Wie sicher sind Smart Cities?

10. Februar 2020

Städte und Kommunen auf der ganzen Welt investieren zunehmend in Smart City Initiativen und Technologien, um die Lebensqualität in Städten zu erhöhen und Ressourcen zu schonen. Dies führt zu einer wachsenden digitalen Interaktion und Vernetzung zwischen städtischer Infrastruktur, Menschen, Prozessen und Geräten. Doch wo sich immer mehr auf digitale Technologien verlassen wird, wachsen auch die Risiken, dass ein großangelegter Cyber-Angriff eine Smart City und unseren digitalen Alltag ins Chaos stürzen kann. Während große Metropolen ihre digitalen Sicherheitskonzepte zunehmend anpassen, sind kleinere Städte und Kommunen nicht auf den digitalen Ernstfall vorbereitet. Verfügen Smart Cities über ein ausreichendes Risiko- und Krisenmanagement sowie Rückfalloptionen für den digitalen Ernstfall? Das ist eine der zentralen Fragen, mit der sich auch der nächste Command Control Cybersecurity Summit der Messe München am 3./4. März 2020 beschäftigen wird.

Hätte es eines Beweises bedurft, haben Städte und Kommunen ihn hierzulande nun bekommen: Cyberangriffe und Cyberkriminalität treffen nicht nur Unternehmen oder Einzelpersonen, sondern zunehmend auch die öffentliche Verwaltung und damit die Führungsfähigkeit von Städten und Kommunen. Erst kürzlich wurden die Stadtverwaltungen von Potsdam und Brandenburg an der Havel gehackt: Schadsoftware legte alle Rechner lahm. Im September letzten Jahres meldete das Land Niedersachsen über 90 Cyberattacken auf seine Landes- und Kommunalbehörden. Besonders verheerend der Angriff auf die niedersächsische Stadt Neustadt am Rübenberge: Mit einem Schadprogramm namens Emotet hatten Angreifer mehr als eine Woche das gesamte IT-System der Stadtverwaltung lahmgelegt. Die Computer im Rathaus blieben aus, die Kfz-Zulassungsstelle geschlossen. Die Mitarbeiter des Bürgerbüros konnten Anfragen nur noch mündlich beantworten. Zuvor haben Ramsomware- und Schadsoftware-Attacken auch international für einen hohen Schaden gesorgt: in Johannesburg, Baltimore und 22 weiteren Städten in Texas – das ist die vorläufige Bilanz des Jahres 2019 für Städte und Kommunen, die auf dem Weg zu einer Smart City zunehmend vernetzte Systeme einsetzen.

Teaser image of movingimage video
Command Control – Wie sicher sind Smart Cities

Hohe Schäden durch Ramsonware

Ein Bericht von Cybersecurity Ventures aus dem Jahr 2017 prognostizierte, dass Ransomware-Schäden die Welt im Jahr 2017 um die5 Milliarden US-Dollar kosten würden, nach 325 Millionen US-Dollar im Jahr 2015 - eine 15-fache Steigerung in nur zwei Jahren. Für das Jahr 2018 wurden Schäden in Höhe von 8 Mrd. USD und für das Jahr 2019 in Höhe von 11,5 Mrd. USD prognostiziert. Dieser Trend zeichnet ein düsteres Bild über den aktuellen Stand der Risikovorsorge innerhalb der digitalen Transformation.
Cyber-Angriffe insbesondere auf kommunale Verwaltungen, sind laut Bundesamt für Sicherheit in der Informationstechnik eine stetige Bedrohung. Grund dafür sind oft veraltete IT-Systeme, mangelnde finanzielle Ressourcen, aber auch im Zeitalter der Digitalisierung nicht mehr belastbare urbane Sicherheitskonzepte, die es insbesondere für den Schutz Kritischer Infrastrukturen von Städten und Kommunen braucht. Eine Sorge, die auch der Leiter der IT der Stadtwerke München, Jörg Ochs, teilt.

