Die NIS2-Richtlinie fordert Cybersicherheit für kritische Infrastruktur. Der Todesstern ist definitiv kritische Infrastruktur — und definitiv nicht konform. Eine Analyse der berühmtesten Schwachstelle der Filmgeschichte.
Die NIS2-Richtlinie fordert von Betreibern kritischer Infrastruktur: Risikomanagement, Vorfallmeldung, Lieferkettensicherheit und Governance. Der Todesstern ist eine Raumstation mit 1,2 Millionen Besatzungsmitgliedern — kritischer geht Infrastruktur nicht.
Und trotzdem: Ein einzelner Abluftschacht, ein Saboteur in der Lieferkette, keine Verschlüsselung der Baupläne, kein Patch-Management. Wäre das Imperium ein deutsches Unternehmen, hätte das BSI längst die Tür eingetreten.
Der Todesstern hat einen 2 Meter breiten Abluftschacht, der direkt zum Reaktorkern führt. Galen Erso hat ihn als Backdoor eingebaut — und niemand hat ein Risiko-Assessment gemacht.
Systematische Risikoanalyse aller kritischen Systeme, inklusive regelmäßiger Penetrationstests.
Die Zerstörung des ersten Todessterns wurde intern vertuscht. Die Nachricht erreichte Outer-Rim-Basen erst Wochen später. Keine 24-Stunden-Meldepflicht.
Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die zuständige Behörde gemeldet werden.
Galen Erso, ein Saboteur, war Lead Engineer des Todessterns. Kein Background-Check, kein Vier-Augen-Prinzip. Die gesamte Lieferkette war kompromittiert.
Cybersicherheitsanforderungen an Lieferanten, Überprüfung der Lieferkette auf Schwachstellen.
Plan nach Todesstern-Zerstörung: Todesstern II bauen. Keine Diversifizierung, kein Backup-Konzept. Single Point of Failure wird verdoppelt statt eliminiert.
Business-Continuity-Pläne, Backup-Systeme, Disaster Recovery für kritische Infrastruktur.
Wer ist für Cybersicherheit verantwortlich? Tarkin? Vader? Palpatine? Niemand. Kein CISO, keine Sicherheitsabteilung, keine klaren Zuständigkeiten.
Geschäftsleitung muss Cybersicherheitsmaßnahmen genehmigen und persönlich haften.
Die Todesstern-Pläne werden auf einem unverschlüsselten Datenspeicher auf Scarif aufbewahrt. R2-D2 kann imperiale Systeme mit einer Standardschnittstelle hacken. Jedes Terminal, jedes Mal.
Verschlüsselung sensibler Daten, Multi-Faktor-Authentifizierung, rollenbasierte Zugriffskontrolle.
Bekannte Schwachstelle (Abluftschacht) wird nicht gepatcht. Beim Todesstern II: Schwachstelle ist der halbfertige Zustand — und trotzdem wird er in Betrieb genommen.
Regelmäßiges Patching, Schwachstellen-Scanning und koordinierte Offenlegung.
Sturmtruppen werden im Kampf trainiert, aber nicht in Cybersicherheit. Social Engineering durch Rebellen (gestohlene Uniformen, gefälschte Codes) funktioniert jedes Mal.
Regelmäßige Cybersicherheitsschulungen für alle Mitarbeitenden, Phishing-Awareness.
Durchschnittsscore: 1.4/5 — Das Imperium betreibt die größte kritische Infrastruktur der Galaxis mit der Cybersicherheitsreife eines Startups in der Seed-Phase. Kein Risikomanagement, keine Vorfallmeldung, kompromittierte Lieferkette.
Die Abluftschacht-Schwachstelle (CVE-0000-BBY): Galen Erso baute absichtlich eine Schwachstelle in den Todesstern ein — einen 2 Meter breiten thermalen Abluftschacht, der direkt zum Reaktorkern führt. Ein einzelner Protonentorpedo reicht zur Zerstörung. Unter NIS2 hätte ein Penetrationstest das sofort gefunden. Aber: kein Test, kein Patch, kein Vier-Augen-Prinzip beim Design.
Rogue One als Supply-Chain-Attack: Der gesamte Film "Rogue One" ist im Grunde eine Supply-Chain-Attack. Ein kompromittierter Lieferant (Galen Erso) baut eine Backdoor ein, und Angreifer (die Rebellen) stehlen die technische Dokumentation (die Pläne) aus einem unzureichend gesicherten Archiv auf Scarif. NIS2 Artikel 21 fordert genau für dieses Szenario Lieferkettensicherheit.
R2-D2 als Penetration Tester: R2-D2 hackt sich auf dem Todesstern in Sekunden in das zentrale System — Müllpressen steuern, Türen öffnen, Gefangene lokalisieren. Keine Netzwerksegmentierung, keine Authentifizierung, keine Anomalieerkennung. Wäre R2-D2 ein Red-Team-Tester, sein Bericht hätte nur eine Zeile: "Alles offen."
Hoffentlich sicherer als der Todesstern.
NIS2 Betroffenheits-Check startenInspiriert von Europäische Union — NIS2-Richtlinie