Gefährden „Stuxnet“ & Co. Müllverbrennung?

Bürger Aktiv: „Computervirus könnte Anlagen wie die Müllverbrennung Heiligenkreuz zu Umweltbomben umfunktionieren“
Die Bürgerinitiative führt Beschwerde darüber, dass trotz der real drohenden Gefahr die IT-Sicherheit bei der Planung der Reststoffverwertungsanlage Heiligenkreuz und auch im Umweltsenat offensichtlich kein Thema war.
(kk). Das Genehmigungsverfahren ist derzeit beim Verwaltungsgerichtshof anhängig, weil (neben ungarischen Gebietskörperschaften) die BürgerInneninitiative „BIGAS-Bürgerinitiative gegen Abfallschweinerei Beschwerde gegen den Bescheid des Umweltsenates erhoben hat.

Sicherheitsfrage
Für Dr. Johann Raunikar, Sprecher der Bürgerinitiative, die die Beschwerde eingebracht hat, steht fest: „Auch in diesem Verfahrensabschnitt wird eine für die Funktionsfähigkeit und damit Umweltverträglichkeit der Anlage wichtige Frage eine wesentliche Rolle spielen: Wie sicher ist diese Anlage wirklich? Für Experten der IT-Branche war es, im offenbaren Gegensatz zu Ingenieuren der Verbrennungstechnik sowie dem österreichischen Umweltsenat, bereits seit langem vorhersehbar, dass Industrieanlagen ein offenes Feld für Computerkriminalität darstellen.“
Dazu äußert sich auch ein weiterer BIGAS-Vertreter, Wolfgang Kühn: „Viel zu unbedacht wurde selbst in hochkomplexen und gefährlichen Anlagen wie Atomkraftwerken mit der Programm- und Datensicherheit umgegangen. Blindlings wurde auf unzulängliche Placebo-Mechanismen zur Absicherung gesetzt. ‚Die Steuerungsanlage habe keine direkte Verbindung mit dem Internet‘, hörte man sogar als „Fachkommentar‘! Sicherheitskonzepte oder gar Mindestanforderungen an die verwendete Hard- und Software existierten wie im Fall der geplanten MVA-Heiligenkreuz bisher oft überhaupt nicht.“

Blasen Kriminelle zum Generalangriff?
Jetzt ist er offenbar Realität geworden, der erste Angriff auf Siemens-Steuerungsanlagen in Atomkraftwerken, Müllverbrennungsanlagen und andere, ähnliche Großunternehmen läuft: der „Stuxnet-Wurm“ verbreitet weltweit große Aufregung!
„Wer die Szene der Virenprogrammierer kennt, dem ist klar dass ‚Stuxnet‘ nicht lange alleine bleiben wird. Industrieanlagen sind lohnende Ziele für Erpresser oder Terroristen,“ so Kühn.

Internetanschluss nicht nötig
Er führt weiter aus: „‚Stuxnet‘ benötigt - entgegen bisheriger Behauptungen! - für den Befall einer Anlage keine Internetverbindung. Der Wurm nutzt vielmehr die einfache Tatsache, dass sowohl beim Aufbau der Anlage, als auch zu deren Wartung immer wieder ein Datenaustausch mit Zulieferfirmen und den Produzenten der Steuergeräte stattfindet. Im Falle des iranischen Atomkraftwerkes Bushehr gelangte die Schadsoftware laut Experten höchstwahrscheinlich über einen russischen Anlagenbauer in das System. Ein Datenaustausch per Datenträger (USB-Stick, CD usw.) oder PC/Notebook reicht völlig aus. ‚Stuxnet‘ befällt Rechner, die mit dem Betriebssystem Windows ausgestattet sind über gleich vier verschiedene dort bestehende Sicherheitslücken.“

