// Security

Davis-Besse (Kernkraftwerk)

Der Slammer-Wurm kam an der Firewall vorbei ins Netz eines US-Kernkraftwerks — die Sicherheitsanzeige fiel aus.

Davis-Besse (2003): der Slammer-Wurm gelangte über die Standleitung eines Dienstleisters an der Firewall vorbei ins Netz eines US-Kernkraftwerks und legte die Sicherheitsanzeige knapp 5 Stunden lahmDienstleisterinfiziertes NetzStandleitungFirewall umgangenKraftwerksnetzDavis-BesseSPDS-AnzeigeSicherheitswerteAufbauJanuar 2003: Das Kernkraftwerk Davis-Besse (Ohio) steht seit Monatenfür Reparaturen still. Weltweit rast der Slammer-Wurm durchs Internet.
Tempo:

Schritt 1 von 6

Januar 2003: Das Kernkraftwerk Davis-Besse (Ohio) steht seit Monaten für Reparaturen still. Weltweit rast der Slammer-Wurm durchs Internet.

In 30 Sekunden

Im Januar 2003 raste der SQL-Slammer-Wurm in Minuten um die Welt und überflutete Netze mit Datenverkehr. Über die Standleitung eines Dienstleisters — an der Firewall vorbei — gelangte er auch ins Netz des US-Kernkraftwerks Davis-Besse in Ohio. Die Sicherheits-Parameter-Anzeige (SPDS) fiel für knapp 5 Stunden aus, ein weiterer Prozessrechner noch länger. Das Kraftwerk war zu diesem Zeitpunkt bereits seit Monaten für Reparaturen abgeschaltet, und die analogen Sicherheitsanzeigen blieben verfügbar — eine Gefahr für die Öffentlichkeit bestand nicht. Trotzdem wurde der Fall zum Weckruf: Eine Firewall nützt wenig, wenn Nebenzugänge daran vorbeiführen.

Was geschah

Jahr

2003

Ziel

Slammer hatte kein Ziel — der Wurm befiel wahllos ungepatchte Microsoft-SQL-Datenbankserver weltweit. Das Kraftwerksnetz von Davis-Besse traf es, weil eine ungesicherte Dienstleister-Verbindung einen Weg an der Firewall vorbei öffnete.

Der Angriffsweg

  1. 25. Januar 2003: Der SQL-Slammer-Wurm verbreitet sich weltweit innert Minuten. Er befällt ungepatchte Microsoft-SQL-Datenbankserver und flutet Netze mit Datenpaketen.
  2. Der Wurm befällt auch das ungesicherte Netz eines Dienstleisters des Kraftwerks Davis-Besse.
  3. Über eine Standleitung (feste Datenverbindung, T1) des Dienstleisters gelangt er ins Firmennetz des Kraftwerks — an der zentralen Firewall vorbei.
  4. Vom Firmennetz aus erreicht der Wurm das Prozessnetz des Kraftwerks; sein Datenverkehr überlastet die internen Verbindungen zunehmend.
  5. Die Sicherheits-Parameter-Anzeige (Safety Parameter Display System, SPDS) fällt für knapp 5 Stunden aus, der Prozessrechner (Plant Process Computer) für rund 6 Stunden.

Auswirkung

Die digitale Sicherheits-Parameter-Anzeige war rund 4 Stunden 50 Minuten nicht verfügbar, der Prozessrechner etwa 6 Stunden. Weil der Reaktor seit knapp einem Jahr für Reparaturen abgeschaltet war und die analogen, vom Netz unabhängigen Sicherheitsanzeigen weiter funktionierten, bestand keine Gefahr für die Öffentlichkeit. Brisant war der Fall trotzdem: Der Patch für die ausgenutzte Lücke war seit rund einem halben Jahr verfügbar, und die Firewall des Werks wurde schlicht umgangen.

