On "Mission Security"
Die Maßnahmen zur Steigerung der IT-Sicherheit gewinnen überall dort an Wichtigkeit, wo mit einem zunehmenden Grad der Vernetzung auch die Gefahr für Cyberangriffe steigt. Ziel ist es, ein Höchstmaß an Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität von digitalen Infrastrukturen und Anwendungen zu gewährleisten, vor allem dann, wenn diese als kritisch für Regierungen, die Wirtschaft und Zivilgesellschaften eingestuft werden.
Failure is not an option
Doch gilt für Weltraum-Infrastrukturen heute schon, was auf der Erde bereits gängige Praxis ist? In der Vergangenheit dienten Weltraumsysteme zumeist
wissenschaftlichen Zwecken, z B. der Erforschung des Sonnensystems und entfernterer Galaxien. Heutzutage sind Satelliten bereits integraler Bestandteil und die Basis für essenzielle Dienste in der Kommunikation, Navigation, Finanztransaktion, Meteorologie oder Krisenkoordination und in der Defence. „Failure is not an option“ gilt so auch für weltraumbasierte IT- und Kommunikationssysteme der New Space Initiative. Zunehmend wird daher die Forderung laut, dass hier die gleichen Schutzziele gelten müssen wie für die Cybersicherheit auf der Erde.
Im Zusammenhang mit der EU-Raumfahrtstrategie für Sicherheit und Verteidigung
Vieles, was wir im Weltraum tun, ist entscheidend für das Funktionieren unserer Gesellschaft und Wirtschaft und hält wichtige Dienste für öffentliche Verwaltungen, Privatunternehmen und Bürger am Laufen.
Margrethe Vestager
Vizepräsidentin und Kommissarin für Digitales in der EU-Kommission
IT-Mindeststandards für den Weltraum
Für das Boden- und Nutzersegment wurden in vielen Ländern zuletzt bereits „terrestrische“ Anforderungen, Standards und Empfehlungen etabliert. Bei den weltraumseitigen Infrastrukturen besteht hingegen noch Handlungsbedarf, denn hier unterscheiden sich die Rahmenbedingungen im All teils deutlich – allein schon auf Anforderungsseite. Hoffnung macht die aufkommende Gesetzgebung für den
Weltraum. So hat zum Beispiel die Europäische Kommission Ende 2023 ein neues EU-Weltraumgesetz angekündigt, das die Perspektiven Widerstandsfähigkeit, Sicherheit und Nachhaltigkeit umfassen soll. Dieses muss jedoch noch mehrere Hindernisse überwinden, um zu einem funktionierenden und nützlichen, harmonisierten Rechtsakt zu werden.
Themenwelten im Fokus unserer Aktivitäten
Bodensegment
Mit der Inkraftsetzung von EU NIS-2 sowie EU RCE verpflichtet die EU-Kommission Betreiber Kritischer Infrastrukturen (KRITIS), Mindestanforderungen an Cybersicherheit und Resilienz einzuhalten. Neu: Die Anforderungen und Maßnahmen gelten seitdem auch für Bodenstationen und Missionen, die zukünftig unter die KRITIS-Verordnung fallen.
Network and Information Security Directive (NIS-2)
Gemäß NIS-2 und BSI KritisV, Anhang 7, Teil 3, Nr. 1.7.2 zählen in Deutschland Bodenstationen eines Satellitennavigationssystems zur kritischen Infrastruktur. Den Schwellwert definiert dabei die VERORDNUNG (EU) Nr. 1285/2013 betreffend Aufbau und Betrieb der europäischen Satellitennavigationssysteme. Zwar ist aktuell nur die europäische GALILEO Mission von der Regelung betroffen, aber das mag sich schnell ändern.
Prüfung nach §8a BSIG
Als Betreiber von Bodenstationen der Kritischen Infrastrukturen (KRITIS) müssen Sie gemäß §8a des BSI-Gesetzes alle 2 Jahre belegen, dass Ihre IT-Sicherheit auf dem Stand der Technik ist. Der Nachweis erfolgt dabei laut BSI-Kritisverordnung (BSI-KritisV) durch eine entsprechende Prüfung nach §8a BSIG.
Critical Entities Resilience Directive (EU CER)
Ende 2022 wurde die EU RCE-Directive bzw. die CER-Richtlinie zum Schutz kritischer Einrichtungen verabschiedet. Im Kern geht es um die Resilienz und Ausfallsicherheit kritischer Infrastrukturen, darunter Weltraumbodenstationen. Die nationale Umsetzung in Deutschland erfolgt bis Oktober 2024 durch das KRITIS-Dachgesetz (KRITIS-DachG). Es verpflichtet Betreiber von Bodenstationen, eine Resilienzplanung zu erstellen.
BCM nach ISO 22301
Ein wichtiger Bestandteil des betrieblichen bzw. organisationalen Resilienz-Managements sind Business Continuity Managementsysteme (BCMS). Expert:innen von TÜVIT bewerten und prüfen den aktuellen Ist-Zustand der BCM-Umsetzung in Ihrer Betriebsorganisation und beurteilen die Konformität mit Standards der Reihe ISO 22301.
Raumsegment
Informationssicherheit für den weltraumseitigen Informationsverbund von Satelliten in Abhängigkeit der Schutzbedarfsklassifizierung von Weltraummissionen.
Erstellung von IT-Sicherheitskonzepten zur Mindestabsicherung für Satellitenmissionen mit Schutzbedarf „normal“ nach BSI IT-Grundschutz-Profil für Weltrauminfrastrukturen mit Bezug auf den weltraumseitigen Informationsverbund „Satellit“ inklusive Life-Cycle-Prozessen und Verfahren sowie aller technischen Bestandteile wie Anwendungen, IT-Systeme, Räume und Gebäude, die diese Prozesse und Verfahren unterstützen (Kompatibilität zur ISO 27001 sowie angelehnt an CCSDS, ECSS und NIST).
