Seit nunmehr genau 30 Jahren ist die sogenannte Raumfahrthalle von Industrie, DLR und ESA neben der Flugschau die zentrale Attraktion der ILA in Berlin. Seither hat sich auch nichts daran geändert, dass vor allem lang gediente Raumfahrtprofis den privaten Besuchern angesichts all der Beschwernisse so manchen Weges durch die Republik nach Schönefeld größte Anerkennung zollen – und dabei doch manches Mal etwas ratlos wirken. Denn für sie ist Raumfahrt beruflicher All-Tag – da ist eben nicht mehr so schnell etwas Besonderes dabei. Es ist u.a. dieser Gewöhnungseffekt, der, gepaart mit viel Routine, die Aufmerksamkeitsschwelle gegenüber möglichen und meist gut getarnten Angriffen heraufsetzt und vieles darunter entsprechend unbemerkt bleibt.

Dabei ist gerade in Zeiten massiver Konflikte, wie sie derzeit die Welt an vielen Schauplätzen erschüttern, verstärkte Vor- und Umsicht in hochindustrialisierten Ländern wie Deutschland geboten. Der Verfassungsschutz warnt eindringlich vor der aktuellen Verschärfung der Gefährdungslage im Hinblick auf strategische Aufklärung, verdeckte Beschaffung von militärischen sowie Dual-Use-Technologien und Know-how sowie möglicherweise auch die Vorbereitung gezielter Sabotagehandlungen. Zum Einsatz kommen sowohl cybergestützte als auch realweltliche nachrichtendienstliche Methoden. Die meisten derartigen Aktivitäten gehen von Russland, China und Nordkorea aus. Das Bundesamt für Verfassungsschutz stellte auf Nachfrage von KTR Informationen zur Lage sowie die anschließenden praktischen Hinweise zur Selbsthilfe und -verteidigung insbesondere für die Nutzer unseres Redaktionsdienstes aus dem Kreis der Raumfahrt-KMU zur Verfügung.

Russland: Aufklärung, Sabotage, Sanktionsumgehung und Cyberattacken

Deutschland ist aufgrund seiner Rolle als NATO-Bündnispartner sowie als EU-Mitglied seit langem ein vorrangiges Ziel russischer Nachrichtendienste. Angesichts der andauernden Unterstützung und insbesondere der Waffenlieferungen von deutscher Seite für die Ukraine hat sich deren Interesse an sicherheits- und verteidigungspolitischen  Informationen sowie an rüstungsrelevanten Technologien nochmals intensiviert.

In Polen wurde im Frühjahr 2023 ein mutmaßlicher Spionagering aufgedeckt. Bei den Tatverdächtigen soll es sich um Staatsbürger von Ländern „jenseits der Ostgrenzen Polens“ handeln. Ihnen wird vorgeworfen, Bahn- und Luftverkehrsinfrastruktur ausgespäht und Sabotageakte vorbereitet haben, um die Lieferung von Ausrüstung, Waffen und Hilfsgütern in die Ukraine zu stören. Dafür haben sie den Berichten zufolge elektronische Geräte und GPS-Sender bei sich gehabt, die sie an Hilfskonvois in die Ukraine befestigen wollten, um deren Routen nachzuvollziehen.

Zur verdeckten Umgehung der EU-Sanktionen setzt Russland verstärkt auf einen verschleierten Erwerb sogenannter „Dual-Use“-Güter, die sowohl zu zivilen als auch zu militärischen Zwecken nutzbar sind. Diese Güter werden mithilfe von Tarnunternehmen über verschiedenste  Umgehungsländer ausgeführt. Im Mittelpunkt der Beschaffungsbemühungen stehen Halbleitertechnologien und verwandte Produkte wie Testequipment oder Produktionsanlagen sowie Ausrüstungsgegenstände für die Luftfahrt und den maritimen Bereich.

Mutmaßlich von russischen staatlichen Stellen gesteuerte Cybergruppierungen nahmen in der Vergangenheit bereits Personen aus der Verteidigungspolitik, die Bundeswehr und ihre Angehörigen sowie Unternehmen der Verteidigungswirtschaft ins Visier. Dabei kamen Spear-Phishing-Angriffe zum Einsatz, aber auch selbstentwickelte (und mitunter hochspezialisierte) Software oder frei verfügbare (Open-Source-)Tools. Seit Beginn des Angriffskrieges gegen die Ukraine sind zudem vermehrt Hacktivismus-Gruppierungen, die sich mit der russischen Regierungslinie solidarisieren, u. a. mit DDoS-Angriffen gegen deutsche Ziele aktiv. Da gerade letztgenannte Angriffe auch verstärkt zu Zwecken der Lösegelderpressung jenseits politischer Motive eingesetzt werden, hier ein kurzer

Exkurs zu DDoS-Attacken:

DDoS steht für Distributed Denial of Service; Hacker schicken zahllose Anfragen an einen Server, um ihn zu überlasten. Sie nutzen mehrere kompromittierte Geräte als Quelle für ihren Angriff. Ein Distributed Denial of Service blockiert den Datenfluss einer Webseite.

