IT-Sicherheit: BSI warnt vor gezielten Cyberangriffen auf Satelliten

Mit einem "IT-Grundschutz-Profil für Weltrauminfrastrukturen" empfiehlt das BSI eine Mindestabsicherung für Satelliten über den gesamten Lebenszyklus hinweg.

In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen

(Bild: ESA / P. Carril)

Lesezeit: 4 Min.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat erstmals ein "IT-Grundschutz-Profil für Weltrauminfrastrukturen" herausgegeben. Die Behörde sieht darin eine Handreichung, die Herstellern, Betreibern sowie Zulieferern von Satelliten beziehungsweise ihrer Komponenten "eine wirkungsvolle Umsetzung eines Sicherheitskonzepts" ermöglichen soll. Es gehe darum, die Informationssicherheit eines solchen Himmelskörpers "in allen Lebensphasen zu gewährleisten".

Ein IT-Grundschutz-Profil ist ein Muster-Sicherheitskonzept, das als Schablone Institutionen mit vergleichbaren Rahmenbedingungen helfen soll, grundlegende Maßnahmen zur IT-Security in geeigneter Weise zu implementieren. Vergleichbare Leitfäden gibt es etwa bereits für Kommunen oder Schiffe und Reedereien.

Im Zentrum des IT-Grundschutzes steht generell, die Vertraulichkeit, Verfügbarkeit und Integrität informationstechnischer Systeme aufrechtzuerhalten. Ein einschlägiges Profil stellt dafür nötige Schritte pauschalisiert dar. Mit dem neuen Papier soll es allen interessierten Satellitenherstellern und -betreibern möglich sein, "die Informationssicherheit zu erhöhen und eine Mindestabsicherung bei der Herstellung und dem Betrieb von Satelliten zu erreichen".

Um möglichst alle Satellitenmissionen grundlegend abzudecken, legten die Autoren die Schutzbedarfskategorie "normal" zugrunde und entwickelten eine entsprechende Absicherung. So sollen "hohe materielle und immaterielle Schäden über alle Lebensphasen eines Satelliten hinweg minimiert werden" können. Die Verfasser betonen aber auch: Die zur Erfüllung der Schutzziele beschriebenen Maßnahmen müssten auf jede Mission individuell angepasst und je nach Kritikalität gegebenenfalls noch erweitert beziehungsweise ergänzt werden.

Für die Analyse des Schutzbedarfs betrachteten die Experten diverse Missionen beispielhaft mit unterschiedlichen Zielsetzungen, um die Anwendbarkeit von Szenarien und die potenziellen Schadensauswirkungen zu ermitteln. Sie reichen von wissenschaftlichen Experimenten mit einem Kleinsatelliten in erdnaher Umlaufbahn über eine militärische Mission zur Erdbeobachtung bis hin zu einer großen Satellitenkonstellation mit einer langen Laufzeit in einer mittleren Erdumlaufbahn.

Beim Schutzprofil "normal" sind die Schadensauswirkungen für die Satellitensysteme selbst oder für die Betreiber beziehungsweise Hersteller "begrenzt und überschaubar". Bei einer sehr hohen Gefährdung könnten die Folgen erfolgreicher IT-Angriffe dagegen ein "existenziell bedrohliches, katastrophales Ausmaß erreichen" und "den Betrieb des Satellitensystems stilllegen".

Zum Informationsverbund eines einschlägigen Erdtrabanten gehören dem Profil zufolge neben den Prozessen auch darauf aufsetzende Anwendungen. Dabei handle es sich neben allgemein üblichen Diensten etwa für E-Mail oder Datenaustausch auch um für die Raumfahrt spezifische Dienste. Dazu gehören Analyse-Tools, EGSE (Electrical Ground Support Equipment) und Simulatoren sowie Anwendungen, Komponenten und Geräte und Dienste, die sich an Bord des Satelliten befinden, wie Plattform, Payload und SAT-Controller.

Anhand einer Checkliste ordnen die Verfasser die Relevanz von Maßnahmen wie dem Aufstellen eines Datensicherungskonzepts, dem Einrichten eines Patch- und Änderungsmanagement oder dem Schutz vor Schadprogrammen und der Protokollierung ein. Sie empfehlen ferner etwa eine Detektion von sicherheitsrelevanten Ereignissen, Audits und Revisionen sowie das Aufstellen eines Plans fürs Notfallmanagement.

Die Sicherheit der Lieferkette betrachteten die Autoren nicht im Einzelnen. Diese müsse "im Detail in der Praxis" abgebildet werden. Dazu gehörten etwa Risiken manipulierter Bauteile wie FPGAs, Mikrocontroller, sonstige Halbleiter und Software. Auch das Outsourcing von Teilen oder kompletter IT beziehungsweise Prozesse und die Nutzung von Cloud-Services ließen sie weitgehend außen vor.

Ein Restrisiko bleibe trotz der Beachtung all der Hinweise "immer bestehen", unterstreichen die Experten. Durch die Zusammenarbeit mit anderen Organisationen könnten vertrauliche Informationen an Institutionen übertragen werden, auf deren Sicherheitsmanagement Hersteller und Betreiber von Satelliten nur beschränkt Einfluss hätten. Auch bei eigenen Mitarbeitern sei es trotz Dienstanweisungen und Schulungen denkbar, dass sie Geschäftsgeheimnisse an Unbefugte weitergeben. Der Bezug von Dienstleistungen Dritter sei immer nicht ganz ohne.

"Gezielte Angriffe auf die Informationstechnik von Einrichtungen jeglicher Art nehmen zu", warnen die Autoren zudem. Bekannt gewordene Sicherheitslücken würden immer schneller ausgenutzt. Eine rechtzeitige Behebung durch entsprechende Updates sei nicht immer möglich. Dies betreffe vor allem Systeme, "bei denen während der Entwicklung kein spezieller Fokus auf die Informationssicherheit gelegt wurde".

Benötigt ein Satellit mehrere Jahre, bis er verglüht, oder werde er in einen "Friedhofsorbit" gesteuert, befänden sich dort noch immer Informationen und gegebenenfalls Kryptomaterial, ist dem Papier zu entnehmen. Um einen Fremdzugriff darauf auszuschließen, "sollte sichergestellt werden, dass alle Informationen, vor Verbringung, unwiederbringlich gelöscht werden".

Mitgewirkt haben an dem Leitfaden neben dem BSI auch Vertreter des Bremer Raumfahrtkonzerns OHB, von Airbus und der Deutschen Raumfahrtagentur.

()