Davis-Besse (Kernkraftwerk)
Der Slammer-Wurm kam an der Firewall vorbei ins Netz eines US-Kernkraftwerks — die Sicherheitsanzeige fiel aus.
Januar 2003: Das Kernkraftwerk Davis-Besse (Ohio) steht seit Monaten für Reparaturen still. Weltweit rast der Slammer-Wurm durchs Internet.
In 30 Sekunden
Im Januar 2003 raste der SQL-Slammer-Wurm in Minuten um die Welt und überflutete Netze mit Datenverkehr. Über die Standleitung eines Dienstleisters — an der Firewall vorbei — gelangte er auch ins Netz des US-Kernkraftwerks Davis-Besse in Ohio. Die Sicherheits-Parameter-Anzeige (SPDS) fiel für knapp 5 Stunden aus, ein weiterer Prozessrechner noch länger. Das Kraftwerk war zu diesem Zeitpunkt bereits seit Monaten für Reparaturen abgeschaltet, und die analogen Sicherheitsanzeigen blieben verfügbar — eine Gefahr für die Öffentlichkeit bestand nicht. Trotzdem wurde der Fall zum Weckruf: Eine Firewall nützt wenig, wenn Nebenzugänge daran vorbeiführen.
Was geschah
2003
Slammer hatte kein Ziel — der Wurm befiel wahllos ungepatchte Microsoft-SQL-Datenbankserver weltweit. Das Kraftwerksnetz von Davis-Besse traf es, weil eine ungesicherte Dienstleister-Verbindung einen Weg an der Firewall vorbei öffnete.
Der Angriffsweg
- 25. Januar 2003: Der SQL-Slammer-Wurm verbreitet sich weltweit innert Minuten. Er befällt ungepatchte Microsoft-SQL-Datenbankserver und flutet Netze mit Datenpaketen.
- Der Wurm befällt auch das ungesicherte Netz eines Dienstleisters des Kraftwerks Davis-Besse.
- Über eine Standleitung (feste Datenverbindung, T1) des Dienstleisters gelangt er ins Firmennetz des Kraftwerks — an der zentralen Firewall vorbei.
- Vom Firmennetz aus erreicht der Wurm das Prozessnetz des Kraftwerks; sein Datenverkehr überlastet die internen Verbindungen zunehmend.
- Die Sicherheits-Parameter-Anzeige (Safety Parameter Display System, SPDS) fällt für knapp 5 Stunden aus, der Prozessrechner (Plant Process Computer) für rund 6 Stunden.
Auswirkung
Die digitale Sicherheits-Parameter-Anzeige war rund 4 Stunden 50 Minuten nicht verfügbar, der Prozessrechner etwa 6 Stunden. Weil der Reaktor seit knapp einem Jahr für Reparaturen abgeschaltet war und die analogen, vom Netz unabhängigen Sicherheitsanzeigen weiter funktionierten, bestand keine Gefahr für die Öffentlichkeit. Brisant war der Fall trotzdem: Der Patch für die ausgenutzte Lücke war seit rund einem halben Jahr verfügbar, und die Firewall des Werks wurde schlicht umgangen.
So schützt du dich
Fakten
- 25. Januar 2003
- Kernkraftwerk Davis-Besse, Ohio (USA)
- SQL-Slammer-Wurm
- Standleitung eines Dienstleisters — Firewall umgangen
- Sicherheitsanzeige (SPDS) ~4 Std. 50 Min., Prozessrechner ~6 Std.
- seit Monaten für Reparaturen abgeschaltet
- keine — analoge Sicherheitsanzeigen blieben verfügbar
- war seit rund 6 Monaten verfügbar, aber nicht eingespielt
Im Detail
Slammer: in Minuten um die Welt
Der SQL-Slammer-Wurm vom Januar 2003 gilt als einer der schnellsten Würmer der Geschichte: Er verdoppelte seine Verbreitung anfangs im Sekundentakt und hatte den Grossteil der verwundbaren Server weltweit innert Minuten befallen. Schaden richtete er nicht durch Löschen von Daten an, sondern durch schiere Masse — sein Datenverkehr überlastete Netze rund um den Globus, von Geldautomaten bis zu Telefonnetzen.
Der Weg an der Firewall vorbei
Davis-Besse hatte eine Firewall, die den offiziellen Übergang zwischen Internet und Firmennetz kontrollierte. Doch ein Dienstleister unterhielt eine eigene Standleitung direkt ins Netz des Kraftwerks — hinter der Firewall. Als Slammer das ungesicherte Netz des Dienstleisters befiel, stand ihm dieser Nebeneingang offen. Der Wurm musste die Firewall gar nicht überwinden; er wurde daran vorbeigetragen.
Was im Kraftwerk ausfiel
Der Wurm-Datenverkehr überlastete das interne Netz. Die Sicherheits-Parameter-Anzeige (SPDS) — ein System, das dem Personal die wichtigsten Sicherheitswerte des Reaktors übersichtlich darstellt — war rund 4 Stunden 50 Minuten nicht verfügbar. Der Prozessrechner, der Anlagendaten verarbeitet, fiel für etwa 6 Stunden aus. Beides sind Anzeige- und Auswertesysteme, keine Steuerungen: Eingreifen in den Reaktor konnte der Wurm nicht.
Warum keine Gefahr bestand
Zwei Umstände entschärften die Lage: Erstens war der Reaktor zu diesem Zeitpunkt bereits seit Februar 2002 für umfangreiche Reparaturen abgeschaltet — das Kraftwerk produzierte gar keinen Strom. Zweitens verfügte die Anlage über analoge, von der IT unabhängige Sicherheitsanzeigen, die durchgehend funktionierten. Die US-Atomaufsicht NRC und der Kongress gingen dem Vorfall dennoch gründlich nach — als Warnung, was in einem laufenden Werk auf dem Spiel gestanden hätte.
Der ungenutzte Patch
Besonders bitter: Microsoft hatte den Patch für die von Slammer ausgenutzte Lücke bereits rund ein halbes Jahr vor dem Vorfall veröffentlicht. Er war auf den betroffenen Servern schlicht nicht eingespielt worden — ein Muster, das sich bei vielen Slammer-Opfern weltweit wiederholte.
Was der Fall lehrt
«Wir haben eine Firewall» ist keine Sicherheitsstrategie. Entscheidend ist das vollständige Bild aller Zugänge — inklusive Standleitungen und Wartungswegen von Dienstleistern, die gerne vergessen gehen. Davis-Besse wurde zum Lehrbuchfall dafür, dass die Lieferkette Teil der eigenen Angriffsfläche ist, und beschleunigte in den USA die Diskussion um verbindliche Cyber-Vorgaben für kritische Infrastrukturen.
