In der smarten Stadt können überall Sicherheitslücken auftreten. (Bild: 45429942alphaspirit)
Die Zahl der Menschen, die in Städten leben, wächst rasant – momentan präferieren 74 % der deutschen Bevölkerung den urbanen Lebensstil, in OECD-Länder sind es sogar 80 % (World Bank, 2012). Experten sagen voraus, dass 2050 weitere 2,9 Milliarden Menschen in Städten wohnen, dies wird dann 70 % der Weltbevölkerung entsprechen.
Smartphones gehören mittlerweile zum Alltag selbstverständlich dazu. Aber das war erst der Anfang: schrittweise werden Autos, Häuser und letztendlich ganze Städte smart. Doch was bedeutet das? Durch intelligente Systeme, die miteinander vernetzt sind und relevante Daten austauschen, können Anlagen auf gegebene Situationen intelligent – also bestmöglich, ohne das Eingreifen einer Person – reagieren. So lassen sich zum Beispiel Fahrzeuge sicherer machen und insgesamt die Verkehrssteuerung optimal organisieren. Etwa dadurch, dass nicht die sinnvolle Umfahrung von Staus als Ziel anvisiert wird, sondern die Koordination des Verkehrsaufkommens logisch im Sinne der Stauvermeidung erfolgt. Oder die Geschwindigkeit im Verkehrsfluss so zu regeln, dass eine Ampel stets bei Grün erreichbar ist, um so Lärmbelästigung und Abgasausstoß zu vermindern.
Das sind nur einige exemplarische Beispiele, alle jedoch mit der obligatorischen Gemeinsamkeit, dass jedes der beteiligten Systeme intelligent ist – das bedeutet sie müssen in der Lage sein, Daten von anderen Systemen zu empfangen, zu verarbeiten sowie weiterzuleiten. Diese Kommunikation kann zwischen Autos, Verkehrsinfrastruktur wie Schildern oder Ampeln und einer zentralen Verkehrsleitstelle stattfinden. Die hierfür notwendigen Daten werden mittels Computer, Kameras, Radare, Sensoren und Aktoren generiert, die den Zustand des Systems selber, aber auch dessen relevante Umgebung erkennen und verarbeiten können. Des Weiteren ist dann die Vernetzung aller Beteiligten notwendig, die es ermöglicht, die so erhobenen Daten zu verteilen und auszuwerten. Diese Infrastruktur muss unter der Maßgabe geplant werden, dass es sich aufgrund der Mobilität einiger Systeme nicht um ein statisches Gesamtsystem handelt, weil jeweils adaptiv Teilnehmer hinzukommen oder sich wieder entfernen.
Gefahr im Verzug
Im Büro- und Produktionsumfeld sind mittlerweile viele IT-Schwachstellen bekannt, die sowohl zum Versagen einzelner Systeme als auch der Gesamt-IT führen können. Im Regelfall resultieren aus diesen Angriffen nur materielle Schäden, außer bei gravierenden Attacken in der Produktionsumgebung.
Anders sieht das jedoch in der smarten Stadt aus. Hier können überall Sicherheitslücken auftreten – von der Ampel bis zum digitalen Stromzähler – die Kriminellen ermöglichen, bestimmte Systeme zu übernehmen sowie entsprechend zu manipulieren und damit sehr wohl Menschenleben in Gefahr bringen.
Insgesamt gibt es neben der „smarten Verkehrssteuerung“ vielfältige Szenarien, die ein hohes Risikopotenzial beinhalten und so die guten Lebensbedingungen in einer Stadt gefährden können. Peter Tran, Senior Director beim Sicherheitsunternehmen RSA Security, sieht dieses etwa darin, dass miteinander verbundene, smarte Infrastruktursysteme wie Lohn- und Gehaltszahlungen, Bankanbindungen oder die Steuerbehörden zur Zielscheibe von Angriffen werden könnten. Wenn hier mehrere Systeme gleichzeitig ausfallen, Daten gelöscht oder der Datenfluss unterbrochen ist, bestünde etwa die Gefahr, dass ein ganzes städtisches Finanzsystem zusammenbricht.
Themen der nächsten Seite sind die Ursachenforschung und offene Fragen bei den Lösungen
Umfangreiche Programme enthalten mit hoher Wahrscheinlichkeit Fehler, die teilweise dazu geeignet sind, von Kriminellen so ausgenutzt zu werden, dass sie in ein anvisiertes System eindringen können. Dabei muss, um gravierende Schäden zu verursachen, nicht zwingend eine Übernahme stattfinden – mitunter reicht es auch aus, ein System nur etwa mittels einer DoS-Attacke zum Absturz zu bringen. Von daher ist es unabdingbar, bekanntgewordene Schwachstellen schnellstmöglich über die regelmäßig zur Verfügung gestellten Patches zu schließen.
