Inhalt in Kürze
- Was passierte: Der belgische Forscher Lennert Wouters knackte 2022 das Starlink-Terminal mit einem selbstgebauten 30-Dollar-Modchip und führte eigenen Code auf dem Empfänger aus.
- Warum es relevant bleibt: Der Hack ist das Lehrbuch-Beispiel für Hardware-Supply-Chain-Risiken – und seit NIS2 (Oktober 2024) ein Compliance-Thema für jeden Zulieferer von KRITIS-Betreibern.
- Was Hamburger KMU mitnehmen: Vertrauen Sie nicht blind auf “der Hersteller wird schon Updates liefern”. Prüfen Sie Ihre Lieferkette, segmentieren Sie kritische Systeme, dokumentieren Sie Verantwortlichkeiten.
- Konkreter nächster Schritt: Mit unserer Cybersicherheits-Checkliste 2026 systematisch absichern – kostenlos, in 30 Minuten ausgefüllt.
Im August 2022 stand ein junger Sicherheitsforscher auf der Black-Hat-Bühne in Las Vegas und zeigte, wie er für unter 30 US-Dollar einen Schraubenzieher-Angriff auf das modernste Satelliten-Internet der Welt gebaut hatte. Vier Jahre später ist daraus mehr geworden als eine Konferenz-Anekdote: ein Lehrstück über Hardware-Sicherheit, Lieferketten-Risiken und die Frage, wem man eigentlich noch trauen darf.
Wir ordnen den Starlink-Hack ein, schauen auf den Stand der Satelliten-Cybersecurity 2026 und übersetzen die Erkenntnisse in das, was für Hamburger KMU wirklich zählt: Was bedeutet das für Ihre eigene Lieferkette, Ihre NIS2-Pflichten und die Frage, ob Ihre IT auf den Ernstfall vorbereitet ist.
Was beim Starlink-Hack 2022 wirklich passiert ist
Lennert Wouters, Promotion an der KU Leuven, hatte sich vorgenommen, das Starlink-Terminal – die kleine flache Antenne, die SpaceX an Endkunden verkauft – zu reverse-engineeren. Die Frage war einfach: Lässt sich der Authentifizierungs-Mechanismus knacken, mit dem das Terminal sich gegenüber dem Starlink-Backend ausweist?
Ein Modchip ist eine kleine Zusatzplatine, die parallel zu einem bestehenden Mikrocontroller geschaltet wird. Sie injiziert zum richtigen Zeitpunkt einen Spannungs-Glitch in den Stromkreis – das bringt den Hauptchip aus dem Tritt und überspringt eine Sicherheitsprüfung. Die Technik heißt Voltage Fault Injection und ist seit den 2000er-Jahren bekannt, etwa von Spielkonsolen-Hacks (Xbox 360, PlayStation).
Wouters baute genau so eine Platine – Bauteile für 25 Dollar, Lötkolben, Geduld. Sein Modchip löst den Spannungs-Glitch in dem Moment aus, in dem das Terminal den Bootloader prüft. Das Ergebnis: Die Signaturprüfung wird übersprungen, das Gerät akzeptiert eigene Firmware. Damit hatte Wouters Root-Zugriff auf das Terminal-Betriebssystem, konnte das Backend-Protokoll mitlesen und theoretisch manipulieren.
Wichtig zu verstehen: Wouters hat nicht Satelliten gehackt. Er hat das Bodensegment kompromittiert – das Endgerät. Die Satelliten selbst rotieren weiter unbeeindruckt in 550 Kilometer Höhe. Aber er hat gezeigt, dass die Vertrauenskette zwischen Endgerät und Backend brüchig ist. Wer ein Terminal manipuliert, könnte theoretisch eigene Datenpakete in das Starlink-Netz einschleusen, andere Terminals attackieren oder Kommunikation belauschen.
SpaceX hatte Glück im Unglück: Wouters arbeitet als Whitehat-Hacker. Er meldete die Schwachstelle Monate vor seiner Präsentation, SpaceX schickte ein Firmware-Update aus, der Angriff wurde teurer – aber nicht unmöglich. Wouters baute den Modchip nach dem Patch in einer modifizierten Version weiter und veröffentlichte Schaltplan und Code auf GitHub. Lehrgeld für SpaceX, Open Knowledge für die Security-Community.
