Zurück zur Übersicht
04.03.2025Fachbeitrag

Update Informationssicherheit Nr. 3

Schutz vor Drohneneinsätzen als Teil des Informationssicherheits-Risikomanagements

Informationssicherheit ist ein zentrales Thema für Unternehmen und Organisationen in Deutschland und Europa. Eine neue Art der Bedrohung stellt dabei der Einsatz von Drohnen dar. Dass es sich hierbei um ein praktisch immer wichtiger werdendes Risiko handelt, zeigen nicht zuletzt die kürzlich festgestellten Drohnenüberflüge über Gelände und Einrichtungen der Bundeswehr.

Dies hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erkannt und die Orientierungshilfe „Overview of drone-based cyber threats and aspects of defence“ (derzeit abrufbar hier) veröffentlicht. In diesem Beitrag beleuchten wir den rechtlichen Rahmen, die spezifischen Risiken durch Drohnen und die zu ergreifende Gegenmaßnahmen zum Schutz vor solchen Bedrohungen.

Wesentlicher rechtlicher Rahmen zur Informationssicherheit und physischen Sicherheit in Deutschland und der EU

Das deutsche und europäische Recht sieht eine Vielzahl von Regelungen vor, nach denen Organisationen und Unternehmen, insbesondere Betreiber kritischer Infrastrukturen, Maßnahmen zum Schutz vor Sicherheitsvorfällen und Cyberbedrohungen ergreifen müssen. Diese Maßnahmen sind als Teil des Risikomanagements umzusetzen. Zu den wichtigsten rechtlichen Vorgaben in diesem Bereich gehören aktuell das nationale BSI-Gesetz sowie die beiden europäischen NIS2- und CER-Richtlinien und die hierzu geplanten Umsetzungsgesetze.

Sowohl die NIS2-Richtlinie als auch die CER-Richtlinie bedürfen der Überführung in nationales Recht in Deutschland. Die Umsetzungsfrist für diese Überführung ist bereits Ende 2024 abgelaufen, wird aller Voraussicht aber im Laufe des Jahre 2025 erfolgen. Auch wenn die geplanten Umsetzungsgesetze noch nicht in Kraft getreten sind und daher die jeweils betroffenen Unternehmen und Organisationen (noch) nicht der Regulierung durch die Umsetzungsgesetze unterfallen, sollten sie sich dennoch dringend mit der Sicherheit ihrer IT-Systeme und Netzwerke sowie ihrer Infrastrukturen und Anlagen beschäftigen, um ihre Resilienz und damit den Schutz ihrer Unternehmen und Organisationen bestmöglich zu gewährleisten.

Risiken durch den Einsatz von Drohnen

Drohnen stellen eine erhebliche Bedrohung für die Sicherheit von IT-Systemen und Netzwerken sowie den Infrastrukturen und Anlagen von Unternehmen und Organisationen dar. Ihre Fähigkeit, aus einer gewissen Entfernung bedient zu werden, ihre geringe Größe und Wendigkeit und damit die Möglichkeit, unentdeckt zu bleiben, machen Drohnen zu einem validen Aufklärungs- und Angriffsinstrument.

Hierbei sind insbesondere folgende Risiken zentral:

  1. Optische und Infrarot-Aufklärung: Drohnen können zur Überwachung von Standorten, Installationen, Systemen und Personen eingesetzt werden. Sie können sensible Informationen durch „Shoulder Surfing“ von Bildschirmen, Whiteboards und Dokumenten erfassen.
  2. Abhören und Abfangen von Kommunikation: Drohnen können als mobile Abhörstationen eingesetzt werden, um vertrauliche Kommunikation von Personal, IT-Systemen und Telefonen abzufangen.
  3. Hacking und Störangriffe: Drohnen können als Relaisstationen für Man-in-the-Middle-Angriffe oder zum Stören von drahtlosen Kommunikationssystemen eingesetzt werden. Sie können zum Kompromittieren lokaler Netzwerke eingesetzt werden sowie dazu, Daten zu manipulieren und die Kommunikation zu stören.
  4. Physische Angriffe: Drohnen können Waffen, Sprengstoffe o. ä. Substanzen transportieren und gezielte Angriffe auf kritische Infrastrukturen durchführen.
  5. Schwarmangriffe: Mehrere Drohnen können gleichzeitig eingesetzt werden, um Verteidigungsmaßnahmen zu überlasten und Ablenkungsmanöver durchzuführen.

Schutz vor Drohnen als Teil des Risikomanagements

Um sich vor den beschriebenen Risiken zu schützen, sollten Unternehmen und Organisationen den Einsatz von Drohnen in ihr Risikomanagement integrieren. Hierzu sind Drohnenszenarien in bestehende Risikoanalysen und Sicherheitskonzepte aufzunehmen und Maßnahmen zum Schutz vor, der Erkennung von und der Reaktion auf den Einsatz von Drohnen zu definieren.