Dafür errichtet der Angreifer ein Botnetz („Zombie-Netzwerk“) aus Geräten, die mit dem Internet verbunden sind, den sogenannten Bots. Dazu kann jeder Computer gehören, aber auch alle möglichen IoT-Geräte. Es ist also sehr gut möglich, dass der Staubsaugerroboter von Max Mustermann oder sein smarter Fernseher für ein solches Botnetz zweckentfremdet wird. Gefragt hat ihn natürlich niemand.

Mit dem Botnetz wird nun der Hacker jedem einzelnen Bot Befehle für den Angriff geben, sodass tausende Anfragen auf die IP-Adresse des Opfers einprasseln – und dort dann gleich alles lahmlegen.

CHINA: HighTech-Spionage in Deutschland kommt staatlich und legal wie auch kommerziell-kriminell daher

China baut auf dem Weg zur Führungsposition unter den Weltmächten seine militärischen Fähigkeiten auf Grundlage einer Strategie der „zivil-militärischen Fusion“ aus; Wirtschaft und Militär werden enger verzahnt und die rüstungsbezogene Entwicklung und Nutzung von zivilen Technologien/Know- how stärker integriert. Benötigte Hochtechnologie wird dabei gezielt auch durch die Nachrichtendienste beschafft. China geht dabei zuallererst legale und legitime Wege, darunter  Forschungskooperationen, Joint Ventures oder  Unternehmensaufkäufe. Eine Vielzahl staatlich geförderter Talentprogramme nutzt gezielt Gastwissenschaftler oder Werksstudenten für die Beschaffung. Diese Personengruppen bewegen sich weitgehend unter dem Radar.

Ein Großteil der massiven Cyberattacken geht auf mutmaßlich staatlich gesteuerte Gruppierungen zurück. Darüber hinaus spionieren wohl auch chinesische Cyberkriminelle gezielt westliche Technologien und Unternehmen aus. Die erbeuteten Daten werden dann aus patriotischen oder finanziellen Motiven an chinesische Rüstungsunternehmen oder staatliche Stellen übergeben bzw. verkauft.

NORDKOREA: Devisenbeschaffung über Kryptowährungen

Das nordkoreanische Regime ist umfassenden Sanktionen der Vereinten Nationen ausgesetzt. Cyberspionage spielt daher auch eine wichtige Rolle bei der Devisenbeschaffung, indem z. B. Kryptowährungen erbeutet oder gestohlenes Wissen an Dritte weiterverkauft wird. Darüber hinaus bedient sich die Spionage des Landes kreativer Wege wie etwa über Karriere-Plattformen im Netz. Hier fällt seit Jahren eine wahrscheinlich staatlich gesteuerte Cybergruppierung durch weltweite Cyberangriffe gegen Unternehmen der Verteidigungswirtschaft auf. Zur Erbeutung geschützter Informationen werden Angehörige der Zielunternehmen auf Karriereplattformen über gefälschte Profile vermeintlicher Headhunter namhafter Konkurrenzunternehmen angesprochen. Anschließend wurden vorgebliche Stellenangebote mit integriertem Schadcode übermittelt. Im Erfolgsfalle erlaubte der Schadcode dem Angreifer umfangreichen Zugriff auf das gesamte Unternehmensnetzwerk.

Da es weitgehend bekannt ist, dass sich insbesondere Startups und KMU der Raumfahrt über eine ganz bestimmte Social-Media-Plattform verständigen und diese auch für Maßnahmen der Personalbeschaffung bzw. -rekrutierung genutzt wird, ist dort besondere Aufmerksamkeit gegenüber entsprechenden Avancen Fremder kein Fehler.

Selbsthilfe und -verteidigung für Raumfahrt-KMU

Die deutschen Spezialisten der Spionageabwehr haben ein umfangreiches Arsenal von Mitteln und Methoden, die nicht jedes Unternehmen selbst einsetzen kann. Dennoch gibt es eine Reihe von Handlungsempfehlungen, deren Umsetzung so effektiv wie einfach und damit auch für Raumfahrt-KMU bestens geeignet ist.

