Cyber Security für Smart Cities

Smart Cities sind die Zukunft des urbanen Lebens. Sie nutzen die Leistungsfähigkeit digitaler Technologien, Daten und Design-Thinking, um die Effektivität und Effizienz städtischer Dienste zu steigern. Diese digitale Transformation bringt aber auch neue Cyberrisiken mit sich, die die Existenz von Smart Cities vor weitere Herausforderungen stellen. So war beispielsweise in den letzten Jahren ein starker Anstieg von Cyber-Angriffen zu beobachten.

Um diese Herausforderung anzugehen, sollten die Regierung, Stadtplaner und andere wichtige Interessengruppen die Prinzipien der Cybersicherheit als einen integralen Bestandteil in die Gestaltung, Verwaltung und den Betrieb einer Smart City integrieren.

Smart Cities sind mit einzigartigen Cyberrisiken konfrontiert

In einer Smart City herrscht eine permanente Interaktion zwischen städtischer Infrastruktur, Menschen, Prozessen und Geräten. Die technologische Basis dieses komplexen Ökosystems besteht aus drei Schichten:

• der Edge-Layer, der Sensoren, Smartphones und andere IoT-Geräte beinhaltet
• dem Core als Plattform, der die Daten der Edge-Layer verarbeitet und
• dem Kommunikations-Layer, der einen ständigen Datenaustausch zwischen dem Edge-Layer und dem Core ermöglicht und damit für die nahtlose Interaktion der unterschiedlichen Komponenten des Ökosystems sorgt. 

Als Resultat dieses enormen Datenaustauschs, der Interaktion unterschiedlicher IoT-Geräte und sich dynamisch verändernde Prozesse, entstehen neue Cyber-Bedrohungen, welche durch die Komplexität des Ökosystems noch verstärkt werden. Beispielweise kann die Datenverwaltung einer Stadt zu einem problembehafteten Thema werden, da festgestellt werden muss, ob es sich um interne oder externe sowie transaktionale oder personalisierte Daten handelt und auf welcher Weise die Daten gespeichert, archiviert, dupliziert und gelöscht werden. Aufgrund fehlender gemeinsamer Normen und Richtlinien starten viele Städte zudem Versuche mit neuen Dienstleistern und Produkten, welche jedoch weitere Kompatibilitäts- und Integrationsprobleme verursachen und die Herausforderungen sogar erhöhen.

In dem Ökosystem einer Smart City beeinflussen folgende drei Faktoren das potenzielle Cyberrisiko:

1. Die Konvergenz der Cyber Welt mit der physischen Welt

Die Cyber Welt verschmilzt immer zunehmender mit der physischen Welt. Menschen, Orte und Prozesse werden dabei in IT- und OT-Systeme in die Cyber Welt integriert. Dabei dienen IT-Systeme der datenzentrischen Verarbeitung und OT-Systeme der Überwachung von Ereignissen, Prozessen und Geräten sowie der Anpassung des Stadtbetriebs. Diese Konvergenz ermöglicht es den Städten, Technologiesysteme über den Remote-Cyber-Betrieb zu steuern und zu verwalten. Sie bringt jedoch auch eine erhöhte Risikolandschaft für böswillige Akteure mit sich. Denn durch die Verbreitung von IoT-Geräten haben Angreifer unzählige Einstiegspunkte, um die Systeme einer Stadt zu gefährden und die daraus resultierenden Schwachstellen zu nutzen.

2. Die Interoperabilität alter Systeme mit neuen Systemen

Neue digitale Technologien in bereits bestehende Systeme zu integrieren, führt zu neuen Herausforderungen, wie z. B. inkonsistente Sicherheitsrichtlinien und -verfahren sowie unterschiedliche Technologieplattformen, welche dann wiederum zu neuen Sicherheitslücken innerhalb einer Smart City führen. Diese Situation wird durch den zunehmenden Einsatz von IoT-Lösungen weiter verstärkt.

Eine weitere Herausforderung ist das Fehlen allgemein anerkannter Normen für IoT-Geräte. Stadtverwaltungen und Behörden verwenden typischerweise Sensortechnologien verschiedener Anbieter, die Daten in verschiedenen Formaten generieren und unterschiedliche Kommunikationsprotokolle verwenden. Die Schaffung von Interoperabilität in solchen Situationen kann schwierig sein und die Städte stehen möglicherweise vor einem Kompromiss zwischen Interoperabilität und Sicherheit. Jedes neue Gerät, welches einem IoT-Ökosystem hinzugefügt wird, bietet eine neue Angriffsfläche oder Gelegenheit für Angriffe.