„Große Energieversorger wie z.B. die Stadtwerke München haben sowohl Ressourcen als auch ausgeklügelte Sicherheitskonzepte, um etwa einen durch Cyberattacken verursachten Black-Out nicht zuletzt durch die Segmentierung und Dezentralisierung von Systemen abzuwenden. Und im Worst-Case können wir immer noch – vom Auszubildenden bis hin zum langjährigen Mitarbeiter - im manuellen Betrieb die Systeme und damit die Energieversorgung aufrechterhalten.“

Jörg Ochs

Smart Cities bilden erhöhte Cyberrisiken

Gleichzeitig zieht es immer mehr Menschen in Städte und Ballungsräume. So prognostizieren die Vereinten Nationen, dass bis 2050 68 % der Weltbevölkerung in städtischen Gebieten leben werden. Dieser Bevölkerungsanstieg setzt Stadtplaner, Manager und politische Entscheidungsträger gleichermaßen unter Druck. Stadtverwaltungen müssen optimiert und nachhaltige wirtschaftliche Stabilität geschaffen werden, die den Einwohnern mehr Lebensqualität bietet. Smart City Lösungen erfüllen diese Anforderungen, indem sie die Dienstleistungen einer Stadt – von Verwaltungsaufgaben, Verkehr, über Strom, Wasser und Kommunikation - verändern. Die neuen Technologien bergen jedoch auch kritische Risiken für die Sicherheit und für lebenswichtige Stadtfunktionen - Risiken, die oft unterschätzt werden. Denn die Basis für eine Smart City Infrastruktur sind neben einer stabilen und sicheren Energieversorgung in zunehmenden Maße Internet-of-Things (IoT) Lösungen, die den Vernetzungsgrad innerhalb einer Stadt erheblich steigern und gleichzeitig das Angriffspotential immens erhöhen.
Ein Sicherheitsversagen innerhalb einer Smart City hat potenziell schwerwiegende Auswirkungen, etwa in den Bereichen der Beleuchtung, Kommunikation oder Verkehrssteuerung. In vielen Smart Cities bilden Straßenlaternen etwa das Rückgrat für stadtweite Field Area Networks (FAN). Unsichere Geräte, Gateways und Netzwerke stellen hier Einfallstore für Hacker dar, die stadtweite Störungen auslösen oder die Systeme kontrollieren können. Als problematisch können sich hier auch intelligente Stromzähler, sogenannte Smart Meter erweisen, die mit kommunalen Energieversorgern im Datenaustausch stehen, aber oftmals nicht über die notwendige digitale Absicherung verfügen. Das Risiko, über Smart Meter in die Netze von Versorgungsunternehmen einzudringen ist hoch. Ein Worst Case Szenario kann hier zu einem von Hackern verursachten Stromausfall führen oder das personenbezogene Kunden- oder Zahlungsdaten kompromittiert werden. Neben dem Reputationsschaden und der Wiederherstellung der IT-Systeme kann eine solche Datenschutzverletzung die Kassen von Städten und Kommunen erheblich belasten. Eine von IBM und dem Ponemon Institute in den USA durchgeführte Untersuchung geht zum Beispiel davon aus, dass die durchschnittlichen Kosten einer Datenschutzverletzung 3,86 Millionen US-Dollar betragen – mit dem Inkrafttreten der Europäischen Datenschutzgrundverordnung (EU-DSGVO) dürfte sich die Situation für betroffene Städte und Kommunen verschärfen.

