On "Mission Security"
Die Maßnahmen zur Steigerung der IT-Sicherheit gewinnen überall dort an Wichtigkeit, wo mit einem zunehmenden Grad der Vernetzung auch die Gefahr für Cyberangriffe steigt. Ziel ist es, ein Höchstmaß an Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität von digitalen Infrastrukturen und Anwendungen zu gewährleisten, vor allem dann, wenn diese als kritisch eingestuft werden.
Gilt für Weltraum-Infrastrukturen heute schon, was auf der Erde bereits gängige Praxis ist? In der Vergangenheit dienten Weltraumsysteme zumeist wissenschaftlichen Zwecken, z B. der Erforschung des Sonnensystems und entfernterer Galaxien. Heutzutage sind Satelliten bereits integraler Bestandteil und die Basis für essenzielle Dienste in der Kommunikation, Navigation, Finanztransaktion, Meteorologie oder Krisenkoordination und in der Defence. „Failure is not an option“ gilt so auch für weltraumbasierte IT- und Kommunikationssysteme der New Space Initiative. Zunehmend wird daher die Forderung laut, dass hier die gleichen Schutzziele gelten müssen wie für die Cybersicherheit auf der Erde.
Vieles, was wir im Weltraum tun, ist entscheidend für das Funktionieren unserer Gesellschaft und Wirtschaft und hält wichtige Dienste für öffentliche Verwaltungen, Privatunternehmen und Bürger am Laufen.
Margrethe Vestager
Vizepräsidentin und Kommissarin für Digitales in der EU-Kommission
Für das Boden- und Nutzersegment wurden in vielen Ländern zuletzt bereits „terrestrische“ Anforderungen, Standards und Empfehlungen etabliert. Bei den weltraumseitigen Infrastrukturen besteht hingegen noch Handlungsbedarf, denn hier unterscheiden sich die Rahmenbedingungen im All teils deutlich – allein schon auf Anforderungsseite. Hoffnung macht die aufkommende Gesetzgebung für den Weltraum. So hat zum Beispiel die Europäische Kommission Ende 2023 ein neues EU-Weltraumgesetz angekündigt, das die Perspektiven Widerstandsfähigkeit, Sicherheit und Nachhaltigkeit umfassen soll. Dieses muss jedoch noch mehrere Hindernisse überwinden, um zu einem funktionierenden und nützlichen, harmonisierten Rechtsakt zu werden.
Mit der Inkraftsetzung von EU NIS-2 sowie EU RCE verpflichtet die EU-Kommission Betreiber Kritischer Infrastrukturen (KRITIS), Mindestanforderungen an Cybersicherheit und Resilienz einzuhalten. Neu: Die Anforderungen und Maßnahmen gelten seitdem auch für Bodenstationen und Missionen, die zukünftig unter die KRITIS-Verordnung fallen.
Prüfung nach §8a BSIG
Als Betreiber von Bodenstationen der Kritischen Infrastrukturen (KRITIS) müssen Sie gemäß §8a des BSI-Gesetzes alle 2 Jahre belegen, dass Ihre IT-Sicherheit auf dem Stand der Technik ist. Der Nachweis erfolgt dabei laut BSI-Kritisverordnung (BSI-KritisV) durch eine entsprechende Prüfung nach §8a BSIG.
BCM nach ISO 22301
Ein wichtiger Bestandteil des betrieblichen bzw. organisationalen Resilienz-Managements sind Business Continuity Managementsysteme (BCMS). Expert:innen von TÜVIT bewerten und prüfen den aktuellen Ist-Zustand der BCM-Umsetzung in Ihrer Betriebsorganisation und beurteilen die Konformität mit Standards der Reihe ISO 22301.
Informationssicherheit für den weltraumseitigen Informationsverbund von Satelliten in Abhängigkeit der Schutzbedarfsklassifizierung von Weltraummissionen.
Erstellung von IT-Sicherheitskonzepten zur Mindestabsicherung für Satellitenmissionen mit Schutzbedarf „normal“ nach BSI IT-Grundschutz-Profil für Weltrauminfrastrukturen mit Bezug auf den weltraumseitigen Informationsverbund „Satellit“ inklusive Life-Cycle-Prozessen und Verfahren sowie aller technischen Bestandteile wie Anwendungen, IT-Systeme, Räume und Gebäude, die diese Prozesse und Verfahren unterstützen (Kompatibilität zur ISO 27001 sowie angelehnt an CCSDS, ECSS und NIST).
Erstellung von IT-Sicherheitskonzepten für Satellitenmissionen mit „hohem und sehr hohem Schutzbedarf“ nach BSI TR-03184 'Informationssicherheit für Weltraumsysteme' mit Bezug auf die Satellitenplattform und deren Kommunikationsverbindung in allen Lebensphasen – von der Planung bis zur Außerbetriebnahme – und unter Berücksichtigung der Entwicklungs-, Test- und Startprozesse am Boden (Wegweiser zur Erlangung einer ggf. später geplanten VS-Zulassung sein).
IT-Infrastrukturen, -Systeme und -Komponenten – alles abgesichert! Doch wie steht es mit dem Faktor Mensch? Ohne ein hohes Maß an Sicherheitsbewusstsein der Mitarbeitenden in allen Stakeholderbereichen sind für Angreifende die Türen noch immer weit geöffnet.
Mitarbeitende von Raumfahrtorganisationen, wie Ingenieure, Wissenschaftler:innen und Techniker:innen, aber auch die Belegschaften der Zuliefererindustrie können Ziele von Phishing-Angriffen sein. Mittels Social Engineering oder ausgeklügelter Phishing-Methoden versuchen Angreifende, vertrauliche Informationen zu stehlen, die Zugang zu Systemen oder sensiblen Daten ermöglichen – und das mit fatalen Folgen für sensible Weltraummissionen oder kritische Use Cases von Weltrauminfrastrukturen und -systemen.
Social Engineering & Phishing-Kampagnen
Wir fingieren Telefonate, schicken Phishing-Mails oder verteilen präparierte USB-Sticks und testen die Hilfsbereitschaft, Neugierde oder das Vertrauen von Mitarbeitenden.
Physische Penetrationstests
Prüfung der Zugänge zu den Sicherheitsbereichen Ihrer Mission oder den Entwicklungs- und Fertigungsbereichen der Zuliefererindustrie durch Auffinden potenzieller Schwachstellen von Zutrittssystemen in Gebäuden, wie Schlössern, Sensoren oder Kameras.