Satelliten-Cybersecurity 2026: Der Stand der Dinge
Vier Jahre nach Wouters’ Vortrag ist Satelliten-Sicherheit kein Nischenthema mehr. Drei Entwicklungen haben das Feld geprägt.
Erstens: Der Viasat-Hack vom 24. Februar 2022. Wenige Wochen vor Wouters’ Black-Hat-Vortrag legten russische Angreifer die Bodenstationen des Satellitendienstes KA-SAT lahm – stundengleich mit dem Beginn der Ukraine-Invasion. Tausende Modems wurden remote gebrickt, in der Ukraine fiel Behörden- und Militär-Kommunikation aus, in Deutschland und Frankreich standen tausende Windkrafträder still, weil die Fernwartung über KA-SAT lief. Das BSI bezeichnete den Vorfall in seinem Lagebericht 2022 als Wendepunkt – plötzlich war Satellitenkommunikation Teil der Bedrohungslage.
Zweitens: NIS2. Die EU-Richtlinie zur Netzwerk- und Informationssicherheit, in Deutschland umgesetzt durch das NIS2-Umsetzungsgesetz (in Kraft seit Mai 2025 nach Verzögerung), stuft Anbieter elektronischer Kommunikationsdienste – inklusive Satellitenkommunikation – als wesentliche Einrichtungen ein. Damit gelten Meldepflichten innerhalb von 24 Stunden, technische Mindeststandards und persönliche Haftung der Geschäftsleitung. Auch Zulieferer geraten über die Lieferketten-Klausel in den Geltungsbereich.
Drittens: ENISA und das BSI veröffentlichen seitdem regelmäßig Threat Landscapes für den Weltraum-Sektor. Der ENISA-Report “Space Threat Landscape” (Erstausgabe 2024) listet Angriffsvektoren von Jamming und Spoofing über Supply-Chain-Angriffe bis zu klassischer Software-Ausnutzung. Quintessenz: Die kommerzielle Raumfahrt ist sicherheitstechnisch da, wo die IT vor 15 Jahren stand – schnell, günstig, funktional, aber Sicherheit oft nachträglich aufgesetzt.
Quellen direkt prüfen: BSI-Lagebericht der IT-Sicherheit in Deutschland, ENISA Threat Landscape, ESA Space Debris Office.
NIS2, KRITIS und die Lieferketten-Falle
Die spannendste Frage ist nicht “wird Starlink nochmal gehackt?”, sondern: Wer hängt eigentlich an Starlink? Die Antwort ist überraschend lang.
- Ländliche Gewerbegebiete ohne Glasfaser – Tendenz steigend, wo Anschluss-Förderung scheitert
- Reedereien und Hochsee-Schifffahrt – Hamburg hat als Hafenstadt direkten Bezug
- Notfall-Kommunikation der Bundeswehr und THW (als Backup)
- Baufirmen für temporäre Standorte ohne Festnetz
- Veranstaltungs-Branche (Festivals, Messen) für temporäre Bandbreite
Jede dieser Branchen hat plötzlich einen US-Dienstleister als kritische Infrastruktur in ihrer Lieferkette. Mit NIS2 wird das zur Compliance-Frage: Wer als Hamburger Reederei für die Schiffsanbindung auf Starlink setzt, muss begründen, warum dieser Single-Point-of-Failure akzeptabel ist. Wer als IT-Dienstleister Mandanten aus dem KRITIS-Bereich betreut, muss eigene Sicherheits-Nachweise erbringen.
Wir sehen das gerade bei vielen Kunden in Hamburg. Plötzlich kommt von den großen Auftraggebern ein 40-Seiten-Fragebogen zur IT-Sicherheit, weil die selbst NIS2-pflichtig geworden sind. Wer da nicht antworten kann, fliegt aus der Lieferkette – und merkt erst dann, dass das eigentliche Geschäftsrisiko nicht der Hacker ist, sondern der Compliance-Rauswurf beim Kunden.Jens Hagel, Geschäftsführer hagel IT
NIS2 zwingt Unternehmen, die eigene Lieferkette als Angriffsfläche zu sehen. Das ist unangenehm, weil man Vertrauen aus seinem Geschäftsalltag durch Verträge und Audits ersetzen muss. Aber es ist genau die Lehre aus dem Starlink-Hack: Wer einem Hersteller blind vertraut, übernimmt dessen Sicherheits-Niveau – inklusive aller Lücken, die jemand wie Wouters in einem Keller bauen kann.