Die vier Sicherheitslücken
Mittlerweile gibt es auch zahlreiche Informationsquellen im Internet, die sich auf das epidemische Auftreten des „Stuxnet“ beziehen. Sein „Verhaltensmuster“ entspricht durchaus einer - mitprogrammierten - „eigenständigen“ kriminellen Energie:
• Auf „Erstwirten“ verhält er sich zumeist völlig unproblematisch und tritt nicht in Erscheinung.
• Wird der befallene PC mit einem Netzwerk verbunden (wenn ein Ingenieur einer Anlagenbaufirma z.B. Softwareupdates von seinem Laptop in die Anlage einspielt) scannt „Stuxnet“ nach seinen eigentlichen Zielen, den Steuerungsgeräten der Anlage.
• Findet er solche Steuerungsgeräte, greift die eigentliche Schadfunktion.
• Gemäß den Wünschen seiner Programmierer ändert „Stuxnet“ in der Folge dauerhaft die auf den Steuergeräten laufende Software. Der Programmcode wird überschrieben und durch neue Routinen ersetzt.

Ein (lebens)gefährlicher „Wurm“?
Im Falle von „Stuxnet“ sind diese Vorgänge laut Bürgerinitiative mit Sabotageabsicht verbunden:
• „Ventile werden als offen angezeigt, sind in Wirklichkeit aber halb geschlossen, eingestellte Steuerungswerte werden willkürlich hinauf- oder herabgesetzt.
• Im Zusammenhang mit ‚Stuxnet‘ wurde bereits mehrfach von explodierten Pipelines in Industrieanlagen berichtet.
• Keine der befallenen Anlagen hat sich, so wie vom Sachverständigen für Verbrennungstechnik im Verfahren zur MVA-Heiligenkreuz vorhergesagt, nach einem derartigen Befall von selber heruntergefahren.“
Raunikar: „Wie auch, denn an die Steuerzentrale melden die einzelnen Steuergeräte ja genau die gewünschten, aber eben schlichtweg gefälschten (!) Werte. Auch für die Anlagenbetreiber wurde der Befall dadurch natürlich erst mit Eintritt des Schadens deutlich erkennbar!“
„Was würde passieren, wenn ‚Stuxnet‘ z.B. die Steuerungsgeräte der Abgasreinigung einer Müllverbrennungsanlage befällt?“ fragt Wolfgang Kühn laut. „Eine solche Anlage explodiert nicht, wenn man willkürlich z.B. die Werte für den Zusatz von Aktivkohle ändert und die Mess­instrumente abschaltet. Es würde wahrscheinlich auch viel Zeit vergehen, in der die Anlage ungefilterte Abgase in die Umwelt abgeben kann, bis eine manuelle Messung den Fehler aufdeckt.“

Erpressbarkeit steigert Kosten
Kühn weiter: „Wie viel Geld könnten Verbrecher vom Anlagenbetreiber erpressen, wenn Sie damit drohen, Protokolle der verursachten Verschmutzung zu veröffentlichen?“
Der § 17 Abs.4 UVP-G 2000 schreibt nämlich vor, dass die Behörden durch geeignete Auflagen, Bedingungen, Befristungen, Projektmodifikationen, Ausgleichsmaßnahmen oder sonstige Vorschreibungen (BIGAS: „Insbesondere auch für Überwachungs-, Mess- und Berichtspflichten und Maßnahmen zur Sicherstellung der Nachsorge“) zu einem hohen Schutzniveau für die Umwelt in ihrer Gesamtheit beizutragen haben.
„Das ist ein klarer gesetzlicher Auftrag!“ so Johann Raunikar.

Folgerungen der BIGAS:
Daraus geht nach Einsichtnahme in die Projektunterlagen in Verbindung mit den entspre-
chenden Begutachtungen durch die dem Verfahren beigezogenen Sachverständigen hervor, dass diesen weitgehende Mängel der Beschreibung und Darstellung von Zutrittskontrolle, Prozessleitsystem und Kommunikationssystem anhaften, weshalb eine Sicherheitsbewertung zum derzeitigen Zeitpunkt überhaupt
nicht möglich ist!
So fehlen insbesondere:
• ein Gesamtkonzept für den Informationsaustausch der verschiedenen Einheiten und der
dabei verwendeten Schnittstellen,
• ein Gesamtkonzept für die Signalisierung und Alarme, und der notwendigen Reaktionen,
• ein Konzept für die Archivierung, welche Daten wie, wo und wie lange zu speichern sind,
• ein Nachweis der Zuverlässigkeit der Hardware und
• ein Nachweis der Stabilität der Software.
„Die Menschen in der Region verstehen die Oberflächlichkeit und Sorglosigkeit der Landes-
regierung und des Umweltsenates nicht mehr. Daher erwarten sie, dass sich der Verwaltungsgerichtshof ernsthaft mit der Frage der IT-Sicherheit auseinandersetzt!“, so die BIGAS-Vertreter.

