Smart Cities sind die Zukunft des urbanen Lebens. Sie nutzen die Leistungsfähigkeit digitaler Technologien, Daten und Design-Thinking, um die Effektivität und Effizienz städtischer Dienste zu steigern. Diese digitale Transformation bringt aber auch neue Cyberrisiken mit sich, die die Existenz von Smart Cities vor weitere Herausforderungen stellen. So war beispielsweise in den letzten Jahren ein starker Anstieg von Cyber-Angriffen zu beobachten.
Um diese Herausforderung anzugehen, sollten die Regierung, Stadtplaner und andere wichtige Interessengruppen die Prinzipien der Cybersicherheit als einen integralen Bestandteil in die Gestaltung, Verwaltung und den Betrieb einer Smart City integrieren.
In einer Smart City herrscht eine permanente Interaktion zwischen städtischer Infrastruktur, Menschen, Prozessen und Geräten. Die technologische Basis dieses komplexen Ökosystems besteht aus drei Schichten:
Als Resultat dieses enormen Datenaustauschs, der Interaktion unterschiedlicher IoT-Geräte und sich dynamisch verändernde Prozesse, entstehen neue Cyber-Bedrohungen, welche durch die Komplexität des Ökosystems noch verstärkt werden. Beispielweise kann die Datenverwaltung einer Stadt zu einem problembehafteten Thema werden, da festgestellt werden muss, ob es sich um interne oder externe sowie transaktionale oder personalisierte Daten handelt und auf welcher Weise die Daten gespeichert, archiviert, dupliziert und gelöscht werden. Aufgrund fehlender gemeinsamer Normen und Richtlinien starten viele Städte zudem Versuche mit neuen Dienstleistern und Produkten, welche jedoch weitere Kompatibilitäts- und Integrationsprobleme verursachen und die Herausforderungen sogar erhöhen.
In dem Ökosystem einer Smart City beeinflussen folgende drei Faktoren das potenzielle Cyberrisiko:
Die Cyber Welt verschmilzt immer zunehmender mit der physischen Welt. Menschen, Orte und Prozesse werden dabei in IT- und OT-Systeme in die Cyber Welt integriert. Dabei dienen IT-Systeme der datenzentrischen Verarbeitung und OT-Systeme der Überwachung von Ereignissen, Prozessen und Geräten sowie der Anpassung des Stadtbetriebs. Diese Konvergenz ermöglicht es den Städten, Technologiesysteme über den Remote-Cyber-Betrieb zu steuern und zu verwalten. Sie bringt jedoch auch eine erhöhte Risikolandschaft für böswillige Akteure mit sich. Denn durch die Verbreitung von IoT-Geräten haben Angreifer unzählige Einstiegspunkte, um die Systeme einer Stadt zu gefährden und die daraus resultierenden Schwachstellen zu nutzen.
Neue digitale Technologien in bereits bestehende Systeme zu integrieren, führt zu neuen Herausforderungen, wie z. B. inkonsistente Sicherheitsrichtlinien und -verfahren sowie unterschiedliche Technologieplattformen, welche dann wiederum zu neuen Sicherheitslücken innerhalb einer Smart City führen. Diese Situation wird durch den zunehmenden Einsatz von IoT-Lösungen weiter verstärkt.
Eine weitere Herausforderung ist das Fehlen allgemein anerkannter Normen für IoT-Geräte. Stadtverwaltungen und Behörden verwenden typischerweise Sensortechnologien verschiedener Anbieter, die Daten in verschiedenen Formaten generieren und unterschiedliche Kommunikationsprotokolle verwenden. Die Schaffung von Interoperabilität in solchen Situationen kann schwierig sein und die Städte stehen möglicherweise vor einem Kompromiss zwischen Interoperabilität und Sicherheit. Jedes neue Gerät, welches einem IoT-Ökosystem hinzugefügt wird, bietet eine neue Angriffsfläche oder Gelegenheit für Angriffe.
In jeder Stadt herrscht ein weitgefächertes Angebot an Dienstleistungen verschiedener Anbieter mit jeweils eigenen Strukturen und Prozessen. Nun sollen alle Dienstleistungen durch ein vernetztes System digitaler Technologien miteinander verbunden werden.
Durch die Integration und Vernetzung von noch mehr Daten, Systemen und Geräten kommt es jedoch zu einem erhöhten Cyberrisiko. Die in verschiedenen Systemen gespeicherten Daten werden anfälliger für Missbrauch, wodurch die Privatsphäre der Bürger beeinträchtigt werden könnte. Eine Verletzung, die mehrere Systeme und Datensätze gefährdet, kann in diesem Fall zu einem schwerwiegenden Datenschutzvorfall für Städte werden.
Aus diesem Grund müssen Städte regulatorischen Anforderungen überdenken, verschiedene Sicherheitsprotokolle rationalisieren und sich den Herausforderungen des Datenbesitzes und der Datenverwendung stellen.
Die Sicherheitsziele einer Smart City
können den Städten helfen, eine sicherere und widerstandsfähigere Landschaft zu gestalten. Diese Ziele basieren sowohl auf den Vorgaben der traditionellen IT (Datensicherheit), als auch auf denen der OT (Gewährleistung von Sicherheit und Belastbarkeit von Systemen und Prozessen).
Durch ein integriertes Cyberrisiko-Rahmenwerk können den Stadtverwaltungen Managementprinzipien zur Verfügung gestellt werden, welche in die Stadtplanungs-, Design- und Transformationsphase eingebracht werden können. Um zu bestimmen, welche Auswirkungen das Cyberrisiko auf die Nutzer, Regierung, Dienstleistungen, Infrastruktur und Prozesse haben kann, und um diesen Einfluss zu bewerten, umfasst das Rahmenwerk Industriestandards sowie gesetzliche und regulatorische Anforderungen. Dies verschafft den Städten die Möglichkeit, Gefahren und Schwachstellen im Ganzen zu betrachten und ein detailliertes Cybersicherheitsprogramm zu entwerfen.
Um das Potenzial von Smart Cities auszuschöpfen, wird es von entscheidender Bedeutung sein, die Chancen von Smart Cities und die damit verbundenen Cyberrisiken ins Gleichgewicht zu bringen. Als ersten Schritt sollten Städte zunächst alle Interessengruppen und Einrichtungen des komplexen Ökosystems berücksichtigen. Zudem sollten die Städte folgende weitere Schritte einplanen:
Erfahren Sie in der vollständigen Studie mehr zum Thema "Making smart cities cyber secure".