Beitrag von Matthias Schorer, Lead Business Development Manager, IoT, EMEA bei VMware über Smart Cities
Digitale Infrastruktur im städtischen Raum ist hochgradig angreifbar. Fehlende IT-Security ist nicht nur ein Risiko für die Systeme selbst, sondern setzt auch das Vertrauen der Gesellschaft in Smart Cities aufs Spiel.
Smart Cities schaffen große Angriffsflächen für Hackerangriffe. Das mussten die Bürger von Dallas im April vergangenen Jahres lernen. Damals heulten mitten in der Nacht über 150 Sturmwarnsirenen eines vernetzten Katastrophenschutzsystems in der ganzen Stadt auf – aufgrund eines Hackerangriffs. Echte Schäden (mit Ausnahme der Kosten für die Beseitigung des Zwischenfalls) gab es nicht, wohl aber viele Bürger, denen ins Bewusstsein rückte, wie gefährdet eine Smart City sein kann.
Wie unterschiedlich Risiken dabei zu bewerten sind, zeigt ein Beispiel: Wenn ein Parkleitsystem angegriffen wird, das den Nutzer zu einer freien Parklücke führen soll, dann mag das zwar ärgerlich sein, ist aber weniger kritisch als ein Hackerangriff auf eine Laternensteuerung, der dafür sorgt, dass sämtliche Straßenlaternen mit einem Mal dunkel bleiben. Und selbst das wäre weniger kritisch als ein Angriff auf ein Elektrizitäts- oder Wasserwerk oder ein System für den Katastrophenschutz, das beispielsweise Kraftwerke außer Betrieb setzt oder – nicht minder schlimm – im Katastrophenfall weiterlaufen lässt.
Ein probates Mittel, um sich über die Sicherheitsrisiken im Umgang mit Smart Cities klar zu werden, ist Cyber Exposure. Im Rahmen dieser Herangehensweise analysieren Sicherheitsexperten alle Assets wie generelle IT-Infrastruktur, Cloud Services, IoT-Elemente wie Sensoren oder Kameras bis hin zu Operational Technology (OT). Anhand dieser Sammlung an Schwachstellen werden die Risiken definiert und priorisiert. Mit Hilfe von Cyber-Exposure-Betrachtungen lässt sich so ermitteln, welche potenziellen Probleme operationskritisch sind und welche sicherheitsrelevanten Entscheidungen die Initiatoren der Anwendung treffen müssen.
Großflächige Hackerangriffe auf Smart Cities eine Frage der Zeit
Echte Katastrophen im Zusammenhang mit Smart Cities hat es bislang glücklicherweise nicht gegeben. Doch das ist nicht selbstverständlich. Immerhin drangen 2016 Hacker in die Stromversorgung Kiews ein und sorgten dafür, dass in einigen Stadtvierteln für mehrere Stunden das Licht ausging. Mittels Phishing hatten sie die Gewalt über einige Hochspannungsanlagen übernommen. Und auch in San Francisco kam es nur kurzfristig zu Verkehrsbehinderungen, als ausgerechnet die Fahrkartenautomaten von Ransomware (einer Form des Lösegeldtrojaners) befallen wurden.
Doch es ist laut dem bekannten Sicherheitsexperten Eugene Kaspersky nur eine Frage der Zeit, bis auch kritisch Infrastrukturressourcen einer Smart City gezielt (erfolgreich) angegriffen werden. Anders als bei üblichen Sicherheitsbedrohungen durch Trojaner und klassische Malware werden hier gezielt bestimmte (einzelne) IT-Systeme selektiv angegriffen. Die Bedrohung existiert somit über Monate und Jahre, bevor es zu dem gezielten Angriff kommt.
Diese Angriffe werden nicht über die etablierten Wege der IT erfolgen, sondern gezielt über Infrastruktursysteme eingeschleust. Die IT-Security im IoT-Bereich hat in der Vergangenheit zu wenig Augenmerk bekommen und man sollte nicht riskieren, dass erst etwas Gravierendes passiert, bevor sich das Bewusstsein für Sicherheitsthemen entwickelt. Falsch wäre es dagegen, deswegen pauschal gegen IoT- und Smart-City-Anwendungen zu sein. Wir müssen die Risiken im jeweiligen Fall einschätzen und entsprechende Vorkehrungen treffen. Der goldene Mittelweg ist hier der richtige.
Zentrale Frage: Wem gehören die Daten?
Ein weiteres Sicherheitsproblem, das aber eher den einzelnen Nutzer betrifft, ist neben der Datensicherheit die Datenhoheit. Denn Smart-City-Anwendungen, selbst wenn sie weniger persönlich sind als der digitale Personalausweis oder die elektronische Steuererklärung bergen immer ein Sicherheitsrisiko und betreffen die Privatsphäre jedes einzelnen. Eine entscheidende Frage, die bei nahezu allen Projekten offen geführt werden muss, betrifft den schier unerschöpflichen Datenschatz, der in diesem Kontext generiert wird. Wer kann die Daten nutzen, wer hat Zugriff auf sie und wo liegt letzten Endes die Datenhoheit? Mag das bei der Frage nach einer vollen Mülltonne noch zweitrangig sein, wird es spätestens bei Verkehrsdaten, aber noch mehr bei gesundheitsbezogenen Daten oder dem Messen von Körperfunktionen essenziell wichtig. Diese Diskussion wird deutlich intensiver in den traditionell offeneren skandinavischen Gesellschaften geführt und sollte auch hierzulande stattfinden. Denn die Kombination aus IT-Security und Privacy entscheidet letztlich darüber, ob eine Gesellschaft derartige Zukunftstechnologien bereitwillig nutzt und akzeptiert. Es ist und bleibt eine Vertrauensfrage.
Lesen Sie hier den 1. Teil & den 2. Teil der Smart City Serie
Ich freue mich auf die Diskussion spannender Ansätze mit Ihnen bei LinkedIn, Xing und Twitter. #SmartCSerie