Die fortschreitende Digitalisierung macht naturgemäß auch vor der Stadtentwicklung nicht Halt. Sich dem digitalen Wandel zu stellen und vor allem die damit verbundenen Chancen zu nutzen, ist für Städte und Gemeinden allerdings mit einigen Herausforderungen verbunden. »Smart Cities« werden weltweit von der Politik unterstützt. In Deutschland vom Bundesministerium für Wohnen, Stadtentwicklung und Bauwesen, um »die Digitalisierung im Sinne einer nachhaltigen und integrierten Stadtentwicklung strategisch und am Gemeinwohl ausgerichtet zu gestalten.« Die Konvergenz von physischer und digitaler Welt, die wachsende Vernetzung von Systemen und Daten, die permanente Interaktion zwischen städtischer Infrastruktur, Menschen, Prozessen und Geräten führen zwangsläufig zu Risiken bei der Cybersicherheit.

Allerdings herrscht schon bei der Definition des Begriffs »Smart City« eine gewisse Uneinigkeit. Das britische NCSC (National Cyber Security Center) bevorzugt beispielsweise den Begriff »Connected Places«.

Dr. Dennis Kengo Oka, Senior Principal Automotive Security Strategist und Executive Advisor bei Synopsys beantwortet einige zentrale Fragen.

 

 

Das britische NCSC spricht statt von »Smart Cities« lieber von »Connected Places«. Welche Definition bevorzugen Sie und inwiefern ist das von Bedeutung?

»Ich stimme der Ansicht zu, dass man sich auf smarte kommunale Dienstleistungen konzentrieren sollte. Ansonsten würde es sich möglicherweise nur um einzelne smarte Gebäude oder einzelne smarte Produkte und nicht um eine komplette Gemeinschaft handeln. Die Frage ist jedoch, wie viele dieser Dienste smart sein müssen und in welchem Ausmaß, damit eine ganze Stadt als smart gilt. Offensichtlich ist es ein Entwicklungsprozess.

Eine Perspektive, die ich gerne in Betracht ziehe, ist die Entwicklung von Industrie 4.0 im Zusammenhang mit IoT, smarten Fabriken und smarter Datenanalyse. Sie alle haben zu einer flexibleren »Produktionsumgebung« beigetragen. Das geht bis zur City 5.0. Die kontinuierliche Vernetzung (Konnektivität) zwischen einem Produkt- oder Dienstleistungsanbieter und seinen Kunden erlaubt einen optimierten Verbrauchsprozess. Die Produkte und Dienstleistungen lassen sich aufrüsten und verändern sich ständig, um den Bedürfnissen der Bürger besser gerecht zu werden.«

 

Laut NCSC ist das Ziel eines vernetzten Ortes ›eine Gemeinschaft, die Informations- und Kommunikationstechnologien und IoT-Geräte integriert, um Daten zu sammeln und zu analysieren und so neue Dienste für die bebaute Umwelt bereitzustellen und die Lebensqualität der Bürger zu verbessern›. So weit so gut. Was fehlt, sind Details zum Thema Sicherheit bei der Datenerfassung und den Schutz der Privatsphäre. Auch der Begriff der ›Lebensqualität‹ bleibt weitgehend in der Schwebe.

 

 

Welche Risiken sehen Sie?

»Bei jeder Art von Datenerfassung sollte man wissen, welche Daten erhoben und wie sie gehandhabt werden, wer Zugriff darauf hat, wie lange die Daten gespeichert werden und wie sie weiter genutzt werden. Es gibt zwar Beispiele für Dienstleistungen wie die Abfallwirtschaft, bei denen man Daten sammelt, die die Effizienz verbessern sollen. Aber es gibt viele andere Beispiele, bei denen die Sammlung personenbezogener Daten zu Verfolgungs- oder Überwachungszwecken missbraucht werden könnte. Das betrifft zum Beispiel Methoden der Gesichtserkennung über Kameras oder die Nachverfolgung von Bewegungsmustern anhand von Bus-/Zugfahrkarten und so weiter. In Bezug auf kommunale Dienstleistungen sind in der Regel die Kommunalregierung beziehungsweise kommunale Bedienstete für die Definition von Lebensqualität und den Umgang mit den Daten zuständig. Große Technologieunternehmen, die mit staatlichen wie kommunalen Stellen zusammenarbeiten, haben in der Regel ebenfalls ein Mitspracherecht bei der Datenerhebung, schon um bessere Dienstleistungen anbieten zu können. Je nach Gemengelage können hier durchaus Risiken für die Privatsphäre entstehen. Etwa dadurch wie der Begriff der Lebensqualität im Verhältnis zu Überwachungsmöglichkeiten oder potenziellen Unternehmensgewinnen interpretiert wird. Gegebenenfalls müssen Datenschutzbestimmungen wie die DSGVO und andere lokale Vorschriften durchgesetzt werden.«

 

Sollten die Einwohner (mit) entscheiden können, ob ihre Gemeinde smart werden soll?

