Projekt »Smart City«
Wie sicher sind intelligente Städte?
Die Vorstellung der Smart City ist greifbar: Wi-Fi an jeder Ecke, autonome Taxis und null CO2-Emissionen. Teilweise steht die Technik zur Verfügung, jedoch nicht immer ohne Risiken. Eine zunehmende Vernetzung ruft auch Hacker auf den Plan.
WLAN »ja«, smarte Mülltonen »nein«. So könnte man die Bitkom-Studie zum Smart-City-Index in Deutschland aus diesem Jahr [1] zusammenfassen. Neun von zehn Städten bieten kostenloses WLAN im Stadtzentrum an, jedoch führen lediglich drei von zehn Städten Tests mit intelligenten Mülltonnen durch. Obwohl intelligente Städte noch im Aufbau sind, könnten Smart-City-Initiativen insbesondere mit dem 5G-Ausbau einen kräftigen Schub erfahren.
Doch wollen die Bürger überhaupt eine Smart City? Antwort auf die Frage gibt eine Kaspersky-Umfrage unter eintausend jungen Bundesbürgern bezüglich intelligenter Systeme in der Stadt. Es zeigt sich, dass die 16- bis 30-Jährigen mehrheitlich die Vorzüge einer – mithilfe Methoden der künstlichen Intelligenz (KI) – immer smarter werdenden städtischen Infrastruktur begrüßen. Die künftige Leistungsgeneration ist also vorwiegend bereit für die Smart City. Sind es jedoch auch IT-Sicherheit und Datenschutz?
Die Smart City wird insbesondere mithilfe des Ausbaus von 5G und den hiermit verbundenen Möglichkeiten des Internets der Dinge immer realer. Eine Studie von Kaspersky über den Einsatz und die Herausforderungen hinsichtlich IoT-Sicherheit und -Datenschutz [2] zeigt: 58 Prozent der befragten Organisationen der öffentlichen Hand nutzen bereits IoT-Plattformen. Im IT- und Telekommunikationsbereich sind es 71 Prozent, im Finanzwesen 68 Prozent und im Gesundheits- beziehungsweise Energiewesen jeweils 66 Prozent.
Mehr als ein Drittel (36 Prozent) der befragten Unternehmen aller Branchen gewähren Drittparteien Zugriff auf ihre IoT-Plattformen – ein höherer Wert als Zugriffe auf Produktions- (23 Prozent) oder ERP-Software (30 Prozent). Aufgrund des Zugangs von Dritten auf die Daten entstehen Risiken. Gerade weil staatliche Einrichtungen und deren Zulieferer dank 5G, IoT- und Smart-City-Projekten mit immer größeren Datenmengen zu tun haben und sie verwalten müssen, sollten Zugangsrechte und Datenschutz klar geregelt sein.
Beispielsweise kann es bei solchen Projekten zu Herausforderungen kommen, wenn die hinter einem smarten Netzwerk stehenden IT-Systeme bruchstückhaft sind. Städtische Dienste und Abteilungen nutzen unterschiedliche Plattformen und Anwendungen. Das erschwert das Implementieren von Systemen über verschiedene Netzwerke hinweg. Somit gibt es oftmals keine einheitlichen IT-Plattformen und Management- und Entscheidungsprozesse. Infolgedessen sind mehr Ressourcen erforderlich, um beispielsweise verschiedene städtische IoT-Dienste miteinander zu vernetzen.
Sicherheitsrisiken begünstigen unter anderem Folgendes:
- den Ausfall von Diensten
- das Nichteinhalten gesetzlicher
- Vorschriften bei Datenverlusten
- Rufschädigung
- direkte finanzielle Verluste
All das stellt vor allem Unternehmen vor Schwierigkeiten, die noch keine dedizierten IoT-Sicherheitsrichtlinien eingeführt haben oder mit zu geringen IT-Budgets kämpfen. Für viele Organisationen, die gerade erst mit dem Aufbau ihrer IoT-Anwendungen be-ginnen, muss jede Sicherheitslösung, in die sie investieren, entsprechend dem Wachstum ihrer Netzwerke skalierbar sein. Außerdem benötigen sie Tools, mit denen IT-Experten Bedrohungen für das Netzwerk einfach überwachen und beheben können.
