Fachartikel aus PROTECTOR 9/2018

IT-Risiko der Woche Smart Cities als Herausforderung

Bringen Smart Cities wirklich nur Vorteile für Nachhaltigkeit und die Vereinfachung des Alltags mit sich? Oder bedeuten die veränderten Verknüpfungen der gesamten Gesellschaft eher eine Katastrophe der Cyber-Sicherheit? Fakt ist: Intelligente Systeme führen zu einer zunehmenden IT-Verwundbarkeit und schaffen Hackern neue Möglichkeiten.

Bild: BSI Group Deutschland
Der enorme Anstieg an angeschlossenen Geräten innerhalb der Smart-City-Umgebung bietet mehr Möglichkeiten für Hacker-Angriffe. (Bild: BSI Group Deutschland)

Bis 2050 werden schätzungsweise 70 Prozent der Weltbevölkerung in Städten leben. Deshalb ist es wichtig, dass wir uns jetzt darauf konzentrieren, dass Städte ein sicheres und angenehmes Umfeld zum Leben und Arbeiten bieten, das nachhaltig und widerstandsfähig gegen Veränderungen und Störungen ist. Das ist das Ziel einer Smart City. Der Standard PAS 180 von British Standards Institution (BSI) beschreibt die Smart City als eine Stadt, die physische, digitale und menschliche Systeme effektiv in die erbaute Umwelt integriert, um ihren Bürgern eine nachhaltige, wohlhabende und integrative Zukunft zu bieten.

Digitalisierte Datenflüsse

Digitale Technologien und die damit verbundenen automatisierten Datenflüsse ermöglichen es, die Lebensqualität in allen Bereichen der Gesellschaft zu vereinfachen und somit zu verbessern: von der Wohnung über den Arbeitsplatz, den Verkehr, die Versorgung, die Gesundheit, die Freizeit, die Landwirtschaft, den Einkauf bis hin zur Energienutzung/-verwaltung. Der Datentransfer von intelligenten Geräten erfolgt mit minimalem menschlichen Aufwand - nahezu automatisiert und ferngesteuert. Eine umfangreiche Softwareanalyse und eine Erweiterung der Vernetzungsmöglichkeiten führen dazu, komplexe Systeme, die über eine Stadt verteilt sind, auf einem noch nie dagewesenen Niveau zu überwachen und zu steuern.

Durch die zunehmende Bedeutung des Internet of Things (IoT) sind bereits heute immer mehr Geräte miteinander verbunden. In Italien zum Beispiel stieg der IoT-Markt 2017 um 30 Prozent (im Vergleich zum Vorjahr): das Marktvolumen 2017 betrug 3,7 Milliarden Euro. Der enorme Anstieg der Anzahl an angeschlossenen Geräten innerhalb der Smart-City-Umgebung sorgt jedoch für eine große Zunahme der Möglichkeiten an Hacker-Angriffen. Das stellt die Cyber-Sicherheit vor große Herausforderungen.

Welche Herausforderungen haben Smart Cities in Bezug auf die Cyber-Sicherheit?

1. Fehlende Standards

Es herrscht ein Mangel an klaren Richtlinien, Standards und Vorschriften, sodass intelligente Geräte allzu oft grundlegende Sicherheitsmängel aufweisen. Den Angreifern wird der Weg zu übergeordneten Systemen vereinfacht, sodass sie potenzielle Quellen für Denial-of-Service-Angriffe offenlegen und kritische Zugänge zur städtischen Infrastruktur erreichen können.

2. Fehlende Kompetenzen

Es herrscht aktuell ein weltweiter Mangel an Sicherheits-Experten, die fortschrittliche Cyber-Sicherheitssysteme voranbringen. Vor allem in einer intelligenten Stadtumgebung ist es besonders wichtig, geeignete Experten in angemessener Anzahl anzuziehen, um eine effektive Cyber-Sicherheit zu bieten. Aktuell suchen lokale Regierungen/Kommunen händeringend nach Kompetenzen, um die Zukunft der Smart Cities zu sichern.

3. Zunehmende Angriffsmöglichkeiten

Die Smart City ist einer Vielzahl potenzieller Bedrohungen ausgesetzt: von kriminellen Aktivitäten wie Lösegeldforderungen, "Hacktivisten" mit politischen Motiven bis hin zu Terroranschlägen. Wir haben weltweit Berichte über Sicherheitsverstöße, Verluste persönlicher Daten, Denial-of-Service-Angriffen auf staatliche und kommunale Behörden und Systeme sowie Angriffe auf Versorgungsunternehmen und kritische Infrastrukturen gesehen, die eine echte Bedrohung für das Leben in dieser Umgebung darstellen. Wenn sich Smart Cities entwickeln und wachsen, gilt dies auch für mögliche Cyber-Bedrohungen.

Wie ernst ist die Cyber-Gefahr?

Im letzten Jahr wurden sehr viele Cyber-Attacken auf intelligente städtische Infrastrukturen gemeldet, vor allem in den USA (Atlanta, Baltimore, San Franciso, Charlotte und Dallas). Doch auch in Europa nehmen die Meldungen von Cyber-Angriffen Tag für Tag zu.

