Die Stadt von morgen birgt viele Versprechen für Bürger und Unternehmen, angefangen bei der leichteren Nutzung von Onlinediensten der Stadtverwaltungen bis hin zum flüssigeren Verkehr. Doch jeder neue digitale Dienst ist auch eine zusätzliche Chance für Cyberkriminelle, die Oberhand über die Smart City zu gewinnen oder die gesammelten Daten abzuschöpfen. Der Cybersecurity-Spezialist Stormshield weist auf mögliche Ansätze zur Absicherung der Smart Cities hin.
Smart City ist ein Oberbegriff, der verschiedene Domänen und Interessenvertreter zusammenfasst. Ein Ort, in dem die großen Herausforderungen der Städte von morgen (Umstellung der Energiequellen, rasch wachsende Bevölkerung, Ressourcenmanagement, Gesundheitswesen, E-Gov usw.) durch den Einsatz modernster Technologien bewältigt werden sollen. Dabei sind vernetzte Städte eine Konvergenzzone unterschiedlichster Informationssysteme und Akteure, mit individuellen technologischen Bausteinen (5G, IoT, Edge Computing, KI), unterschiedlicher Ausstattung (Stadtmobiliar, Ampeln, öffentliche Beleuchtung, Sensoren, Überwachungskameras) und diversen Schnittstellen (mobile Anwendungen, Datenaustausch). Diese Heterogenität erweitert die Angriffsfläche einer Smart City erheblich.
Heterogene Geräte und Ziele
Die Smart City muss sich auf ihre bestehende Infrastruktur verlassen können. Das bedeutet, dass man es mit verschiedenen Generationen von Anlagen und unterschiedlichen Technologien zu tun hat, wodurch die Umsetzung einer globalen Sicherheitspolitik erschwert wird. „Wir müssen sowohl die technischen, also die zu implementierenden Sicherheitslösungen, als auch die organisatorischen Maßnahmen an den Kontext, das Informationssystem, die Gerätegeneration und die verwendeten technologischen Bausteine anpassen”, betont Uwe Gries, Country-Manager DACH bei Stormshield. Erschwerend kommt hinzu, dass Smart Cities unabhängige Infrastrukturen (IT und OT) miteinander vernetzen, die verschiedene Prioritäten aufweisen: In IT-Infrastrukturen (E-Gov, E-Health) müssen die Vertraulichkeit und die Integrität der Daten gewährleistet werden, bei der OT (Verkehrsregulierungsanlagen, Wasser-, Gas- und Stromnetze usw.) geht es darum, die kontinuierliche Verfügbarkeit der Dienste zu garantieren. Doch anders als in geschlossenen IT-Umgebungen sind OT-Anlagen in der Stadt verteilt, relativ einfach zugänglich und dadurch leichter manipulierbar, was eine genaue Absicherungsstrategie erforderlich macht. Aufgrund dieses Unterschieds bei der Zielsetzung müssen die zu implementierenden Sicherheitsrichtlinien zwangsläufig voneinander abweichen. Dies impliziert eine globale Governance, die an jedes Subsystem angepasst ist.
