Blackfort Technology
IT-Security · Fachbeitrag16. Juni 2026·Christian Gebhardt

BSI TR-03184 in der Praxis: Weltraumsysteme sichern mit ISO-27001- und IT-Grundschutz-Erfahrung

Mit der Technischen Richtlinie BSI TR-03184 bekommt die Informationssicherheit für Weltraumsysteme erstmals ein eigenes, branchenspezifisches Regelwerk – methodisch aufgebaut auf derselben Gefährdungs- und Maßnahmenlogik, mit der Organisationen seit Jahren ISO-27001- und BSI-IT-Grundschutz-ISMS betreiben. Was die Richtlinie verlangt, wie sie entstanden ist, und warum sich bestehende ISMS-Praxis weitgehend übertragen lässt, statt eine neue Disziplin aufzubauen.

Blackfort auf LinkedIn folgen

Sicherheitsvorfälle, technische Analysen und Einblicke aus der Praxis — direkt in Ihrem LinkedIn-Feed.

Jetzt folgen →
Satelliten-Bodenstation mit Parabolantenne in der Dämmerung, Symbolbild für Informationssicherheit nach BSI TR-03184

Eine neue kritische Branche bekommt ein eigenes Regelwerk

Mit GOVSATCom, IRIS² und einer wachsenden Zahl kommerzieller Satellitenbetreiber wächst die Abhängigkeit europäischer Infrastruktur von Weltraumsystemen spürbar – und die NIS2-Richtlinie ((EU) 2022/2555) hat darauf reagiert: Anhang I benennt den Sektor Weltraum explizit als hochkritisch. Für Betreiber von Satelliten, Bodenstationen und Kontrollzentren entsteht damit ein verbindlicher regulatorischer Rahmen, der vorher in dieser Form nicht existierte.

Das BSI hat darauf mit einer eigenständigen Technischen Richtlinie reagiert: TR-03184 „Informationssicherheit für Weltraumsysteme“. Für Organisationen, die seit Jahren ISMS nach ISO 27001 oder BSI IT-Grundschutz betreiben, ist das kein Sprung ins Unbekannte – sondern die konsequente Anwendung vertrauter Methodik auf eine neue, anspruchsvolle Asset-Klasse.

Vom IT-Grundschutz-Profil zur zweiteiligen Richtlinie

TR-03184 ist kein isoliertes Einzeldokument, sondern der vorläufige Schlusspunkt einer mehrjährigen BSI-Dokumentenreihe zur Weltraum-Cybersicherheit:

Dokumentenfamilie im Überblick

  1. 12021 — BSI gründet mit OHB Digital Connect, Airbus Defence and Space und der Deutschen Raumfahrtagentur im DLR eine Arbeitsgruppe zu Mindestanforderungen an die Cyber-Sicherheit für Satelliten.
  2. 230.06.2022 — Veröffentlichung des IT-Grundschutz-Profils für Weltrauminfrastrukturen: allgemeine Mindestanforderungen.
  3. 331.05.2023 — Veröffentlichung BSI TR-03184 Teil 1 (Raumsegment): Satellit/Raumfahrzeug über den gesamten Lebenszyklus sowie die Kommunikationsverbindungen.
  4. 422./23.04.2024 — Veröffentlichung des IT-Grundschutz-Profils für Weltraumsysteme, Teil 2 (Bodensegment): Strukturanalyse von Geschäftsprozessen, Anwendungen und IT-Systemen eines exemplarischen Bodensegments.
  5. 514.05.2025 — Veröffentlichung BSI TR-03184 Teil 2 (Bodensegment): vertieft das Profil von 2024 um eine umfangreiche Gefährdungs-/Maßnahmen-Tabelle.
ACS-Expertenkreis: Cybersicherheit im Weltraum

Alle Dokumente der Reihe entstanden in Zusammenarbeit mit Vertretern der Raumfahrt- und Informationssicherheitsbranche im Expertenkreis „Cybersicherheit im Weltraum“ der Allianz für Cybersicherheit (ACS) – hervorgegangen aus der 2021 gegründeten BSI-Arbeitsgruppe, unter anderem mit OHB Digital Connect, Airbus Defence and Space, secunet Security Networks und der Jade Hochschule Wilhelmshaven.

Methodik: Gefährdungen, Maßnahmen, Lebenszyklus

Beide TR-Teile folgen derselben Logik: Geschäftsprozesse und Assets werden entlang von sieben Lebenszyklusphasen betrachtet – Konzeption, Fertigung, Test, Transport, Inbetriebnahme, Betrieb, Außerbetriebnahme. Bewertet wird der Schutzbedarf anhand der klassischen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit; der Fokus liegt auf Systemen mit hohem oder sehr hohem Schutzbedarf, die Empfehlungen sind aber auch für niedrigere Schutzbedarfe sinnvoll anwendbar. Für die Risikoanalyse selbst lässt die Richtlinie die Wahl zwischen ISO/IEC 27005 und BSI-Standard 200-3.

