Blackfort Technology
IT-Security · Fachbeitrag16. Juni 2026·Christian Gebhardt

NIS2 für den Weltraumsektor: Was der GOVSATCOM Hub Köln für Bodenstationsbetreiber bedeutet

Am 16. Juni 2026 fand der Spatenstich für den GOVSATCOM Hub am DLR-Standort Köln statt – Teil des wachsenden SpaceHub-Cologne-Ökosystems. NIS2 stuft den Weltraumsektor explizit als hochkritisch ein – was das für Betreiber von Bodenstationen und Satellitendiensten praktisch bedeutet.

Blackfort auf LinkedIn folgen

Sicherheitsvorfälle, technische Analysen und Einblicke aus der Praxis — direkt in Ihrem LinkedIn-Feed.

Jetzt folgen →
Abstrakte Darstellung einer Bodenstation für sichere Satellitenkommunikation, Symbolbild für NIS2 und den Weltraumsektor

Ein neuer kritischer Sektor entsteht in Köln

Köln entwickelt sich zu einem europäischen Knotenpunkt der Raumfahrt – mit drei eigenständigen, aber miteinander verzahnten Vorhaben. Im Dezember 2024 entschied die EU-Kommission, den GOVSATCOM Hub am Standort des Deutschen Zentrums für Luft- und Raumfahrt (DLR) anzusiedeln: einen hochsicheren Netzknoten für satellitengestützte Kommunikationsdienste sicherheitskritischer Nutzer (GovSatCom- und IRIS²-Programm). Land NRW übernimmt die Baukosten bis zu einer Höhe von 50 Mio. €, die laufenden Betriebskosten trägt die EU-Kommission. Am 16. Juni 2026 fand der symbolische Spatenstich statt; eine offizielle Bauzeit- oder Fertigstellungsangabe lag zu diesem Zeitpunkt nicht vor.

Der GOVSATCOM Hub ist Teil des breiter angelegten SpaceHub Cologne, das Land NRW, DLR, ESA, EU-Kommission und der Flughafen Köln/Bonn am 30. April 2025 auf der Konferenz SpaceTech.NRW vorgestellt haben – ein Campus- und Ökosystem-Vorhaben zur Ansiedlung von Unternehmen und Start-ups rund um den DLR-Standort. Davon zu unterscheiden ist ein drittes, eigenständiges Vorhaben: Am 20. November 2025 unterzeichneten Land NRW, ESA, DLR und die Deutsche Raumfahrtagentur eine Absichtserklärung (Letter of Intent, noch keine endgültige Vereinbarung), das ESA-Direktorat „Human and Robotic Exploration“ (HRE) von Noordwijk nach Köln-Porz/Wahn zu verlegen – rund 250 neue Arbeitsplätze, fast verdreifachte Mitarbeiterzahl am bestehenden Europäischen Astronautenzentrum. Mit Satellitenkommunikation hat das HRE-Vorhaben fachlich nichts zu tun; es betrifft bemannte und robotische Explorationsforschung.

Drei getrennte Vorhaben im Überblick

GOVSATCOM Hub: hochsicherer Netzknoten für Satellitenkommunikation sicherheitskritischer Nutzer; Bau durch Land NRW (≤ 50 Mio. €), Betrieb durch EU-Kommission finanziert; Spatenstich 16.06.2026, Bauzeit nicht offiziell kommuniziert.

SpaceHub Cologne: übergeordnetes Ansiedlungs-Ökosystem am DLR-Standort (vorgestellt 30.04.2025), zu dem der GOVSATCOM Hub gehört.

ESA-HRE-Verlegung: eigenständiges Vorhaben, Absichtserklärung vom 20.11.2025, betrifft Explorationsforschung — nicht Satellitenkommunikation.

Für Betreiber von Bodenstationen, Satellitendiensten und die sich ansiedelnden Zulieferer ist das mehr als eine Standortfrage: Mit dem Ausbau wächst auch die regulatorische Aufmerksamkeit. Der Grund liegt in NIS2.

