Die Akkumulation von Menschen, Wohlstand, Technologie und Daten machen intelligente Städte zu beliebten Angriffszielen von Cyberkriminellen. Der vielzitierte "menschliche Faktor" spielt auch bei Smart Cities eine wesentliche Rolle. [...]
In einer Smart City herrscht eine permanente Interaktion zwischen städtischer Infrastruktur, Menschen, Prozessen und Geräten, so die Studie Making smart cities cybersecure von Deloitte. Die technologische Basis dieses komplexen Ökosystems besteht aus drei Schichten:
- der Edge-Layer, der Sensoren, Smartphones und andere IoT-Geräte beinhaltet
- dem Core als Plattform, der die Daten der Edge-Layer verarbeitet und
- dem Kommunikations-Layer, der einen ständigen Datenaustausch zwischen dem Edge-Layer und dem Core ermöglicht und damit für die nahtlose Interaktion der unterschiedlichen Komponenten des Ökosystems sorgt.
„Als Resultat dieses enormen Datenaustauschs, der Interaktion unterschiedlicher IoT-Geräte und sich dynamisch verändernde Prozesse, entstehen neue Cyber-Bedrohungen, welche durch die Komplexität des Ökosystems noch verstärkt werden. Beispielsweise kann die Datenverwaltung einer Stadt zu einem problembehafteten Thema werden, da festgestellt werden muss, ob es sich um interne oder externe sowie transaktionale oder personalisierte Daten handelt und auf welcher Weise die Daten gespeichert, archiviert, dupliziert und gelöscht werden. Aufgrund fehlender gemeinsamer Normen und Richtlinien starten viele Städte zudem Versuche mit neuen Dienstleistern und Produkten, welche jedoch weitere Kompatibilitäts- und Integrationsprobleme verursachen und die Herausforderungen sogar erhöhen“, so die Deloitte-Studie.
Wie wahrscheinlich ist ein Angriff?
Als William Francis Sutton Jr. gefragt wurde, warum er serienweise Banken ausraube, antwortete er: „Weil dort das Geld ist.“ „Es geht also um die Motivation, um Anreize“, sagte Rafal Jaczyński, Cyber Security Officer bei Huawei CEE & Nordic Region, beim beim IDS-Forum im Wiener Museumsquartier. „Und es gibt viele Anreize, um intelligente Städte zu hacken. Geld ist nur einer davon.“
In den nächsten 30 Jahren werden fast 70 Prozent der Menschen in städtischen Gebieten leben. „In Städten dreht sich alles um Akkumulation. In diesem Fall geht es nicht nur um die Ansammlung von Menschen, sondern auch um die Akkumulation von Technologie und Daten. Um dies zu bewältigen, werden wir auch eine Kombination aus Zusammenarbeit innerhalb der Städte sehen. Die Zusammenarbeit verschiedener Behörden, insbesondere die gemeinsame Nutzung von Sensoren, wird für die Verwaltung von Städten und Daten forciert werden. Hierfür gibt es zwei wichtige Gründe: Der erste ist, dass wir das Leben in der Stadt für die Bevölkerung komfortabler machen und gleichzeitig die Ressourcen besser verwalten müssen“, so Jaczyński. Und genau diese Akkumulation ruft die Cyberkriminellen auf den Plan.
„Letztes Jahr hat die Universität Berkeley Experten befragt, was die wahrscheinlichsten Angriffsziele für Smart-City-Elemente und -Infrastrukturen in Städten sein würden. Die Antwort lautete: Notruf- und Sicherheitswarnsysteme standen an erster Stelle, gefolgt von Straßenvideoüberwachung und intelligenten Ampelanlagen. Diese Antwort korrelierte mit Beweisen aus der Praxis, angefangen bei einem Straßenbahnschaltanlage, das vor rund 50 Jahren gehackt wurde, bis hin zu den jüngsten Fällen in US-Städten, in denen Städte wie Baltimore und Atlanta Opfer von Ransomware-Angriffen wurden – Angriffe, die für diese Städte sehr schädlich und kostspielig waren. Die Ransomware-Angreifer von Atlanta beispielsweise verlangten zunächst 50.000 Dollar, die nicht gezahlt wurden, so dass sich die Verluste aufgrund der sehr hartnäckigen Art des Angriffs und der notwendigen Wiederherstellungsmaßnahmen auf über 70 Millionen Dollar beliefen.“ Im letzten Fall war Geld die Motivation – aber nicht nur das. „Was die Anreize angeht, so wollen die Angreifer manchmal tatsächlich Angst unter den Bürgern der Stadt verbreiten. Man könnte sagen, dass Terroristen genau damit ihren Lebensunterhalt verdienen. Vordergründig ist es Geld. Das eigentliche Ziel könnte aber sein, politische Forderungen durchzusetzen.“
Human Factor hoch 3
Der menschliche Faktor ist bekanntlich der größte, wenn es darum geht, ein digitales System abzusichern. Rafal Jaczyński erzählt im Gespräch mit transform! von einer Studie, in der Menschen mit einer einfachen Botschaft am Bildschirm konfrontiert werden, wie etwa mit „Geben Sie mit Ihr Passwort“. „Beim ersten und zweiten Mal klicken die User die Message weg. Beim dritten Mal aber machen sie genau das, was verlangt wird.“
