Nachdem er sich lange mit der Sicherheit von Satelliten- und Flugverkehrssystemen befasst hat, hat der Security-Experte Ruben Santamarta nun ein neues Betätigungsfeld gefunden: Energieinfrastruktur. Auf seiner Suche nach Schwachstellen ist er dabei auch fündig geworden – und zwar bei Atomkraftwerken.

Auf der Sicherheitskonferenz Black Hat hat er seine Erkenntnisse nun präsentiert. Er fand verschiedene Radioaktivitätssensoren, die sich digital manipulieren lassen und somit die Sicherheit von Atomkraftwerken gefährden können, berichtet Wired.

Aus 50 Kilometern Distanz manipulierbar

Fündig wurde er etwa bei Sensoren der Firma Mirion. Diese stellt Messgeräte her, die von Mitarbeitern getragen werden und bei etwaigen Lecks Alarm schlagen sollen. Diese schicken ihre Messdaten drahtlos an einen Transceiver, der die Messergebnisse weiter gibt. Das System nutzt dabei allerdings keinerlei Authentifizierungsmechanismus oder Verschlüsselung.

Santamarta fand heraus, dass es daher möglich ist, mit einem solchen Sensor, die er um etwa 200 Dollar auf Ebay kaufte, falsche Daten zu übermitteln. Es ist ihm auch gelungen, die Firmware der verwendeten Funkmodule zu manipulieren, sodass es ihm nun auch möglich ist, dem System das Vorhandensein eines solchen Sensors vorzugaukeln, ohne einen solchen zu nutzen.

Ein derartiger Angriff erfordert nicht einmal physische Nähe. Die drahtlose Übermittlung falscher Daten ist auf eine Distanz von bis zu 30 Meilen oder mehr als 48 Kilometer möglich. Notwendig ist dafür nur eine zusätzliche Antenne. Es können zudem nicht nur falsche Daten eingespeist, sondern auch die Signale vorhandener Sensoren so gestört werden, dass diese nicht ausgelesen werden können.

Gate-Scanner hackbar

Ebenfalls anfällig ist Equipment des Herstellers Ludlum, das etwa für Sicherheitschecks von Personen oder Fahrzeugen eingesetzt wird. In der Firmware für die Geräte fand er eine Hintertür in Form eines im Code definierten Passworts, die eine Umprogrammierung erlauben würde. Hier ist allerdings physischer Zugang zum jeweiligen Gerät notwendig.

Risiken

Die von Santamarte entdeckten Lücken würden alleine nicht ausreichen, um eine nukleare Kernschmelze in einem Kraftwerk auszulösen, da diese über zusätzliche Sicherheitsmaßnahmen verfügen. Allerdings könnten sie es erschweren, eine solche zu verhindern – etwa in dem den Sensoren ein normales Radioaktivitätslevel vorgegaukelt wird, obwohl die Strahlung bereits ein kritisches Maß erreicht hat. Umgekehrt könnte auch Strahlungsalarm ausgelöst werden, in dem man dem System erhöhte Radioaktivitätswerte übermittelt.

Auch die Geräte für Security-Gates kommunizieren unverschlüsselt miteinander. Verschafft sich ein Hacker Zugriff auf das dahinter liegende Netzwerk, könnte er Messwerte manipulieren oder verhindern, dass reale Messwerte übermittelt werden. Dies erleichtert potenziell den Schmuggel von nuklearem Material.

Herstellerreaktionen

Während beide Hersteller auf Anfragen von Wired nicht reagiert haben, fiel ihre Reaktion auf die Erkenntnisse von Santamarta unterschiedlich aus. Bei Mirion versprach man, künftige Produkte mit besseren Sicherheitsvorkehrungen auszustatten, für die Sicherheit der IT-Infrastruktur seien aber letztlich die Kunden selbst verantwortlich.

Bei Ludlum verwies man lediglich darauf, dass die eigenen Prüfsensoren in "sicheren Einrichtungen" zum Einsatz kämen und somit ohnehin vor Zugriff geschützt seien.

Vorfall in Three Mile Island

Das Interesse an der Sicherheit der Radioaktivitätssensoren wurde bei Santamarta geweckt, als er Berichte über eine Beinahe-Katastrophe des US-Kernreaktors Three Mile Island auf der gleichnamigen Insel gelesen hatte. 1979 ist es hier fünf Jahre nach Inbetriebnahme beinahe zu einer Kernschmelze gekommen.

Mitverantwortlich für den Vorfall waren fehlerhafte Messwerte von den Sensoren des Kraftwerks, die es den Operatoren erschwerten, den sich anbahnenden Unfall zu registrieren. Letztlich kam es im Reaktorblock 2 zu einer partiellen Kernschmelze. Als Hauptursache wurden bei folgenden Untersuchungen Konstruktionsmängel, schlechte Ausstattung des Kontrollraums und menschliches Versagen aufgezeigt. (red, 27.7.2017)