Das Kernstück ist eine umfangreiche Tabelle, die identifizierte Gefährdungen systematisch Bewältigungsmaßnahmen zuordnet. Ein konkretes Beispiel macht das Prinzip greifbar: Die Maßnahme BM18 „Konfigurationsmanagement definieren/umsetzen“ verlangt fortlaufende Überwachung der Konfiguration und von Konfigurationswechseln an Geräten – nicht nur eine einmalige Härtung bei Inbetriebnahme.

GefährdungBeschreibungAdressiert u.a. durch
G09Ausnutzung von Software-SchwachstellenBM18 Konfigurationsmanagement
G18InformationsabflussBM18 Konfigurationsmanagement
G22Sabotage durch Hardware/SoftwareBM18 Konfigurationsmanagement
G30DatenverfälschungBM18 Konfigurationsmanagement
G32Geräteausfall/-fehlfunktionBM18 Konfigurationsmanagement
G42ParameterveränderungBM18 Konfigurationsmanagement

Auswahl aus der Gefährdungs-/Maßnahmen-Tabelle der TR-03184 – eine Maßnahme adressiert typischerweise mehrere Gefährdungen gleichzeitig.

Keine neue Disziplin, sondern angewandte ISMS-Methodik

Wer schon einmal ein ISMS nach ISO 27001 oder BSI IT-Grundschutz aufgebaut hat, erkennt die Struktur von TR-03184 sofort wieder: Strukturanalyse, Schutzbedarfsfeststellung, Gefährdungskataloge und Bausteine-Denken entsprechen exakt der klassischen IT-Grundschutz-Logik (G für Gefährdung, M/BM für Maßnahme, B für Baustein). Die TR ist explizit konform zu ISO 27001/27002 – ohne die IT-Grundschutz-Methodik selbst zwingend vorzuschreiben, andere ISO-27001/27005-konforme Vorgehensweisen sind ausdrücklich zulässig.

Praxiseinordnung

TR-03184 ist keine Parallelwelt zu etablierter ISMS-Praxis, sondern deren Anwendung auf eine neue Asset-Klasse. Organisationen mit funktionierendem ISO-27001- oder IT-Grundschutz-ISMS übertragen ihre vorhandene Methodik auf Satelliten und Bodensegmente, statt eine völlig neue Disziplin von Grund auf aufzubauen.

Warum das für uns Tagesgeschäft ist, nicht Neuland

Unsere Berater bringen über ein Jahrzehnt praktische Erfahrung im Aufbau und Betrieb von ISMS nach ISO 27001 und BSI IT-Grundschutz mit – aus Mandaten in regulierten Branchen wie Energie, Finanzwesen, Versicherung und Kritischer Infrastruktur, einschließlich KRITIS-relevanter Umgebungen mit hohem und sehr hohem Schutzbedarf. Dazu gehören GAP-Analysen, die Übernahme externer ISB-Funktionen, der kontinuierliche Betrieb zertifizierter ISMS und der Aufbau von Informationsrisikomanagement-Strukturen – in der Praxis, nicht im Lehrbuch.

Informationssicherheits-Audit mit Laptop und Compliance-Unterlagen, Symbolbild für die Übertragung etablierter ISMS-Praxis auf Weltraumsysteme
Strukturanalyse, Schutzbedarfsfeststellung, Gefährdungs-Mapping: dieselbe ISMS-Methodik, angewendet auf eine neue Asset-Klasse.

Empfehlung mit praktischer Verbindlichkeit

Formal bleibt TR-03184 eine Empfehlung des BSI, kein Gesetz. Praktische Verbindlichkeit entsteht trotzdem über drei Kanäle: die Aufnahme in Leistungsbeschreibungen und Verträge von Auftraggebern, das eigene BSI-Zertifizierungsverfahren (Prüfvorschrift) zum Nachweis der Konformität auf System- oder Komponentenebene, und den regulatorischen Kontext der NIS2-Einstufung des Weltraumsektors als hochkritisch.

Wichtige Präzisierung

Nach unserer Recherche verweist TR-03184 selbst nicht explizit auf NIS2 – die Verbindung zwischen beiden ist regulatorischer Kontext, keine textliche Aussage des BSI-Dokuments. In Deutschland ist NIS2 über das NIS2-Umsetzungsgesetz (NIS2UmsuCG) seit dessen Verkündung im Bundesgesetzblatt am 6. Dezember 2025 geltendes Recht, ohne Übergangsfrist; die BSI-Registrierungsfrist für betroffene Einrichtungen lief am 6. März 2026 ab.

