Städtische Infrastrukturen werden immer stärker digitalisiert und vernetzt. Aber mit der Zunahme von Smart-City-Lösungen wächst auch die Angriffsfläche, die Cyberkriminelle für ihre Zwecke ausnutzen können. Städte dürfen die genutzten Daten und die öffentliche Infrastruktur jedoch keinem hohen Risiko aussetzen. Daher müssen sie vor allem zwei große Schwachstellen vermeiden: eine unzureichende Absicherung von öffentlichen WiFi-Netzen sowie Sicherheitslücken bei den eingesetzten IoT-Geräten und -Sensoren.

Gerade letzteres wird häufig unterschätzt. Tatsächlich weisen viele IoT-Geräte nur voreingestellte Passwörter auf, die sich zum Teil nicht verändern lassen. Solche Standard-Passwörter sprechen sich aber in Hacker-Kreisen schnell herum, so dass Angriffen Tür und Tor geöffnet wird. Attacken können dann Infrastrukturen empfindlich stören, zum Beispiel Verkehrsinformationen und Leitsysteme oder Steuerungen für Parkplätze, Laternen, Luft- und Lärmmessungen, die auf die Sensorik des Internet of Things zurückgreifen.

Eine Absicherung der Geräte und Sensoren durch Security-Software ist aber aufgrund der geringen Speicher- und Rechenkapazitäten kaum möglich. Daher müssen sie durch eine Art Schutzwall aus Systemen mit ausreichenden Ressourcen abgesichert werden. Entsprechend benötigen Städte ein durchgängiges Sicherheitskonzept. Gleichzeitig müssen die Hersteller konsequent aktuelle Security-Standards nutzen und weiterentwickeln, um ihre IoT-Produkte besser zu schützen.

Ganze Strukturen gefährdet

Neben Geräten werden auch ganze Systeme und Technologien für Smart Cities immer noch ohne geeignete Sicherheitsarchitekturen oder Lösungen zur Abwehr von Bedrohungen entwickelt. Diese Nachlässigkeit kann eine Reihe von Schwachstellen verursachen, die wiederum ernsthafte Probleme nach sich ziehen. Ein Hacker, der eine intelligente Parkuhr kontrolliert, kann lästig sein, aber ein cyberkriminelles Eindringen in die Verkehrsleitstruktur könnte katastrophale Folgen haben.

Auf der diesjährigen Black-Hat-Konferenz untersuchte das X-Force Red Team von IBM bestehende kommunale Technologien, um die Möglichkeit von groß angelegten Angriffen zu ermitteln. Die Nachforschungen konzentrierten sich auf vier gängige Systeme und fanden 17 Schwachstellen, von denen neun als kritisch eingestuft wurden. Ein europäisches Land benutzte ein empfindliches Gerät zur Strahlungsdetektion. In den USA war es ein System zur Überwachung der Verkehrsregelung. Die fraglichen Schwachstellen waren bei beiden Gelegenheiten nicht komplex. Die Anbieter hatten es einfach versäumt, grundlegende Sicherheitsmaßnahmen zu implementieren.

Zudem simulierten die Forscher von IBM einen Angriff auf Geräte, die den Wasserstand in Staudämmen überwachen. In weniger als einer Minute konnten sie die umliegenden Gebiete überfluten. Der simulierte Hack fand auf einer häufig verwendeten, aber leicht zu kapernden Hardware für Smart Cities statt.

Neue Gesetze und Verordnungen dürften die Sicherheitslage aber nicht wesentlich verbessern, da sie ohnehin nicht mit der technischen Entwicklung Schritt halten können. Daher helfen nur eher allgemein gefasste Rahmenbedingungen wie das IT-Sicherheitsgesetz sowie einheitliche Regelungen, die bereits heute von verantwortungsvollen Herstellern entwickelt und befolgt werden. In Zukunft müssen sie aber die technischen Möglichkeiten noch konsequenter und zeitnäher umsetzen, um kritische Infrastrukturen besser zu schützen, die bereits heute jeden Tag angegriffen werden.

Der Wettlauf um die Entwicklung

Ein einfaches Weiter-so und Ignorieren der Entwicklung bringt Städte aber nicht weiter. Denn schon heute befinden sie sich in einem Wettlauf um Bürger und Unternehmen. So müssen sie moderne, attraktive Infrastrukturen bieten, damit sie auch weiterhin erfolgreich sind. Gerade hier leisten Smart-City-Lösungen einen wichtigen Beitrag. Damit lassen sich umfassende Erkenntnisse aus unzähligen Sensoren, Interaktionen und Verhaltensweisen gewinnen. Laut einem aktuellen Whitepaper von ABI Research könnten weltweite Smart-City-Technologien im nächsten Jahrzehnt dadurch mehr als 20 Billionen Dollar an zusätzlichen wirtschaftlichen Vorteilen erschließen.

Europa verfolgt dabei große Ambitionen. Gemäß einer Untersuchung des Europäischen Parlaments aus dem Jahr 2017 gibt es hier bereits 240 Städte mit über 100.000 Einwohnern, die zumindest über einige intelligente Lösungen verfügen. Dazu gehört Technologie zur Verbesserung der Energienutzung, der Verkehrssysteme oder anderer Infrastrukturen. Die Europäische Innovationspartnerschaft Smart Cities and Communities sagt voraus, dass bis Ende 2019 sogar 300 Städte intelligent sind.

Die Zukunft gestalten

Führungskräfte, Vordenker, Entwickler, Dienstleister und Städteplaner müssen daher die Zusammenarbeit mit Regulierungsbehörden und Systempartnern dringend intensivieren. Nur gemeinsam können sie die Einführung sicherer Netzwerke und Geräte gewährleisten. Die gesamte Technologiebranche sollte auch mehr tun, um das Prinzip ‚Security-by-Design‘ konsequent in der gesamten Entwicklung von Infrastrukturen umzusetzen. Darüber hinaus muss die Ende-zu-Ende-Sicherheit verbessert werden, einschließlich strenger Authentifizierung der Benutzer sowie Richtlinien für alle Kommunikationswege. Gleichzeitig sollten Dienstleister ihre Verschlüsselungsfunktionen für den Datenschutz mit aktueller Software erweitern.

So müssen alle Beteiligten die Warnzeichen für eine zunehmende Cyberkriminalität bei städtischen Infrastrukturen ernst nehmen. Außerdem sind Cybersicherheitsexperten in allen Phasen einzubeziehen –von der Planung und dem Bau bis zum Infrastrukturmanagement. Städte müssen intelligenter werden. Das gilt nicht nur für die Nutzung der Daten, sondern auch für die Abwehr von Gefahren durch Cyberkriminelle. Die bislang geschlossenen städtischen Systeme waren von der Außenwelt abgekoppelt. Doch bei den offenen Smart-City-Lösungen hilft nur eine agile Sicherheitsarchitektur, welche die neuesten Security-Standards und -Funktionen voll ausschöpft und sich ständig weiterentwickeln lässt.