NIS2 stuft den Weltraumsektor als hochkritisch ein

Die NIS2-Richtlinie ((EU) 2022/2555) benennt in Anhang I den Sektor Weltraum explizit als hochkritischen Sektor. Im englischen Originaltext: „Operators of ground-based infrastructure, owned, managed and operated by Member States or by private parties, that support the provision of space-based services [...]“ – sinngemäß: Betreiber bodengebundener Infrastruktur in staatlichem oder privatem Eigentum bzw. Betrieb, die weltraumgestützte Dienste unterstützt, sowie Anbieter weltraumgestützter Dienste selbst. Eine wichtige Einschränkung: Infrastruktur, die von der EU oder im Auftrag der EU im Rahmen ihres eigenen Weltraumprogramms betrieben wird, fällt nach mehreren Einschätzungen nicht unter diese Einstufung – das ist im Einzelfall zu prüfen, nicht pauschal zu unterstellen. In Deutschland wird NIS2 über das NIS2-Umsetzungsgesetz (NIS2UmsuCG) sowie ergänzend über das KRITIS-Dachgesetz umgesetzt, das Betreiberpflichten zur physischen Resilienz bis Juli 2026 vorsieht.

Unabhängig vom Sektor gilt zusätzlich: Anbieter öffentlicher elektronischer Kommunikationsnetze bzw. öffentlich zugänglicher elektronischer Kommunikationsdienste fallen nach NIS2 unabhängig von ihrer Unternehmensgröße in den Geltungsbereich. Das kann für Betreiber satellitengestützter Konnektivität mit Endkundengeschäft eine zusätzliche, vom Sektor „Weltraum“ unabhängige Erfassung bedeuten – diese Einordnung ist rechtlich nicht trivial und sollte im Einzelfall mit Bezug auf den eigenen Geschäftsgegenstand geprüft werden, nicht pauschal aus diesem Artikel übernommen werden.

EinrichtungstypBeispieleTypische NIS2-Pflicht
Boden-InfrastrukturSatellitenkontrollzentren, Bodenstationen, AntennenanlagenRisikomanagement, Meldepflicht bei erheblichen Vorfällen
Weltraumgestützte DiensteSatellitenkommunikation, Erdbeobachtung, NavigationLieferketten-Sicherheit, Geschäftsfortführung
Zulieferer/IntegratorenHersteller von Bodensegment-Komponenten, SoftwareVertragliche Sicherheitsanforderungen der Betreiber
Größe entscheidet über die Einstufung

Ob ein Unternehmen als „besonders wichtige“ oder „wichtige“ Einrichtung gilt, hängt neben dem Sektor von der Unternehmensgröße ab – große Unternehmen fallen in der Regel in die strengere Kategorie, mittelgroße in die zweite. Wer sich im Umfeld von GOVSATCOM Hub oder SpaceHub Cologne als Zulieferer oder Betreiber ansiedelt, sollte diese Einstufung früh prüfen, nicht erst bei der ersten Anfrage einer Aufsichtsbehörde.

BSI TR-03184-2: die Referenz fürs Bodensegment

Das BSI hat seine Technische Richtlinie TR-03184 „Informationssicherheit für Weltraumsysteme“ zweiteilig angelegt – entstanden im Kontext der NIS2-Einstufung des Weltraumsektors als kritisch. Teil 1 (veröffentlicht Mai 2023) behandelt das Raumsegment, also den Satelliten bzw. das Raumfahrzeug selbst. Teil 2 (veröffentlicht 14. Mai 2025) richtet sich explizit an Betreiber, Hersteller und Dienstleister von Bodensegmenten – und ist damit für Bodenstationen und Antennenanlagen die einschlägige Referenz, nicht Teil 1.

Kernstück von Teil 2 ist eine umfangreiche Tabelle, die für verschiedene Geschäftsprozesse Gefährdungen und Bewältigungsmaßnahmen über den gesamten Lebenszyklus eines Bodensegments beschreibt – von der Konzeption bis zur Außerbetriebnahme. Die Richtlinie vertieft das IT-Grundschutz-Profil fürs Bodensegment und ist konform zu ISO 27001/27002, ohne die IT-Grundschutz-Methodik zwingend vorzuschreiben. Die zentrale Botschaft: Einmalige Härtung reicht nicht – gefordert ist fortlaufendes Monitoring von Konfigurationen über den Betriebszeitraum, was für viele Bodensegment-Betreiber neu ist, weil Hardware- und Firmware-Lebenszyklen in der Raumfahrt traditionell auf lange, unveränderte Betriebsdauern ausgelegt sind.