Erstellung von IT-Sicherheitskonzepten für Satellitenmissionen mit „hohem und sehr hohem Schutzbedarf“ nach BSI TR-03184 'Informationssicherheit für Weltraumsysteme' mit Bezug auf die Satellitenplattform und deren Kommunikationsverbindung in allen Lebensphasen – von der Planung bis zur Außerbetriebnahme – und unter Berücksichtigung der Entwicklungs-, Test- und Startprozesse am Boden (Wegweiser zur Erlangung einer ggf. später geplanten VS-Zulassung sein).
Nutzersegment
IT-Infrastrukturen, -Systeme und -Komponenten – alles abgesichert! Doch wie steht es mit dem Faktor Mensch? Ohne ein hohes Maß an Sicherheitsbewusstsein der Mitarbeitenden in allen Stakeholderbereichen sind für Angreifende die Türen noch immer weit geöffnet.
Mitarbeitende von Raumfahrtorganisationen, wie Ingenieure, Wissenschaftler:innen und Techniker:innen, aber auch die Belegschaften der Zuliefererindustrie können Ziele von Phishing-Angriffen sein. Mittels Social Engineering oder ausgeklügelter Phishing-Methoden versuchen Angreifende, vertrauliche Informationen zu stehlen, die Zugang zu Systemen oder sensiblen Daten ermöglichen – und das mit fatalen Folgen für sensible Weltraummissionen oder kritische Use Cases von Weltrauminfrastrukturen und -systemen.
Social Engineering & Phishing-Kampagnen
Wir fingieren Telefonate, schicken Phishing-Mails oder verteilen präparierte USB-Sticks und testen die Hilfsbereitschaft, Neugierde oder das Vertrauen von Mitarbeitenden.
Physische Penetrationstests
Prüfung der Zugänge zu den Sicherheitsbereichen Ihrer Mission oder den Entwicklungs- und Fertigungsbereichen der Zuliefererindustrie durch Auffinden potenzieller Schwachstellen von Zutrittssystemen in Gebäuden, wie Schlössern, Sensoren oder Kameras.
Unsere Servicebausteine
Mit unseren Servicebausteinen stärken wir die Resilienz und IT-Sicherheit im gesamten Ecosystem und richten uns sowohl an Missionsbetreiber und Betreiber von Bodenstationen, aber auch die Zuliefererindustrie der Boden-, Raum- oder Launchsegmente bis hin zum Endnutzer.
Konzepte & Studien
in der Regulierung
Grundlagen der IT-Sicherheitsanforderungen und internationalen Standardisierung im Kontext einer Multi-Level Regulierung und Nachweismethodik
Penetration Testing & Angriffssimulation
Penetrationstests für IT-Netzwerke, -Systeme und -Applikationen zur präventiven Ermittlung von Schwachstellen über alle Segmente und in Abhängigkeit von der Kritikalität der Mission
(Vor-) Audits & Evaluierungen
Informationssicherheits- und Kontinuitätsmanagementaudits sowie Prüfung von Weltraumkomponenten & -systemen auf Basis nationaler und internationaler Standards/Richtlinien
Das EU-Weltraumgesetz ist auch eine Frage der Sicherheit, denn im aktuellen geopolitischen Kontext ist der Schutz unseres Weltraumsystems vor systemischen Sicherheitsrisiken ein Muss.
Thierry Breton – Europäischer Kommissar für den Binnenmarkt
Vorschriften für ein kohärentes Vorgehen
Sicherheit: Vermeidung von Zusammenstößen und zur Eindämmung von Weltraummüll.
Widerstandsfähigkeit: Risikomanagement und Cybersicherheit, die auf den Weltraumsektor zugeschnitten sind.
Nachhaltigkeit: Bewertung der Lebenszyklen von Weltraumtätigkeiten und zur Vermeidung der Lichtverschmutzung des Nachthimmels.
Roadmap & aktueller Status
10. März 2023: Mitteilung über eine EU-Weltraumstrategie für Sicherheit und Verteidigung.
13. September 2023: Die Kommissionspräsidentin Ursula von der Leyen stellt in ihrer Rede zur Lage der Union einen Vorschlag zum EU-Weltraumrecht als eine ihrer wichtigsten Initiativen für 2024 vor.
9. April 2024: Kommissar Thierry Breton erwähnt, dass die Veröffentlichung des Legislativvorschlags für ein Weltraumgesetz verschoben werden könnte, um später im Jahr 2024 veröffentlicht zu werden.
Auf Tour
Demnächst: Space Tech Expo Europe
DLR Bauteilekonferenz
Cysat
SSSIF
Networking
Matthias Petsch
Experte Internationale Standardisierung
m.petsch(at)tuvit.de
Jacques Kruse Brandao
Experte Sicherheitsanforderungen
J.KruseBrandao(at)tuvit.de
Experienced in Space
DIe Business Unit Digital & Semiconductor bündelt das Know-how von ALTER und TÜVIT in den Bereichen Halbleiter, IT-Sicherheit und Kommunikationstechnologien. Auch das Wissen über künstliche Intelligenz, Quanten- und Nanotechnologien sowie New Space wird hier konsolidiert. ALTER ist ein erfahrener und zuverlässiger Dienstleister im Bereich der Entwicklung und Prüfung von EEE-Komponenten und -Geräten für die Raumfahrt und andere Technologiemärkte.
Kleinsatelliten
