Vom 6. Oktober 2010
Deutscher Bundestag Drucksache 17/3253
17. Wahlperiode 06. 10. 2010
Kleine Anfrage
der Abgeordneten Kathrin Vogler, Dorothee Menzner, Dr. Barbara Höll, Christine
Buchholz, Wolfgang Gehrcke, Inge Höger, Andrej Hunko, Harald Koch, Ralph
Lenkert, Jens Petermann, Richard Pitterle, Ingrid Remmers, Paul Schäfer (Köln),
Michael Schlecht, Sabine Stüber, Frank Tempel, Alexander Ulrich, Halina
Wawzyniak und der Fraktion DIE LINKE.
Computerschadprogramm stuxnet
Aktuelle Medienberichte thematisieren ein Computerschadprogramm namens
„stuxnet“, das vor allem eine Software der Firma Siemens zur Steuerung von
industriellen Großanlagen, insbesondere von Kraftwerken, infizieren und damit
deren Funktion schwer beeinträchtigen können soll.
Computerexperten/-innen stellten fest, dass es sich um ein neuartiges Schad-
programm handelt, das mit erheblichem Aufwand programmiert und in Umlauf
gebracht worden ist.
Angesichts der Komplexität des Schadprogramms und der Art der Verbreitung
– wohl zuerst im Iran – gehen Computerexperten/-innen davon aus, dass dieses
Programm nicht von privaten Hackern, sondern von einer Regierungsbehörde
entwickelt wurde mit dem Ziel, das Atomprogramm des Iran zu behindern.
Am 1. Oktober 2010 berichtet die „Süddeutsche Zeitung“, dass laut dem neuen
strategischen Konzept der NATO künftig auch bei Attacken mittels Computer-
programmen der Bündnisfall eintreten soll.
Wir fragen die Bundesregierung:
1. Seit wann weiß die Bundesregierung von dem Stuxnet-Programm, und
welche Erkenntnisse hat die Bundesregierung über Herkunft, Verbreitung
und Schadenswirkung des Stuxnet-Programms seitdem gesammelt?
2. Welche Risiken für die Bevölkerung und die Umwelt könnten nach Ein-
schätzung der Bundesregierung entstehen, wenn durch ein solches Schad-
programm die Funktionsweise von Atomkraftwerken oder anderen Atom-
anlagen beeinträchtigt würde?
3. Ergeben sich aus Sicht der Bundesregierung aus diesem Schadprogramm
oder eventuellen Modifikationen Sicherheitsrisiken in Deutschland?
4. Welche deutschen Atomkraftwerke (AKW) und welche Einrichtungen mit
Forschungsreaktoren nutzen die durch das Stuxnet-Schadprogramm ange-
griffene Siemens-Software?
5. Welche der in Frage 4 bezuggenommenen AKW befinden sich derzeit im
regulären Netzbetrieb?
Drucksache 17/3253 – 2 – Deutscher Bundestag – 17. Wahlperiode
6. Werden deutsche Atomanlagen in ähnlichen Konfigurationen betrieben,
wie die betroffenen Anlagen im Iran?
7. Welche deutschen AKW und welche Einrichtungen mit Forschungsreakto-
ren sind vom Befall ihrer Rechner durch das Schadprogramm „stuxnet“
betroffen?
8. Welche deutschen AKW und welche Einrichtungen mit Forschungsreakto-
ren sind vom Befall ihrer Rechner durch andere Schadprogramme betrof-
fen oder betroffen gewesen?
9. Welche Maßnahmen hat das Bundesamt für Sicherheit in der Informations-
technik ergriffen, um möglichen Schäden durch die Auswirkungen von
„stuxnet“ zu begegnen?
10. Welche weiteren Maßnahmen haben die Bundesregierung und das Bundes-
amt für Sicherheit in der Informationstechnik bisher konkret ergriffen, um
Cyberwar-Angriffe auf Atomkraftwerke und Forschungsreaktoren oder
ähnliche Hochrisikoanlagen auszuschließen?
11. Welche Art von Monitoring, Auswertung oder Berichterstattung über
Angriffe durch Schadprogramme auf Rechner deutscher AKW und Ein-
richtungen mit Forschungsreaktoren gibt es?
