Die Zukunft der Weltbevölkerung ist urban. Im Jahr 2050 werden etwa zwei Drittel der Menschen in städtischen Gebieten leben – besonders in Asien und Afrika [1] wird die Urbanisierung schnell vorangetrieben. Im Klartext bedeutet dies, dass in den kommenden drei Jahrzehnten voraussichtlich zusätzliche 2,5 Milliarden Menschen [1] in unseren Städten leben werden. Neben der Beschaffung des nötigen Wohnraums, führen vor allem die Bereitstellung kritischer Infrastrukturen und städtischer Dienstleistungen zu großen Herausforderungen.
Technologie kann hier eine entscheidende Brücke schlagen und bessere, sicherere sowie effizientere Städte schaffen. In den Bereichen Versorgung, Transport, Verkehr, Abfallwirtschaft, Umweltverschmutzung, nachhaltiges Leben, Sicherheit, Gesundheitsfürsorge und Governance entstehen intelligente Städte als Antwort auf die stetig wachsenden urbanen Ballungsräume.

Smart City-Initiativen sind wahre Game Changer. Heizungen aus erneuerbaren Quellen in Yokohama, digitalisierte Abfallmanagementsysteme in Barcelona, intelligente Parklösungen in Canberra, Echtzeit-Überwachung des öffentlichen Verkehrs in Groningen oder ein dezentrales Luftqualitätsnetz in Nimwegen – um nur einige Beispiele zu nennen.

Interkonnektivität ist ein doppelseitiges Schwert

Smart Cities basieren auf zahlreichen vernetzten Sensoren und Internet of Things (IoT)-Endgeräten. Diese sind über das Internet und Cloud Computing-Architekturen miteinander vernetzt und kontrollieren interne sowie externe Systeme. Darüber hinaus werden persönliche und vertrauenswürdige Daten über unsichere Kanäle übertragen – dabei sind die Endgeräte oftmals nicht gepatcht und unterstützen keine Datenverschlüsselung. Diese Interkonnektivität, die eine Smart City am Laufen hält, schafft gleichzeitig substantielle Risiken in Sachen Cyber Security. Jeder Zugangspunkt erhöht die Anfälligkeit für die Gefährdung sensibler Daten – und digitale Angriffe haben bereits begonnen.

2018 traf beispielsweise Atlanta eine Ransomware-Cyberattacke [2]. Der Angriff legte zahlreiche Geräte für fünf Tage lahm, behinderte die Strafverfolgung sowie die Vergabe von Geschäftslizenzen und stoppte sogar den Betrieb des wichtigsten Flughafens der USA. Ransomware-Angriffe zerstörten darüber hinaus einen Großteil der Server in Baltimore [3] und sorgten im selben Jahr für die Abschaltung der 911-Notrufzentrale, was Schäden in Höhe von 18 Millionen US-Dollar verursachte.

Diese Angriffe betreffen nicht nur Städte in den USA. Beispielsweise war das Straßensystem in Dublin [4] von einer Ransomware-Attacke betroffen, ebenso wie die Flugverkehrskontroll- und Eisenbahnfahrkartensysteme von Stockholm [5]. Außerdem wurde die Stromversorgung in Johannesburg [6] und Hyderabad [7] nach einer Ransomware-Attacke gestört. Neben Ransomware setzen die Cyberkriminellen zahlreiche andere Techniken ein, darunter Angriffe aus der Ferne, das Stören von Signalen, aber auch bekannte Maßnahmen wie Malware, Datenmanipulation und Distributed Denial-of-Service-Attacken. Die digitalen Arsenale der Cyberkriminellen stammen aus dem Deep web und ihre Waffen sind voll automatisiert und ermöglichen Angriffe, die rund um die Uhr und sieben Tage die Woche ausgeführt werden können.

Leichte Ziele oder vermeidbare Verbrechen?

Städte sind ein leichtes Ziel für Cyberkriminelle, da sie beim Einsatz von Technologien oftmals hinterherhinken und die zugrunde liegende Technik – die die kritische Infrastruktur der Städte stützt – ist bestenfalls veraltet. Die technologische Beschleunigung, die bestehende Städte in intelligentere Städte verwandelt, erhöht die Komplexität. Smart Cities werden nicht in einem Zug gebaut, sondern entwickeln sich im Laufe der Zeit weiter. Da oftmals Technologien eingesetzt werden, die zunächst experimenteller Natur sind, bleiben in vielen Fällen die Betaversionen langfristig im Einsatz, wodurch sich auch die Wahrscheinlichkeit von Pannen erhöht.

Städte erwirtschaften derzeit 70 Prozent [8] des weltweiten Bruttoinlandsprodukts. Cyberkriminelle, die einen Weg finden die Verteidigung einer Smart City zu durchbrechen, haben damit eine gute Chance, sich finanziell bereichern zu können. Smart Cities müssen aus diesem Grund „secure by design“ sein und nicht einfach nur angedockt werden, nachdem die Systeme bereits aufgesetzt wurden. Die Systeme sollten von Beginn an auf soliden, intuitiven und automatisierten Sicherheitsprotokollen und -richtlinien basieren. Dabei ist es wichtig, die Bürger in jeder Phase einzubeziehen, denn auf diese Weise lernen sie leichter, Eigenverantwortung in Bezug auf die Einhaltung der Datenschutzanforderungen zu übernehmen.