Pragmatischer Einstieg für Raum- und Bodensegment-Betreiber

Für Organisationen mit etablierter ISMS-Praxis lässt sich der Einstieg in TR-03184 als Erweiterung des bestehenden Vorgehens beschreiben, nicht als Neuaufbau.

Ablauf in sieben Schritten

  1. 1Mission und Schutzbedarf klären: Welcher Dienst oder welche Mission hängt am System, welche Ausfälle sind nicht tolerierbar.
  2. 2Scope festlegen: Ist das Raumsegment (Teil 1), das Bodensegment (Teil 2) oder beides betroffen?
  3. 3Strukturanalyse: Assets, Geschäftsprozesse und Schnittstellen entlang der sieben Lebenszyklusphasen erfassen.
  4. 4Schutzbedarfsfeststellung nach Vertraulichkeit, Integrität, Verfügbarkeit – mit Fokus auf hohen/sehr hohen Schutzbedarf.
  5. 5Gefährdungs-Mapping nach TR-03184: vorhandene Maßnahmen den beschriebenen Gefährdungen gegenüberstellen, Lücken priorisieren.
  6. 6Bestehende ISO-27001-/IT-Grundschutz-Bausteine wiederverwenden statt neu erfinden, wo bereits ein ISMS existiert.
  7. 7Kontinuierliches Konfigurationsmonitoring (BM18) etablieren und auf Zertifizierung/Prüfvorschrift vorbereiten, wenn Vertrags- oder Kundenanforderungen das verlangen.

Typische Fallstricke

Vier Muster, die in der Praxis zu Lücken führen

TR-03184 als isoliertes Spezialthema behandeln: Wer die Richtlinie wie ein völlig neues Fachgebiet aufsetzt, statt sie als Anwendung des bestehenden ISMS zu verstehen, baut doppelte Strukturen auf.

Einmalige Härtung statt Monitoring: Eine Sicherheitsabnahme bei Inbetriebnahme wird mit dauerhafter Konformität verwechselt – BM18 fordert ausdrücklich fortlaufende Konfigurationsüberwachung.

Schlüssel- und Zertifikatsverwaltung als Blackbox des Zulieferers: Wenn der Betreiber Rotationszyklen oder Schlüsselhoheit nicht selbst nachweisen kann, fehlt eine zentrale Nachweisebene.

TR-03184 mit einem Gesetz verwechseln: Die Richtlinie ist formal eine Empfehlung – ihre praktische Verbindlichkeit über Verträge, Zertifizierung und NIS2-Kontext wird dadurch nicht geringer, aber die rechtliche Einordnung sollte korrekt bleiben.

Bewertung und nächste Schritte

TR-03184 macht eine wachsende, regulatorisch hochkritische Branche auditierbar – mit einer Methodik, die in der Informationssicherheit seit Jahren etabliert ist. Wer bereits ein ISMS nach ISO 27001 oder BSI IT-Grundschutz betreibt, muss keine neue Disziplin aufbauen, sondern bestehende Strukturanalyse-, Schutzbedarfs- und Gefährdungslogik auf Satelliten und Bodensegmente übertragen.

Genau diese Übertragungsleistung ist unsere langjährige Praxis – nicht erst seit TR-03184, sondern seit über einem Jahrzehnt ISMS-Arbeit nach ISO 27001 und BSI IT-Grundschutz in regulierten, teils KRITIS-relevanten Branchen.

Häufige Fragen zu BSI TR-03184

Was regelt die BSI TR-03184 genau?

Die Technische Richtlinie TR-03184 „Informationssicherheit für Weltraumsysteme" beschreibt Sicherheitsmaßnahmen über den gesamten Lebenszyklus eines Weltraumsystems – von Konzeption und Fertigung über Test, Transport und Inbetriebnahme bis zu Betrieb und Außerbetriebnahme. Teil 1 (Mai 2023) behandelt das Raumsegment, also Satellit bzw. Raumfahrzeug; Teil 2 (Mai 2025) das Bodensegment, also Bodenstationen und Kontrollzentren. Kernstück beider Teile ist eine Tabelle, die identifizierte Gefährdungen systematisch Bewältigungsmaßnahmen zuordnet.

Ist die BSI TR-03184 verpflichtend?

Formal ist die TR-03184 eine Empfehlung des BSI, kein Gesetz. Praktische Verbindlichkeit entsteht über drei Kanäle: Sie wird zunehmend in Leistungsbeschreibungen und Verträgen referenziert; es existiert eine eigene Prüfvorschrift, über die das BSI offizielle Konformitätszertifikate auf System- oder Komponentenebene ausstellt; und sie steht im regulatorischen Kontext der NIS2-Richtlinie, die den Weltraumsektor in Anhang I explizit als hochkritisch einstuft – in Deutschland seit Verkündung des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) im Bundesgesetzblatt am 6. Dezember 2025 geltendes Recht. Die TR-03184 selbst verweist nach unserer Recherche nicht explizit auf NIS2 – die Verbindung ist regulatorischer Kontext, keine Aussage des BSI-Dokuments selbst.

