Intelligente Sicherheit für intelligente Städte

Die Vereinten Nationen prognostizieren, dass bis 2050 68 Prozent der Weltbevölkerung in städtischen Gebieten leben werden. Dies ist ein enormer Anstieg gegenüber den 55 Prozent, die heute bereits in den Städten der Welt leben. Diese Migration in die Metropolen setzt Stadtplaner, Manager und politische Entscheidungsträger gleichermaßen unter Druck. Es gilt, die Stadtverwaltung zu optimieren und nachhaltige wirtschaftliche Stabilität zu schaffen, die den Einwohnern mehr Lebensqualität bietet. Smart-Cities (intelligente Städte), die durch die rasche Weiterentwicklung vernetzter Geräte, Softwaresysteme und Informations- und Kommunikationstechnologien möglich geworden sind, tragen dazu bei, diese Herausforderungen zu meistern.

Smart-City-Technologien

Smart-City-Initiativen sind ein neuartiges Konzept. Sie wurden daher meistens individuell umgesetzt. Manche Stadt hat mit nur ein oder zwei Projekten begonnen, um die Technologie vorab zu testen. Andere wiederum haben sich aktiv dazu entschlossen, den Status einer „Smart City“ umfassend zu planen und umzusetzen. Als das Konzept der Smart-Cities zum ersten Mal auftauchte wurde es von allen zunächst stufenweise angenommen. Die Technologien waren neu, es war nicht ganz einfach die Implementierungen praktisch hinzubekommen, und die allgemeine Akzeptanz ließ noch zu wünschen übrig. Es kann daher nicht überraschen, dass das Thema Sicherheit bei dieser Ad-hoc-Einführung so gut wie übersehen wurde (und teilweise noch wird).

In jüngerer Zeit hat sich der Trend durchgesetzt Smart-Cities aktiv und geplant anzugehen, und die Technologien strategisch zu nutzen. Gemäß Smart Cities Dive ist eine inklusive Planung und Implementierung von Projekten seit 2018 einer der Top-Trends für Smart-Cities. Für die Bürgerinnen und Bürger in solchen Städten bietet der Ansatz Vorteile, denn jeder kann die angebotenen Dienste gleichermaßen in Anspruch nehmen. Der Trend wirkt sich aber auch positiv auf die Sicherheit der Dienste selbst aus.

Sicherheit spielt zu Recht eine wichtigere Rolle, wenn IoT-Technologien gut durchdacht implementiert werden. Von eingebauter Sicherheit (bekannt als Security by design) spricht man, wenn Sicherheit zu einem Hauptaspekt schon bei der Konzeption wird. Dies gilt auch für sämtliche Technologiefeatures.

Wenn die Sicherheit versagt, dann kostet es

Während die Hersteller den Markt mit immer neuen „smarten Produkten“ überschwemmen, müssen Kommunen deutlich vorsichtiger vorgehen. Ein Sicherheitsversagen bei einer Smart-City-Initiative hat potenziell schwerwiegende Auswirkungen. Nehmen wir zum Beispiel Beleuchtung und Kommunikation. Viele Smart-Cities nutzen Straßenlaternen als Rückgrat für stadtweite Field-Area-Networks (FAN). Unsichere Geräte, Gateways und Netzwerke sind ein fruchtbarer Boden für Hacker, die stadtweite Störungen auslösen oder die Systeme kontrollieren können. Stellen Sie sich vor, dass in ganzen Blöcken die Beleuchtung ausfällt. Ein Verkehrschaos, Gefahren für Leib und Leben oder Eigentum und der Ausfall der mobilen Kommunikation sind mögliche Folgen.

Ganz ähnlich sieht es bei anderen gängigen Smart-City-Initiativen aus. Ein Beispiel ist Smart-Metering (intelligente Verbrauchsmessung). Stellen Sie sich vor, ein städtisches Versorgungsunternehmen wird gehackt, was zu Stromausfällen führt oder personenbezogene Kunden- oder Zahlungsdaten werden kompromittiert. Von solchen Ereignissen sind dann nicht nur Einzelne betroffen, sondern ganze Städte. Die Risiken und Auswirkungen sind mittlerweile real. Eine Untersuchung von IBM und dem Ponemon Institute geht davon aus, dass die durchschnittlichen Kosten einer Datenschutzverletzung 3,86 Millionen US-Dollar betragen. Das reicht, um die Kassen einer Kommune ordentlich zu belasten.

