hatte. Übrigens durfte ich damals mit meinem Werksausweis nahezu überall in dem Kraftwerk hin, sogar in den inneren Reaktorraum an die Becken. Der einzige Ort im Kraftwerk, zu dem ich nicht selbst Zugang hatte war – die Notstromversorgung. Inzwischen ist mir klar, warum die so heilig ist.

Dabei waren auch die IT-Anforderungen sehr hoch. Alle wesentlichen Änderungen, die ich vorgeschlagen oder angefordert habe, mußten von TÜV, LKA und Gesellschaft für Reaktorsicherheit abgenommen werden. Weil es damals noch keine bekannten Vorgaben und Anforderungen für die Anbindung eines Kernkraftwerkes an das Internet gab, war das Pionierarbeit und wurde mit Interesse aufgenommen und beobachtet – auch von anderen Kraftwerken. Wobei „Anbindung des Kernkraftwerkes an das Internet” eigentlich nicht so ganz korrekt ist, denn es ging darum, die Büro- und Verwaltungsnetze, einige Techniknetze und allerhand sicherheitstechnische Systeme und Netzwerke mit verschiedenen Netzwerkzugängen – auch VPN-Verbindungen zu weit entfernten Meßstationen – anzubinden. Und dazu mußte man das interne LAN des Kraftwerks so aufzuräumen, segmentieren und auftrennen, daß man nachvollziehbar belegen kann, daß eine möglichst hohe Sicherung durch Firewalls, organisatorische und administrative Maßnahmen, Topologie usw. hergestellt wurde, und daß der Nachweis geführt wird, daß selbst bei einem vollständigen Durchbruch aller dieser Sicherheitsmaßnahmen durch Schadsoftware, Saboteure usw. zwar die Verwaltung und weniger wichtige technische Netzwerke, nicht aber der Betrieb des Kraftwerkes gefährdet werden kann. Dazu gehörten auch eine strikte topologische Trennung nach einem Zonenmodell mit äußerst starker Beschränkung der Kommunikation und der Einbau von definierten Trennstellen, die zu einem Schalenmodell aus nachgewiesen autarken Systemen bestanden. Das war ein richtig gutes Stück Arbeit damals. Wurde auch auf Anhieb bei der Überprüfung abgenommen und genehmigt.

Mit der kerntechnischen und sonstigen Sicherheit des Kraftwerks kenne ich mich nicht aus. Beeindruckt hat mich aber gerade die komplett analog und diskret aufgebaute Schalttechnik des alten Kraftwerks I, das sie jetzt abschalten. Schadsoftware, Hacker, sowas wie Stuxnet wären daran weitgehend wirkungslos abgeprallt und hätten zu keiner signifikanten Beeinträchtigung geführt. Wenn man wissen wollte, wie und warum eine Änderung am Meßfühler X zu einem anderen Stellwert am Ventil Y führt, konnte man von der Leitwarte in den Schaltraum gehen, die entsprechende Schranktür aufmachen und sich die entsprechende Schaltung ansehen oder durchmessen. Bei moderneren Kraftwerken steht da ein Rechner mit einer patentierten und urheberrechtlich geschützten undurchsichtigen Software eines amerikanischen Herstellers, bei der man nicht mehr weiß, wie und warum sie etwas tut oder auch nicht. Ehrlich gesagt, fand ich die alte analoge Techik zwar nicht in allen, aber in vielen Hinsichten deutlich vertrauenswürdiger, beherrschbarer und stabiler gegen Sabotage und Schadsoftware. Es ist zwar viel Aufwand und man muß viel können und wissen, denn es gibt ziemlich viele Schränke, aber grundsätzlich ist es möglich, sich die Schaltpläne oder eben die analoge Schalttechnik anzuschauen und die Funktion des Kraftwerkes in jedem Detail zu verstehen.