Beispiel: Asset-Eintrag für ein Bodenstations-Gateway (YAML)
# Eintrag im Asset-/Konfigurationsregister einer Bodenstation
asset_id: GS-KOELN-UPLINK-03
asset_type: Satelliten-Uplink-Gateway
nis2_classification:
  sector: weltraum               # NIS2 Anhang I, im Einzelfall zu prüfen
  entity_type: ground_infrastructure
  einstufung: besonders_wichtig  # abhängig von Unternehmensgröße
security_controls:
  bsi_tr03184_2_mapping: in_bearbeitung   # Gefährdungs-/Maßnahmen-Tabelle Teil 2
  key_management: PKI            # Uplink/Downlink-Verschlüsselung
  cert_rotation_days: 90
  firmware_version: '4.2.1'
  last_config_review: '2026-06-01'
incident_routing:
  - bsi_meldestelle
  - nis2_aufsichtsbehoerde
review_cycle_days: 30
Praxisempfehlung

Beginnen Sie nicht mit der Richtlinie, sondern mit der Frage, was die Bodenstation eigentlich leisten muss – welche Mission oder welchen Dienst sie trägt, welche Ausfälle Sie sich nicht leisten können. Das Asset-Inventar der Gateways, Zertifikate und Konfigurationen liefert danach die Evidenz, mit der sich TR-03184-2 als Prüfraster anlegen lässt — nicht als Selbstzweck.

Abstrakte Darstellung einer verschlüsselten Satelliten-Boden-Verbindung als Symbolbild für PKI-gestützte Absicherung von Uplink und Downlink
Schlüssel- und Zertifikatsverwaltung für Uplink und Downlink ist ein zentraler, aber nicht der einzige Baustein der Anforderungen aus BSI TR-03184-2.

Nicht nur Asset-Inventar: Mission und Betriebsresilienz mitdenken

Ein vollständiges Asset- und Zertifikatsregister ist notwendig, aber für Weltraumsysteme nicht hinreichend. Ausgangspunkt sollte sein, was eine Bodenstation oder ein Satellitendienst eigentlich leisten muss – welche Mission, welcher Dienst, welche Verfügbarkeit – und welche Risiken dem entgegenstehen. Daraus folgt, welche Assets überhaupt relevant sind, nicht umgekehrt.

Konkret gehören dazu Kommando- und Kontrollpfade zwischen Bodenstation und Satellit, Kryptographie und Schlüsselmanagement, Lieferketten der Bodensegment-Hersteller, Betriebsprozesse und Incident Response, Segmentierung, physische Sicherheit der Antennenanlagen und funktechnik-spezifische Risiken (Störung, Spoofing). Asset-, Zertifikats- und Konfigurationsmanagement liefern dafür die Nachweisebene und die Umsetzungstiefe – sie sind die Evidenz, nicht der Ausgangspunkt.

Was das für Bodensegment-Betreiber konkret bedeutet

Für Unternehmen, die sich im Umfeld des Kölner Raumfahrt-Clusters ansiedeln oder dort bereits aktiv sind, lässt sich ein pragmatischer Einstieg in sieben Schritten beschreiben.

Ablauf in sieben Schritten

  1. 1Mission und Schutzbedarf klären: Welcher Dienst/welche Mission hängt an der Bodenstation, welche Ausfälle sind nicht tolerierbar — bevor das Inventar beginnt.
  2. 2Scope-Bestimmung: Prüfen, ob die eigene Bodenstation, der eigene Dienst oder die eigene Zulieferrolle unter NIS2 Anhang I (Sektor Weltraum) fällt — im Einzelfall, nicht pauschal.
  3. 3Asset-Inventar: Vollständige Erfassung der Bodensegment-Infrastruktur – Gateways, Antennen, Zertifikate, Schlüsselmaterial, Firmware-Stände.
  4. 4Gefährdungs-Mapping nach BSI TR-03184-2: Vorhandene Maßnahmen den dort beschriebenen Gefährdungen gegenüberstellen, Lücken priorisieren.
  5. 5Schlüssel- und Zertifikatsverwaltung härten: PKI für Uplink-/Downlink-Verschlüsselung mit klaren Rotationszyklen statt Lieferanten-Blackbox betreiben.
  6. 6Kontinuierliches Konfigurationsmonitoring aufbauen: Versionskontrolle über den gesamten Lebenszyklus statt einmaliger Härtung.
  7. 7Meldewege ausrichten: Incident-Prozess so gestalten, dass NIS2-Meldefristen und BSI-Meldewege ohne Improvisation eingehalten werden.