Verschiedene Interessen und daraus resultierende Schwierigkeiten
Die Interessen aller Akteure, die zur „Smartisierung“ einer Stadt beitragen, gehen oftmals auseinander. Allein das Thema Mobilität umfasst unzählige Player, darunter Anbieter traditioneller Beförderungsmittel oder sanfter Mobilität (Roller/Fahrräder) bis hin zu Mobilfunk-Unternehmen. Auch Provider von Software- und Cloud-Lösungen bzw. überall abrufbarer E-Gov- und E-Health-Dienste gehören dazu. Unter diesen Bedingungen ist es schwierig, sich auf einen globalen Ansatz zu einigen. Diese Vielschichtigkeit der Akteure führt zu einer Verstrickung von Referenzsystemen und Regelwerken. Der erste Schritt zur Homogenität der Smart City sollte daher deren Harmonisierung sein. Es sollte zudem ein Mittelmaß gefunden werden, um sowohl Geschäfts- als auch Cybersicherheitsleute nachhaltig zusammenzuführen. „Eine komplizierte Aufgabe, die auch einfachste Maßnahmen wie die Überprüfung von Vertragsklauseln auf Schwachstellen bei der digitalen Sicherheit leicht vergessen lässt“, sagt Gries. Denn in Bezug auf die Einhaltung von Vorschriften muss sich die Smart City an verschiedene Normen sowohl auf europäischer als auch auf nationaler Ebene halten. Dazu gehören die DSGVO für personenbezogene Daten und die NIS-Richtlinie für KRITIS-Betreiber. „In jedem Fall muss die Stadt Mustervertragsklauseln definieren, die in ihre zukünftigen Verträge aufgenommen werden sollen, und sich bei deren Ausarbeitung rechtlich und technisch beraten lassen, um sich allumfassend zu schützen“, fügt Gries hinzu.
Die Smart City braucht maßgeschneiderte Cybersicherheit
Die Cybersicherheit einer Smart City muss ihre Entwicklung antizipieren. Um dies zu bewerkstelligen, gibt es nur eine Methode: Die Cybersicherheit muss bereits in der Eruierungsphase eines Smart-City-Projektes berücksichtigt werden, und zwar auf allen Ebenen, denn sie betrifft jedes kommunizierende Gerät, die Netzwerk- und Systeminfrastruktur, die Betriebszentren (Client-Arbeitsplätze, Handys, Tablets usw.) und auch die Benutzer (Gewohnheiten, Bewusstsein usw.). Je intelligenter und vernetzter Städte sind, desto mehr sind sie Cyberbedrohungen ausgesetzt – mit sehr konkreten Folgen für die Bürger. „Aus diesem Grund ist es elementar, dem Add-on-Ansatz ein Ende zu setzen, bei dem Schichten von Cybersecurity hinzugefügt werden, um Sicherheitslücken im Nachhinein zu schließen“, erklärt Gries. Die Auswahl der einzusetzenden Lösungen ist daher umso wichtiger.
Ein möglicher Ansatz für die nachhaltige Absicherung vernetzter Städte könnte aus folgenden Elementen bestehen:
- Implementierung verschiedener Sicherheitsebenen: Datenverschlüsselung, Firewall, Authentifizierung, Verwaltung von Zugriffsrechten, Einsatz von Zero-Trust-Modellen usw.
- Einsatz von europäischen Lösungen, die von vornherein die Einhaltung europäischer Vorschriften zusichern und – da es sich um Lösungen für die Absicherung öffentlich bereitzustellender Dienste handelt – die mittlerweile wenigstens bei der Cybersicherheit unerlässliche technologische europäische Souveränität gewährleistet.
- Bereitstellung einer bereichsübergreifenden Cybergovernance mit der Implementierung eines zentralisierten SOCs (Security Operations Center) pro Stadt oder Kreis, das Sicherheitsvorkommnisse bei allen IT-Infrastrukturen überwacht und möglichen lateralen Bewegungen unter den Systemen Einhalt gebietet. Eine gut durchdachte Segmentierung der Systeme erleichtert diese Aufgabe.
- Mapping der Geräte: Man kann keine Infrastruktur absichern, die man nicht kennt. Die Stadt muss eine klare Vorstellung davon haben, was abgesichert werden muss und welche Geräte im Laufe der Zeit noch hinzugefügt werden sollen, um Präventivmaßnahmen zu ergreifen.
- Sicherstellung der Interoperabilität zwischen Lösungen, um das Sicherheitsniveau zu erhöhen.
- Dafür sorgen, dass die Verträge der Stadt Cybersicherheitsklauseln enthalten, in denen die Verteilung der Verantwortlichkeiten und Verpflichtungen zwischen den Partnern detailliert festgelegt ist.
Die Versprechen der Smart City sind zahlreich, besonders in Bezug auf die Lebensqualität. Diese können allerdings ohne effektive Cybersicherheit nicht erfüllt werden.