Cyberrisiko definiert durch die Konvergenz von Alt und Neu

Das Sicherheitsrisiko des Ökosystems einer Smart City wird von mehreren Faktoren beeinflusst. Die Konvergenz von Cyber- und Betriebssystemen platziert Geräte und Sensoren am „Edge“ – diese wiederum können zu Einstiegspunkten für Cyberkriminelle werden. Harmlose Geräte wie energiesparende, automatische Beleuchtung oder Energiezähler werden so schnell zu potenziellen Einstiegspunkten. Sobald diese gehackt und mit Malware infiziert sind, öffnen sie weitere vernetzte Geräte und verursachen kaskadierende Schäden in der gesamten Infrastruktur.

Aufgrund der notwendigen Interoperabilität zwischen Legacy-Systemen und neuen digitalen Technologien müssen unterschiedliche Technologieplattformen für die Zusammenarbeit angepasst werden. Ohne konsistente Sicherheitsrichtlinien und -verfahren zur Regelung des operativen Rahmens setzen sie das gesamte Ökosystem verborgenen Sicherheitslücken aus. Verschärft wird diese Herausforderung noch durch fehlende allgemein anerkannte Standards für die Funktionsweise von IoT-fähigen Geräten am „Edge“. Im Grunde beeinträchtigt also die Interoperabilität die Sicherheit.

Ein weiterer Einflussfaktor ist die Integration und Vernetzung verschiedener Services und Abteilungen innerhalb eines Smart City-Ökosystems. Die Services und Abteilungen arbeiten oftmals unabhängig in Silos und die Kombination aus Dienstleistungen und Systemintegration, Vernetzung und Datenaustausch schafft gemeinsame Schwachstellen. So kann ein Problem in einem Dienstleistungsbereich schnell andere Bereiche infizieren.

Integrierte Frameworks und umfassende Governance-Modelle

Um Bedrohungen der Cyber Security, die durch Konvergenz, Interoperabilität und Vernetzung verursacht werden, zu adressieren, erfordert es ein Framework für Cyberrisiken. Solche Frameworks müssen den Städten Managementprinzipien an die Hand geben, um die branchenweiten Cyber Security-Standards bereits in den Entwurf zu integrieren und sicherzustellen, dass die Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit erfüllt werden. Die Frameworks sollten darüber hinaus rechtliche und regulatorische Anforderungen umfassen, die die Auswirkungen von Cyberrisiken auf alle Parteien des Ökosystems, Dienstleistungen, Infrastruktur und Prozesse bewerten. Dieser Rahmen muss entwickelt und in alle Planungs-, Entwurfs-, Implementierungs- und Transformationsentwürfe integriert werden sowie im Einklang mit der umfassenderen Smart City-Strategie stehen. Darüber hinaus muss er auch den Einfluss der einzelnen Systeme und Assets aufeinander bewerten.

IoT-Endgeräte und -Netzwerke werden durch Geräte-Authentifizierung, Patching, Datenverschlüsselung und Security-Monitoring vor Angriffen geschützt. Der Aufbau sicherer Kanäle sowie einer sicheren Vertrauenskette zwischen den miteinander vernetzten Geräten ist von entscheidender Bedeutung. Und auch physische Sicherheitsmaßnahmen, die IoT-Geräte vor unbefugtem Zugriff und Cyberangriffen schützen, sollten nicht vernachlässigt werden.

Smart Cities benötigen zudem ein umfassendes, formales Governance-Modell, das die Rollen und Verantwortlichkeiten für jede kritische Komponente im Ökosystem festlegt. Das Modell untermauert die kontinuierliche Angleichung von Politik, Gesetzgebung und Technologie im Hinblick auf das richtige Gleichgewicht zwischen Datenschutz, Transparenz und Nutzen.

Schließlich müssen Smart Cities ihr Netzwerk erweitern und sich beispielweise mit der Stadtverwaltung anderer Smart Cities sowie mit der Wissenschaft, dem Privatsektor und Start-ups verknüpfen, um ihre Interessen zu vertreten und die Smart City weiter voranzutreiben. Auch wenn ihr immenses Potenzial nach wie vor vorhanden ist, ist ein effektives Management der damit verbundenen Cyberrisiken von entscheidender Bedeutung, um das Versprechen der Smart City zu verwirklichen.

Quellen und Referenzen:

[1] https://population.un.org/wup/Publications/Files/WUP2018-Highlights.pdf

[2] https://www.govtech.com/security/What-Can-We-Learn-from-Atlanta.html

[3] https://www.engadget.com/2019/06/06/baltimore-ransomware-18-million-damages/?guce_referrer=aHR0cHM6Ly93d3cuZ29vZ2xlLmNvbS8&guce_referrer_sig=AQAAAETKb2drvlKgB9PTHKxqcTO4efAwecgx_yHNiQyP9a8339HgGzt-0O0zJ-H5EYgNWZeR7X-3O9Vy-9WgqghttnqYhTjIbEuB9OtyBTdmQZMdYO8ZOPBmsm0q9uSU1EtjnP9TSaYqIiyYJyBsirE4k82hA1uY8r7YKwcABbRKfAjf&guccounter=2

[4] https://www.breakingnews.ie/ireland/over-3000-luas-users-may-have-had-records-compromised-in-cyber-attack-895306.html

[5] https://www.aldrimer.no/analysis-sweden-is-under-attack/

[6] https://www.bbc.com/news/technology-49125853

[7] https://timesofindia.indiatimes.com/city/hyderabad/ransomware-hits-t-and-ap-power-dept-websites/articleshow/69152579.cms

[8] https://www.iec.ch/about/brochures/pdf/technology/smartcities.pdf