Es hat vielleicht gewisse Ähnlichkeit mit dem Unterschied zwischen einem alten, mechanisch aufgebauten Flugzeug und einem modernen mit Fly-by-wire. Es hat alles so seine Vor- und Nachteile. (Ich habe auf einer Reise beim Abendessen mal zufällig mit einem Verkehrspiloten am Tisch gesessen und erzählt, daß ich eigentlich schon immer den Heli-Pilotenschein machen wollte, aber ich das nötige „Kleingeld” nicht übrig hatte. Mich aber schon durch einige Lehrbücher gewühlt und auch mit Funknavigation usw. beschäftigt hätte. Da lachte der und meinte, außer für die Prüfung bräuchte man das nicht mehr. In der Berufsluftfahrt flöge man nur noch nach GPS, das sei viel einfacher, idiotensicherer und robuster, weil man auch in Notsituationen sich nicht noch um die Navigation kümmern muß, sondern das Navi das alles alleine macht und der Autopilot inzwischen auch wesentliche Teile der Landung vollautomatisch treiben könnte. Solange es funktioniert, sei es viel besser. Allerdings könnten seiner Einschätzung nach mindestens zwei Drittel der internationalen Verkehrspiloten nicht mehr ordentlich auf die herkömmliche Weise navigieren und würden von einem Ausfall des GPS so kalt erwischt, daß sie von den Fluglotsen dirigert werden müßten. Da fragt man sich, was besser ist. Und vielleicht sollte man sich das auch bei Kernkraftwerken mal fragen.)

[Nachtrag]Diese eher rustikal-robuste Sicherheitstechnik hat durchaus ihre großen Stärken. Damals kam ich bespielsweise an einer Stelle zu der Erkenntnis, daß eine Kommunikationsleitung, die nur gelegentlich zu Wartungszwecken verwendet wird, im Normalbetrieb unterbrochen sein, vom Betriebspersonal aber eingeschaltet werden können muß. Also ließ man von der Lehrlingswerkstatt extra einen Schalter mit den von mir angeforderten Eigenschaften bauen, aber das dann in Kraftwerksqualität. Es wurde ein eigener Einschub aus dickem lackiertem Stahlblech für die Schaltschränke gebaut, in dessen Mitte ein mehr als beeindruckender großer Schalter der Qualitätsstufe unkaputtbar samt mehrfacher Redundanz mit faustgroßem rotem Drehgriff prangte, dessen Stellung man auch auf 100 Meter Entfernung hätte ablesen können, und der sich beim Bedienen anfühlte, als hätte man gerade eine Kleinstadt ein- oder ausgeschaltet. Der wurde in die Kontrollliste des Sicherheitsdienstes aufgenommen, das heißt, daß da mehrfach täglich jemand vorbeigehen und kontrollieren mußte, daß der Schalter ausgeschaltet ist. Wollte man ihn einschalten, mußte man vorher bei dem, der das Kraftwerk fährt, die Freischaltung für einen genau angegebenen Zeitraum beantragen, damit der das weiß und ihm das in den Kram paßt. Dann hat der eine Freigabe mit genauem Zeitraum erstellt und die wurde am Schalter angebracht, damit man beim Kontrollgang sofort feststellen kann, ob es seine Richtigkeit hat, wenn der Schalter eingeschaltet ist. Gleichzeitig wurde in die Betriebsunterlagen für das zu wartende System aufgenommen, daß die Wartung nur funktioniert, wenn besagter Schalter auf besagte Weise eingeschaltet wurde, damit auch jeder weiß, wo man schalten muß, wenn man es braucht, und festgelegt, in welchen Intervallen der Schalter auf Funktion zu überprüfen ist. Nie wieder danach habe ich Netzwerksicherheit in solcher Qualitätsstufe betrieben. [/Nachtrag]

Irritiert hat mich allerdings ein seltsamer Vorgang in einem anderen Kernkraftwerk, über den mich später mal jemand anderes informierte. Jemand, der das IT-Sicherheitshandbuch eines anderen Kernkraftwerks (ich sag jetzt mal nicht, welches das war) hatte und dessen Zustandekommen kannte, forderte mich auf, da doch mal einen kurzen Blick reinzuwerfen. Mir fiel dabei schier der Kiefer runter.

