„IoT- und OT-Systeme als Bestandteile der Smart City weisen Schwachstellen auf, die Hackern zahlreiche Angriffswege eröffnen. Die Herausforderungen aus Security-Sicht sind komplex und werden immer größer, allein schon aufgrund der hohen Anzahl von Endpunkten und Sensoren“, erklärt Marcus Giehrl, Director Digital Transformation vom Technologie-Dienstleister NTT Ltd. Das Unternehmen verweist auf folgende fünf Bedrohungen:
Schwachstellen in Sensoren und IoT-Geräten
Einfache Messfühler, Internet-of-Things (IoT)-Geräte und Operational-Technology (OT)-Systeme als elementare Datenquellen der Smart City bieten nach Angaben von NTT oft keine Default-Sicherheit. Sicherheitsprobleme würden daher vor allem in den Bereichen Verfügbarkeit, Datenintegrität und Vertraulichkeit entstehen.
Um diese Gefahren zu minimieren, rät das Unternehmen dazu, alle genutzten Geräte prinzipiell als unsicher einzustufen und „Secure-by-Design“-Ansätze anzuwenden. Das heißt, bereits in der Planungsphase müssen die potenziellen Risiken betrachtet und auf dieser Basis die richtigen Sicherheitsmaßnahmen ergriffen werden.
Unverschlüsselte Kommunikation zwischen Sensoren beziehungsweise Geräten und Steuersystemen
Die Vernetzung in der Smart City basiert auf der Kommunikation von zentralen Steuerungssystemen mit einzelnen Geräten sowie zwischen den Geräten untereinander. Diese Kommunikation sollte unbedingt verschlüsselt erfolgen und idealerweise ein geschütztes Netzwerk und eine geschützte Infrastruktur für diese Systeme genutzt werden, so die zweite Empfehlung.
Verzicht auf Risikoanalysen im Vorfeld
Vielfach wird die Meinung vertreten, dass es im Umfeld von Smart-City-Szenarien ausreicht, Cyber-Bedrohungen zu überwachen und zu bekämpfen. Allerdings, so NTT, eine effiziente Vorbereitung sei noch wichtiger. Dabei müssen im Vorfeld vor allem folgende Fragen geklärt werden: Was ist zu sichern? Was ist wichtig und kritisch? Welche Antworten gibt es für jedes identifizierte Risiko?
Kein physischer Schutz für Sensoren und Geräte im öffentlichen Raum
Für Sensoren und Geräte im öffentlichen Raum kann kaum eine physische Sicherheit realisiert werden, das heißt, es kann nicht ermittelt werden, wer, wann und wie physisch auf diese Geräte zugreift. Folglich müssen
Maßnahmen für die logische Sicherheit ergriffen werden, empfiehlt der Dienstleister. Dazu gehören demnach die Implementierung eines starken Authentifizierungsmechanismus, die Verschlüsselung der Kommunikation zu und von diesen Geräten sowie die Implementierung eines abgesicherten Netzwerks für diese Geräte im öffentlichen Raum.
Unzureichende Zusammenarbeit und Koordination zwischen den beteiligten Unternehmen und Behörden
Vielfach führe eine mangelhafte Koordination zwischen Smart-City-Projektbeteiligten dazu, dass Unternehmen Vorschriften verletzen oder bei Problemen nicht die richtigen Entscheidungen treffen. In der IT-Welt erfolgt eine Projektzusammenarbeit vor allem auf Basis von Governance-Strategien und festgelegten Regeln. Auch im OT- und IoT-Bereich muss eine solche Governance implementiert werden. Das heißt, zum einem müssen Sicherheitsrichtlinien definiert werden, die auch rechtliche Aspekte abdecken. Zum anderen muss auch eine Prozessdefinition erfolgen, damit sichergestellt ist, dass diese Richtlinien auch vollständig und durchgängig angewendet werden.
Unverzichtbare Maßnahmen
„Da der Erfolg von Smart-City-Initiativen maßgeblich von der Akzeptanz der Bevölkerung abhängt, die nur mit einem hohen Maß an Datenschutz insbesondere ihrer persönlichen Daten und einer großen Datensicherheit erreicht werden kann, müssen adäquate Sicherheitsmaßnahmen von höchster Priorität sein. Die Sicherheit muss von Anfang an integraler Bestandteil jedes Smart-City-Projekts sein“, betont Giehrl,von NTT.
Folgende Sicherheitsmaßnahmen sind demnach im Smart-City-Kontext prinzipiell unverzichtbar:
- Bestandsaufnahme aller IoT- und OT-Umgebungen und -Geräte
- Durchführung von Security-Risk-Assessments für alle Smart-City-Kernkomponenten
- Konzeption und Anwendung von Sicherheitsrichtlinien für Smart-City-Umgebungen
- Sicherung der Kommunikation zwischen IoT- und OT-Geräten und den angeschlossenen IT-Systemen
- Sicherung und Überwachung der Wartungszugriffe
- Durchführung regelmäßiger Penetrationstests. (sg)
