05. Dezember 2024
Satelliten spielen im Kommunikationsalltag bei uns auf der Erde eine immer größere Rolle. Wie es bislang um die IT-Sicherheit der wichtigen Weltrauminfrastrukturen bestellt ist und was die EU mit dem „Space Law“ plant, erklärt Cybersecurity-Experte Jacques Kruse Brandao von TÜVIT.
Herr Kruse Brandao, was macht die IT-Sicherheit von Satellitensystemen zunehmend relevant?
Jacques Kruse Brandao: Satellitensysteme sind für das Funktionieren unserer Gesellschaften längst unverzichtbar. Bei der Kommunikation, Navigation, Meteorologie oder bei Finanztransaktionen spielen sie eine tragende Rolle. Aber auch in Krisengebieten können sie wichtige Hilfe leisten, sei es zur Lageaufklärung oder um ausgefallene terrestrische Kommunikationsnetzwerke zu ersetzen. Werden diese Satellitensysteme von Hackerinnen und Hackern sabotiert, hätte das gravierende Folgen. Dass das keine bloß theoretische Gefahr ist, zeigt eine aktuelle Studie des Beratungsunternehmens CyberInflight, die für das Jahr 2023 über 60 kritische Angriffe auf Weltrauminfrastrukturen zählt. Die Cybersicherheit dieser Schlüsselsysteme zu erhöhen ist also für uns alle von entscheidender Bedeutung.
Zumal die Zahl der Satelliten im Orbit in den kommenden Jahren ja drastisch steigen soll …
Das ist richtig. Waren im Weltraum bis vor einigen Jahren ausschließlich staatliche Weltraumagenturen aktiv, schicken mittlerweile zunehmend private Unternehmen wie SpaceX oder Amazon kleinere Satelliten in großer Zahl ins All, um Breitbandinternet aus dem Weltall anzubieten. Auch China plant solche Konstellationen. Die EU will mit IRIS² ein eigenes Satellitensystem auf den Weg bringen, das eine flächendeckende Internetanbindung für öffentliche und private Nutzende bieten soll. Es wird also noch deutlich voller am Himmel werden. Bis dato sind rund 7.000 Satelliten in den Umlaufbahnen. Bis 2030 sollen es etwa 93.000 werden. Das vergrößert die Angriffsfläche für Cyberkriminelle enorm und damit auch die Notwendigkeit für hohe Standards bei der IT-Sicherheit.
Wie ist die Sicherheit von Satellitensystemen aktuell geregelt?
Bislang müssen nur die sogenannten GNSS-Module von GPS-Satelliten auf höchste IT-Sicherheit zertifiziert werden. Diese gelten als besonders kritisch. Schließlich nutzen rund acht Milliarden Geräte die GPS-Daten unserer europäischen Satellitenkonstellationen, die in keinem Fall von Hackerinnen und Hackern kompromittiert werden dürfen. Mit der neuen NIS-2-Richtlinie werden nun auch Bodenstationen und Kontrollzentren von Satellitensystemen als kritische Infrastruktur eingestuft und müssen daher künftig entsprechende IT-Sicherheitsanforderungen erfüllen.
Was heißt das konkret?
Die Betreiber müssen eine Risikoanalyse durchführen, geeignete Sicherheitsmaßnahmen implementieren, Reaktions- und Meldestrukturen für einen möglichen Cyberangriff schaffen. Bei Verstößen drohen voraussichtlich empfindliche Strafen. Da die Hersteller elektronischer Geräte unter bestimmten Bedingungen ebenfalls unter die NIS-2 fallen, könnten diese Anforderungen gegebenenfalls auch für Satellitenbauer wie etwa Airbus Defence and Space oder OHB aus Bremen gelten.
© Adobe StockDie Zahl an Satellitensystemen im Weltall nimmt stetig zu. Ihre IT-Sicherheit wird nun durch den „Space Law“ der EU gestärkt
© Adobe StockAuch private Internetanbindungen, über die etwa sensible Finanztransaktionen getätigt werden, sind auf eine hackersichere Weltraum-Infrastruktur angewiesen.