Typische Fallstricke

Drei Muster, die in der Praxis zu Lücken führen

Bodenstation gilt als „nur Technik“: Die NIS2-Relevanz wird übersehen, weil die Anlage organisatorisch nicht als kritische Infrastruktur, sondern als reine Betriebstechnik geführt wird.

Einmalige Härtung statt Monitoring: Eine Sicherheitsabnahme bei Inbetriebnahme wird mit dauerhafter Konformität verwechselt – BSI TR-03184-2 fordert ausdrücklich fortlaufende Konfigurationsüberwachung.

PKI als Blackbox des Zulieferers: Schlüssel- und Zertifikatsverwaltung für die Satellitenverbindung liegt vollständig beim Hersteller, ohne dass der Betreiber Rotationszyklen oder Schlüsselhoheit selbst nachweisen kann.

Sicherheit als reines Asset-Inventar verkauft: Wer nur Inventarisierung anbietet, ohne Mission, Betriebsresilienz und Kommandopfade mitzudenken, liefert eine notwendige, aber keine hinreichende Antwort.

Bewertung und nächste Schritte

Der Ausbau in Köln schafft über die nächsten Jahre eine neue Konzentration von Unternehmen, die sich erstmals mit dem NIS2-Sektor Weltraum auseinandersetzen müssen. Das ist kein Sonderfall, sondern eine konsequente Anwendung bestehender Regulatorik auf eine wachsende Branche – mit BSI TR-03184-2 liegt dafür bereits ein konkretes technisches Prüfraster fürs Bodensegment vor.

Wer sich jetzt am Kölner Cluster ansiedelt oder dort bereits aktiv ist, hat einen Zeitvorteil: Die Infrastruktur befindet sich im Aufbau, viele Sicherheitsanforderungen lassen sich von Anfang an einplanen statt nachträglich aufzusatteln – vorausgesetzt, der Einstieg erfolgt über Mission und Risiko, nicht nur über ein Inventar.

Drei pragmatische Sofortmaßnahmen

1. Prüfen, ob die eigene Anlage oder der eigene Dienst unter NIS2 Anhang I (Sektor Weltraum) fällt — im Einzelfall, nicht pauschal.

2. Mission/Schutzbedarf klären und darauf aufbauend ein Asset-Inventar der Bodensegment-Infrastruktur als Grundlage für ein BSI-TR-03184-2-Mapping anlegen.

3. Frühzeitig Kontakt zu den themenspezifischen Anlaufstellen des Kölner Clusters suchen, etwa zum Themenfeld „Sicherheit und Resilienz“ im Space Innovation Hub.

Eine belastbare Governance-Linie beginnt auch hier sinnvollerweise mit einem Informationssicherheits-Managementsystem als Klammer — als Rahmen für Mission, Risiko und Nachweis, nicht als Asset-Listing. Unser Space/NIS2 Readiness Check verbindet Betroffenheitsprüfung, Asset-/Schnittstelleninventar, PKI-Überblick und Mapping gegen BSI TR-03184-2 zu einer prüffähigen Dokumentationsstruktur.

Hinweis

Dieser Artikel basiert auf der NIS2-Richtlinie ((EU) 2022/2555) und ihrer deutschen Umsetzung (NIS2UmsuCG), den BSI Technischen Richtlinien TR-03184 Teil 1 (Mai 2023, Raumsegment) und TR-03184-2 (14. Mai 2025, Bodensegment) sowie auf der Pressemitteilung des Landes NRW vom 27.12.2024 zum GOVSATCOM Hub, der DLR-Meldung zum SpaceHub Cologne (30.04.2025) und der Absichtserklärung von Land NRW, ESA, DLR und Deutscher Raumfahrtagentur zur ESA-HRE-Verlegung (20.11.2025), Stand der Recherche 16.06.2026. Die Annex-I-Übersetzung ist eine sinngemäße, keine offizielle Rechtsübersetzung. Rechtliche Bewertungen ersetzen keine individuelle Rechtsberatung. Bauzeitpläne, Förderzusagen und regulatorische Fristen können sich ändern.

Kontakt aufnehmen

Space/NIS2 Readiness Check für Bodensegment und Zulieferer

Betroffenheitsprüfung NIS2/KRITIS-Dachgesetz, Asset-/Schnittstelleninventar, PKI-Überblick und Mapping gegen BSI TR-03184-2 – mission- und risikogetrieben, mit prüffähiger Dokumentation.

Beratungsgespräch anfragenZur NIS2-Umsetzung