Denn das Inhaltsverzeichnis dieses IT-Sicherheitshandbuches stimmte genau mit dem überein, das ich für Neckarwestheim geschrieben hatte. Der Inhalt hatte aber überhaupt nichts damit zu tun. Da stand ziemlicher Unfug drin, und es war offenkundig, daß irgend ein Laie da etwas reingeschrieben hatte, was er sich so unter dem vorstellte, was im Inhaltsverzeichnis aufgelistet war.

Was war passiert?

In diesem anderen Kraftwerk wollten sie sich ebenfalls ans Internet anschließen, aber weder die Zeit noch das Geld für eine ordentliche Sicherheitsuntersuchung aufbringen. Die dachten, das können wir selbst. Und sie wußten, daß Neckarwestheim damals als erste mit der Internet-Anbindung problemlos die Genehmigung bekommen hatten. Auf irgendeinem Weg hatten sie dabei eine Kopie des Inhaltsverzeichnisses meines Handbuchs bekommen, aber eben – immerhin war es ja streng vertraulich – nur des Inhaltsverzeichnisses, nicht des eigentlichen Inhaltes. Und weil sie nicht wußten, wie sie es selbst anfangen könnten, haben sie das Inhaltsverzeichnis exakt abgekupfert und sich dann irgendwelche Prosa dazu aus den Fingern gesaugt.

Der Haken war nämlich folgender: Weil es damals noch keine brauchbaren Vorlagen und Muster gab, und auch von den genehmigenden Institutionen keiner sagen konnte, was da eigentlich üblich und verlangt war (es hat ja noch keiner gemacht), hab ich das damals nach bestem damaligem Fachwissen und Gewissen (also auf deutsch gesagt frei Schnauze) geschrieben. Und mein Wissensstand beruhte damals – sorry, wenn ich schon wieder auf das Thema komme, aber so war es eben – auf meiner Dissertation und den Folgerungen aus meinem damaligen Promotionskrach mit der Uni Karlsruhe, der 1998 bis 2000 entstand. Denn genau das, nämlich die Analyse, Absicherung und die Beschreibung eines solchen Netzwerkes war ja Inhalt meiner Dissertation. Ursprünglich diente dazu die Konstruktion und Installation einer Firewall und die Absicherung des Netzwerkes 1994 bei der damaligen Hoechst AG in Frankfurt. Und weil’s so schön war, habe ich im Prinzip das gleiche dann 1998 bis 2002 nochmal gemacht, nur eben ein paar Nummern größer an einem Kernkraftwerk. Dazu kam, daß ich mich ja damals mit den Leuten vom Kraftwerk hervorragend verstanden habe und ihnen auch von dem Promotionskrach erzählte, vor allem davon, daß die Uni Schmiergeld forderte und das hinter der Forderung verklausulierte, daß ich die Dissertation mit einer „technischen Implementierung” zu verteidigen hätte. Und weil die „Verteidigung” die Disputation ist, kam damals dort die Idee auf, daß ich als Disputationsvortrag doch die Anwendung der Erkenntnisse der Dissertation auf die Absicherung eines Kernkraftwerkes im Vollbetrieb und mit Abnahme durch LKA, TÜV und GRS vorstellen könnte. Wenn sie vorgeblich eine Implementierung verlangten, sollten sie sie eben kriegen. Mit sowas (und dazu noch ein Bundestagsgutachten) hätte noch kein anderer Doktorand auftrumpfen können. Deshalb hatte ich das mit denen vom Kraftwerk abgesprochen und mir genehmigen lassen, daß ich die – eigentlich vertrauliche – Absicherung des Kraftwerkes, das Zonenmodell und das Handbuch in Grundzügen in der Disputation vortragen darf – aber nur mündlich gegenüber den Prüfern, nicht zur Veröffentlichung in der Dissertation. (Deshalb steht da auch nichts zur Umsetzung drin, denn auch die Firewall in Hoechst erfolgte unter NDA bezüglich der Details.) Deshalb war das IT-Sicherheitshandbuch des Kraftwerks Neckarwestheim im Aufbau und in den Begrifflichkeiten an der Dissertation orientiert und damit spezifisch nach meiner Denkweise, die nicht publiziert war. Deshalb hatten die von dem anderen Kraftwerk unter den Überschriften und ohne den Text sich nicht allzuviel darunter vorstellen können und sich beim Interpretieren gnadenlos verhauen.

