NIS-2 im Weltraumsektor — IT-Sicherheit für Raumfahrt und Astronomie in Sachsen

Weltraum als wesentliche Einrichtung unter NIS-2: Höchste Sicherheitsanforderungen

Der Weltraumsektor nimmt innerhalb der NIS-2-Richtlinie (EU 2022/2555) eine besondere Stellung ein: Er ist in Anlage 1 als Sektor hoher Kritikalität eingestuft. Betroffene Unternehmen gelten damit als wesentliche Einrichtungen — die strengste Kategorie, die NIS-2 kennt. Dies bedeutet deutlich höhere Anforderungen als für „wichtige Einrichtungen“ aus Anlage 2: strengere Aufsicht, vorausschauende Überprüfungen durch die Behörden und höhere Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Konkret erfasst NIS-2 „Betreiber von Bodeninfrastrukturen, die im Eigentum von Mitgliedstaaten oder privaten Parteien stehen und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen“. Die Schwellenwerte liegen bei 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz — bei wesentlichen Einrichtungen können jedoch auch kleinere Unternehmen per Einzelfallentscheidung einbezogen werden.

Sachsens Weltraumsektor: DZA, DLR und eine wachsende Raumfahrtbranche

Sachsen entwickelt sich zu einem bedeutenden Standort für Weltraum und Astrophysik in Deutschland. Die NIS-2-Relevanz ergibt sich aus mehreren Faktoren:

Das Deutsche Zentrum für Astrophysik (DZA) in Görlitz

Das DZA — Deutsches Zentrum für Astrophysik in Görlitz ist das größte Astronomie-Forschungsprojekt Deutschlands und ein Leuchtturmprojekt des Strukturwandels in der Lausitz. Mit einem Investitionsvolumen von über einer Milliarde Euro entsteht in Görlitz ein Forschungszentrum von Weltrang, das:

• Exabytes an astronomischen Daten aus globalen Teleskopnetzwerken empfangen, speichern und verarbeiten wird
• Ein Hochleistungsrechenzentrum für die Datenanalyse betreiben wird, das zu den größten in Europa gehören könnte
• Sensible wissenschaftliche Daten verwalten wird, deren Integrität für die internationale Forschungsgemeinschaft essentiell ist
• Als öffentlich finanzierte Forschungseinrichtung unter besonderen Schutzanforderungen steht

Obwohl das DZA als Forschungseinrichtung unter Umständen Sonderregelungen unterliegt, sind die angeschlossenen Betreiber von Bodeninfrastruktur und Datenverarbeitungssystemen klar im NIS-2-Scope. Die Integrität astronomischer Beobachtungsdaten und die Verfügbarkeit der Recheninfrastruktur sind kritische Schutzziele.

DLR-Einrichtungen in Sachsen

Das Deutsche Zentrum für Luft- und Raumfahrt (DLR) betreibt mehrere Einrichtungen in Sachsen, darunter das DLR-Institut für Softwaremethoden zur Produkt-Virtualisierung in Dresden. Diese Einrichtungen arbeiten an raumfahrtrelevanter Software und Simulation — Bereiche, in denen die Integrität und Vertraulichkeit von Forschungsdaten höchste Priorität hat.

Raumfahrt-Zulieferer und NewSpace-Unternehmen

Sachsens Industrie — insbesondere der Maschinenbau, die Elektronik und die Materialwissenschaften — liefert Komponenten für die Raumfahrt. Außerdem entstehen im Zuge der „NewSpace“-Bewegung zunehmend kleinere Unternehmen, die Satellitentechnologie, Erdbeobachtungsdaten oder weltraumgestützte Dienste anbieten. Diese Zulieferer und Dienstleister können ebenfalls unter NIS-2 fallen.

LEAG und der Strukturwandel in der Lausitz

Der Strukturwandel in der Lausitz bringt mit dem DZA und weiteren Technologieprojekten eine neue Dimension der Hightech-Infrastruktur in die Region. Die damit verbundenen Cybersicherheitsanforderungen — von der Sicherung des DZA-Rechenzentrums bis zum Schutz der Teleskop-Datenströme — erfordern spezialisierte Beratung.

IT-Risiken im Weltraumsektor

Der Weltraumsektor ist mit einzigartigen Cybersicherheitsherausforderungen konfrontiert, die sich grundsätzlich von terrestrischen Branchen unterscheiden:

Bodeninfrastruktur und Satellitensteuerung

Die Bodeninfrastruktur — Bodenstationen, Mission Control Center, Telemetrie-Empfänger — ist die Schnittstelle zwischen Erde und Weltraum. Eine Kompromittierung kann:

• Satellitensteuerung übernehmen: Angreifer könnten Orbitalmanöver auslösen, Satelliten deaktivieren oder deren Sensoren manipulieren
• Telemetriedaten fälschen: Manipulierte Telemetrie kann Fehlentscheidungen im Missionsbetrieb provozieren
• Kommunikationsverbindungen stören: Jamming und Spoofing von Satellite-Ground-Links
• Weltraumlagebilder verfälschen: Daten über Weltraumschrott und Kollisionsrisiken sind sicherheitskritisch