Was Hamburger KMU jetzt prüfen sollten
Sie müssen kein KRITIS-Betreiber sein, um vom Starlink-Hack zu lernen. Das Muster wiederholt sich auf jedem Niveau: ein Drittanbieter, eine Komponente, ein blindes Vertrauen – und ein Vorfall, der das Geschäft trifft. Drei Schritte, die jedes Unternehmen mit 10 bis 250 Mitarbeitenden konkret angehen kann.
Lieferkette inventarisieren
Wer liefert Hardware (Router, Firewalls, Switches, Drucker, Industrie-IoT)? Wer liefert Software-as-a-Service? Wer hat Remote-Zugriff für Wartung? Listen Sie das einmal komplett auf – nicht aus dem Kopf, sondern Inventur. Bei den meisten KMU kommen 30 bis 80 Anbieter raus. Davon sind 5 bis 10 wirklich geschäftskritisch.
Patch- und Vorfall-Praxis abfragen
Bei den kritischen Anbietern: Wie oft werden Sicherheitsupdates ausgeliefert? Gibt es eine SLA mit definierter Reaktionszeit? Werden Vorfälle proaktiv gemeldet? Wer Microsoft 365 nutzt, kennt das aus dem Microsoft Security Response Center – kleinere Anbieter machen das oft gar nicht oder nur auf Nachfrage. Vertraglich nachschärfen, wo nötig.
Segmentieren und Notfall-Pfade definieren
Welcher Bereich Ihrer IT würde lahmliegen, wenn Anbieter X morgen einen Vorfall hat wie Viasat 2022? Lässt sich das Segment vom Rest abkoppeln, damit der Schaden begrenzt bleibt? Gibt es einen alternativen Pfad – zweiter Provider, LTE-Backup, Offline-Prozess – auch wenn er nur 80 % der Leistung liefert? 80 % Leistung ist immer besser als 0 %.
Diese drei Schritte sind nicht teuer, aber sie sind unbequem, weil sie Verantwortung sichtbar machen. Genau das ist der Grund, warum sie meistens unerledigt bleiben – bis der Vorfall da ist.
Lieferketten-Sicherheit konkret: Drei Beispiele aus dem Hamburger Mittelstand
"Wir hatten 18 Jahre lang denselben Drucker-Wartungsvertrag, ohne mal nachzufragen. Bei der NIS2-Vorbereitung hat hagel IT festgestellt, dass die Geräte alle eine offene Fernwartungs-Schnittstelle hatten – mit Standard-Passwort. Drei Wochen später war das Loch zu, ohne dass wir den Anbieter wechseln mussten. Aber: Wir hätten es nie selbst gefunden."Bauunternehmen aus Hamburg-Wilhelmsburg, 65 Mitarbeitende
Drei reale Muster, die wir bei der Lieferketten-Analyse für Hamburger KMU regelmäßig sehen:
Muster 1: Der vergessene Wartungsvertrag. Hardware-Anbieter, die vor 10 Jahren ausgewählt wurden, sind seitdem nie überprüft worden. Patches kommen unregelmäßig oder gar nicht, der Hersteller existiert teilweise gar nicht mehr (Übernahme, Insolvenz). Lösung: jährliches Lieferanten-Audit, klare Abkündigung von Geräten ohne Sicherheitspflege.
Muster 2: Der billige Cloud-Anbieter aus dem Vorstadt-Rechenzentrum. Spart 200 Euro im Monat, hat aber keinen 24/7-Support, keine Sicherheits-Zertifizierung, keine Mehrfaktor-Authentifizierung erzwungen. Im Vorfall: drei Tage offline, kein Krisen-Kontakt erreichbar. Wer hier auf seriöse Anbieter wechselt – etwa zu Microsoft 365 mit BSI-C5-Konformität – zahlt mehr, aber bekommt verlässliche Reaktion.
Muster 3: Die eingewanderte Schatten-IT. Ein Mitarbeiter hat irgendwann eine Cloud-Lösung “kurz mal” eingerichtet, mit privater E-Mail-Adresse als Admin. Zwei Jahre später läuft halb die Buchhaltung darüber, niemand weiß es, und der Mitarbeiter hat das Unternehmen verlassen. Lösung: regelmäßige Schatten-IT-Inventur, klare Genehmigungs-Prozesse für neue Tools.