12. Sind die für die Steuerung eines Reaktors relevanten Steueranlagen und
Regelkreise in deutschen AKW und Einrichtungen mit Forschungsreakto-
ren physikalisch von öffentlichen Datennetzwerken getrennt?
13. Zieht die Bundesregierung in Erwägung, den Befall von für die Steuerung
deutscher AKW oder Einrichtungen mit Forschungsreaktoren relevanten
Rechnern mit Schadsoftware als meldepflichtiges Ereignis in die Atom-
rechtliche Sicherheitsbeauftragten- und Meldeverordnung aufzunehmen,
und wenn nein, warum nicht?
14. Welche anderweitigen Bestrebungen hat die Bundesregierung, die Reaktor-
sicherheit zukünftig bezüglich des Befalls von für die Steuerung von
Nuklearreaktoren relevanten Rechnern mit Schadsoftware zu gewähr-
leisten?
15. Welche Maßnahmen sind bei den zuständigen Landesbehörden im Falle
eines durch den Betreiber des AKW oder den Hersteller einer darin ver-
wendeten Steueranlage verschuldeten Schadens durch einen Angriff durch
Schadprogramme vorgesehen?
16. Teilt die Bundesregierung die Auffassung der Fragestellerinnen und Frage-
steller, nach der Atomkraftwerke aufgrund der niemals auszuschließenden
Anfälligkeit für Hacking-Angriffe grundsätzlich nicht als sicher bezeichnet
werden können, und wenn nein, warum nicht?
17. Verfügt die Bundesregierung über Erkenntnisse, dass das Schadprogramm
in Deutschland bereits wirtschaftliche Schäden hervorgerufen hat, und
wenn ja, wie hoch sind diese Schäden in Euro?
18. Wie bewertet die Bundesregierung aus völkerrechtlicher Sicht die Ent-
wicklung und den Einsatz von Schadsoftware durch staatliche Behörden?
19. Was unternimmt die Bundesregierung, um den staatlichen Einsatz von
Schadsoftware völkerrechtlich zu ächten?
20. Kann die Bundesregierung ausschließen, dass von deutschen Militärs
oder Geheimdiensten Schadsoftware gegen Ziele im Ausland angewandt
wird?
Deutscher Bundestag – 17. Wahlperiode – 3 – Drucksache 17/3253
21. Entwickelt die Bundesregierung Schadsoftware für den Einsatz im Aus-
land, welche privaten und öffentlichen Einrichtungen sind daran beteiligt,
und wie hoch waren dafür die jährlichen Kosten seit dem Jahr 2000 (bitte
einzeln aufschlüsseln)?
22. Wie steht die Bundesregierung zu den Planungen der NATO, auch auf
Computerattacken künftig den Bündnisfall erklären zu können?
23. Zieht die Bundesregierung die Ausrufung des Bündnisfalls im Falle von
„stuxnet“ in Erwägung, falls deutsche Anlagen beeinträchtigt werden (bitte
begründen)?
Wie stellt sich die Bundesregierung einen militärischen Einsatz zur Ab-
wehr einer Cyber-Attacke auf Deutschland oder ein NATO-Land vor?
24. Gegen wen würden sich – angesichts der Schwierigkeiten, den oder die
Angreifer und auch das Ziel des Angriffs konkret zu benennen – Ver-
geltungsmaßnahmen als Reaktion auf eine Cyber-Attacke nach Auffassung
der Bundesregierung richten?
Welche Art von Vergeltungsmaßnahmen kämen in Frage?
Welche militärischen Mittel kämen bei einer Abwehr von Cyber-Attacken
zum Einsatz?
25. Welche Forschungs- und Entwicklungsvorhaben für Computerschad-
programme wurden seit 2005 von der Bundesregierung bzw. den einzelnen
Ministerien und Behörden finanziert (bitte mit den jeweiligen Förder-
summen auflisten)?
26. Welche Behörden sind mit der Untersuchung und Risikoanalyse des
Stuxnet-Programms beauftragt?
27. Welche Ministerien bzw. Bundesbehörden beschäftigen sich derzeit mit
dem Themenkomplex Cyberwar?
Berlin, den 6. Oktober 2010
Dr. Gregor Gysi und Fraktion