Integrität wissenschaftlicher Daten

Für Einrichtungen wie das DZA ist die Datenintegrität das zentrale Schutzziel. Astronomische Beobachtungsdaten, die über Jahre gesammelt und mit immensem Rechenaufwand verarbeitet werden, sind unwiederbringlich, wenn sie korrumpiert werden. Die Wissenschaftsgemeinschaft verlässt sich auf die Authentizität und Unveränderlichkeit dieser Daten. Ein gezielter Angriff auf die Datenintegrität könnte:

• Falsche wissenschaftliche Schlussfolgerungen provozieren
• Jahre an Forschungsarbeit entwerten
• Das Vertrauen in die Einrichtung und ihre Ergebnisse zerstören

Spionagerisiken und staatliche Akteure

Der Weltraumsektor ist ein bevorzugtes Ziel staatlich gesteuerter Cyberangriffe. Die Motivation reicht von technologischer Spionage (Satellitendesign, Antriebstechnologie, Erdbeobachtungsdaten) über militärische Aufklärung bis zur strategischen Sabotage. Die Bedrohungsakteure verfügen typischerweise über erhebliche Ressourcen und Ausdauer — Advanced Persistent Threats (APTs) sind in diesem Sektor besonders relevant.

Langlebige Systeme und Update-Problematik

Weltrauminfrastruktur hat extrem lange Lebenszyklen: Ein Satellit kann 15-20 Jahre operieren, Bodeninfrastruktur noch länger. Software-Updates an Satelliten im Orbit sind komplex und riskant. Dies führt zu einer Anhäufung bekannter Schwachstellen, die durch compensating controls auf der Bodeninfrastrukturseite kompensiert werden müssen.

NIS-2-Anforderungen für den Weltraumsektor: Verschärfte Pflichten

Als wesentliche Einrichtung unterliegt der Weltraumsektor den strengsten NIS-2-Anforderungen:

Proaktive behördliche Aufsicht

Anders als bei „wichtigen Einrichtungen“, die nur anlassbezogen überprüft werden, können die Aufsichtsbehörden bei wesentlichen Einrichtungen vorausschauende Überprüfungen durchführen — auch ohne konkreten Anlass. Dies umfasst Vor-Ort-Inspektionen, Sicherheitsaudits und die Anforderung von Nachweisen zum Sicherheitsniveau.

Umfassendes Risikomanagement

Das geforderte ISMS muss die besonderen Risiken des Weltraumsektors adressieren: Bodeninfrastruktur, Datenverarbeitungssysteme, Kommunikationslinks, Forschungsdaten und die Schnittstellen zu internationalen Partnern. Die Orientierung an ISO 27001 und BSI IT-Grundschutz bildet die Basis, ergänzt um sektorspezifische Standards wie den NIST Cybersecurity Framework für Space Systems und die ESA Space Cyber Security Policy.

Verschärfte Meldepflichten

Die Meldepflichten für wesentliche Einrichtungen sind identisch zu wichtigen Einrichtungen (24h/72h/1 Monat), aber die Aufsichtsbehörden können zusätzliche Informationen einfordern und die Einhaltung strenger kontrollieren. Ein robustes Incident-Response-Management ist unverzichtbar.

Erhöhte Bußgelder

Für wesentliche Einrichtungen gelten erhöhte Bußgelder: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes — im Vergleich zu 7 Millionen / 1,4 Prozent für wichtige Einrichtungen. Die persönliche Geschäftsführerhaftung gilt in gleicher Weise.

Lieferkettensicherheit

Die Weltraum-Lieferkette ist international und hochspezialisiert. NIS-2 verlangt die systematische Bewertung der Cybersicherheit in der Lieferkette — von Komponentenherstellern über Softwarelieferanten bis zu Bodenstationsbetreibern. Angesichts der Spionagerisiken ist dies im Weltraumsektor besonders kritisch.

Unser Beratungsansatz für den Weltraumsektor

Als NIS-2-Berater in Sachsen bieten wir dem Weltraumsektor eine Beratung, die die einzigartigen Herausforderungen dieser Branche versteht:

1. NIS-2-Betroffenheitsanalyse

Die regulatorische Einordnung im Weltraumsektor ist komplex: Wo endet die Forschungseinrichtung, wo beginnt der Betreiber von Bodeninfrastruktur? Wir klären die Betroffenheit und den ISMS-Scope unter Berücksichtigung der Sonderregelungen für Forschung und öffentliche Einrichtungen.

2. Risikobewertung mit Fokus auf APT-Bedrohungen

Die Bedrohungslandschaft im Weltraumsektor unterscheidet sich fundamental von anderen Branchen. Wir berücksichtigen staatliche Akteure, APT-Gruppen und die besonderen Schutzbedürfnisse von Forschungsdaten und Bodeninfrastruktur in der Risikobewertung.

