Ob es uns gefällt oder nicht – Städte weltweit wandeln sich in sogenannte „Smart Cities“. Die Protagonisten versprechen Innovation, Nachhaltigkeit und digitales Wachstum. Aber diese Infrastruktur bzw. die Smart Cities schaffen neue Cybersicherheitsrisiken. Regierungen und Organisationen sollten daher wachsam bleiben, um die wachsende Angriffsfläche zu vermeiden, die mit vernetzten städtischen Infrastrukturen einhergeht. Sicherheitsanbieter Check Point hat eine nette Blaupause zur Absicherung dieser neuen coolen Welt gezeichnet. Mal einen kritischen Blick drauf geworfen.
Die Ausbreitung von Smart Cities
Studien zeigen, dass die Investitionen in Smart-City-Technologien bis 2025 exponentiell auf 327 Milliarden US-Dollar ansteigen werden. Smart Cities vereinen fortschrittliche Technologien wie das Internet der Dinge (IoT), künstliche Intelligenz (KI) und 5G, um Verkehrsmanagement, Wasserversorgung und Notfallsysteme effizienter zu gestalten. Intelligente Verkehrssysteme reduzieren beispielsweise Staus, und intelligente Wasserzähler sparen Ressourcen, indem sie Lecks aufspüren.
Attraktive Ziele für Cyberangreifer
Die Vernetzung dieser Systeme macht sie jedoch auch zu attraktiven Zielen für Cyber-Angriffe, die zu Unterbrechungen wichtiger Dienstleistungen wie Gesundheitsfürsorge, Verkehr und Energieversorgung führen können. Doch leider sind das nicht alle Gefahrenquellen, denen Smart Cities ausgesetzt sein werden.
Check Point Software warnt, dass die zunehmende Digitalisierung und Vernetzung von Städten ein wachsendes Ziel für Cyberkriminelle darstellt, die kritische Infrastrukturen bedrohen könnten. Die wichtigsten Bedrohungen für die Cybersicherheit in Smart Cities umfassen:
- Ransomware-Angriffe auf kritische Infrastrukturen: Ransomware-Angriffe nehmen zu, zielen auf Kommunen ab und bedrohen die Betriebskontinuität. Sie legen wichtige Dienste lahm und zwingen Städte dazu, entweder Lösegeld für die Freigabe ihrer Daten zu zahlen oder längere Ausfälle in Kauf zu nehmen, was schwerwiegende wirtschaftliche und soziale Schäden bedeutet.
- Angriffe auf öffentliche Sicherheitssysteme: Cyberkriminelle haben es zunehmend auf Notfallsysteme wie Videoüberwachung und Schusswaffenerkennungstechnologien abgesehen. Eine Lücke in diesen Systemen kann zu Fehlalarmen führen, Panik auslösen oder wichtige Notfallmaßnahmen verzögern, was die Verwundbarkeit einer Stadt in Krisenzeiten erhöht.
- Data Breaches: Smart Cities sammeln über IoT-Geräte große Mengen personenbezogener Daten, was ein erhebliches Risiko von Datenschutzverletzungen mit sich bringt. Erfolgreiche Cyberangriffe könnten sensible Informationen preisgeben, was zu Identitätsdiebstahl, Finanzbetrug und einem Verlust des Vertrauens in die digitale städtische Infrastruktur führen kann.
- Schwachstellen in der Wasserversorgung: Cyberangriffe auf Wasseraufbereitungsanlagen stellen ein großes Risiko dar. Ein erschreckendes Beispiel kommt aus den USA: Im Jahr 2021 versuchten Hacker, die Wasserversorgung von Oldsmar, Florida, zu vergiften, indem sie die Chemikalienwerte im Aufbereitungsprozess manipulierten. In Smart Cities könnten solche Schwachstellen also nicht nur wichtige Dienste unterbrechen sowie die Wasserqualität und -versorgung beeinträchtigen. Für die Bewohner bestehen erhebliche, womöglich lebensbedrohliche Gesundheitsrisiken, wenn es zu böswilligem Fremdzugriff kommt.
Globale Auswirkungen von Cyber-Angriffen auf Smart Cities
Mit der zunehmenden Vernetzung von Smart Cities werden die globalen Auswirkungen von Cyberangriffen über die Landesgrenzen hinausgehen. Ein erfolgreicher Cyberangriff auf das Energienetz einer Stadt könnte Krankenhäuser, Unternehmen und Schulen in Mitleidenschaft ziehen, während Unterbrechungen der Verkehrsnetze internationale Lieferungen verzögern und den Welthandel beeinträchtigen könnten. Darüber hinaus werden die finanziellen Kosten von Cyberkriminalität bis 2025 auf 10,5 Billionen Dollar pro Jahr geschätzt – eine erhebliche Belastung für die städtische Wirtschaft und ein gewaltiges Risiko für die Daten aller Einwohner.