So schützt du dich

Erfasse ALLE Netzzugänge — auch Standleitungen, Wartungszugänge und Verbindungen von Dienstleistern. Was du nicht kennst, kannst du nicht schützen.
Führe jede externe Verbindung ausnahmslos durch die Firewall; dulde keine Nebeneingänge daran vorbei.
Patche auch interne Server — «die erreicht ja niemand von aussen» gilt nicht, sobald ein Wurm im Netz ist.
Segmentiere das Prozessnetz vom Firmennetz, damit eine Störung im Büro nicht die Anlagen-IT überlastet.
Verpflichte Dienstleister vertraglich auf deine Sicherheitsstandards und prüfe deren Einhaltung.
Halte unabhängige Rückfallebenen bereit (z. B. analoge Anzeigen) und übe den Betrieb damit.

Fakten

Datum
25. Januar 2003
Ort
Kernkraftwerk Davis-Besse, Ohio (USA)
Schadprogramm
SQL-Slammer-Wurm
Einfallstor
Standleitung eines Dienstleisters — Firewall umgangen
Ausfall
Sicherheitsanzeige (SPDS) ~4 Std. 50 Min., Prozessrechner ~6 Std.
Reaktor-Status
seit Monaten für Reparaturen abgeschaltet
Gefahr für Öffentlichkeit
keine — analoge Sicherheitsanzeigen blieben verfügbar
Patch
war seit rund 6 Monaten verfügbar, aber nicht eingespielt

Im Detail

Slammer: in Minuten um die Welt

Der SQL-Slammer-Wurm vom Januar 2003 gilt als einer der schnellsten Würmer der Geschichte: Er verdoppelte seine Verbreitung anfangs im Sekundentakt und hatte den Grossteil der verwundbaren Server weltweit innert Minuten befallen. Schaden richtete er nicht durch Löschen von Daten an, sondern durch schiere Masse — sein Datenverkehr überlastete Netze rund um den Globus, von Geldautomaten bis zu Telefonnetzen.

Der Weg an der Firewall vorbei

Davis-Besse hatte eine Firewall, die den offiziellen Übergang zwischen Internet und Firmennetz kontrollierte. Doch ein Dienstleister unterhielt eine eigene Standleitung direkt ins Netz des Kraftwerks — hinter der Firewall. Als Slammer das ungesicherte Netz des Dienstleisters befiel, stand ihm dieser Nebeneingang offen. Der Wurm musste die Firewall gar nicht überwinden; er wurde daran vorbeigetragen.

Was im Kraftwerk ausfiel

Der Wurm-Datenverkehr überlastete das interne Netz. Die Sicherheits-Parameter-Anzeige (SPDS) — ein System, das dem Personal die wichtigsten Sicherheitswerte des Reaktors übersichtlich darstellt — war rund 4 Stunden 50 Minuten nicht verfügbar. Der Prozessrechner, der Anlagendaten verarbeitet, fiel für etwa 6 Stunden aus. Beides sind Anzeige- und Auswertesysteme, keine Steuerungen: Eingreifen in den Reaktor konnte der Wurm nicht.

Warum keine Gefahr bestand

Zwei Umstände entschärften die Lage: Erstens war der Reaktor zu diesem Zeitpunkt bereits seit Februar 2002 für umfangreiche Reparaturen abgeschaltet — das Kraftwerk produzierte gar keinen Strom. Zweitens verfügte die Anlage über analoge, von der IT unabhängige Sicherheitsanzeigen, die durchgehend funktionierten. Die US-Atomaufsicht NRC und der Kongress gingen dem Vorfall dennoch gründlich nach — als Warnung, was in einem laufenden Werk auf dem Spiel gestanden hätte.

Der ungenutzte Patch

Besonders bitter: Microsoft hatte den Patch für die von Slammer ausgenutzte Lücke bereits rund ein halbes Jahr vor dem Vorfall veröffentlicht. Er war auf den betroffenen Servern schlicht nicht eingespielt worden — ein Muster, das sich bei vielen Slammer-Opfern weltweit wiederholte.

Was der Fall lehrt

«Wir haben eine Firewall» ist keine Sicherheitsstrategie. Entscheidend ist das vollständige Bild aller Zugänge — inklusive Standleitungen und Wartungswegen von Dienstleistern, die gerne vergessen gehen. Davis-Besse wurde zum Lehrbuchfall dafür, dass die Lieferkette Teil der eigenen Angriffsfläche ist, und beschleunigte in den USA die Diskussion um verbindliche Cyber-Vorgaben für kritische Infrastrukturen.