»Wenn eine Stadt beschließt, smart zu werden, bleibt ihren Bewohnern meines Erachtens nach keine Möglichkeit, sich diesem Weg zu verschließen. Sie nehmen natürlich bei Wahlen Einfluss auf bestimmte Komponenten dieser Entscheidung, aber darin erschöpft sich die Mitbestimmung.«

 

Wie sollte man vorgehen? Schrittweise, also mit den offensichtlichen, vorteilhaften und einfachsten (und am wenigsten invasiven) Maßnahmen beginnen und abwarten, wie gut alles funktioniert?

»Für gut etablierte Städte ist ein schrittweises Vorgehen sinnvoll. Schon allein, um Bürgerinnen und Bürger von den Vorteilen einer smarten Stadt zu überzeugen. In den Bereichen Energie, Wärme, Verkehr und so weiter, lassen sich Effizienzverbesserungen gut messen und Akzeptanzwerte ermitteln.

Ein aktueller alternativer Ansatz ist der Aufbau smarter Städte von Grund auf. Das Ganze ist noch in einem experimentellen Stadium. Trotzdem kann diese Herangehensweise dazu beitragen, die Herausforderungen bei der Transformation einer traditionellen Stadt in eine Smart City zu ermitteln. Und natürlich gibt es auch einige Vorteile, wenn man eine smarte Stadt von Grund auf plant und aufbaut.

Es sieht allerdings so aus, dass die Angriffsfläche umso größer ist, je mehr Technologie in den Betrieb einer Kommune eingebettet ist. Das reicht von der Verkehrssteuerung über Bereiche wie Nahverkehr, Energieversorgung, Wasserversorgung, Abfallsammlung und -entsorgung, Kommunikation, Wahlen bis hin zu öffentlichen Arbeiten.

Smart funktioniert nur auf Grundlage von zwei primären Technologien: Sensoren und Kommunikation von IoT-Geräten. Und beide werden derzeit schon von Angreifern unterschiedlicher Provenienz missbraucht. Die smarte Stadt verbreitert zwangsläufig die Angriffsfläche und erhöht das Risiko, dass Schwachstellen ausgenutzt werden. Im schlimmsten Fall kann sich ein potenzieller Angreifer lateral im Netzwerk weiterbewegen und unter Umständen einen kompletten Sektor oder auch die gesamte Infrastruktur lahmlegen.«

 

Wie sollten Städte und Gemeinden mit diesen Risiken umgehen? Kann »Build-Security-In« Abhilfe schaffen?

»Wenn Sensoren und Kommunikation bei der Datenerfassung und Steuerung verschiedener Services eingesetzt werden, kann dies die Angriffsfläche vergrößern. Man sollte sich also fragen, welche Form von Sicherheitskontrollen und Systemen die Angriffswahrscheinlichkeit verringern und das potenzielle Schadensausmaß begrenzen.

Allgemeine Sicherheitsgrundsätze wie der Defense-in-Depth-Ansatz und das Prinzip der minimalen Rechtevergabe sind ein guter Anfang.

Wenn es einem Angreifer gelingt, ein bestimmtes System oder einen Dienst auszunutzen, sollte ihn das nicht in die Lage versetzen, auch andere Systeme oder Dienste anzugreifen.

Was die Überwachung der Cybersicherheit und den Umgang mit Cyberangriffen anbelangt, dienen Rahmenwerke wie das NIST Cybersecurity Framework als taugliche Referenz. Darüber lässt sich sicherzustellen, dass Aktivitäten und Maßnahmen zur Unterstützung der fünf verschiedenen Funktionen präzise definiert werden: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Ein weiterer Aspekt ist die Sicherheit der Lieferkette. Schließlich werden auch die Komponenten einer smarten Stadt von Dritten bereitgestellt und von verschiedenen Smart Cities genutzt.

Viele dieser Anforderungen sind auch in der NIS2 Direktive für Cybersecurity enthalten, die Anfang 2023 in der EU in Kraft getreten ist. Diese erweitert die Regelung für kritische Infrastrukturen (das sogenannte KRITIS-Dachgesetz) in Deutschland, unter das viele Aspekte einer Smart City fallen, und stellt eine weitere Grundlage für die sichere Umsetzung von Smart Cities dar.«

 

Sollten Städte und Gemeinden dieses Problem nicht lösen, bevor sie smart werden?