Das Risikomanagement kann dabei etwa folgende Aspekte umfassen:

1. Prävention

  • Informations- und Sensibilisierungskampagnen: Mitarbeiter sollten über die Bedrohungen durch Drohnen informiert und geschult werden. Es sollten interne Meldeverfahren für Drohnensichtungen eingerichtet werden.
  • Sichtbarkeit reduzieren: Kritische Bereiche und Installationen sollten nicht einsehbar sein. Standort- und Gebäudepläne sowie Informationen zur Gebäudeversorgung, etwa bzgl. Strom, Wasser, Klimatechnik und Belüftung, sollten vermieden werden.
  • Optische Abschirmung: Fenster sollten mit Jalousien oder Vorhängen versehen werden, um optische Aufklärung zu verhindern. Sensible Informationen und einsehbare Geschäftsgeheimnisse sollten mit geeigneten Schutzvorrichtungen abgedeckt werden.

2. Erkennung

  • Technische Sensoren und Effektoren: Drohnensensoren und -abwehrsysteme sollten an den Perimetern und an hochsensiblen Zielen installiert werden. Auch das Anbringen von Netzen kann Öffnungen und Gebäude vor Drohneneindringen schützen.
  • Regelmäßige Inspektionen: Fassaden, Dächer und andere schwer zugängliche Bereiche sollten regelmäßig auf ungewöhnliche Objekte überprüft werden. Videoüberwachung, hochauflösende Ferngläser und Wärmebildkameras können bei der Erkennung von Anomalien helfen.

3. Reaktion

  • Lokalisierung von Sendern: Tragbare Werkzeuge zur Erkennung und Lokalisierung von WLAN-Netzwerken und Störsendern sollten regelmäßig eingesetzt werden, um unerwartete Strahlungen zu identifizieren.
  • Nachbarschaftsbeziehungen: Gute Beziehungen zu Nachbarn und deren Sicherheitspersonal können helfen, Bedrohungen frühzeitig zu erkennen und zu melden.

Fazit

Der Einsatz von Drohnen stellt eine ernsthafte Bedrohung für die Informationssicherheit sowie physische Sicherheit dar. Unternehmen und Organisationen sollten daher zusätzliche und neue Gegenmaßnahmen entwickeln und in ihre bestehenden Sicherheitsprozesse integrieren. Dies umfasst sowohl technische und organisatorische Maßnahmen zur Sensibilisierung und Abschirmung als auch zur Erkennung und Reaktion auf Drohneneinsätze.

Durch die Integration von Drohnenszenarien in bestehende Risikoanalysen sowie die Umsetzung der genannten Maßnahmen im Rahmen der bestehenden Sicherheitskonzepte können Unternehmen und Behörden ihre Informationssicherheit erheblich verbessern und sich gegen die wachsenden Bedrohungen durch Drohneneinsätze wappnen. Nur durch eine ganzheitliche und proaktive Herangehensweise können die Risiken durch Drohneneinsätze effektiv minimiert werden.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Michael Kuska, LL.M., LL.M.
Düsseldorf
Manuel Poncza
Köln

Ansprechpartner

Michael Kuska, LL.M., LL.M.
Düsseldorf
Manuel Poncza
Köln

Weitere Artikel

25.02.2025
Der Data Act: Chancen und Herausforderungen für Unternehmen
21.02.2025
Die neue Medizinprodukte-Betreiberverordnung ist in Kraft getreten – Neue Anforderungen an Software und IT-Sicherheit
19.02.2025
EDSA-Leitlinien zur Pseudonymisierung: Ein Leitfaden für den datenschutzkonformen Umgang mit personenbezogenen Daten
13.02.2025
Verabschiedung fehlgeschlagen – Wie geht es weiter mit NIS2-Umsetzungsgesetz und KRITIS-Dachgesetz?
11.02.2025
Der Praxisleitfaden für KI-Modelle mit allgemeinem Verwendungszweck – Inhalte, Leitgedanken und Regelungsstrukturen der ersten beiden Entwürfe im Überblick
28.01.2025
Schadensersatz für unsichere Datentransfers
23.01.2025
Kopplungsangebote im Healthcare-Sektor – Rechtliche Fallstricke aus wettbewerbsrechtlicher Sicht
20.01.2025
Das Barrierefreiheitsstärkungsgesetz (BFSG) Teil 1: Folgen für Webseiten und Apps
16.01.2025
So coachen Sie rechtssicher im Verbraucherrecht: AGB und Widerrufsrecht im Fokus
03.01.2025
EU-Digitalrecht 2025 – Diese Neuerungen sollten Beachtung finden
20.12.2024
Europäischer Datenschutzausschuss veröffentlicht Stellungnahme zum Einsatz von KI-Modellen
11.12.2024
Wonach haften Plattformbetreiber? – Das Verhältnis zwischen Art. 17 DSM-RL, UrhDaG und DSA

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.