Zurück zur Übersicht
22.05.2025 Fachbeitrag

Neue Technische Richtlinie BSI TR-03184-2 – Cybersicherheit für das Bodensegment von Weltraumsystemen

Mit der Veröffentlichung der Technischen Richtlinie BSI TR-03184-2 setzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen neuen Standard für die Informationssicherheit im Bodensegment von Weltraumsystemen. Die Richtlinie wurde in enger Zusammenarbeit mit Expertinnen und Experten aus der Raumfahrt- und Informationssicherheitsbranche entwickelt und ist Teil einer umfassenden Strategie zur Absicherung kritischer Infrastrukturen im Bereich der Raumfahrt. Sie ergänzt Teil 1 der TR, der das Raumsegment behandelt, und vertieft die Anforderungen des IT-Grundschutz-Profils für das Bodensegment. 

Zielsetzung und Anwendungsbereich

Die TR-03184-2 verfolgt das Ziel, ein hohes und einheitliches Sicherheitsniveau für das Bodensegment von Weltraumsystemen zu etablieren. Sie richtet sich an Betreiber, Hersteller und Dienstleister, die an der Entwicklung, dem Betrieb und der Wartung von Bodensegmenten beteiligt sind. Die Richtlinie ist für alle Schutzbedarfskategorien (normal, hoch, sehr hoch) anwendbar und kann sowohl für neue als auch für bestehende Systeme genutzt werden.  Sie ist konform zu den internationalen Standards ISO 27001/27002 und orientiert sich an der IT-Grundschutz-Methodik des BSI. 

Struktur und Inhalte der Richtlinie

Die TR gliedert sich in mehrere zentrale Abschnitte:

  • Systemstruktur und Abgrenzung: Definition des Betriebsbodensegments, das alle Komponenten umfasst, die für die Steuerung des Raumsegments am Boden notwendig sind (z. B. Bodenkontrollstationen, TTC-Antennenstationen, Kommunikationsnetze).
  • Geschäftsprozesse über den Lebenszyklus: Betrachtet werden alle Phasen von der Konzeption und dem Design über Herstellung, Betriebsvorbereitung, Betrieb bis zur Außerbetriebnahme.
  • Anwendungen und Gefährdungen: Identifikation und Beschreibung typischer Anwendungen (z. B. On-Board-Software-Management, Antennensteuerung, Simulatoren, Operations-Tools) und der damit verbundenen Gefährdungen.
  • Schutzbedarfsfeststellung: Bewertung des Schutzbedarfs anhand von Missionsmerkmalen wie Missionstyp, Orbit, Konstellationsgröße, Stakeholder und Infrastruktur.
  • Risikobehandlung und Maßnahmen: Systematische Zuordnung von Bewältigungsmaßnahmen zu identifizierten Gefährdungen, unterstützt durch eine umfangreiche Tabelle als zentrales Werkzeug der Richtlinie.
  • Kryptographische Anforderungen: Empfehlungen für den Einsatz von Verschlüsselung, Authentisierung und Schlüsselmanagement, einschließlich Anforderungen an Kryptoagilität und Schutz vor quantenkryptographischen Angriffen.

Rechtliche Anforderungen und Compliance

Die TR-03184-2 ist zwar formal lediglich eine Empfehlung, gewinnt aber durch die Orientierung an internationalen Normen erhebliche Bedeutung für die Compliance im Bereich kritischer Infrastrukturen. Unternehmen, die im Bereich Raumfahrt tätig sind, müssen insbesondere folgende rechtliche und regulatorische Anforderungen beachten:

  • Nachweis eines angemessenen Schutzniveaus: Die Richtlinie kann Bestandteil von Leistungsbeschreibungen und Vertragswerken werden. Auftraggeber und Auftragnehmer müssen gemeinsam den Schutzbedarf und die daraus resultierenden Maßnahmen festlegen und dokumentieren.
  • Berücksichtigung branchenspezifischer Standards: Die TR ist kompatibel mit ISO 27001/27002 und kann mit anderen konformen Vorgehensweisen kombiniert werden. Sie verweist zudem auf internationale Frameworks wie NIST Cybersecurity Framework, ECSS, CCSDS und Mitre ATT&CK.
  • Dokumentationspflichten: Die Umsetzung der TR erfordert eine umfassende Dokumentation (Strukturanalyse, Schutzbedarfsfeststellung, Risikoanalyse, Maßnahmenumsetzung), die im Rahmen von Audits und behördlichen Prüfungen vorgelegt werden muss.
  • Vertragliche Absicherung bei Auslagerung: Werden Teile des Bodensegments „as-a-Service“ von externen Dienstleistern betrieben, sind vertragliche Regelungen zur Einhaltung des Schutzbedarfs und regelmäßige Audits zwingend erforderlich. 