»Aktuell sind die meisten Dienstleistungen und Produkte von Dritten abhängig. Und wir hatten in jüngster Zeit reichlich Gelegenheit die Auswirkungen von Angriffen auf die Lieferkette zu beobachten. Bei smarten Städten wären die Ausmaße eines solchen Angriffs vermutlich weitreichender als es bei einem einzelnen Produkt oder einer bestimmten Dienstleistung der Fall wäre. Daher wird es bei der Entwicklung smarter Städte wahrscheinlich zu strengeren Anforderungen bei der Auswahl der Lieferanten kommen, also etwa zu strengeren Assessments der Anbieter. Bei den beteiligten Dritten soll sichergestellt sein, dass es sich um vertrauenswürdige Unternehmen handelt, die in der Lage sind, hoch sichere Produkte/Systeme/Dienstleistungen zu entwerfen und zu entwickeln. Zudem müssen sie über angemessene Kapazitäten verfügen, um mit Sicherheitsvorfällen umzugehen. Möglicherweise werden wir zusätzlich eine stärkere Diversifizierung der Anbieterlandschaft sehen, um gegebenenfalls die Auswirkungen eines Vorfalls bei einem Anbieter besser in den Griff zu bekommen.«

 

Komplexität ist der natürliche Feind der Sicherheit – und Smart Cities gelten als Inbegriff technologischer Komplexität. Wie sehen Sie das, und wie sollte man damit umgehen?

»Dank des technologischen Fortschritts können wir komplexe Lösungen entwickeln, um schwierigere Herausforderungen anzugehen. Auch wenn smarte Städte technisch komplexe Lösungen erfordern, muss der Sicherheitsaspekt unbedingt Teil dieser komplexen Lösung sein. Es ist aber schwierig, Sicherheitslösungen auf eine existierende komplexe Lösung aufzusetzen. Empfehlenswert ist es auch nicht. Bei smarten Städten haben wir aber die Möglichkeit, den Faktor Sicherheit von Anfang an einzubauen. Das heißt, wir sollten Sicherheit als integralen Bestandteil der Lösung für eine smarte Stadt betrachten. Bei der sicheren Entwicklung von Produkten, Systemen und Diensten sollte man die Grundsätze des ›Secure-by-Design‹ beherzigen und auf bereits bewährte Verfahren zurückgreifen.«

 

Gehen von Smart Cities grundsätzlich mehr Sicherheitsrisiken aus als nötig?

»Smarte Städte haben Einiges zu bieten, um effizienter und kostengünstiger zu werden und gleichzeitig die User Experience zu verbessern. Diese Entwicklung hat aber Sicherheitsrisiken im Gepäck, die man nicht außer Acht lassen darf. Das gilt, wenn Systeme, die bisher isoliert waren, insbesondere solche mit Auswirkungen auf kritische Infrastrukturen wie Energie, Gesundheitswesen, Verkehr und so weiter, plötzlich miteinander verbunden werden, um smarte Funktionen zu ermöglichen. Oftmals wurden die smarten Systeme auch nicht nach den Secure-by-Design-Prinzipien entwickelt, was sie zu einem Einfallstor für Cyberangriffe machen kann. Es stellen sich Fragen in Bezug auf Daten, zum Beispiel zu deren Handhabung, Speicherung und Übertragung. Weitere Fragen betreffen die Zugangskontrolle, also wer Zugang zu welchen Systemen, Funktionen und Daten hat. Deshalb kommt man um eine Bedrohungsmodellierung nicht herum, bei der all die neuen Funktionen, Anwendungsfälle und Systeme zu berücksichtigen sind, die in smarten Städten genutzt werden. Außerdem müssen geeignete Sicherheitskontrollen definiert, entworfen, entwickelt und in solche Systeme eingebaut werden.«

 

Sind Nationen und Regierungen grundsätzlich bereit für den Bau von Smart Cities oder muss ihre Eignung erst in der Realität überprüft werden?

»Der häufigste Anwendungsfall wird es sicherlich sein, existierende Städte in smarte Städte umzuwandeln. Der Weg von einer bestehenden Stadt zu einer Smart City beginnt mit beim Verständnis der aktuellen Situation, der vorhandenen Systeme und Infrastrukturen. Der nächste Schritt ist die Definition des Ziels oder der Aufgabe der smarten Stadt. Dazu zählt beispielsweise, wie die smarte Stadt in naher Zukunft aussehen soll. Erst dann kann man mit der Planung beginnen und Meilensteine festlegen, wann welche Systeme umgestellt oder geschaffen werden sollen, um die Stadt zu einer smarten zu machen. Schon in der Planungsphase ist es entscheidend, dass Cybersicherheitsgrundsätze wie Defense-in-Depth und Secure-by-Design berücksichtigt werden.

Es wäre denkbar, smarte Lösungen zunächst bei Systemen mit einem geringerem Risiko einzusetzen, um die möglichen Auswirkungen im Falle eines Cyberangriffs zu begrenzen. Smarte Lösungen sollten so konzipiert, entwickelt und getestet werden, dass sie ein gewisses Maß an Cybersicherheit gewährleisten, dass sie überwacht werden, um Cyberangriffe zu erkennen, und dass sie bei Zwischenfällen angemessen reagieren und eine Wiederherstellung durchführen können. Alles gemäß den obigen NIST-Vorgaben.«