3. ISMS-Aufbau für Forschungs- und Weltraumeinrichtungen

Wir implementieren ein ISMS, das die Balance zwischen Sicherheitsanforderungen und wissenschaftlicher Offenheit findet — denn Forschung lebt von Zusammenarbeit und Datenaustausch. Zero-Trust-Architekturen, Datenklassifizierung und fein granulierte Zugriffssteuerungen sind Kernelemente unseres Ansatzes.

4. Schulung und Security Awareness

Von Wissenschaftlern über IT-Administratoren bis zur Geschäftsleitung — unsere Schulungen vermitteln die Besonderheiten der Cybersicherheit im Weltraumsektor und die persönlichen Pflichten nach NIS-2.

5. Externer ISB mit Weltraum-Kompetenz

Als externer Informationssicherheitsbeauftragter bieten wir die laufende Betreuung Ihres ISMS, einschließlich der Vorbereitung auf behördliche Überprüfungen, die bei wesentlichen Einrichtungen vorausschauend erfolgen können.

Sachsens Chance: Weltraum und Cybersicherheit als Zukunftsbranche

Der Aufbau des DZA in Görlitz, die wachsende NewSpace-Branche und die DLR-Präsenz in Sachsen schaffen eine einzigartige Konstellation: Hier entsteht Weltraum-Infrastruktur, die von Anfang an mit höchsten Cybersicherheitsstandards geplant und betrieben werden kann — „Security by Design“ statt nachträglichem Flickwerk. Für sächsische Unternehmen und Einrichtungen im Weltraumsektor bieten wir die Expertise, diese Chance zu nutzen und die NIS-2-Anforderungen nicht als Bürde, sondern als Qualitätsmerkmal zu etablieren.

Weiterführende Informationen

• Externer Datenschutzbeauftragter — Datenschutz für Raumfahrtunternehmen
• Datenschutz im Unternehmen — DSGVO-Compliance für alle Branchen

Häufig gestellte Fragen: NIS-2 im Weltraumsektor

Warum hat der Weltraumsektor unter NIS-2 strengere Anforderungen als andere Branchen?

Der Weltraumsektor ist in Anlage 1 der NIS-2-Richtlinie als Sektor hoher Kritikalität eingestuft. Betroffene Unternehmen gelten als „wesentliche Einrichtungen“ — die höchste Kategorie. Dies liegt an der strategischen Bedeutung weltraumgestützter Dienste für Kommunikation, Navigation, Erdbeobachtung und Sicherheit. Die Folgen: vorausschauende behördliche Aufsicht (nicht nur anlassbezogen), höhere Bußgelder (bis 10 Mio. Euro / 2 % Umsatz statt 7 Mio. / 1,4 %) und strengere Dokumentationspflichten.

Ist das DZA in Görlitz von NIS-2 betroffen?

Die NIS-2-Betroffenheit des DZA hängt von seiner konkreten organisatorischen und rechtlichen Struktur ab. Grundsätzlich erfasst NIS-2 „Betreiber von Bodeninfrastrukturen“, die weltraumgestützte Dienste unterstützen. Das DZA wird ein massives Rechenzentrum betreiben und astronomische Daten aus internationalen Teleskopnetzwerken verarbeiten — Funktionen, die dem NIS-2-Scope nahekommen. Unabhängig von der formalen NIS-2-Betroffenheit empfiehlt sich ein ISMS nach höchsten Standards, da die Integrität der wissenschaftlichen Daten existenziell für die Einrichtung ist.

Welche besonderen Cyber-Bedrohungen gibt es im Weltraumsektor?

Der Weltraumsektor ist einem einzigartigen Bedrohungsmix ausgesetzt: staatlich gesteuerte APT-Gruppen mit Spionage- und Sabotageinteresse, Risiken für Bodeninfrastruktur und Satellitensteuerung (Jamming, Spoofing, Hijacking), extrem lange Systemlebenszyklen mit Patch-Problematik bei Satelliten im Orbit und die Herausforderung, wissenschaftliche Offenheit mit Sicherheitsanforderungen zu vereinbaren. Der Viasat-Hack zu Beginn des Ukraine-Konflikts 2022 zeigte, dass Weltrauminfrastruktur ein reales Angriffsziel ist.

Können auch Raumfahrt-Zulieferer unter NIS-2 fallen?

Ja. Zulieferer, die Komponenten, Software oder Dienstleistungen für den Weltraumsektor erbringen, können auf zwei Wegen betroffen sein: Erstens, wenn sie selbst die NIS-2-Schwellenwerte überschreiten und einem regulierten Sektor zugeordnet werden können. Zweitens über die Lieferkettensicherheitsanforderungen der NIS-2: Wesentliche Einrichtungen im Weltraumsektor sind verpflichtet, die Cybersicherheit ihrer Zulieferer zu bewerten und vertraglich abzusichern. Zulieferer müssen also de facto NIS-2-konforme Sicherheitsmaßnahmen nachweisen können.