Cybersicherheit

• Regelmäßige Schulung insbesondere von IT-Verantwortlichen,
• Sensibilisierung aller Mitarbeiter mit Blick auf aktuelle Gefahren im Cyberraum
• Etablierung klarer Meldewege,
• Etablierung Notfallplan und Information an alle Internen,
• Regelmäßige Überprüfung von Zugriffsberechtigungen Interner wie Externer,
• Aufbau von Sicherheitsbarrieren für sensible Informationen, z.B. durch Multi-Faktor-Authentifizierung (MFA) und verschlüsselte E-Mail-Kommunikation.
• Durchführung von Penetrationstests, um ein Feedback zum Umsetzungsstand der IT-Sicherheit aus der Sicht von Angreifenden zu erhalten,
• Mögliche Einfallstore im Netzwerk beachten, z. B. über Auslandsniederlassungen,
• Interne Serverdienste dürfen grundsätzlich nicht aus dem Internet erreichbar sein. Es bietet sich an, einen Zugriff lediglich aus dem Unternehmensnetzwerk oder über Virtual Private Network (VPN) zuzulassen. Prüfen ggf. auch bestehender Möglichkeiten, um die Zurechenbarkeit öffentlichen IP-Adressen zum Unternehmen zu reduzieren.
• Von DDoS-Angriffen betroffene Stellen finden auf der Internetseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) eine Liste qualifizierter DDoS-Mitigation-Dienstleister: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Dienstleister-DDos-Mitigation-Liste.html.

Über diese Maßnahmen durch die Unternehmensleitung hinaus gibt der Verfassungsschutz folgende Ratschläge an alle Beschäftigten der Unternehmen:

• Schützen Sie Ihre Konten nach Möglichkeit mit Hilfe von MFA vor Credential-Phishing-Angriffen.
• Misstrauen Sie E-Mails, die Sie zu dringenden Handlungen auffordern.
• Geben Sie niemals Ihre Passwörter an.
• Klicken Sie niemals auf Links oder Anhänge verdächtiger E-Mails. Dies gilt auch für E-Mails von Familienangehörigen, Bekannten oder Ihrer Arbeitsstelle. Auch deren E-Mail-Konten könnten gehackt worden sein.
• Greifen Sie, wo möglich, auf alternative und sicherere Kommunikationswege zurück.

Maßnahmen bei Verdacht von Ausforschungs- und Anbahnungs- sowie physischen Sabotageversuchen für Personalverantwortliche:

• Weisen Sie Beschäftigte auf die Möglichkeit von nachrichtendienstlichen Ausforschungs- und Anbahnungsversuchen hin und etablieren Sie interne Meldewege für Verdachtsfälle.
• Informieren Sie Beschäftigte auch über physische Sabotagehandlungen sowie darüber, dass diese mit Cyberangriffen abgestimmt durchgeführt werden können. Berücksichtigen Sie dabei vor allem solche Betriebsabläufe, deren Ausfall besonders schwerwiegende und/oder langfristige Folgen hätte.
• Zögern Sie nicht, Kontakt zum Verfassungsschutz aufzunehmen, wenn Sie den Verdacht haben, dass Beschäftigte Ziel von Ausforschungs- oder Anbahnungsversuchen werden sollen oder bereits geworden sind.

Maßnahmen für Beschäftigte:

• Gehen Sie diskret mit Informationen über Ihr berufliches Umfeld, Kollegen sowie geschäftliche Zusammenhänge um.
• Besondere Zurückhaltung ist im Kontakt mit Ihnen unvertrauten Ansprechpartnern geboten.
• Nutzen Sie die internen Meldewege, wenn Sie den Verdacht haben, dass Sie Ziel eines Ausforschungs- oder Anbahnungsversuchs werden sollen oder es bereits geworden sein sollten.
• Achten Sie auf Anzeichen physischer Sabotage und melden Sie ungewöhnliche Beobachtungen über die dafür vorgesehenen Wege.
• Aufmerksam werden sollten Sie z. B. bei versteckt installierten Kameras oder Drohnenüberflügen.

Für Informationen zu Bedrohungen für Ihre Branche durch Spionage und Sabotage, Terrorismus oder gewaltbereiten Extremismus sowie für konkrete Sicherheitsanfragen oder Verdachtsfälle hier der Kontakt zum Bereich Prävention/Wirtschaftsschutz des Verfassungsschutzes:

wirtschaftsschutz@bfv.bund.de, Telefon: +49 30 18792-3322

Über die Inhalte dieses Artikels hinaus stellte das Bundesamt für Verfassungsschutz der KTR-Redaktion, wie erbeten, umfangreiche Informationen für die Nutzung insbesondere durch Startups, kleine und mittlere Unternehmen der Raumfahrt zur Verfügung. Sie sind bei Klartext-Raumfahrt.de hier abrufbar:

Methoden der Spionage.pdf

Schutz vor Social Engineering.pdf

Spionage in Wissenschaft und Forschung.pdf

Zugang zum Bundesamt für Verfassungsschutz