Sellafield drohte IT-GAU: Massive Security-Lücken in britischer Atomanlage

Foto: Vladimir Mulder – shutterstock.com

In der britischen Atomanlage Sellafield haben sich in den vergangenen Jahren wiederholt massive Sicherheitslücken aufgetan. Derzeit läuft eine offizielle Untersuchung der Vorfälle. Die verantwortlichen Betreiber des Nuklearkomplexes haben die Probleme eingeräumt und sich schuldig bekannt, berichteten verschiedene Medien auf der Insel. Über die Konsequenzen soll noch im September 2024 entschieden werden.

Bei Sellafield handelt es sich um eine der größten und ältesten Atomanlagen der Welt. Die Anfänge des Komplexes an der Irischen See in der Grafschaft Cumbria im Nordwesten Englands reichen bis in die Zeit kurz nach dem 2. Weltkrieg zurück. Immer wieder sorgte die Anlage für negative Schlagzeilen. 1957 kam es zu einem Brand in einem der Reaktoren. Bis in die 70er Jahre des vergangenen Jahrhunderts wurden radioaktiv verseuchte Abwässer ins Meer abgeleitet.

Das größte Plutonium-Lager der Welt

Seit Jahrzehnten wird die Anlage in Sellafield um-, beziehungsweise abgebaut. Die Kernreaktoren sind mittlerweile abgeschaltet. Derzeit werden dort vor allem hochradioaktive Abfälle verarbeitet und wiederaufbereitet. Experten zufolge liegt in Sellafield das größte Plutonium-Lager der Welt.

Alle Informationen darüber, welche Security-Lücken überall auf der Welt auftauchen, erhalten Sie mit den Newslettern von CSO.

Anlass genug, die Anlage nicht nur physisch, sondern auch IT-seitig nach den höchsten Security-Standards abzusichern, möchte man meinen. Doch dem ist offenbar nicht so. Im Dezember 2023 berichtete der Guardian, dass zentrale IT-Systeme in Sellafield gehackt und mit Malware infiltriert worden seien. Vergleichbare Vorfälle habe es bereits seit dem Jahr 2015 gegeben, hieß es. Die Betreiber der Anlage hätten jedoch alles getan, um die Missstände zu vertuschen.

Die britische Atomaufsichtsbehörde, das Office for Nuclear Regulation (ONR), teilte zunächst nur mit, Sellafield stehe unter Beobachtung. Eine Begründung wurde nicht veröffentlicht. Die britische Regierung widersprach den Berichten, wonach es zu schweren Security-Verstößen in dem umstrittenen Atomkomplex gekommen sei.

Sellafield – drei Viertel aller Server mit Security-Lücken

Nun verdichten sich jedoch die Hinweise darauf, dass die Betreiber der Nuklearanlage im Nordwesten Englands mit massiven Sicherheitsproblemen zu kämpfen haben. Dem Guardian zufolge hätten Mitarbeiterinnen und Mitarbeiter externer Auftragnehmerfirmen problemlos auf kritische IT-Systeme zugreifen können, hieß es. Beispielsweise soll es möglich gewesen sein, einfach USB-Sticks an die Rechner anzudocken. Außerdem sollen drei Viertel aller Server der Anlage Sicherheitslücken aufgewiesen haben – alles potenzielle Einfallstore für Cyberangreifer.

Jeder einigermaßen geschickte Hacker hätte auf sensible Daten zugreifen, beziehungsweise Malware in die IT-Systeme einschleusen können, berichten britischen Medien aus den Ergebnissen einer internen Sicherheitsuntersuchung. Das Ausmaß der Nachlässigkeiten sei schockierend, zitiert das Online-Magazin ITpro den Sicherheitsexperten Mark Flynn. Die Mängel in Sachen Cybersecurity bezeichnete Flynn als katastrophal. Es sei ein Wunder, dass bis dato noch nichts Gravierendes passiert sei.

Bedrohung für die nationale Sicherheit

Den Berichten zufolge würden die Systeme teilweise noch mit Windows 7 betrieben, das längst nicht mehr mit Security-Updates unterstützt werde. “Es ist so, als würde man die Schlüssel zum Königreich unter der Fußmatte liegen lassen und hoffen, dass es niemand bemerkt”, monierte Flynn. Am besorgniserregendsten sei es jedoch, wie lange diese Schwächen nicht behoben wurden. Die Mängel zogen sich offenbar über mindestens vier Jahre von 2019 bis 2023 hin. “Dieses Maß an Verwundbarkeit an einem Standort, an dem sich das weltweit größte Plutoniumlager befindet, ist inakzeptabel und stellt eine erhebliche Bedrohung für die nationale Sicherheit dar”, so das Resümee des Sicherheitsexperten.

Das sehen mittlerweile auch die Verantwortlichen im ONR so. Die britische Atomaufsichtsbehörde hat im Juni 2024 offiziell Anklage gegen die Betreiber von Sellafield erhoben. Die Verantwortlichen der Anlage räumten mittlerweile Fehler ein und entschuldigten sich für die Missstände. Allerdings seien die Probleme mittlerweile behoben, beteuerten sie. Man habe große Anstrengungen unternommen, um die Sicherheitsmängel zu beseitigen, ließen die Verantwortlichen über ihre Anwälte mitteilen. Das Verfahren soll im September abgeschlossen werden. Über mögliche Konsequenzen für die Betreiber des Nuklearkomplexes ist noch nichts bekannt.

Dass sich die Missstände so einfach beseitigen ließen, glaubt indes kaum ein Security-Experte. Schließlich müsse Sellafield seine IT-Sicherheit von Grund auf neu aufbauen. Neben der Technik gelte es auch die Kultur für Cybersecurity komplett zu überarbeiten. Der IT-Sicherheit müsste auf jeder Unternehmensebene höchste Priorität eingeräumt werden.