Anzeige

Smart City

Die Stadt von morgen birgt viele Versprechen für Bürger und Unternehmen, angefangen bei der leichteren Nutzung von Onlinediensten der Stadtverwaltungen bis hin zum flüssigeren Verkehr. Doch jeder neue digitale Dienst ist auch eine zusätzliche Chance für Cyberkriminelle, die Oberhand über die Smart City zu gewinnen oder die gesammelten Daten abzuschöpfen. Der Cybersecurity-Spezialist Stormshield weist auf mögliche Ansätze zur Absicherung der Smart Cities hin.

Smart City ist ein Oberbegriff, der verschiedene Domänen und Interessenvertreter zusammenfasst. Ein Ort, in dem die großen Herausforderungen der Städte von morgen (Umstellung der Energiequellen, rasch wachsende Bevölkerung, Ressourcenmanagement, Gesundheitswesen, E-Gov usw.) durch den Einsatz modernster Technologien bewältigt werden sollen. Dabei sind vernetzte Städte eine Konvergenzzone unterschiedlichster Informationssysteme und Akteure, mit individuellen technologischen Bausteinen (5G, IoT, Edge Computing, KI), unterschiedlicher Ausstattung (Stadtmobiliar, Ampeln, öffentliche Beleuchtung, Sensoren, Überwachungskameras) und diversen Schnittstellen (mobile Anwendungen, Datenaustausch). Diese Heterogenität erweitert die Angriffsfläche einer Smart City erheblich. 

Heterogene Geräte und Ziele

Die Smart City muss sich auf ihre bestehende Infrastruktur verlassen können. Das bedeutet, dass man es mit verschiedenen Generationen von Anlagen und unterschiedlichen Technologien zu tun hat, wodurch die Umsetzung einer globalen Sicherheitspolitik erschwert wird. „Wir müssen sowohl die technischen, also die zu implementierenden Sicherheitslösungen, als auch die organisatorischen Maßnahmen an den Kontext, das Informationssystem, die Gerätegeneration und die verwendeten technologischen Bausteine anpassen”, betont Uwe Gries, Country-Manager DACH bei StormshieldErschwerend kommt hinzu, dass Smart Cities unabhängige Infrastrukturen (IT und OT) miteinander vernetzen, die verschiedene Prioritäten aufweisen: In IT-Infrastrukturen (E-Gov, E-Health) müssen die Vertraulichkeit und die Integrität der Daten gewährleistet werden, bei der OT (Verkehrsregulierungsanlagen, Wasser-, Gas- und Stromnetze usw.) geht es darum, die kontinuierliche Verfügbarkeit der Dienste zu garantieren. Doch anders als in geschlossenen IT-Umgebungen sind OT-Anlagen in der Stadt verteilt, relativ einfach zugänglich und dadurch leichter manipulierbar, was eine genaue Absicherungsstrategie erforderlich macht. Aufgrund dieses Unterschieds bei der Zielsetzung müssen die zu implementierenden Sicherheitsrichtlinien zwangsläufig voneinander abweichen. Dies impliziert eine globale Governance, die an jedes Subsystem angepasst ist. 

Verschiedene Interessen und daraus resultierende Schwierigkeiten

Die Interessen aller Akteure, die zur „Smartisierung“ einer Stadt beitragen, gehen oftmals auseinander. Allein das Thema Mobilität umfasst unzählige Player, darunter Anbieter traditioneller Beförderungsmittel oder sanfter Mobilität (Roller/Fahrräder) bis hin zu Mobilfunk-Unternehmen. Auch Provider von Software- und Cloud-Lösungen bzw. überall abrufbarer E-Gov- und E-Health-Dienste gehören dazu. Unter diesen Bedingungen ist es schwierig, sich auf einen globalen Ansatz zu einigen. Diese Vielschichtigkeit der Akteure führt zu einer Verstrickung von Referenzsystemen und Regelwerken. Der erste Schritt zur Homogenität der Smart City sollte daher deren Harmonisierung sein. Es sollte zudem ein Mittelmaß gefunden werden, um sowohl Geschäfts- als auch Cybersicherheitsleute nachhaltig zusammenzuführen. „Eine komplizierte Aufgabe, die auch einfachste Maßnahmen wie die Überprüfung von Vertragsklauseln auf Schwachstellen bei der digitalen Sicherheit leicht vergessen lässt“, sagt Gries. Denn in Bezug auf die Einhaltung von Vorschriften muss sich die Smart City an verschiedene Normen sowohl auf europäischer als auch auf nationaler Ebene halten. Dazu gehören die DSGVO für personenbezogene Daten und die NIS-Richtlinie für KRITIS-Betreiber. „In jedem Fall muss die Stadt Mustervertragsklauseln definieren, die in ihre zukünftigen Verträge aufgenommen werden sollen, und sich bei deren Ausarbeitung rechtlich und technisch beraten lassen, um sich allumfassend zu schützen“, fügt Gries hinzu.