Diese Sicherheitsmaßnahme wäre zukünftig für alle Systeme im Gesamtsystem „smarte Verkehrssteuerung“ verpflichtend – mit der Konsequenz, dass sobald zum Beispiel in einer Ampelsoftware ein Fehler detektiert würde, alle Ampelanlagen gleichzeitig gepatcht werden müssten. Der, aus der Einbindung aller Systeme resultierende, Vernetzungsgrad erzeugt jedoch zwangsläufig eine hochkomplexe und (eventuell) instabilere Infrastruktur. Unter dem Aspekt der IT-Sicherheit entsteht hier noch ein ganz anderes Problem: Im Gegensatz zu den Systemen in öffentlicher Hand, deren Patchmanagement sich zentral verwalten ließe, ist bei den Systemen im Privatbesitz das Einspielen von Patches nicht a priori gewährleistet. Daraus resultiert ein hohes Risiko für das Gesamtsystem smarte Verkehrssteuerung, da ungepatchte Schwachstellen als Einfallstor für Hackerangriffe nutzbar sind. Um diese Gefahr zu minimieren, könnten – ähnlich wie bei der dauerhaften Überwachung der IT in Unternehmen – IT-Sicherheitsmanagementsysteme inklusive regelmäßiger Auditierungen zum Einsatz kommen. Doch welche Konsequenzen müssten aus dem Nicht-Einspielen von essenziellen Patches für den Fahrzeughalter resultieren? Einfach sein Fahrzeug automatisiert stilllegen, um den Verstoß zu ahnden? Hiergegen gäbe es vermutlich Widerstände aus der Bevölkerung, folglich wäre eine gute Lösung, jeden Patch auf alle Teilsysteme automatisch einzuspielen – was jedoch, aufgrund der unterschiedlichen Hersteller, eine zusätzliche Komplexität im Bezug auf die Infrastruktur zur Folge hätte.
Gewährleistung der Sicherheit
Die IT-Sicherheit in Büroumgebungen wird durch eine Reihe von Maßnahmen hergestellt. Generell ist dabei zu beachten, dass sowohl die einzelnen Komponenten als auch das Gesamtsystem gegen die bestehenden Anforderungen getestet werden müssen. Dieser Grundsatz ist in einem dynamischen System – wie der smarten Verkehrssteuerung – nur schwer realisierbar, da nicht fortwährend Tests durchgeführt werden können, sobald ein neuer Teilnehmer hinzukommt. Somit kann die Gewährleistung der Sicherheit nur über den Test des jeweiligen Gesamtsystems erfolgen sowie mittels der Zugangsprozedur, die ausgeführt werden muss, um diesem beizutreten. Die hierfür erforderliche Authentifizierungsroutine ist wesentlich komplizierter als in Unternehmen, denn dort hat jeder Benutzer zur Anmeldung einen verifizierten Benutzernamen sowie ein Passwort, worüber dann die definierten Rechte und Rollen zugewiesen werden. Da aber jede beliebige Ampel mit jedem beliebigen Auto Daten austauschen und hier eine gegenseitige Identifizierung stattfinden muss, sind dafür kryptographische Verfahren notwendig. Von daher benötigt jedes System eine verifizierte ID, etwa ein Zertifikat. Zur Validierung dieser ID müssten alle Systeme fortlaufend online auf zentrale Prüfstellen zugreifen können. Hier liegt ein weiterer Knackpunkt: Sobald diese Verbindung unterbrochen ist, könnten gestohlene oder gefälschte IDs verwendet werden, auch um das gesamte System zu kompromittieren.
Fazit: Bei der Gestaltung der Zukunftsstädte muss den technologischen sowie architektonischen Gestaltungsvorgaben und der IT-Sicherheit ein identischer Stellenwert eingeräumt werden. Diese gilt es jedoch nicht nur zu implementieren, sondern im Weiteren auch regelmäßig zu testieren – vergleichbar mit der heute durchgeführten Überprüfung von Fahrzeugen auf ihre Verkehrssicherheit. In strikter Analogie dazu müsste es somit eine zentrale Instanz geben, die alle Systeme auf ihren aktuellen IT-Sicherheit-Status überprüft – allerdings nicht nur alle zwei Jahre, sondern jeweils unmittelbar nach Erscheinen eines relevanten Patch.
Denn was ein Angreifer nach einem erfolgreichen Angriff auf Systeme wie etwa der smarten Verkehrssteuerung machen kann, ist nicht vorherzusehen, aber vorstellbar sind die schlimmsten Szenarien. Die Gewährleistung der IT-Sicherheit ist somit ein zentraler Punkt, der über den Erfolg oder Misserfolg einer smarten Welt entscheidet.
Hans Höfken
(ah)