Konkrete Maßnahmen für Unternehmen

Zur Erfüllung der Anforderungen der TR-03184-2 müssen Unternehmen die folgenden Maßnahmen ergreifen:

  1. Strukturanalyse und Bestandsaufnahme: Vollständige Erfassung aller IT-Systeme, Anwendungen und Komponenten des Bodensegments. Mapping auf die in der TR beschriebenen Anwendungen.
  2. Schutzbedarfsfeststellung: Bewertung des Schutzbedarfs für jede Komponente und jeden Geschäftsprozess anhand der Missionsmerkmale und der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit.
  3. Identifikation relevanter Gefährdungen: Nutzung der in der TR enthaltenen Gefährdungskataloge und Prüfung auf projektspezifische Besonderheiten.
  4. Risikobeurteilung: Durchführung einer standardisierten Risikoanalyse (z. B. nach ISO 27005 oder BSI-Standard 200-3) für alle identifizierten Gefährdungen.
  5. Auswahl und Umsetzung von Bewältigungsmaßnahmen: Zuordnung und qualitative Ausgestaltung der Maßnahmen entsprechend dem Schutzbedarf. Berücksichtigung technischer, organisatorischer und personeller Maßnahmen.
  6. Kryptographische Absicherung: Entwicklung und Implementierung eines kryptographischen Konzepts, das den Anforderungen der TR-02102-1 entspricht. Berücksichtigung von Kryptoagilität und Schutz vor zukünftigen Bedrohungen (z. B. Quantencomputing).
  7. Dokumentation und kontinuierliche Überprüfung: Lückenlose Dokumentation aller Schritte und regelmäßige Überprüfung und Anpassung der Maßnahmen an neue Bedrohungen und technologische Entwicklungen.
  8. Schulung und Sensibilisierung: Durchführung von Trainings und Sensibilisierungsmaßnahmen für alle Mitarbeitenden, insbesondere für diejenigen mit Zugang zu kritischen Systemen und Informationen.
  9. Vertragliche und organisatorische Absicherung bei Dienstleistern: Sicherstellung, dass auch externe Dienstleister und Partner die Anforderungen der TR erfüllen und dies regelmäßig nachweisen.

Beispiele für typische Gefährdungen und Maßnahmen

  • Fehlerhafte Übertragung von On-Board-Software: Einsatz von Integritätsprüfungen (z. B. Hashfunktionen, Prüfsummen), verschlüsselte Kommunikation, physischer Manipulationsschutz.  
  • Abfluss sensibler Daten aus Satellitenmodellen: Zutrittskontrollen, Sperrzonen, verschlüsselte Speicherung und Übertragung, Beaufsichtigung von Fremdpersonal.
  • Sabotage von Antennenanlagen: Einrichtung von Sicherheitsbereichen, Zutrittskontrollen, Überwachung, Schutz vor Drohnenangriffen.  

Fazit und Handlungsempfehlung

Die TR-03184-2 ist ein Meilenstein für die Cybersicherheit im Bereich der Raumfahrt und setzt neue Maßstäbe für den Schutz des Bodensegments. Unternehmen sind gut beraten, die Richtlinie als quasi-verbindlichen Standard zu betrachten und die beschriebenen Maßnahmen systematisch umzusetzen. Dies ist nicht nur aus technischer Sicht, sondern auch im Hinblick auf Haftungsrisiken, regulatorische Anforderungen und die Sicherstellung der Wettbewerbsfähigkeit im internationalen Raumfahrtmarkt von zentraler Bedeutung.

Für die praktische Umsetzung empfiehlt sich die frühzeitige Einbindung von Informationssicherheits- und Rechtsexperten, um die Anforderungen der TR effizient und rechtssicher in bestehende Prozesse und Verträge zu integrieren. 

Kontakt und Beratung

Als spezialisierte Kanzlei im Bereich Luftfahrt, Raumfahrt, NewSpace und SpaceTech unterstützen wir Sie umfassend bei der Analyse, Umsetzung und Dokumentation der Anforderungen der BSI TR-03184-2. Sprechen Sie uns an – wir begleiten Sie von der ersten Bestandsaufnahme bis zur erfolgreichen Auditierung und darüber hinaus.

 

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Thomas Jansen
München
Andrea Elisabeth Bauer
München

Ansprechpartner

Dr. Thomas Jansen
München
Andrea Elisabeth Bauer
München

Weitere Artikel

12.06.2025
EUR 45 Mio. DSGVO-Bußgeld gegen Vodafone – Was sind die Schlussfolgerungen für EU-Unternehmen?
27.05.2025
Gewährleistung von Sicherheit und Compliance in der Raumfahrtindustrie – Wichtige Erkenntnisse und To-Do‘s
23.05.2025
Neue Pläne der EU-Kommission: Der Digital Fairness Act
20.05.2025
Ausschluss eines Betriebsratsmitglieds wegen Weiterleitung personenbezogener Beschäftigtendaten an privates E-Mail-Postfach
14.05.2025
Compliance-Dilemma: Data Act zwingt Unternehmen zum Drahtseilakt zwischen Datenherausgabe und Datenschutz. Hilft die politisch motivierte Handreichung des HmbBfDI?
08.05.2025
Geistiges Eigentum im Weltraum – Eine Bestandsaufnahme aus deutscher Sicht
07.05.2025
Künstliche Intelligenz: Diese Transparenzpflichten sind zu beachten
05.05.2025
Neue Entwicklungen im EU-Digitalrecht
15.04.2025
Einsatz von US-Cloud-Anbietern unter der Trump-Regierung: Risiken und Handlungsempfehlungen für Unternehmen
10.04.2025
Bundeswehr plant eigenes Satelliten-System bis 2029: Chancen für die deutsche Raumfahrtindustrie
07.04.2025
BGH bestätigt: Datenschutzverstöße können durch Wettbewerber und Verbraucherverbände verfolgt werden
03.04.2025
DSGVO-Compliance bei Einsatz von ChatGPT & Co.

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.