Unendliche Weiten – und warum sie globale Regeln brauchen : Cybersicherheit für Weltrauminfrastrukturen kann nur gemeinsam funktionieren
Satelliten dominieren die digitale Vernetzung von Gesellschaft, Wirtschaft und Staaten weltweit. Maritime oder luftgestützte Anwendungen bei Interkontinentalflügen basieren ausschließlich auf satellitengestützten Diensten zur Navigation und Kommunikation. Auch globale Klimaforschung oder Aufklärung sind ohne Satelliten nicht vorstellbar. Da in der Regel mehrere Nationen eingebunden sind, kann Cybersicherheit für Weltraumsysteme nur mit grenzüberschreitenden Ansätzen gelingen.
Von Dr. Johanna Niecknig und Frank Christophori, Referat Sichere IT-Systeme für Luft- und Raumfahrt, BSI
Die Abhängigkeiten von weltraumgestützten Systemen steigen weiterhin rasant. Im Kontext von New Space, der Kommerzialisierung der Raumfahrt, explodiert die Anzahl an Objekten (insbesondere im Low-Earth-Orbit, LEO) und der sich engagierenden Stakeholder. Damit erhöht sich aber auch die Gefahr von Cyberangriffen auf Satellitensysteme extrem – zumal mit überschaubarem Aufwand großer Schaden angerichtet werden kann. Gleichzeitig ist im Cyberraum eine Attribuierung der Angreifer schwer oder gar nicht möglich. Daher sind spezifische Cybersicherheitsstandards dringend erforderlich.
BSI entwickelt Richtlinien für den Weltraum
Auch die Industrie drängt auf transparente und allgemeingültige Vorgaben, daher hat das BSI gemeinsam mit der Industrie und Forschungseinrichtungen nationale Anforderungen erarbeitet. Diese sind in zwei IT-Grundschutz-Profilen und einer technischen Richtlinie für Weltraumsysteme (für das Raum und Bodensegment) veröffentlicht worden [1,2,3,4].
Die Ergebnisse werden nun in internationalen Gremien eingebracht. Zum einen geschieht dies projektspezifisch, zum Beispiel im Kontext des Weltraumprogramms Secure Connectivity (IRIS²): Hier unterstützt das BSI die Europäische Kommission in Abstimmung mit anderen europäischen Staaten bei allen Belangen der Informationssicherheit. Der Umfang an Sicherheitsanforderungen hat direkte oder indirekte Auswirkungen auf Hersteller, Betreiber und Nutzende. Ziel ist deshalb ein für Nutzende, Betreiber und Hersteller gut umsetzbares Sicherheitsniveau für das gesamte System.
Zum anderen gilt es, international abgestimmte Mindestsicherheitsanforderungen in Form von Standards oder Regulierungen zu etablieren. Die Koordinierung der nationalen Standardisierungsaktivitäten ist eine der Aufgaben des im Herbst 2023 ins Leben gerufenen Expertenkreises „Cyber-Sicherheit im Weltraum“ der Allianz für Cyber-Sicherheit (www.allianz-fuer-cybersicherheit.de).
Expertenkreis arbeitet an Standards
Der Expertenkreis, eine Kooperation zwischen der Allianz für Cyber-Sicherheit, Behörden, der Industrie und Forschungseinrichtungen, bündelt verschiedene Aktivitäten mit dem Ziel, ein angemessenes Cybersicherheitsniveau in Weltraumsystemen zu definieren. Neben der Weiterentwicklung von Anforderungsdokumenten und deren Vermarktung im internationalen Kontext (internationale Standardisierung, Gremien zu europäischen Raumfahrtprojekten) werden aktuelle Trends und Entwicklungen mit Cybersicherheitsrelevanz in der Raumfahrt, insbesondere „New Space“, mitgeplottet und bewertet. Auch das Thema Regulierung wird in einer Projektgruppe behandelt. Aus Sicht des BSI ist eine Regulierung mit verbindlichen Informationssicherheitsvorgaben dringend erforderlich. Regulierung funktioniert aber nur mit einem internationalen Ansatz – eine rein nationale Regulierung wäre ein Wettbewerbsnachteil auf dem internationalen Markt, da zu erfüllende Auflagen mit höheren Kosten einhergehen. Es muss gewährleistet sein, dass derartige verpflichtende Anforderungen für alle Stakeholder gleichermaßen gelten.
Satellitensysteme als kritische Infrastruktur
Essenziell in diesem Zusammenhang ist die Frage, wie der Weltraum als kritische Infrastruktur gemäß KRITIS-Verordnung behandelt wird. Mit der Umsetzung der europäischen Richtlinie „Network and Information Security Directive 2“ (NIS-2) wird der Weltraum zwar als eigener kritischer Sektor betrachtet, jedoch mit Beschränkung auf das Bodensegment. Weiterhin werden lediglich Betreiber von den in der NIS-2- oder der KRITIS-Verordnung genannten Segmenten verpflichtet, dedizierte Maßnahmen für die Sicherheit umzusetzen und dem BSI als zuständige Behörde die geforderten Nachweise vorzulegen. Somit werden die Phasen der Entwicklung und des Baus der Satelliten ausgeblendet. Offen bleibt also, wie man mit den Systemen im Orbit umgeht. Im internationalen Raum ist hier oftmals die Rede von Satelliten als „National Critical Functions“ (NCF), da sie einen kritischen Beitrag zu den definierten KRITIS-Sektoren, insbesondere für deren Verfügbarkeiten leisten. Im Gegensatz zu einer kritischen Infrastruktur besteht bei einer NCF jedoch keine konkrete gesetzliche Grundlage.
Zu den Themen Standardisierung, Regulierung, KRITIS versus NCF, IRIS² kooperiert das BSI derzeit mit verschiedenen Partnern weltweit und nimmt hierbei eine führende Rolle ein. Die Koordinierung der Aktivitäten im BSI ermöglicht es, Synergien zwischen Staat, Wirtschaft und Forschung einerseits und internationalen Partnern andererseits zu nutzen – mit dem Ziel, gemeinsam das Thema Cybersicherheit für Weltraumsysteme zu gestalten und weltweit Maßnahmen umzusetzen.
Literatur |
---|
[1] Bundesamt für Sicherheit in der Informationstechnik (BSI), Informationssicherheit für Weltraumsysteme, BSI TR-03184, Teil 1: Raumsegment, Version 1.0, Mai 2023, www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Themasortiert/tr03184/TR-03184_node.html |
[2] Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutz-Profil für Weltrauminfrastrukturen, Mindestabsicherung für den Satelliten über den gesamten Lebenszyklus, Version 1.0, Juni 2022, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Profile/Profil_Weltrauminfrastrukturen.html |
[3] Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutz-Profil für Weltraumsysteme, Teil 2: Bodensegment, Version 1.0, April 2024, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Profile/Profil_Bodensegment-Satellit.html |
[4] Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutz-Profil für Weltraumsysteme, Teil 2: Bodensegment – Strukturanalyse, Excel-Arbeitsblatt, April 2024, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Profile/Profil_Bodensegment-Satellit-Strukturanalyse.html |