Orientierung für Smart-Cities

Mit der Einführung von Smart-City-Technologien in städtischen Gebieten sind Organisationen entstanden, die ihnen bei der Suche nach Finanzmitteln, empfohlenen Best-Practices und der Standardisierung eines Rahmenwerks für Daten- und Technologierichtlinien helfen. 2015 veranstaltete das US-Verkehrsministerium eine Smart City Challenge, bei der 50 Millionen US-Dollar als Starthilfe für technologische Fortschritte in amerikanischen Städten bereitgestellt wurden. Heute setzt der Smart Cities Council – die größte Vereinigung der Branche – diese Tradition fort. Sie öffnete vor kurzem die 2019 North American Readiness Challenge, ein jährliches Programm, das bisher nahezu einem Dutzend Städten und Staaten geholfen hat, ihre Initiativen für Smart Cities voranzutreiben.

Auch Zertifizierungsstellen wie etwa GlobalSign engagieren sich aktiv in Organisationen, die weltweit sichere IoT-Bereitstellungen vorantreiben. Organisationen wie das Industrial Internet Consortium (IIC) arbeiten an technologieübergreifenden Rahmenwerken um das industrielle Internet der Dinge (IIoT) sicher zu beschleunigen und bessere Ergebnisse zu erzielen. Die Wi-SUN-Allianz beispielsweise unterstützt die weltweite Entwicklung von drahtlosen Kommunikationsnetzen für Versorgungsunternehmen, Smart Cities und das IoT. In ähnlicher Weise bietet die Arm-Mbed-Pelion-IoT-Geräteplattform Betriebssystem, Cloud-Services, Tools und ein Ökosystem für Entwickler. Ziel ist es, kommerzielle, auf Standards basierende IoT-Lösungen in großem Umfang zu entwickeln und zu implementieren.

Darüber hinaus passen traditionelle Standardisierungsorganisationen ihre empfohlenen Richtlinien an die veränderten Sicherheitsanforderungen von IoT und Smart Cities an. Das National Institute of Standards und Technology (NIST), ein Labor für physikalische Wissenschaften und eine Nicht-Aufsichtsbehörde des US-Handelsministeriums, veröffentlicht ein Cybersecurity-Framework. „Dieses freiwillige Rahmenwerk besteht aus Standards, Richtlinien und Best-Practices zum Umgang mit Risiken im Zusammenhang mit Cybersicherheit.“ Gartner geht davon aus, dass bis 2020 50 % der privaten US-Unternehmen, Betreiber kritischer Infrastrukturen und Länder auf der ganzen Welt das Rahmenwerk bei der Entwicklung und Bereitstellung von Technologien wie Smart-Cities, Smart-Utilities und IoT nutzen werden.

Solche Organisationen und Gremien geben Entscheidungsträgern Schützenhilfe in Sachen Sicherheit bei ihren Smart-City-Projekten. Smart-Cities, Smart-Utilities und kommunale IoT-Märkte sollten ein gemeinsames Rahmenwerk für Datenrichtlinien schaffen, etablierte Standards berücksichtigen – wie z. B. einen starken Sicherheitsstandard für Identifizierung, Authentifizierung und Verschlüsselung, der die Integration erleichtert – und mit entsprechenden Pilotprogrammen beginnen.

Sicherheit für Smart-Cities

Sicherheit für Smart Cities ist ein gemeinsames Unterfangen vieler Partner – Sensor- und Aktuatoren-Hersteller, Gateway-Anbieter, Normierungsgremien und sogar Entwickler von Betriebssystemen, die sich speziell auf die Infrastruktur von Smart City konzentrieren. Die IoT-Identity-Platform von GlobalSign fungiert als wichtiger Bestandteil eines grundlegenden und vernetzten IoT-Sicherheitsökosystems.

Die Plattform basiert auf einer bewährten Public-Key-Infrastruktur (PKI) und kombiniert die Skalierbarkeit und Leistungsfähigkeit einer Zertifizierungsstelle (CA), um Geräteidentitäten während des gesamten Lebenszyklus der Geräteidentität sicher zu generieren, bereitzustellen und zu verwalten. Bevor Geräte mit dem Netzwerk kommunizieren, authentifiziert die Plattform die Identität der Geräte, autorisiert die Kommunikation und stellt die Integrität der Daten mittels Verschlüsselung sicher, um das gesamte Ökosystem zu schützen. Das passiert tausende Male pro Sekunde, jede Sekunde, jede Stunde, jeden Tag. Die einfache Integration über eine API ermöglicht es Kunden und Partnern, Security by Design zu einem integralen Bestandteil ihrer Smart-City-Initiativen zu machen.

Nahezu alle Städte und Gemeinden werden irgendwann unweigerlich Smart-City-Technologien einsetzen, um Ressourcen besser zu verwalten und das Leben der Bewohner zu verbessern. Wie es ihnen dann gelingt, auch die Sicherheit zu managen, das wird ganz sicher den Erfolg ihrer Bemühungen entscheidend mit bestimmen. Authentifizierte, autorisierte und verschlüsselte Kommunikation ist eine notwendige Voraussetzung für diesen Erfolg.

#Netzpalaver #Globalsign