Vorbild USA

Führende Smart Cities wie Amsterdam, London oder Wien haben begonnen, mit eigenen Smart City Strategien und angepassten IT-Sicherheitskonzepten Antworten auf diese Herausforderungen zu finden, zumeist mit Public-Private-Partnership orientierten Kooperationen. New York ist noch einen Schritt weiter gegangen: Im Juli 2017 unterzeichnete der Bürgermeister von New York City, Bill de Blasio, einen Exekutiverlass zum Schutz der Stadt vor Cyberangriffen und zur Einrichtung eines NYC Cyber Command mit einem eigenen Chief Information Security Officer. Dieser berät das New Yorker Rathaus und koordiniert die mehr als 100 städtischen Behörden und Gesellschaften in Fragen der Cybersicherheit.
Als hilfreich für die Absicherung und Einführung einer Cybersicherheits-Governance für Smart Cities erweisen sich die auf IoT- und Smart City-Anforderungen angepassten Richtlinien und Empfehlungen von Standardisierungsorganisationen wie dem US-amerikanischen National Institute of Standards und Technology (NIST). Das vom NIST herausgegebene Cybersecurity Rahmenwerk besteht aus Standards, Richtlinien und Best Practices zum Umgang mit Risiken im Zusammenhang mit Cybersicherheit und unterstützt Entscheidungsträger in Fragen der Cybersicherheit bei ihren Smart-City-Projekten. Pflichtlektüre für eine städtische Führung sollte auch der Smart Cities Guide des East West Institutes sein, der konkrete Maßnahmen in den vier Schlüsselbereichen Cybersicherheit, Cyberresilienz, Datenschutz und Datensicherheit sowie bei der Zusammenarbeit und Koordination im Bereich Governance definiert.

Den KRITIS-Begriff erweitern

Deutschland hat bei der Absicherung von Smart Cities noch Nachholbedarf, insbesondere wenn es um die Stellung von Städten, Kommunen und ihrer Verwaltungen im Bereich Cybersicherheit geht. Sie sollten in der Fortschreibung des IT-Sicherheitsgesetzes durch den Bund grundsätzlich als Kritische Infrastrukturen definiert und wie Bereiche behandelt werden, in denen der neueste Stand der Computertechnik gesetzlich vorgeschrieben ist. Darunter fallen bisher Krankenhäuser oder Energieversorger, aber bislang keine Behörden. Hier muss ein Paradigmenwechsel Einzug erhalten, denn das digitale Schutzniveau kann nur so stark sein, wie das schwächste Glied in der Kette. Wenn der Weg zu einer sicheren Smart City beschritten werden soll, muss Cybersicherheit als Führungsthema begriffen werden, bei Stadtoberhäuptern, Landräten und ihren kommunalen Entscheidungsgremien gleichermaßen.
Schon in der nahen Zukunft, wird die Digitalisierung und Automatisierung von Risiko Management Funktion eine zwingende Notwendigkeit werden. Welche Ansätze und Trends sind in diesem Bereich erkennbar? Welche Rolle spielt die strategische Kommunikationskompetenz in der digitalen Transformation, die von Akronymen überfrachtet und unklaren Begriffsdefinitionen beherrscht wird? Wie kann die städtische Führung Überblick über den digitalen Wildwuchs in der eigenen Stadt gewinnen und gezielt Cybersicherheitskonzepte einführen? Die Command Control wird am 3. und 4. März 2020 zum zweiten Mal in München stattfinden. Entscheider und Experten aus Wirtschaft, Wissenschaft und Politik nehmen an der Veranstaltung teil. Ziel der Command Control ist es, alle Beteiligten für ein Umdenken, im Umgang mit Cyberbedrohungen zusammenzubringen und Antworten auf die Frage zu finden, wie digitale Risiken minimiert und Smart Cities cyberfest gemacht werden können.

Autor: Oliver Rolofs, Managing Partner der Strategieberatung connecting trust

Besucher
Ein Ticket – volle (Command) Control

Sichern Sie sich jetzt Ihr reduziertes Online-Ticket und werden Sie Teil der Command Control 2020! 6 Meet-ups. 2 Summit-Tage. 8...

Tickets & Preise
Besucher
Lernen Sie Ihre Ansprechpartner kennen

Das Team der Command Control unterstützt Sie mit professioneller Beratung rund um Ihre Teilnahme.

Beratung & Kontakt
Programm
Internationale Sprecher

Hochkarätige Referenten aus Wirtschaft, Politik und Wissenschaft teilen neueste Erkenntnisse und zeigen Zukunftsperspektiven auf.

Sprecher