Die Europäische Weltraumorganisation (ESA) sieht sich mit einem weiteren gravierenden Cyberangriff konfrontiert. Eine Hackergruppe, die sich Scattered Lapsus$ Hunters nennt, behauptet, rund 500 GB sensibler Daten aus internen Systemen der ESA sowie von namhaften Raumfahrt-Unternehmen wie SpaceX, Airbus Group und Thales Alenia Space entwendet zu haben. Die ESA hat den Sicherheitsvorfall bestätigt und die Einleitung eines strafrechtlichen Ermittlungsverfahrens bekanntgegeben.
Angriffsvektor: Ausgenutzte Schwachstelle in externem ESA-Dienst
Nach Angaben der Angreifer gelang der Erstzugriff bereits im September des vergangenen Jahres. Demnach nutzten sie eine öffentlich bekannte Schwachstelle in einem extern erreichbaren Dienst der ESA aus. Darunter versteht man in der Regel eine bereits dokumentierte Sicherheitslücke, für die Updates und Patches vorliegen, die jedoch nicht rechtzeitig eingespielt wurden.
Besonders kritisch ist die Behauptung der Gruppe, dass die Schwachstelle bis heute nicht vollständig behoben sei und ihnen damit ein persistenter Zugang zu produktiven Systemen erhalten bleibe. Persistenter Zugang bedeutet, dass Angreifer nicht nur einmal eindringen, sondern dauerhaft im Netzwerk verankert bleiben – etwa durch Hintertüren, zusätzliche Konten oder manipulative Konfigurationen.
Ein solcher Sachverhalt weist über ein isoliertes technisches Problem hinaus auf strukturelle Defizite beim Vulnerability Management und beim kontinuierlichen Sicherheitsmonitoring hin. In professionellen Umgebungen gelten Prozesse zum schnellen Schließen bekannter Schwachstellen als zentrale Verteidigungslinie gegen Angriffe.
Ein ESA-Sprecher bestätigte den Cybervorfall und verwies auf laufende Ermittlungen der zuständigen Behörden. Zu Art und Umfang der kompromittierten Daten sowie zur konkret ausgenutzten Schwachstelle machte die ESA mit Verweis auf die Untersuchungen keine weiteren Angaben – ein übliches Vorgehen bei aktiven Incident-Response-Prozessen.
Welche Daten im Raum stehen: Satelliten, Missionen und Betreiber
Technische Dokumentation zu Satelliten und Weltraummissionen
Den den Medien zugespielten Dateibeispielen zufolge umfasst das Datenpaket sowohl interne ESA-Dokumente als auch Unterlagen von Auftragnehmern. Dazu zählen operative Prozeduren, Notfall- und Wiederanlaufpläne, Sicherheitsprotokolle, Fehler- und Ausfallmodi, Toleranzgrenzen von Raumfahrzeugen sowie Informationen zu Satellitenkonstellationen der Erdbeobachtung.
Ebenfalls erwähnt wird Dokumentation zur Lage- und Bahnkontrolle von Satelliten. Solche Informationen sind sicherheitskritisch: Sie ermöglichen es, das Verhalten von Raumfahrzeugen im Detail zu verstehen, und können daher gezielte Störungen, Sabotage oder präzisere nachrichtendienstliche Aktivitäten erleichtern.
Daten von Raumfahrt-Unternehmen und nationalen Programmen
Betroffen sein sollen neben SpaceX, Airbus Group und Thales Alenia Space unter anderem OHB System AG, EUMETSAT, Sener, Teledyne und Leonardo. Damit deutet der Vorfall klar auf eine Supply-Chain-Attacke hin: Über einen zentralen Knoten – hier die ESA – erhalten Angreifer Einblick in vertrauliche Informationen zahlreicher Partner entlang der Lieferkette.
Darüber hinaus scheinen Unterlagen zu nationalen und internationalen Raumfahrtprogrammen betroffen zu sein, etwa zur griechischen Raumfahrtstrategie sowie zu wissenschaftlichen Missionen wie Next Generation Gravity Mission, FORUM (Far-infrared Outgoing Radiation Understanding and Monitoring) und TRUTHS (Traceable Radiometry Underpinning Terrestrial- and Helio-Studies). Ein Verlust der Vertraulichkeit solcher Daten kann internationale Kooperationen und Zertifizierungsprozesse für Satellitensysteme erheblich erschweren.
