Smart City: Ansätze zur Absicherung

23.07.2021 – Die Stadt von morgen birgt viele Versprechen für Bürger und Unternehmen, angefangen bei der leichteren Nutzung von Onlinediensten der Stadtverwaltungen bis hin zur intelligenten Steuerung des Verkehrs. Doch jeder neue digitale Dienst ist auch eine zusätzliche Chance für Cyberkriminelle, die Oberhand über die Smart City zu gewinnen oder die gesammelten Daten abzuschöpfen. Der Cybersecurity-Anbieter Stormshield weist auf mögliche Ansätze zur Absicherung der Smart Cities hin.

In der vernetzten Stadt treffen unterschiedliche Informationssysteme und Akteure, mit individuellen technologischen Bausteinen (5G, IoT, Edge Computing, KI), unterschiedlicher Ausstattung (Stadtmobiliar, Ampeln, öffentliche Beleuchtung, Sensoren, Überwachungskameras) und diversen Schnittstellen (mobile Anwendungen, Datenaustausch) aufeinander. Diese Heterogenität erweitert Stormshield zufolge die Angriffsfläche einer Smart City.

shutterstock-683812549-Smart City-Stormshield
Stormshield zeigt Ansätze zum Schutz von Smart Cities auf. Foto: Shutterstock.com, Autor: Dmi T, Lizenz: Stormshield SAS

Heterogene Prioritäten und Ziele

Hinzu kommt, dass Smart Cities unabhängige Infrastrukturen (IT und OT) miteinander vernetzen, die verschiedene Prioritäten aufweisen: In IT-Infrastrukturen (E-Gov, E-Health) müssen die Vertraulichkeit und die Integrität der Daten gewährleistet werden, bei der OT (Verkehrsregulierungsanlagen, Wasser-, Gas- und Stromnetze usw.) geht es darum, die kontinuierliche Verfügbarkeit der Dienste zu garantieren. Doch anders als in geschlossenen IT-Umgebungen sind OT-Anlagen in der Stadt verteilt, relativ einfach zugänglich und dadurch laut Stormshield leichter manipulierbar, was eine genaue Absicherungsstrategie erforderlich mache. Aufgrund dieser unterschiedlichen Zielsetzungen müssen die zu implementierenden Sicherheitsrichtlinien zwangsläufig voneinander abweichen. Dies impliziert eine globale Steuerung („Governance), die an jedes Subsystem angepasst ist. Die Lösungen von Stormshield setzen hier an.

Verschiedene Interessen und daraus resultierende Schwierigkeiten

Der erste Schritt zur Homogenität der Smart City sollte dem Cybersecurity-Anbieter zufolge die Harmonisierung der Interessen der unterschiedlichen Akteure sein. Es sollte zudem ein Mittelmaß gefunden werden, um sowohl Geschäfts- als auch Cybersicherheitsleute zusammenzuführen. In Bezug auf die Einhaltung von Vorschriften muss sich die Smart City an verschiedene Normen sowohl auf europäischer als auch auf nationaler Ebene halten. Dazu gehören die DSGVO für personenbezogene Daten und die NIS-Richtlinie für KRITIS-Betreiber.

Cybersicherheit für die Smart City

Die Cybersicherheit einer Smart City muss ihre Entwicklung antizipieren. Um dies zu bewerkstelligen, muss Cybersicherheit laut Stormshield bereits in der Eruierungsphase eines Smart-City-Projektes berücksichtigt werden, und zwar auf allen Ebenen, denn sie betrifft jedes kommunizierende Gerät, die Netzwerk- und Systeminfrastruktur, die Betriebszentren (Client-Arbeitsplätze, Handys, Tablets usw.) und auch die Benutzer (Gewohnheiten, Bewusstsein usw.).

Ein möglicher Ansatz für die nachhaltige Absicherung vernetzter Städte könnte aus folgenden Elementen bestehen:

  1. Implementierung verschiedener Sicherheitsebenen: Datenverschlüsselung, Firewall, Authentifizierung, Verwaltung von Zugriffsrechten, Einsatz von Zero-Trust-Modellen usw.
  2. Einsatz von europäischen Lösungen, die von vornherein die Einhaltung europäischer Vorschriften zusichern und – da es sich um Lösungen für die Absicherung öffentlich bereitzustellender Dienste handelt – die mittlerweile wenigstens bei der Cybersicherheit unerlässliche technologische europäische Souveränität gewährleistet.
  3. Bereitstellung einer bereichsübergreifenden Cybergovernance mit der Implementierung eines zentralisierten SOCs (Security Operations Center) pro Stadt oder Kreis, das Sicherheitsvorkommnisse bei allen IT-Infrastrukturen überwacht und möglichen lateralen Bewegungen unter den Systemen Einhalt gebietet. Eine gut durchdachte Segmentierung der Systeme erleichtert diese Aufgabe.
  4. Mapping der Geräte: Man kann keine Infrastruktur absichern, die man nicht kennt. Die Stadt muss eine klare Vorstellung davon haben, was abgesichert werden muss und welche Geräte im Laufe der Zeit noch hinzugefügt werden sollen, um Präventivmaßnahmen zu ergreifen.
  5. Sicherstellung der Interoperabilität zwischen Lösungen, um das Sicherheitsniveau zu erhöhen.
  6. Dafür sorgen, dass die Verträge der Stadt Cybersicherheitsklauseln enthalten, in denen die Verteilung der Verantwortlichkeiten und Verpflichtungen zwischen den Partnern detailliert festgelegt ist. (ds)

www.stormshield.com

Share