Das menschliche Risiko ist vor allem im Zusammenhang mit Social-Engineering-Angriffen bekannt. „Das ist auch in Städten der Fall. Aber gleichzeitig sind die Menschen auch Opfer und Ziel, man könnte sogar sagen, die Akteure des Spektakels.“ Städte seien sehr anfällig für eine Art „Ketten- oder Lawineneffekt“, bei dem anfängliche technische Probleme zu menschlichen Reaktionen führen, die für die Verteidiger unvorhersehbar sein können. „Ein gutes Beispiel, das technisch gesehen kein Angriff war, aber diese Art der Kettenreaktion zeigt, ist ein Vorfall in den USA. Dort gab es einen riesigen Stau auf einer Autobahn, der durch eine Computerpanne verursacht wurde. Man könnte meinen, es handele sich um eine Störung in einem Mautsystem, einem Verkehrs- oder sogar einem Ampelmanagementsystem. In Wirklichkeit handelte es sich um eine Störung im Gerichtssystem, das plötzlich über tausend Bürgerinnen und Bürger am selben Morgen als Geschworene vorlud. An jenem Morgen um acht Uhr reagierten die Einwohner richtig und versuchten alle, zur gleichen Zeit zum gleichen Ort zu gelangen. Genau diese Leute haben dann den Stau verursacht. Technisch gesehen ist dies eine Art Reaktion der Bevölkerung, die über die technischen Auswirkungen hinausgeht.“
Ganzheitlicher Ansatz
Es liegt auf der Hand, dass beim Absichern von intelligenten Städten der menschliche Faktor eine große Rolle spielen muss. „Bei der Planung und dem Betrieb der Stadt sollten drei Fragen gestellt werden. Erstens: Ist es das wert, was wir zu tun versuchen? Hier geht es um das Gleichgewicht zwischen Nutzen und Risiken. Bei der zweiten Frage geht es um die Verantwortung. Können wir das auf verantwortungsvolle Weise tun? Ist unser Maß an Kontrolle ausreichend? Und die dritte Frage ist die nach der Vermittlung. Kommunizieren wir transparent mit den Bürgern und Interessengruppen, um sie mit ins Boot zu holen und sie auf eine Krise vorzubereiten? Denn eine schlecht kommunizierte Strategie oder Politik oder ein Mangel an Kommunikation kann dazu führen, dass die Systeme und Daten in hohem Maße missbraucht werden“, so Huawei-CSO Rafal Jaczyński.
Deloitte empfiehlt für die Cybersicherheit einer Smart City einen ganzheiltichen Ansatz: „Durch ein integriertes Cyberrisiko-Rahmenwerk können den Stadtverwaltungen Managementprinzipien zur Verfügung gestellt werden, welche in die Stadtplanungs-, Design- und Transformationsphase eingebracht werden können. Um zu bestimmen, welche Auswirkungen das Cyberrisiko auf die Nutzer, Regierung, Dienstleistungen, Infrastruktur und Prozesse haben kann, und um diesen Einfluss zu bewerten, umfasst das Rahmenwerk Industriestandards sowie gesetzliche und regulatorische Anforderungen. Dies verschafft den Städten die Möglichkeit, Gefahren und Schwachstellen im Ganzen zu betrachten und ein detailliertes Cybersicherheitsprogramm zu entwerfen“, so die Studie „Making smart cities cybersecure“.
Um das Potenzial von Smart Cities auszuschöpfen, wird es von entscheidender Bedeutung sein, die Chancen von Smart Cities und die damit verbundenen Cyberrisiken ins Gleichgewicht zu bringen. „Als ersten Schritt sollten Städte zunächst alle Interessengruppen und Einrichtungen des komplexen Ökosystems berücksichtigen. Zudem sollten die Städte folgende weitere Schritte einplanen: den Abgleich von Smart City und Cyberstrategie, die Formalisierung von Cyber- und Datenverwaltung sowie den Aufbau strategischer Partnerschaften zur Erweiterung der Cyber-Fähigkeiten. „Um die Lücke der Cyberqualifikationen zu schließen, müssen Stadtverwaltungen innovativ und proaktiv agieren“, so die Studienautoren. „Zur Erschließung von Cybertalenten kann es notwendig sein, dass Städte unkonventionelle Wege, wie zum Beispiel Crowdsourcing, untersuchen müssen. Eine intelligente Stadt setzt neue Fähigkeiten und Kompetenzen voraus. Hierfür können Städte vorhandene Fähigkeiten mit Hilfe von strategischen Partnerschaften und Verträgen mit Dienstleistern ausbauen.“
Städte haben das Potenzial, Themen wie Transport und Verkehr, Energieverbauch oder Gesundheitswesen deutlich smarter zu behandeln als bisher. Gleichzeitig bergen diese Möglichkeiten eine Vielzahl an Risiken. Die Akkumulation von Menschen, Daten und Technologien machen intelligente Ballungszentren zu lohnenen Zielen von Cyberkriminellen und -terroristen, „weil dort das Geld ist“. Und nicht nur das.
Der Artikel ist in transform! 02/2022 erschienen.
Be the first to comment