Der Karlsruher Dekan hatte sich auf die Behauptung des Doktorvaters verlassen, wonach ich es nicht geschafft hätte, meine Diss zu implementieren, und fiel vor Schreck fast um, als ich mit einem Kernkraftwerk daherkam.

Die Sache wurde aber durchaus noch verzwickter. Denn im Promotionskrach habe ich schließlich vor dem Verwaltungsgericht Karlsruhe geklagt. Und da vorgetragen, daß die Implementierung zwar nicht gefordert werden könnte, aber bitte, wenn sie gerne wollten, hätte ich dreie zu bieten, Hoechst, Kernkraftwerk und RMX. Das Dumme war aber, daß gleichzeitig irgendwer vor demselben Verwaltungsgericht (ich glaube, es war sogar dieselbe Kammer) gegen die Betriebserlaubnis für das Kernkraftwerk Neckarwestheim klagte und sich dabei auch mal so ins Blaue darauf berief, daß das Kraftwerk computertechnisch nicht sicher wäre. Das grundsätzlich bürgerfeindliche Verwaltungsgericht Karlsruhe stand nun vor einem Dilemma: Betrachteten sie meine Arbeit als richtig, würde die Uni gegen mich verlieren. Betrachteten sie sie als falsch, würde das Kraftwerk gegen den Bürger verlieren. Außerdem hätten sie mich in einem Prozeß als sachverständigen Zeugen hören müssen, während mir parallel in dem anderen Prozeß vorgeworfen wurde, daß ich von dem Thema keine Ahnung hätte und keinen geraden Satz hervorbrächte. Sie haben das Dilemma dann gelöst, indem sie die Kraftwerkssicherung als Leistungsnachweis ablehnten und sich daher nicht darauf festlegen mußten, ob sie es für falsch oder richtig hielten. Der Bürger hat dann mit seiner Klage gegen die Betriebserlaubnis ebenfalls verloren. Das ist die Kunst, daß ein und dasselbe Gericht in zwei parallelen Streitfällen zu dem impliziten Ergebnis kommen kann, daß dieselbe Arbeit desselben Sicherheitstechniker einmal gut und einmal schlecht ist.

Um den Leser zu beruhigen: Wir (d.h. die Leute vom Kraftwerk, mit denen ich zusammengearbeitet habe und ich) haben damals wirklich gute Arbeit hingelegt, und sehr viel Aufwand und Sorgfalt betrieben. Wenn aber ein Gericht die Klage eines Bürgers gegen die Betriebserlaubnis abweist, während dasselbe Gericht gleichzeitig in einem anderen Verfahren zu dem Ergebnis kommt, daß die Arbeit, die die Grundlage der Sicherheitskonstruktion bildet, Bockmist und durchgehend fehlerhaft wäre, dann läuft etwas schief bei der Nachprüfung einer Betriebserlaubnis. Und nachdem ich den Richter dann später beim Fälschen eines Verhandlungsprotokolls erwischt habe, ist meine Meinung über die Qualität der Gerichtsbarkeit auch nicht besser geworden. Solche Leute entscheiden letztlich darüber, ob eine Betriebserlaubnis bestand hat oder nicht. So etwas darf nicht passieren.

