Smart City und IT-Sicherheit
Klein anfangen, groß denken
Katastrophenmeldungen rund um IT-Sicherheit häufen sich. Was bedeutet das für die fortschreitende Digitalisierung von Städten? Welche Angriffspunkte gibt es und warum kann das eine noch größere Herausforderung darstellen als die schon bekannten Angriffe auf IT-Infrastrukturen und Softwarelösungen?
Eine Smart City hat das Ziel, die Lebensqualität ihrer Bewohnerinnen und -Bewohner zu erhöhen. Neue Technologien werden eingesetzt, um Services digital anzubieten, zu vernetzen und intelligent nutzbar zu machen. Services sollen auf- und ausgebaut werden, Ressourcen geschont, die Effizienz gesteigert und die Nachhaltigkeit verbessert werden. Verkehr, Gesundheit, Bildung, Energie, Verwaltung, Haushalt, Ver- und Entsorgung, Wirtschaft – kein Lebensbereich, der nicht digital unterstützt werden kann. An manchen Stellen ist eine Digitalisierung schon verpflichtend, etwa bei Behörden über das Online-Zugangsgesetz (OZG). Die Basis aller smarten Services und Vernetzung sind Daten. Digitalisierte Services erheben und verarbeiten immer mehr davon. Sie müssen ausgewertet werden, um die Erkenntnisse für smarte Lösungen zu nutzen. Daten müssen also in großer Menge strukturiert erhoben, gespeichert und weiterverarbeitet werden. Ohne klare Regelungen zu Hoheit, Verantwortung, Speicherung und Weitergabe – also einer Data Governance – kann eine Smart City nicht funktionieren. Dabei sind besonders Datenschutz und -sicherheit zu beachten.
Herausforderung für die Cybersicherheit
Was im Unternehmen schon kein leichtes Unterfangen ist, kann in der Smart City zum Mammutprojekt geraten: Zahlreiche Komponenten in vielen verschiedenen Systemen sind beteiligt – vernetzte Produktionsanlagen, intelligente Messsysteme oder auch der Datenaustausch zwischen Ämtern, um nur einige Beispiele zu nennen. Dafür müssen entsprechende Server- und Cloud-Infrastrukturen sowie Gateways bereitstehen. Dabei kommt es zum Drahtseilakt zwischen einem einfachen, öffentlichen Zugang zu Open-Source-Diensten und den besonders schützenswerten und sensiblen, hoch regulierten Daten und Infrastrukturen, die aber gleichzeitig strukturell vernetzt sein müssen. Eine Herausforderung für die InformationssicherheitsexpertInnen.
Das Grundprinzip einer Smart City ist durch digitale Technologien und damit verbundene automatisierte Datenflüsse möglich. Der Datentransfer von intelligenten Geräten und Systemen erfolgt nahezu automatisiert und ferngesteuert, mit minimalem menschlichen Aufwand. Die vernetzten Systeme erreichen ein hohes Niveau an Komplexität und verlangen nach Überwachung und Steuerung. Für die Cybersicherheit ist das ebenfalls eine große Herausforderung. Zudem sollen die Dienstleistungen nutzerfreundlich sein. Die einfache Bedienbarkeit und der Datenschutz stehen an oberster Stelle. In der globalen Studie des Capgemini Research Institute, in der auch Bürgerinnen und Bürger sowie städtische Führungskräfte in Deutschland befragt wurden, gewichten 63 Prozent den Schutz der eigenen Daten höher als eine Verbesserung der städtischen Leistungen.
Klare Richtlinien, Standards und Vorschriften sind noch Mangelware und wenn es sie gibt, dann gelten sie nicht übergreifend. Intelligente Geräte, etwa aus dem Smart-Home-Bereich, weisen häufig noch grundlegende Sicherheitsmängel auf. Das kann ein Einfallstor in übergeordnete Systeme sein. Es ist gleich eine Reihe an Regelungen relevant, die angewandt und eingehalten werden müssen – aber nicht für jeden Service. Datenschutz nach DSGVO beziehungsweise BDSG-neu sind nur einige von vielen Vorgaben neben dem SGB, dem Verwaltungsrecht und weiteren Anforderungen. Aber sind diese überhaupt „maßgeschneidert“ für die Daten-Architektur einer Smart City?
Ein wichtiger Schritt zu allgemein gültigen Standards ist, dass nicht jede Stadt, jedes System, jeder Service eigene Lösungen entwickelt, sondern eine übergreifende Lösung entsteht, die von allen genutzt und individuell angepasst werden kann. So ist etwa mit dem Prinzip EfA, „Einer für Alle“, im Rahmen des OZG die Digitalisierung der Verwaltungsdienstleistungen von Behörden von einem Bundesland aus entwickelt worden und soll weiteren Bundesländern individualisierbar zur Verfügung stehen. Ebenso groß ist der Mangel an speziell ausgebildeten Fachkräften. Für eine effektive Cybersicherheit in einer intelligenten Stadtumgebung ist ein Expertenstab für die Bereitstellung der Sicherheit, den Schutz, die Abwehr von Cyberangriffen und die möglicherweise nötige Recovery bei einem Schadensfall jedoch unerlässlich.
| BSI führt Smart-City-Studie durch |
|---|
| Im Frühjahr 2020 startete im Bundesamt für Sicherheit in der Informationstechnik (BSI) die Studie „SMIoTI (Secure Municipal Internet of Things Infrastructures)“. Gemeinsam mit vier am BMI-Modellprojekt Smart Cities teilnehmenden Städten – Haßfurt, Kaiserslautern, Solingen und Wolfsburg – analysiert das BSI bereits bestehende Smart-City-Projekte in Hinblick auf deren Informationssicherheit. Gleichzeitig begleitet das BSI in einem weiterführenden Schritt der Studie vier weitere Städte – Dresden, Ulm, Paderborn und Delbrück – von Beginn an bei der Entwicklung ihrer Smart-City-Infrastrukturen. Ziel ist es, auf Basis der gewonnenen Erkenntnisse Handlungsempfehlungen zur IT-Sicherheit für Digitalisierungsprojekte weiterer Städte zu geben. So werden die Ergebnisse für zukünftige kommunale IoT-Projekte nutzbar gemacht. Die Studie wird bis in die zweite Jahreshälfte 2021 andauern. (DK) |
- Klein anfangen, groß denken
- Mögliche Angriffsflächen
- Hintergrund: Das Onlinezugangsgesetz (OZG)
Lesen Sie mehr zum Thema
