Smart Cities: Ist eine Vernetzung des urbanen Lebens überhaupt sicher umsetzbar?

bei

 / 1. July. 2020

Was ist eigentlich eine smarte Stadt? Eine intelligente Stadt[1] ist ein Rahmenwerk, das hauptsächlich aus Informations- und Kommunikationstechnologien (IKT) besteht, um eine nachhaltige Stadtentwicklung zu fördern und schlussendlich den Herausforderungen der zunehmenden Urbanisierung zu begegnen. Ein wesentlicher Teil dieses IKT-Rahmens ist die intelligente Vernetzung von Objekten und Maschinen, die Daten per Funk in die Cloud übertragen. Cloud-basierte IoT-Anwendungen empfangen, analysieren und verwalten Daten in Echtzeit, um Stadtverwaltungen, Unternehmen und Bürgern zu helfen, bessere Entscheidungen zu treffen, die letztendlich die Lebensqualität im urbanen Raum verbessern.

Die Bürgerinnen und Bürger einer Smart City sind auf vielfältige Weise mit intelligenten städtischen Ökosystemen verbunden, z.B. indem sie Smartphones und mobile Geräte sowie vernetzte Autos und Wohnungen nutzen. Die Kopplung von Geräten und Daten mit der physischen Infrastruktur und den Dienstleistungen einer Stadt kann Kosten senken und die Nachhaltigkeit verbessern. Weitere Beispiele sind eine Verbesserung bei der Energieverteilung, die Rationalisierung der Müllabfuhr, Verringerung von Verkehrsstaus und sogar Verbesserung der Luftqualität mit Hilfe des IoT.

Eine intelligente Infrastruktur ist die zentrale Voraussetzung. Dazu gehören vernetzte Ampeln, die Daten von Sensoren und Autos empfangen, die die Lichtfrequenz und die Zeitsteuerung so anpassen, dass sie auf den Verkehr in Echtzeit reagieren und so die Überlastung der Straßen verringern. Intelligente Autos können mit Parkuhren und Ladepunkten für Elektrofahrzeuge (EV) kommunizieren und die Fahrer zum nächsten freien Platz leiten. Intelligente Mülltonnen senden automatisch Daten an Entsorgungsunternehmen und planen die Abholung nach Bedarf im Vergleich zu einem vorgeplanten Zeitplan. Das Smartphone der Bürgerinnen und Bürger wird zum mobilen Führerschein und zur virtuellen ID-Karte, die den Zugang zu den Diensten der Stadt und der lokalen Behörden beschleunigt und vereinfacht.

Stellen Sie sich den Arbeitsalltag in einer solchen Stadt im Jahr 2030 vor: Genau wie heute kommt es kurz vor Feierabend zu einem wichtigen Meeting – ohne Ankündigung. Anstatt den Kaffee leerzutrinken und den Laptop einzupacken, heißt es länger bleiben. Die wartende Tochter kann man aber anhand einer App mit einem selbstfahrenden Taxi abholen lassen. Per Smartphone geht ein Code an die Nachmittagsbetreuung der Schule, der den Zugang zum Abholservice erlaubt.

Während man sich also noch einen weiteren Espresso schnappt, wird der Nachwuchs sicher in die fahrerlose Mitfahrzentrale begleitet. Dort wartet der ausgewählte rote SUV. Neben Wagentyp und Farbe lassen sich auch Temperatur und die gespielte Musik aus der Ferne vom Handy aus einsehen und steuern. Als letztes Update vor dem Last-Minute-Meeting zeigt das Display des Handys noch die Information, dass das Auto samt Tochter umgeleitet wurde, um die Staus auf der Autobahn zu umfahren. Sie sollte aber rechtzeitig für ihren Klavierunterricht zu Hause sein – der Termin wurde automatisch nach dem Abgleich mit dem Kalendereintrag erkannt.

Diese Zukunftsvorstellung kann Wirklichkeit werden, aber ist sie auch sicher? Das nahtlose Zusammenspiel neuester IoT-Technologien definiert „Smart Cities“ und verändert die Lebens- und Arbeitsweise. Es gibt nur eine zentrale Herausforderung: Verbundene Technologiesysteme vergrößern die Angriffsfläche hinsichtlich Privatsphäre und Sicherheit. So werden beispielsweise durch die Abfrage des Weges von der Schule nach Hause dem Mobilitätsunternehmen personenbezogene Daten über den Zeitplan, die Präferenzen und den Aufenthaltsort der Tochter mitgeteilt. Es ist eine beunruhigende Vorstellung, dass jemand Wissen darüber erlangen könnte, wann die eigenen Kinder wohin gehen und wie man ihnen nach Hause folgen könnte. Smart Cities werden bald den Sprung vom Konzept zur Realität vollendet haben, daher hat ihre Absicherung oberste Priorität, um Vertrauen und Privatsphäre zu gewährleisten.