Smart Cities auf die Zukunft der Cybersicherheit vorbereiten
Um die Städte der Zukunft zu schützen, müssen Regierungen, Unternehmen und Bürger zusammenarbeiten, um robuste Cybersicherheitsmaßnahmen umzusetzen. Ein vielschichtiger Ansatz ist laut Check Point erforderlich, um kritische Infrastrukturen zu schützen, personenbezogene Daten zu sichern und die Widerstandsfähigkeit gegen wachsende Cyber-Bedrohungen aufrechtzuerhalten. Der Sicherheitsanbieter sieht folgende Punkte, die zu beachten sind.
- Secure-by-Design-Prinzipien: Cybersicherheit muss von Anfang an in Smart-City-Technologien integriert werden, indem Verschlüsselung, Multi-Faktor-Authentifizierung und kontinuierliche Software-Updates zur Standardpraxis werden. Dieser Punkt hat sich bisher als frommer Wunsch bzw. Fata Morgana erwiesen und dürfte dies in absehbarer Zukunft auch bleiben.
- Sektorübergreifende Zusammenarbeit: Wirksame Rahmenbedingungen für Cybersicherheit erfordern die Zusammenarbeit zwischen öffentlichem und privatem Sektor mit Informationsaustausch und klaren Protokollen für die Reaktion auf Sicherheitsvorfälle. Hier stehen sich Privatanwender, Behörden und Industrie gegenseitig im Weg.
- Investitionen in Cybersicherheitsfachkräfte: Städte müssen in die Ausbildung von Cybersicherheitsfachkräften investieren, die in der Lage sind, die einzigartigen Herausforderungen von Smart-City-Infrastrukturen zu bewältigen. Das ist so etwas wie „die Kuh will zum Mond fliegen, weiß aber nicht, wie sie da hoch kommt“. Überall herrscht Fachkräftemangel, Städte haben kein Geld und die Universitäten schaffen es nicht, zumindest unerfahrene Cybersicherheitsfachkräfte in genügender Zahl auszubilden. Das dürfte also ebenfalls eine Nullstelle in der intelligenten Stadt bleiben.
- Sensibilisierung der Öffentlichkeit: Auch die Bürger müssen eine Rolle beim Schutz intelligenter Städte spielen, indem sie sorgfältig Cyberhygiene praktizieren – so die Vorstellung von Check Point. Die Idee: Durch Kampagnen zur Sensibilisierung der Öffentlichkeit können Einzelpersonen darüber aufgeklärt werden, wie sie ihre persönlichen Geräte schützen, Phishing-Versuche erkennen und verdächtige Aktivitäten den örtlichen Behörden melden können. Wenn die Bürger dazu ermutigt werden, eine aktive Rolle im Bereich der Cybersicherheit zu übernehmen, kann ein sichereres digitales Umfeld für alle geschaffen werden. Auch diesen Punkt kann man getrost abhaken – wir bekommen doch täglich Meldungen über gravierende Cyberangriffe – aber „die Bürger“ interessiert das Null.
- Entwicklung von Plänen für Incident Response: Robuste Pläne für Sicherheitsvorfälle sorgen dafür, dass sich smarte Städte schnell von Cyberangriffen erholen können. Diese Pläne sollten Verfahren zur Isolierung betroffener Systeme, zur Kommunikation mit der Öffentlichkeit und zur Koordination mit Strafverfolgungsbehörden und Cybersicherheitsexperten enthalten, um die Auswirkungen des Angriffs zu mildern. Hier sehe ich noch die besten Chancen, dass da vielleicht rudimentäres definiert und Pläne erstellt werden.
Check Point meint: Intelligente Städte haben das Potenzial, das städtische Leben durch Innovation und Nachhaltigkeit zu verändern. Ohne die Bewältigung der Herausforderungen im Bereich der Cybersicherheit könnten diese Fortschritte jedoch durch erhebliche Risiken untergraben werden.
Durch die Einführung von Grundsätzen für eine sichere Gestaltung, die Förderung der Zusammenarbeit und die Investition in Talente glaubt Check Point, dass Smart Cities aufgebaut werden können, die sowohl innovativ als auch sicher sind und eine sichere urbane Zukunft gewährleisten. In einer idealen Welt könnte dies funktionieren – in der realen Welt bin ich aber arg skeptisch, dass das irgendwie klappt. Wir „digitalisieren doch seit Jahrzehnten“ und haben die Sicherheit und Funktionalität immer weniger im Griff – so zumindest mein Eindruck, wenn ich schaue, was auf dem Software-Sektor los ist.
Was für 1st World Probleme….. ich wäre froh, wenn Dortmund eine WebAPI für den Abfallkalender hinbekommen könnte…
Das ist keine „neue coole Welt“ sondern ein Einsperr- und Überwachungssystem.
