Anmelden und live dabei sein
Anmelden und live dabei sein
Die fünf größten Gefahren für Smart Cities
28.12.2020 Immer mehr Kommunen verfolgen Smart-City-Initiativen, etwa um Ressourcen besser zu verwalten oder die Bürgerservices zu optimieren und generell die Lebensqualität zu steigern. Durch die dafür notwendige Erfassung entsprechender Daten, deren Vernetzung und Verarbeitung steigen aber auch die Sicherheitsgefahren. NTT nennt die fünf größten Bedrohungen für Smart Cities.
- Schwachstellen in Sensoren und IoT-GerätenEinfache Messfühler, Internet-of-Things (IoT)-Geräte und Operational-Technology (OT)-Systeme als elementare Datenquellen der Smart City bieten oft keine Default-Sicherheit. Sicherheitsprobleme bestehen dadurch vor allem in den Bereichen Verfügbarkeit, Datenintegrität und Vertraulichkeit, also im Hinblick auf den Ausfall von Geräten, die Nutzung falscher Daten oder den unautorisierten Zugriff auf persönliche Informationen. Um diese Gefahren zu minimieren, müssen alle genutzten Geräte prinzipiell als unsicher eingestuft und "Secure-by-Design"-Ansätze angewendet werden, das heißt, bereits in der Planungsphase müssen die potenziellen Risiken betrachtet und auf dieser Basis die richtigen Sicherheitsmaßnahmen ergriffen werden.
- Unverschlüsselte Kommunikation zwischen Sensoren und SteuersystemenDie Vernetzung in der Smart City basiert auf der Kommunikation von zentralen Steuerungssystemen mit einzelnen Geräten sowie zwischen den Geräten untereinander. Da die Sicherheit nicht unbedingt integraler Bestandteil der eingesetzten Geräte und Systeme ist, sollte die Kommunikation verschlüsselt erfolgen und idealerweise ein geschütztes Netzwerk und eine geschützte Infrastruktur für diese Systeme genutzt werden.
- Verzicht auf Risikoanalysen im VorfeldVielfach wird die Meinung vertreten, dass es im Umfeld von Smart-City-Szenarien ausreicht, Cyber-Bedrohungen zu überwachen und zu bekämpfen, aber eine effiziente Vorbereitung ist noch wichtiger. Dabei müssen im Vorfeld vor allem folgende Fragen geklärt werden: Was ist zu sichern? Was ist wichtig und kritisch? Welche Antworten gibt es für jedes identifizierte Risiko?
- Kein physischer Schutz für Sensoren und Geräte im öffentlichen RaumFür Sensoren und Geräte im öffentlichen Raum kann kaum eine physische Sicherheit realisiert werden, das heißt, es kann nicht ermittelt werden, wer, wann und wie physisch auf diese Geräte zugreift. Folglich müssen Maßnahmen für die logische Sicherheit ergriffen werden. Dazu gehören die Implementierung eines starken Authentifizierungsmechanismus, die Verschlüsselung der Kommunikation zu und von diesen Geräten sowie die Implementierung eines abgesicherten Netzwerks für diese Geräte im öffentlichen Raum.
- Unzureichende Zusammenarbeit zwischen Unternehmen und BehördenVielfach führt eine mangelhafte Koordination zwischen Smart-City-Projektbeteiligten dazu, dass Unternehmen Vorschriften verletzen oder bei Problemen nicht die richtigen Entscheidungen treffen. In der IT-Welt erfolgt eine Projektzusammenarbeit vor allem auf Basis von Governance-Strategien und festgelegten Regeln. Auch im OT- und IoT-Bereich muss eine solche Governance implementiert werden. Das heißt, zum einem müssen Sicherheitsrichtlinien definiert werden, die auch rechtliche Aspekte abdecken. Zum anderen muss auch eine Prozessdefinition erfolgen, damit sichergestellt ist, dass diese Richtlinien auch vollständig und durchgängig angewendet werden.
"IoT- und OT-Systeme als Bestandteile der Smart City weisen Schwachstellen auf, die Hackern zahlreiche Angriffswege eröffnen. Die Herausforderungen aus Security-Sicht sind komplex und werden immer größer, allein schon aufgrund der hohen Anzahl von Endpunkten und Sensoren", erklärt Marcus Giehrl , Director Digital Transformation, NTT Ltd. "Da der Erfolg von Smart-City-Initiativen maßgeblich von der Akzeptanz der Bevölkerung abhängt, die nur mit einem hohen Maß an Datenschutz insbesondere ihrer persönlichen Daten und einer großen Datensicherheit erreicht werden kann, müssen adäquate Sicherheitsmaßnahmen von höchster Priorität sein. Die Sicherheit muss von Anfang an integraler Bestandteil jedes Smart-City-Projekts sein."
Folgende Sicherheitsmaßnahmen sind nach NTT im Smart-City-Kontext prinzipiell unverzichtbar:
- Bestandsaufnahme aller IoT- und OT-Umgebungen und -Geräte
- Durchführung von Security-Risk-Assessments für alle Smart-City-Kernkomponenten
- Konzeption und Anwendung von Sicherheitsrichtlinien für Smart-City-Umgebungen
- Sicherung der Kommunikation zwischen IoT- und OT-Geräten und den angeschlossenen IT-Systemen
- Sicherung und Überwachung der Wartungszugriffe
- Durchführung regelmäßiger Penetrationstests.