Was unterscheidet TR-03184 Teil 1 von Teil 2?

Teil 1 (veröffentlicht 31. Mai 2023) adressiert das Raumsegment: den Satelliten bzw. das Raumfahrzeug selbst inklusive seiner Kommunikationsverbindungen. Teil 2 (veröffentlicht 14. Mai 2025) adressiert das Bodensegment: Bodenstationen, Kontrollzentren und die zugehörigen Geschäftsprozesse. Beide Teile bauen auf vorher veröffentlichten IT-Grundschutz-Profilen auf (2022 allgemein für Weltrauminfrastrukturen, 2024 speziell für das Bodensegment) und vertiefen diese um eine ausführliche Gefährdungs-/Maßnahmen-Tabelle.

Wie hängt TR-03184 mit ISO 27001 und BSI IT-Grundschutz zusammen?

TR-03184 ist explizit konform zu ISO 27001/27002 und methodisch im IT-Grundschutz verwurzelt: Die Gefährdungs-/Maßnahmen-Logik entspricht der etablierten IT-Grundschutz-Notation (G für Gefährdung, BM für Bewältigungsmaßnahme). Die IT-Grundschutz-Methodik wird nicht zwingend vorgeschrieben – andere ISO-27001/27005-konforme Vorgehensweisen sind zulässig –, die Richtlinie baut aber inhaltlich darauf auf. Wer bereits ein ISMS nach ISO 27001 oder BSI IT-Grundschutz betreibt, überträgt seine vorhandene Methodik auf eine neue Asset-Klasse, statt eine komplett neue Disziplin aufzubauen.

Welche Rolle spielt NIS2 für Weltraumsysteme?

Die NIS2-Richtlinie ((EU) 2022/2555) benennt den Sektor Weltraum in Anhang I explizit als hochkritisch – das betrifft Betreiber bodengebundener Infrastruktur, die weltraumgestützte Dienste unterstützt, sowie Anbieter weltraumgestützter Dienste selbst. Eine wichtige Einschränkung: Infrastruktur, die von der EU selbst im Rahmen ihres eigenen Weltraumprogramms betrieben wird, fällt nach mehreren Einschätzungen nicht darunter – im Einzelfall zu prüfen, nicht pauschal zu unterstellen. In Deutschland ist NIS2 seit der Verkündung des NIS2UmsuCG am 6. Dezember 2025 geltendes Recht; die BSI-Registrierungsfrist für betroffene Einrichtungen lief am 6. März 2026 ab.

Wie startet ein Unternehmen am besten mit der Umsetzung?

Pragmatisch beginnt der Einstieg nicht bei der Richtlinie, sondern bei der eigenen Mission: Welcher Dienst oder welche Mission hängt am System, welche Ausfälle sind nicht tolerierbar? Darauf folgen Scope-Klärung (Raum- und/oder Bodensegment betroffen?), Strukturanalyse und Schutzbedarfsfeststellung, das Gefährdungs-Mapping nach TR-03184 und – wo schon ein ISO-27001- oder IT-Grundschutz-ISMS existiert – die Wiederverwendung bestehender Bausteine statt eines Neuaufbaus. Eine externe ISB-Begleitung mit Erfahrung in beiden Frameworks verkürzt diesen Weg erheblich.

Hinweis

Dieser Artikel basiert auf den BSI Technischen Richtlinien TR-03184 Teil 1 (31. Mai 2023, Raumsegment) und TR-03184-2 (14. Mai 2025, Bodensegment), den vorausgehenden BSI-IT-Grundschutz-Profilen für Weltrauminfrastrukturen (30. Juni 2022) und für das Bodensegment (22./23. April 2024), der NIS2-Richtlinie ((EU) 2022/2555) und ihrer deutschen Umsetzung (NIS2UmsuCG, verkündet 6. Dezember 2025), sowie auf öffentlich zugänglichen BSI-Pressemitteilungen und Fachbeiträgen, Stand der Recherche 16. Juni 2026. Angaben zu eigenen Mandaten und Rollen basieren auf internen Aufzeichnungen und Arbeitszeugnissen. Rechtliche Bewertungen ersetzen keine individuelle Rechtsberatung; regulatorische Fristen und Dokumentenstände können sich ändern.

Kontakt aufnehmen

ISMS-Beratung für Weltraumsysteme nach BSI TR-03184

Über ein Jahrzehnt ISMS-Praxis nach ISO 27001 und BSI IT-Grundschutz – angewendet auf Raum- und Bodensegment: Scope-Klärung, Strukturanalyse, Gefährdungs-Mapping nach TR-03184 und prüffähige Dokumentation.

Beratungsgespräch anfragenISMS-Beratung im Überblick