Häufig erfolgt der Angriff durch Lösegeldforderungen mit einer Reihe potenzieller Auswirkungen, die von kompromittierten Daten über Denial-of-Service bis hin zu potenziell lebensbedrohlichen Service-Unterbrechungen reichen. In Wirklichkeit konnten die kritischeren Dienste auf ein alternatives (meist manuelles) Rückfallsystem zurückgreifen. Dennoch nimmt die Anzahl und Schwere dieser Angriffe zu, sodass ein lebensbedrohlicher Angriff immer wahrscheinlicher wird. Die häufigsten und schwerwiegendsten Angriffe sind die "Advanced Persistent Threats". Hierbei versuchen Hacker verdeckt auf Netzwerke zuzugreifen und schaffen es sogar, für längere Zeit unentdeckt zu bleiben, sodass sie so ganz einfach an alle Daten kommen, die sie suchen.

Was kann man tun?

Das ist ein sehr komplexes Thema. Um eine grundlegenden Cyber-Sicherheit zu erzeugen, gilt:

1. Bewusstsein schaffen

Cyber-Sicherheit ist nicht nur ein technisches Problem, das die IT-Teams lösen müssen. Es betrifft alle Organisationen und alle Systeme, die wir im Laufe unseres Lebens benutzen. Der einfachste Weg die Cyber-Sicherheitsbedrohung zu reduzieren, ist nicht die Vermeidung neuer Technologien, sondern die regelmäßige Implementierung neuer Sicherheitssysteme in allen Bereichen.

Es gibt nicht nur die eine Lösung, um eine Stadt "sicher" zu gestalten. Im Gegenteil es gibt viele Dinge, die getan werden können, damit Städte und Gemeinden die Vorteile von digitalen und vernetzten Technologien nutzen und gleichzeitig ihr Angriffsrisiko minimieren können. Dieses Bewusstsein sollte vorab geschaffen werden, um weitere Maßnahmen umsetzen zu können.

2. Groß denken, aber klein anfangen

Bei der Betrachtung, ob und welche intelligente Technologie für die Organisation einen Mehrwert bringt, sollten verschiedene Bereiche zunächst als Ganzes betrachtet werden. Wird die neue Technologie Möglichkeiten schaffen und die einzelnen Bereiche optimieren? Erst anschließend geht es an die Implementierung und die entsprechenden Risiken und Sicherheitsmaßnahmen.

3. Expertenhilfe nutzen

Cyber-Sicherheit ist nicht etwas, das die Kommunen allein bewältigen sollten. Die Technologie-, Bedrohungs- und Standardlandschaft ändert sich so schnell, dass Organisationen den Bedrohungen immer einen Schritt voraus sein müssen. Ein regelmäßiger Expertenwechsel ist daher ebenfalls sinnvoll, um die verschiedenen Risiken zukunftsorientiert abdecken zu können.

4. Alle Seiten absichern

Wir neigen dazu, bei der Zugangskontrolle zu unseren Netzwerken an Cyber-Sicherheit zu denken. Die Hauptschwachstellen befinden sich jedoch an beiden Enden des Systems. Egal ob in einer Stadt, einer Gemeinde, einem Unternehmen oder einer Organisation, die Grundregeln sind die gleichen: Cyber-Sicherheit beginnt bei den Menschen. Die meisten Angriffe werden immer noch durch Phishing E-Mails oder Social Engineering ausgelöst.

Mehr auf Sicherheit.info

Dies betrifft auf der einen Seite alle Menschen, die mit dem System arbeiten. Auf der anderen Seite stehen jedoch auch viele IoT-Systeme, die sich am Netzwerk festhalten. Leider wird auf Systemebene oft sehr wenig Sicherheit geboten. Kombiniert mit dem Unwissen der Mitarbeiter wird den Angreifern so eine große, anfällige Angriffsfläche geboten.

5. Jeden Projektschritt betrachten

Sicherheit zu schaffen, ist nicht einfach und bedarf mehrerer durchdachter Schritte innerhalb eines Prozesses. Sie betrifft daher sowohl die Projektierung, Inbetriebnahme, Nutzung, Wartung sowie Außerbetriebnahme und vieles mehr. Wenn ein gesamtes Projekt effektiv geplant und durchgeführt wird, kann es die Grundlage für eine erfolgreiche Smart City sein, in der die Vorteile der intelligenten Technologie von der gesamten Gemeinschaft genutzt werden können.

BSI Group Deutschland
BSI verfügt über moderne IoT- und Cyber-Labors und ermittelt und bewertet Best Practice für Cyber-Sicherheit und IoT-Geräte. Das Leistungsangebot reicht von der Beratung, Unterstützung und Schulung für Kunden weltweit bis hin zum Prüfen, Testen und Zertifizieren von modernsten Produkten. BSI bietet Informationen darüber, wie Unternehmen resilient gestaltet werden können, um die Chancen, die Smart Cities bieten, zu nutzen und gleichzeitig ihr Risiko zu minimieren.

Kontakt- und Firmen-Infos im Branchenverzeichnis