Ab wann müssen diese Anforderungen verbindlich erfüllt werden?
Nach der Umsetzung der NIS-2 in nationales Recht, die eigentlich bereits im Oktober hätte erfolgen müssen, sind Übergangsfristen vorgesehen. Diese können je nach Mitgliedsland unterschiedlich ausfallen. Allerdings werden die Meldefristen für Cybervorfälle bereits zwölf Monate nach der Umsetzung greifen. Die Betreiber der Bodenstationen sollten die Implementierung der Anforderungen also zügig und konsequent vorantreiben.
Auf dem Boden schafft die NIS2 also eine Basis in Sachen IT-Sicherheit. Wie weit geht das geplante Weltraumgesetz der EU darüber hinaus, und welche Aspekte will es abdecken?
Das sogenannte EU Space Law – kurz: EUSL – adressiert und harmonisiert einerseits Anforderungen an die funktionale Sicherheit, wie sie die europäische Weltraumagentur ESA bereits festgeschrieben hat. Hier geht es etwa um die Vermeidung von Zusammenstößen, die mit der wachsenden Zahl an Satelliten ja wahrscheinlicher werden. Auf einer weiteren Ebene soll das Gesetz die Nachhaltigkeit der Raumfahrt erhöhen. Dabei geht es vordringlich um die Vermeidung von Lichtverschmutzung und von Weltraumschrott: etwa durch die Anforderung, dass ein Satellit für das Ende seiner Einsatzzeit noch genügend Energie vorhält, um ihn zum Verglühen in die Erdatmosphäre lenken zu können. Die dritte Säule des geplanten Weltraumgesetzes sind erstmals umfassende Cybersecurity-Anforderungen an die Satellitensysteme selbst. Neue Satelliten könnten nur noch dann starten, Hard- oder Softwarekomponenten nur noch dann zur Konstruktion verwendet werden, wenn ihre IT-Sicherheit gewährleistet ist.
Die Vorlage des Gesetzesentwurfs wurde wiederholt verschoben. Warum dauert das so lange?
Tatsächlich war der Gesetzesentwurf im Frühjahr bereits weitestgehend fertig. Aber es gab Einwände von Mitgliedsstaaten, unter anderem von Deutschland und Italien, gegenüber einzelnen Punkten. Etwa, dass Start-ups und Forschungsinstitute von diesen Cybersecurity-Anforderungen befreit werden sollen. Doch ein System ist eben immer nur so sicher wie sein schwächstes Glied. Statt Start-ups und Forschungsinstitute pauschal zu befreien, gilt es vielmehr, Modelle zu entwickeln, um sie finanziell so zu unterstützen und zu entlasten, dass sie die Anforderungen erfüllen können, ohne wirtschaftlich überfordert zu werden.
Und wann ist nun mit dem Gesetzesentwurf zu rechnen?
Die neu formierte EU-Kommission muss sich natürlich erst einmal in ihre Rollen einfinden. Nach aktuellem Stand dürfte der Gesetzesentwurf zum ersten oder zweiten Quartal 2025 vorliegen. Wenn die Diskussion im Parlament gut verläuft, könnte es bereits im Sommer oder Herbst nächsten Jahres zur Abstimmung kommen. Üblicherweise dürfte das Gesetz dann nach 24 bis 36 Monaten greifen. Möglicherweise wird es als sogenannter Act verabschiedet. Eine Umsetzung in nationales Recht ist in dem Fall nicht erforderlich. Dieselben Anforderungen gelten vielmehr in der ganzen EU, was den betroffenen Unternehmen aus dem Weltraumbereich größtmögliche Klarheit gibt, was sie tun müssen, um ihre Systeme cybersicher zu machen.
Zur Person:
Jacques Kruse Brandao ist Global Head of Advocacy bei TÜVIT. Der Diplom-Ingenieur beschäftigt sich seit 20 Jahren mit Identifikationsverfahren und Cybersecurity und operiert dabei oft als „Übersetzer“ zwischen der technischen und der regulativen Seite der IT-Sicherheit.