3. Integration städtischer Dienstleistungen und Infrastrukturen

In jeder Stadt herrscht ein weitgefächertes Angebot an Dienstleistungen verschiedener Anbieter mit jeweils eigenen Strukturen und Prozessen. Nun sollen alle Dienstleistungen durch ein vernetztes System digitaler Technologien miteinander verbunden werden.

Durch die Integration und Vernetzung von noch mehr Daten, Systemen und Geräten kommt es jedoch zu einem erhöhten Cyberrisiko. Die in verschiedenen Systemen gespeicherten Daten werden anfälliger für Missbrauch, wodurch die Privatsphäre der Bürger beeinträchtigt werden könnte. Eine Verletzung, die mehrere Systeme und Datensätze gefährdet, kann in diesem Fall zu einem schwerwiegenden Datenschutzvorfall für Städte werden.

Aus diesem Grund müssen Städte regulatorischen Anforderungen überdenken, verschiedene Sicherheitsprotokolle rationalisieren und sich den Herausforderungen des Datenbesitzes und der Datenverwendung stellen.

Ein ganzheitlicher Ansatz für Cybersicherheit

Die Sicherheitsziele einer Smart City

• Sicherheit
• Verfügbarkeit
• Vertraulichkeit
• Integrität
• Elastizität

können den Städten helfen, eine sicherere und widerstandsfähigere Landschaft zu gestalten. Diese Ziele basieren sowohl auf den Vorgaben der traditionellen IT (Datensicherheit), als auch auf denen der OT (Gewährleistung von Sicherheit und Belastbarkeit von Systemen und Prozessen).

Durch ein integriertes Cyberrisiko-Rahmenwerk können den Stadtverwaltungen Managementprinzipien zur Verfügung gestellt werden, welche in die Stadtplanungs-, Design- und Transformationsphase eingebracht werden können. Um zu bestimmen, welche Auswirkungen das Cyberrisiko auf die Nutzer, Regierung, Dienstleistungen, Infrastruktur und Prozesse haben kann, und um diesen Einfluss zu bewerten, umfasst das Rahmenwerk Industriestandards sowie gesetzliche und regulatorische Anforderungen. Dies verschafft den Städten die Möglichkeit, Gefahren und Schwachstellen im Ganzen zu betrachten und ein detailliertes Cybersicherheitsprogramm zu entwerfen.

Städte für Wachstum sichern

Um das Potenzial von Smart Cities auszuschöpfen, wird es von entscheidender Bedeutung sein, die Chancen von Smart Cities und die damit verbundenen Cyberrisiken ins Gleichgewicht zu bringen. Als ersten Schritt sollten Städte zunächst alle Interessengruppen und Einrichtungen des komplexen Ökosystems berücksichtigen. Zudem sollten die Städte folgende weitere Schritte einplanen:

• Abgleich von Smart City und Cyberstrategie:
  Um die Herausforderungen zu dämpfen, welche sich aus der laufenden Konvergenz, Interoperabilität und Vernetzung der städtischen Infrastruktur ergeben, sollten umfangreiche Cybersicherheitsstrategien festgelegt werden. Zudem sollten umfassende Folgeabschätzungen der Daten und Systeme erfolgen, um Risiken zu identifizieren, zu bewerten und zu bewältigen.
• Formalisierung von Cyber- und Datenverwaltung:
  Städte sollten den Governance-Ansatz für Daten, Infrastruktur und andere Technologiekomponenten formalisieren. Um die Cyberrisiken zu bewältigen, müssen hierfür Verantwortlichkeiten und Rollen festgelegt werden und verschiedene Parteien mit Hilfe eines starken Governance-Modells zusammenarbeiten. Wesentliche Aspekte dieses Modells stellen das Datenmanagement sowie Datenschutzrichtlinien und Datenanalysefähigkeiten dar. Ziel sollte es sein, die Richtlinien, Gesetze und Technologien nachhaltig aufeinander abzustimmen, um ein angemessenes Gleichgewicht zwischen Schutz, Privatsphäre und Nutzen sicherzustellen.
• Aufbau strategischer Partnerschaften zur Erweiterung der Cyber-Fähigkeiten:
  Um die Lücke der Cyberqualifikationen zu schließen, müssen Stadtverwaltungen innovativ und proaktiv agieren. Zur Erschließung von Cybertalenten kann es notwendig sein, dass Städte unkonventionelle Wege, wie z.B. Crowdsourcing, untersuchen müssen. Eine intelligente Stadt setzt neue Fähigkeiten und Kompetenzen voraus. Hierfür können Städte vorhandene Fähigkeiten mit Hilfe von strategischen Partnerschaften und Verträgen mit Dienstleistern ausbauen.