 

Die Kosten eines Sicherheitsvorfalls mit Datenverlust

Ein potenzielles Sicherheitsproblem einer Smart City-Initiative könnte schwerwiegende Folgen haben. Ein im vergangenen Mai veröffentlichter Bericht des US- Cybersicherheitsunternehmens Recorded Future zeigte einen Anstieg der Ransomware[2]-Angriffe auf Städte in den USA auf. Im Juni 2019 zahlte Riviera Beach 600.000 Dollar[3] an Hacker, um ihr E-Mail-System und ihre öffentlichen Aufzeichnungen wiederherzustellen. Inzwischen wurden auch in Deutschland zahlreiche Städte, Kommunen und wissenschaftliche Einrichtungen angegriffen. Vor allem Emotet legte Stadtverwaltungen lahm und sorgte sogar für den Ausfall des Berliner Kammergerichts[4]. Inzwischen warnen Land auf Land ab die zuständigen Behörden[5] vor der Schadsoftware, die sich darüber hinaus inzwischen zu einem großen Werkzeugkasten[6] für Cyberkriminelle entwickelt hat bzw. entwickelt wurde. Der Anstieg der Angriffe macht deutlich, dass viele Städte nicht auf Cybersicherheitsbedrohungen vorbereitet sind. Und laut eMazzanti Technologies[7] „machen die Ausgaben für Informationstechnologie (IT) oft weniger als 0,1 Prozent des gesamten Budgets einer Kommune aus“.

Die Hyper-Konnektivität und Digitalisierung von Städten, erhöht die Gefahr durch Cyber-Bedrohungen. Um die Herausforderung anzugehen, sollten Regierungsvertreter, Stadtplaner und andere wichtige Interessengruppen Best Practices für die IT-Sicherheit zu einem integralen Bestandteil ihrer Planung machen. Eine nachträgliche Implementierung ist immer schwierig. Im Wesentlichen geht es hierbei um Vertraulichkeit, Integrität, Verfügbarkeit, Sicherheit und Ausfallsicherheit. Das müssen die zentralen Ziele einer fundierten Sicherheitsstrategie sein. Diese sollte dabei sowohl die traditionellen Ansätze der Informationstechnologie (IT) zur Datensicherung, als auch Betriebstechnik (OT) zur Gewährleistung der Informations- und Ausfallsicherheit von Systemen und Prozessen umfassen.

Eine passende Strategie hilft modernen Städten, eine sicherere und widerstandsfähigere Betriebsumgebung zu schaffen. In der Vergangenheit waren IT- und OT-Netzwerke völlig getrennt, mit geteilten Schutzfunktionen sowie separaten Gruppen für deren Verwaltung und Kontrolle. Jetzt bewegen sich OT-Systeme immer stärker in Standard-Protokoll- bzw. Internet-Protokoll-(IP)-Netzwerken. Diese neue Umgebung erfordert einen anderen Ansatz für die Datensicherheit, einschließlich der Zugangskontrolle, um es Cyberkriminellen zu erschweren, in kritische Systeme einzudringen. Darüber hinaus sollte eine Zugriffsprotokollierung erfolgen, die eine Verbindung zu SIEM-und SOAR-Systemen herstellt, so dass Systemadministratoren ungewöhnliche Zugriffe erkennen können, die auf einen potenziellen Angriff hinweisen. Wichtig für Städte und Kommunen ist außerdem eine durchgehend starke Verschlüsselung, die sicherstellt, dass korrumpierte Daten unlesbar und nutzlos für diejenigen sind, die sie stehlen könnten. Ein zentrales Management des kryptografischen Schlüsselmaterials kann und sollte die fortlaufende Sicherheit des Systems gewährleisten.

 

Fazit

Alle der genannten Maßnahmen gelten als Best Practices für den Datenschutz. Das Ausbalancieren zwischen dem Potenzial von Smart Cities versus dem erhöhten Risiko durch umfangreiche Cyberangriffe ist die Schlüsselherausforderung der Stunde. Stadtverwaltungen sollten zunächst alle Interessengruppen und Einrichtungen des breiteren Ökosystems einbeziehen. Es ist klar, dass Smart Cities anfällig für Sicherheitsangriffe sind. Ebenso liegt es auf der Hand, dass es effektive Instrumente zur Absicherung gibt. Es braucht jetzt aber vor allem den Willen, die Herausforderung richtig anzugehen.

Quellen und Referenzen:

[1] https://www.thalesgroup.com/en/markets/digital-identity-and-security/iot/inspired/smart-cities

[2] https://go.recordedfuture.com/hubfs/reports/cta-2019-0510.pdf

[3] https://www.smartcitiesdive.com/news/florida-city-agrees-to-pay-hackers-600k-after-malware-attack/557338/

[4] https://www.deutschlandfunk.de/risiko-am-rechner-wenn-hacker-behoerden-und-unternehmen.724.de.html?dram:article_id=471925

[5] https://t3n.de/news/bsi-bka-umgang-ransomware-bloss-1259520/

[6] https://blog.wiwo.de/look-at-it/2020/02/17/wie-der-trojaner-emotet-funktioniert-und-man-sich-vor-ihm-schuetzt/

[7] https://www.emazzanti.net/cyber-security-for-municipalities-2/

 

Armin Simon ist seit 2011 bei Thales (ehemals Gemalto SafeNet) beschäftigt und verantwortet als Regional Sales Director den Bereich Identity & Data Protection in Deutschland. Der ausgebildete Informatiker startete seine Karriere als Systems Engineer und ist seit 1997 in der Industrie tätig.