Das war dann das, was mich letztlich an der Zuverlässigkeit von Kernkraft zweifeln ließ. Nicht die Technik, die ich vor Ort gesehen oder modifiziert habe. Sondern wie das Verwaltungsgericht Karlsruhe über die Betriebserlaubnis entschieden hat, wie das Sicherheitshandbuch dieses anderen Kraftwerkes zustandekam und wie die „Wissenschaft” damit umging.


8 Kommentare (RSS-Feed)

Stecki
17.3.2011 7:33
Kommentarlink

Spannender Beitrag!

Und zum Thema Technikvertrauen/GPS fiel mir ein Beitrag im New Scientist auf, der gut paßt:

http://www.newscientist.com/article/dn20202-gps-chaos-how-a-30-box-can-jam-your-life.html


unschland
17.3.2011 12:26
Kommentarlink

Mit ein wenig Wischiwaschi-Gemauschel haben die dir den Dr.-Titel verwehrt? Hast du da ein hohes Tier von der Uni alt aussehen lassen, dass die dich so auf dem Kieker hatten?
Dichter und Denker, my ass


Hadmut
17.3.2011 13:16
Kommentarlink

…weit mehr als nur eines…


J.
17.3.2011 14:47
Kommentarlink

Schon lange ist ja die Rede vom “Atomstaat”: Ein Staat, der dermaßen gefährliche Technologien betreibt, muss da auf Nummer sicher gehen und jeden Fehler ausschließen. Ein Teil dieser angewandten Paranoia sind die von dir geschilderten Sicherheitsmaßnahmen in einer Qualität, wie sie sonst nirgendwo üblich ist. Können ja eigentlich nur Übermenschen schaffen … Vor allem darf niemand böswillig oder unzuverlässig sein – was man mit polizeistaatsartigen Methoden – dem “Atomstaat” eben – schaffen kann. Und auch das Funktionieren der ganzen Sicherheitsmechanismen muss man ja irgendwie prüfen. Da das Ganze zu einem großen Teil geheimhaltungsbedürftig ist, nicht durch die Öffentlichkeit, sondern durch unabhängige Richter. Quis custodiet ipsos custodes? Keiner.

Das Funktionieren des ganzen Systems basiert also darauf, dass an den Schlüsselstellen unfehlbare Übermenschen sitzen. Zu meinen, das beherrschen zu können, ist im Grunde ziemlich Hybris.


J.
17.3.2011 15:36
Kommentarlink

“Und mein Wissensstand beruhte damals – sorry, wenn ich schon wieder auf das Thema komme, aber so war es eben – mein damaliger Promotionskrach mit der Uni Karlsruhe, der 1998 bis 2000 stattfand.” – Da ist der Satzbau irgendwie kaputt.


Hadmut
17.3.2011 15:39
Kommentarlink

Oh, Danke! Hab ich heute nacht zwischen 3 und 4 Uhr geschrieben und war mehr im Schlaf als wach…


mkind
18.3.2011 13:26
Kommentarlink

super interessanter beitrag. hab ich direkt mal bei mir verlinkt.


mika
18.3.2011 14:55
Kommentarlink

Hier noch ein kleiner Verweis zum Thema: Sicherheit der AKW’s in Deutschland…
http://www.rbb-online.de/kontraste/archiv/kontraste_17_03_2011/geheimer_pruefkatalog.html
Ein von Kontraste geleakter AKW-Prüfkatalog, in der Sendung werden dann auch noch die Folgen erläutert…

Meiner Meinung nach sehr lesenswert (und auch sehr nachvollziehbar).
Wie am Anfang der Sendung erwähnt wurde dieser Katalog vor allem von Atom-Befürwortern erstellt.