Korrekte und zeitnahe Wetterwarnungen wären sicher auch hilfreich… wie einiges andere auch.
Aber das zu schürfende Datengold geht im Kapitalismus eben vor.
„Kapitalismus“ ist das Wirtschaftssystem und es ist weit weniger Aufgabe der Wirtschaft, solche Daten/Warnungen bereitzustellen, als der jeweiligen Regierung/Verwaltung. Letztere ist aber vom Wirtschaftssystem weitgehend abgekoppelt (auch Korruption/Vetternwirtschaft geht primär auf die Kappe der R/V).
P.S. Sozialismus ist nur für die Menschen gut, die nicht in ihm leben müssen. Und für die Nomenklatura.
Also smart ist hier gar nichts mehr: man fragt sich, ob die Vielzahl an Baustellen, Schikanen (Vollpfosten in den Boden gerammt) und Popup Radwegen nun klug ist oder einfach Blockadepolitik ideologisierter Stadtväter und Mütter. Also ob Dummheit oder Kalkül, von mir aus kann das Rathaus gerne gehackt werden, denn auf Dauer 70% der Pendler die das Auto nutzen zu gängeln , ist doch irre.
Also: 1000€ für den Hacker, der grüne Welle im Verkehrsleitsystem ermöglicht und die Radwege wieder „abschaltet“ (auf denen fährt von Nov-März eh kaum keiner).
Wie bei so vielem in der Welt lautet die zentrale Frage „Cui bono?“ – Wem nützt es?
Automatisiert wird zuallererst dort, wo es darum geht, menschliche Arbeitskraft und damit Kosten einzusparen.
Ich selbst habe noch eine Zeit erlebt, in der an zentralen Kreuzungen ein Polizist in Weiß mit einem Stab in der Hand stand und den Verkehr regelte – im Schichtdienst. Seit etwa 40 Jahren sehe ich das kaum noch, seit etwa 20 Jahren sind die inzwischen dort platzierten Ampeln untereinander vernetzt und können „grüne Wellen“ schalten.
Dezentrale Schaltwarten, Trafostationen oder auch ganze ferngesteuerte Bahnhöfe sind inzwischen praktisch überall, die Daten werden zentral in Leitwarten gesammelt und von überwacht einzelnen Personen, die sich zwar im Regelfall langweilen, bei einer größeren Störung aber ganz schnell von der Vielzahl einlaufender Meldungen überflutet werden und aufgrund ihrer Ferne zum Geschehen spätestens bei Netzwerkstörungen auch nur begrenzt handlungsfähig sind. Trotzdem wird es hierzulande (ganz anders als z.B. in Japan) in großem Stil gemacht, weil die Kostenersparnis eben doch zu verlockend ist.
Wenn man z.B. einen Bus sucht, in dem sich neben dem Fahrer noch ein Schaffner befindet, muß man eher in Länder der 3. Welt mit völlig anderer Lohnstruktur schauen, hierzulande ist man gezwungen, (ggf. sogar schon vor Fahrtantritt) mit einem Automaten oder einer App zu interagieren.
@Thomas Jacobs: Cui Bono. Solange der Abholtermin im Display des Entsorgungsfahrzeuges richtig angezeigt wird, hat die Digitalisierung ihre Aufgabe erfüllt. Der Bürger mit seiner exotischen Anwendung (wozu eine API?) spielt da eine untergeordnete Rolle.
Aber nicht zu unterschätzen ist der eigentliche Fokus des Artikels. Vor einigen Jahren geisterte das Motto „Digital first, Bedenken second“ durch die Politik, es würde mich nicht wundern, wenn manche Applikationen auch heute noch entsprechend gebastelt und unsicher aussehen. Ein bedonders schlimmes Beispiel war da die in den Nuller Jahren flächendeckend ausgerollte Kameraüberwachung der Londoner City, die mehrere Generationen brauchte, bis sie halbwegs sicher und datenschutzkonform war.
Letztendlich lebt auch dieser Blog von den immer wieder auftauchenden Schlaglichtern, die Implementations-, aber in großem Ausmaß auch Konzeptfehler bei der Umsetzung dieser Techniken mit sich bringen.
(ganz anders als z.B. in Japan)
Oh! Gerade dort ist das Eisenbahnsystem vollständig digitalisiert und größtenteils automatisiert. Deswegen ist es ja so pünktlich. Ja, die Shinkansen haben noch Lokführer, aber die greifen nur ein, wenn es sein muss, das heißt, sie drücken den Startknopf auf die Sekunde genau laut Fahrplan, damit der Zug losfahren kann und führen eine Notbremsung durch, wenn es … naja ich schreib mal … ethisch sinnvoll ist.