Wiederholte Sicherheitsvorfälle unterstreichen strukturelle Risiken
Der aktuelle Angriff steht nicht isoliert. Bereits im Dezember wurden auf dem Forum BreachForums etwa 200 GB ESA-Daten, darunter Quellcode, API-Tokens, Konfigurationen und Zugangsdaten aus privaten Bitbucket-Repositorien, zum Verkauf angeboten. Dies zeigt ein gezieltes Interesse von Angreifern an ingenieurtechnischer und operativer Dokumentation der ESA.
Historisch war die ESA mehrfach Ziel von Cyberangriffen: 2024 wurde ein mit der ESA-Marke verbundener Onlineshop durch einen Web-Skimmer zur Abgriffung von Zahlungsdaten kompromittiert; 2015 führte eine SQL-Injection-Schwachstelle auf mehreren Domains zur Offenlegung von Abonnenten- und Mitarbeiterdaten; 2011 wurden Administratorzugänge und Serverkonfigurationen veröffentlicht. Zusammengenommen verdeutlichen diese Fälle die Notwendigkeit eines kontinuierlichen Härtens des digitalen Perimeters und der internen Sicherheitsprozesse.
Risiken für Weltrauminfrastruktur und globale Lieferketten
In der Raumfahrt sind technische Unterlagen zu Fehlermodi, Notfallverfahren und Steuerungssystemen nicht nur geistiges Eigentum, sondern zählen zur Kategorie kritischer Daten. Ihre Kompromittierung erhöht das Risiko von Sabotage, industrieller Spionage und hochspezifischen Angriffen auf Satelliten- und Bodensegmente.
Analysen von Institutionen wie der EU-Agentur ENISA und dem jährlich erscheinenden Verizon Data Breach Investigations Report zeigen seit Jahren einen klaren Trend: Angriffe auf Lieferketten und Betreiber kritischer Infrastrukturen nehmen zu. Der Raumfahrtsektor ist dabei besonders verwundbar, weil staatliche Organisationen, private Unternehmen und internationale Programme eng vernetzt arbeiten und Daten, Systeme und Zugriffe intensiv teilen müssen.
Für Angreifer ist ein Akteur wie die ESA ein hochattraktives Ziel: Ein erfolgreicher Einbruch eröffnet nicht nur Zugang zu eigenen Missionen, sondern auch zu Informationen zahlreicher Partner – von Satellitenbetreibern über Sensorhersteller bis hin zu Startdienstleistern.
Lehren und Empfehlungen für Organisationen mit kritischer Infrastruktur
Für Organisationen im Weltraum- und Hightech-Umfeld lassen sich aus dem Vorfall mehrere Schlüssellektionen ableiten. Zentrale Bedeutung hat ein konsequentes Patch- und Vulnerability-Management: öffentlich bekannte Schwachstellen müssen priorisiert identifiziert und innerhalb klar definierter Fristen geschlossen werden, insbesondere bei extern erreichbaren Diensten.
Ebenso wichtig sind regelmäßige Audits von Quellcode-Repositorien und Zugriffen, eine strikte Netzsegmentierung und das Prinzip der minimalen Privilegien. Mitarbeitende und Dienstleister sollten nur die Zugriffsrechte erhalten, die sie für ihre Aufgaben zwingend benötigen. Ergänzend sind moderne Erkennungsmechanismen wie Security Information and Event Management (SIEM) oder Endpoint Detection & Response (EDR) sinnvoll, um verdächtige Aktivitäten frühzeitig zu identifizieren.
Ein weiterer kritischer Baustein ist ein geübter Incident-Response-Plan, der explizit die Zusammenarbeit mit Lieferanten, internationalen Partnern und Aufsichtsbehörden einbezieht. Gerade im Raumfahrtsektor, in dem viele Missionen multinational organisiert sind, kann koordinierte Reaktion über den Schadenumfang entscheiden.
Der aktuelle Vorfall bei der ESA macht deutlich, dass die Weltraumbranche bereits heute zu den bevorzugten Zielen professioneller Angreifer gehört. Organisationen, die mit Satellitensystemen, Raumfahrtmissionen oder angrenzender kritischer Infrastruktur arbeiten, sollten ihre Sicherheitsstrategien daher kurzfristig überprüfen: dazu gehören ein stärkerer Schutz technischer Dokumentation, ein systematisches Management von Lieferkettenrisiken und eine konsequente Schließung bekannter Schwachstellen. Wer diese Maßnahmen frühzeitig umsetzt, reduziert nicht nur das Risiko kostspieliger Datenlecks, sondern schützt zugleich technologische Souveränität und die Stabilität weltraumgestützter Dienste, auf die Wirtschaft und Gesellschaft zunehmend angewiesen sind.