Was Sie konkret tun können
Wenn Sie unsicher sind, wo Sie anfangen sollen: Unsere Cybersicherheits-Checkliste 2026 führt Sie in 30 Minuten durch die wichtigsten Lieferketten- und Sicherheitsfragen für KMU. Sie bekommen am Ende einen konkreten Status mit Prioritäten – was sofort gemacht werden sollte, was im Lauf des Quartals, was später.
Falls Sie es lieber im Gespräch klären: Wir bieten ein 15-minütiges Erstgespräch kostenlos und unverbindlich. Vor dem Termin schauen wir uns Ihre öffentlich sichtbaren Risiken an (DNS, SSL, externe Dienste), damit das Gespräch nicht bei Allgemeinplätzen bleibt. Themen, die typischerweise in 15 Minuten machbar sind: NIS2-Betroffenheit klären, kritischste Lieferanten identifizieren, einen ersten Maßnahmenplan skizzieren.
15-Min-Erstgespräch zur Cybersecurity
Kostenlos, unverbindlich, mit konkretem Maßnahmen-Plan am Ende.
Termin vereinbarenAus der Praxis: Was wir bei Cybersecurity-Audits sehen
Wir haben in den letzten 12 Monaten rund 40 Cybersecurity-Audits bei Hamburger und norddeutschen KMU durchgeführt. Drei Beobachtungen, die immer wieder kommen.
Erstens: Backup ist da, aber niemand hat es getestet. Bei jedem dritten Audit stellt sich heraus, dass die Backup-Software seit Monaten Fehler wirft, die niemand prüft. Oder dass die Wiederherstellung im Ernstfall nie geübt wurde. Wer einmal pro Quartal einen Test-Restore macht, ist Lichtjahre voraus. Mehr dazu in unserem Backup-Lösung.
Zweitens: Mehrfaktor-Authentifizierung ist nur für Admins aktiv. Standardbenutzer dürfen weiter mit Passwort-only ran, weil die Einführung “zu viel Aufwand” wäre. Faktisch dauert das pro Mitarbeiter 15 Minuten und schließt den häufigsten Angriffsvektor (Phishing). Microsoft 365 macht das mittlerweile zur Pflicht für neue Tenants.
Drittens: NIS2 wird unterschätzt. Selbst Geschäftsführer, die “schon davon gehört” haben, sind oft überrascht, dass sie persönlich haften, sobald ihr Unternehmen unter die Definition fällt. Die Faustregel: Mehr als 50 Mitarbeitende oder mehr als 10 Mio. EUR Umsatz und Tätigkeit in einem der 18 NIS2-Sektoren – dann kommt die Pflicht. Im Zweifel mit dem Compliance-Service klären lassen.
Fazit: Vom Satelliten zum Hamburger Serverraum
Der Starlink-Hack ist eine schöne Geschichte – ein junger Forscher, ein Lötkolben, ein Milliarden-Dollar-Imperium, das sich überraschen lässt. Aber die eigentliche Lehre liegt nicht im Spektakulären, sondern im Banalen: Auch teuerste Hightech-Hardware wird von Menschen gebaut, mit Annahmen, mit Kompromissen, mit Lücken.
Für Hamburger KMU heißt das nicht, jetzt vor jeder Lieferanten-Beziehung in Panik zu verfallen. Es heißt: einmal pro Jahr durchputzen. Wer liefert was? Wie zuverlässig? Was passiert, wenn dieser Anbieter ausfällt? Diese Fragen ehrlich beantworten zu können, ist der Unterschied zwischen einem Unternehmen, das den nächsten Vorfall überlebt – und einem, das ihn als Krise erlebt.
Wenn Sie das nicht selbst aufsetzen wollen, melden Sie sich. Wir machen das mit Hamburger Mittelständlern seit über 15 Jahren – ohne Drama, ohne Panik-Verkauf, mit einem konkreten Maßnahmenplan am Ende des Tages. Das gilt übrigens auch für Unternehmen aus Bremen, Kiel und Lübeck, für die wir Remote-Betreuung anbieten.
Mehr zum Thema vertiefen Sie hier: Cybersecurity für KMU, NIS2-Compliance praxisnah und unser ausführlicher Compliance-Leitfaden für die Lieferketten-Anforderungen.