Die Smart City braucht maßgeschneiderte Cybersicherheit

Die Cybersicherheit einer Smart City muss ihre Entwicklung antizipieren. Um dies zu bewerkstelligen, gibt es nur eine Methode: Die Cybersicherheit muss bereits in der Eruierungsphase eines Smart-City-Projektes berücksichtigt werden, und zwar auf allen Ebenen, denn sie betrifft jedes kommunizierende Gerät, die Netzwerk- und Systeminfrastruktur, die Betriebszentren (Client-Arbeitsplätze, Handys, Tablets usw.) und auch die Benutzer (Gewohnheiten, Bewusstsein usw.). Je intelligenter und vernetzter Städte sind, desto mehr sind sie Cyberbedrohungen ausgesetzt – mit sehr konkreten Folgen für die Bürger. „Aus diesem Grund ist es elementar, dem Add-on-Ansatz ein Ende zu setzen, bei dem Schichten von Cybersecurity hinzugefügt werden, um Sicherheitslücken im Nachhinein zu schließen“, erklärt Gries. Die Auswahl der einzusetzenden Lösungen ist daher umso wichtiger. 

Ein möglicher Ansatz für die nachhaltige Absicherung vernetzter Städte könnte aus folgenden Elementen bestehen:

  • Implementierung verschiedener Sicherheitsebenen: Datenverschlüsselung, Firewall, Authentifizierung, Verwaltung von Zugriffsrechten, Einsatz von Zero-Trust-Modellen usw.
  • Einsatz von europäischen Lösungen, die von vornherein die Einhaltung europäischer Vorschriften zusichern und – da es sich um Lösungen für die Absicherung öffentlich bereitzustellender Dienste handelt – die mittlerweile wenigstens bei der Cybersicherheit unerlässliche technologische europäische Souveränität gewährleistet.
  • Bereitstellung einer bereichsübergreifenden Cybergovernance mit der Implementierung eines zentralisierten SOCs (Security Operations Center) pro Stadt oder Kreis, das Sicherheitsvorkommnisse bei allen IT-Infrastrukturen überwacht und möglichen lateralen Bewegungen unter den Systemen Einhalt gebietet. Eine gut durchdachte Segmentierung der Systeme erleichtert diese Aufgabe.
  • Mapping der Geräte: Man kann keine Infrastruktur absichern, die man nicht kennt. Die Stadt muss eine klare Vorstellung davon haben, was abgesichert werden muss und welche Geräte im Laufe der Zeit noch hinzugefügt werden sollen, um Präventivmaßnahmen zu ergreifen.
  • Sicherstellung der Interoperabilität zwischen Lösungen, um das Sicherheitsniveau zu erhöhen.
  • Dafür sorgen, dass die Verträge der Stadt Cybersicherheitsklauseln enthalten, in denen die Verteilung der Verantwortlichkeiten und Verpflichtungen zwischen den Partnern detailliert festgelegt ist.

Die Versprechen der Smart City sind zahlreich, besonders in Bezug auf die Lebensqualität. Diese können allerdings ohne effektive Cybersicherheit nicht erfüllt werden.

Uwe Gries, Country Manager DACH
Uwe Gries
Country Manager DACH, Stormshield
Als Country Manager DACH bei Stormshield verantwortet Uwe Gries seit Januar 2018 die Aktivitäten des Unternehmens im gesamtdeutschen Sprachgebiet. Dank der über zwanzigjährigen berufliche Laufbahn in Führungs- und Managementfunktionen im Vertrieb von Soft- und Hardware mit disziplinarischer Verantwortung für bis zu knapp 60 Mitarbeitern bei Unternehmen wie G DATA Software AG, Avira, Computacenter u.v.m. verfügt Gries über umfangreiche Erfahrung im direkten und indirekten Vertrieb und ausgezeichnete Kenntnisse der IT/ITC-Märkte.

Artikel zu diesem Thema

VPN
Jul 11, 2021

Zero Trust Network Access (ZTNA) statt VPN – aus guten Gründen

Virtual Private Networks (VPNs) sind inzwischen über den ursprünglichen Anwendungsfall…
Smart City
Jun 18, 2021

Smart City: Digitales für mehr Nachhaltigkeit und Lebensqualität

Weniger Abgase, weniger Energieverbrauch, mehr Lebensqualität: Die Menschen in…

Weitere Artikel

Cloud Identity

Cloud-Identitäten - ungenutzt und ungeschützt

Knapp die Hälfte aller Cloud-Identitäten werden nicht mehr genutzt – und stellen so ein enormes Risiko für die Datensicherheit von Unternehmen dar. Dies ist eines der Ergebnisse des 2021 SaaS Risk Report des Cloud Research Teams von Varonis Systems.
Cybersicherheit

Nach der Bundestagswahl – „Die Verantwortung für Cyber-Sicherheit verbleibt auch nach der Wahl bei den Unternehmen”

CyberDirekt – eine digitale Vertriebsplattform für Cyber-Versicherungen – hat anlässlich der bevorstehenden Bundestagswahl am 26. September in einer aktuellen Untersuchung die Inhalte der Wahlprogramme der großen Parteien – CDU/CSU, SPD, Bündnis90/Die Grünen,…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.