Begas: ‚Skurrile Behauptungen!‘ - Die Begas nimmt Stellung zum Bigas-Stuxnet-Szenario.
EISENSTADT (kk). „Mit dieser Presseinformation hat Herr Dr. Raunikar den Gipfel der Skurrilität und Absurdität erreicht. Kein Computervirus kann die Filter in dieser Anlage ausschalten! Diese sind fix in der Anlage montiert und immer aktiv – sie filtern die Abgase also in jedem Fall. Mit dem EDV-System hat das nichts zu tun. Natürlich ist Stuxnet ein Virus, der in der EDV-Branche sehr ernst genommen wird, allerdings fällt dieser eindeutig in den Bereich der Kriminalität. Mit dem Betreiben der Filter in der RVH hat dieser Virus allerdings nichts zu tun, geschweige denn mit Vorwürfen, dass die mehrstufigen Filtersysteme in diesem Fall aussetzen würden. Das ist schlicht und einfach absurd und steht mit der Sicherheit der Anlage in keinem Zusammenhang. Diese Informationen sind wieder einmal ein Beispiel dafür, dass Herr Dr. Raunikar keine fachlich argumentierbaren Fakten gegen die geplante RVH hat. Dr. Raunikar und Herr Kühn versuchen bewusst, mit angeblich realen Horrorszenarien Panik zu machen! Wenn die RVH in Betrieb geht, werden umweltfreundliche und kostengünstige Energie produziert, Arbeitsplätze geschaffen, die strengsten Gesetze der ganzen EU eingehalten, die Deponieverordnung umgesetzt, Treibhausgase reduziert und fossile Brennstoffe ersetzt. Auch zur Wertschöpfung in der Region wird beigetragen, Metall zurückgewonnen und damit ein Beitrag zum Recycling geleistet, das Abfallvolumen reduziert und die im Abfall enthaltene und regenerierbare Energie genützt! Bewusste Irreführung der Bevölkerung scheint hier offensichtlich auf der Tagesordnung zu stehen!“

Meinung (kk):
Wurmverbrennung
Folgt man den Ausführungen der Vertreter der BürgerInnen­initiative im Zusammenhang mit der IT-Sicherheitsfrage bei der geplanten Reststoffver­wertung Heiligenkreuz, so kann einem schon ein bisserl bange werden um unser aller Zukunft: Würmer, Viren und Trojaner werden in den nächsten Jahrzehnten die Herrschaft über die Welt antreten, wenn bis dahin nicht ihr hinterfotziges, kriminelles Dasein radikal ausgelöscht werden kann. Der Mensch hat Gott gespielt und in seinem intelligenten Schaffensdrang Wesen geboren, die - in der Scheinwelt der Computer in Deckung befindlich - jederzeit die Realität des menschlichen Daseins betreten und diese lebensgefährdend manipulieren können. Unver­mittelt und - wie derzeit welt­weit bewiesen - nahezu unkon­trollierbar nehmen sie gleicher­maßen Besitz von Heim­- und Atomkraft­werkscomputern und greifen in deren Funktionen ein, steuern Kühlmechanismen und Abgasüberwachung, können Katastrophen unge­ahn­ten Ausmaßes hervorrufen. Man darf sie nicht unterschätzen, wie es der Umweltsenat bei Heiligenkreuz offensichtlich getan hat. Auf den Scheiter­haufen mit „Stuxnet“ & Co.!