Sieben Grundregeln für eine sichere IT
Ein Entwickeln sicherer IoT-Geräte sollte auf Grundlage sicherer Betriebssysteme und Plattformen erfolgen. So sollten Entwickler IoT-spezifische Funktionen in die klassischen Sicherheitsanwendungen für IT- und Telekommunikationssysteme implementieren. In der Industrie gibt es bereits Methoden zum Entwickeln von IoT-Sicherheitsempfehlungen, die auf Risikobewertungen basieren.
Um Risiken zu minimieren, sollten Entwickler die sieben Grundregeln zur Absicherung im IoT beherzigen:
- Ermitteln des Sicherheitsstatus eines Geräts vor dessen Einsatz. Bevorzugt sollten Entwickler Geräte mit Sicherheitszertifikaten und Produkte von Herstellern verwenden, die verstärkt auf Datenintegrität achten.
- Regelmäßig Audits und Risikobewertungen durchführen sowie IoT-Sicherheitsteams mit aktuellen Informationen über Threat Intelligence versorgen. Das ist sowohl für IoT-Systeme als auch für die gesamte IT-Infrastruktur bedeutend.
- Regelmäßig die Liste aller Partner und Dienstleister aktualisieren sowie die Daten, auf die sie zugreifen können. Unbedingt Sorge tragen, dass Organisationen, die nicht mehr mit dem Unternehmen zusammenarbeiten, nicht mehr auf Daten und Assets zugreifen oder diese verwenden können. Unternehmen sollten die einzuhaltenden Bestimmungen – einschließlich Compliance- und Sicherheitspraktiken – allen Dritten bekanntgeben.
- Software und (Sicherheits-) Anwendungen auf allen Geräten und Teilen des IoT-Netzwerks ständig aktualisieren.
- Verfahren zur Informationsbeschaffung zu relevanten Schwachstellen festlegen, um eine geeignete und rechtzeitige Reaktion auf etwaige Zwischenfälle zu gewährleisten. Bei der Auswahl von IoT-Anwendungen, solche bevorzugen, die es ermöglichen, Software auf Basis von Root-of-Trust zu aktualisieren.
- Unternehmensnetzwerke funktionieren mitunter als Kommunikationskanal zwischen intelligenten Geräten und dem Rechenzentrum. Um die geschäftsrelevanten Assets zu schützen, sollten Unternehmen Cyber-Sicherheitsprodukte implementieren, die den Netzwerkverkehr analysieren und Angriffe darauf erkennen und verhindern. Entwickler sollten die Analyse zudem in das Netzwerksicherheitssystem des Unternehmens integrieren.
- Verwenden von IoT-Geräten, die bereits sicher konstruiert sind. Während viele Gateways als „sicher“ oder „vertrauenswürdig“ einzustufen sind, schützen die meisten tatsächlich lediglich IoT-Geräte, die mit dem Gateway verbunden sind, anstatt das Gateway selbst zu schützen. Somit sind beim Beschädigen des Gateways alle Sicherheitstechniken deaktivierbar und alle IoT-Geräte im Netzwerk betroffen.
Angriffspunkte der Smart City
Kaspersky geht davon aus, dass im Zuge des 5G-Ausbaus vor allem Telekommunikations-Services und -Infrastrukturen ins Visier von Angreifern geraten. Ein Rolle könnten dabei groß angelegte Distributed Denial of Service (DDoS)-Angriffe spielen. So entstehen neue Herausforderungen beim Schutz eines Netzwerks verbundener Geräten. Zusätzlich wird die für 5G entwickelte Technik auf der bisherigen Infrastruktur aufbauen. Das bedeutet, dass bereits bestehende Schwachstellen und Fehlkonfigurationen übernommen werden. Kritische Infrastrukturen und der öffentliche Nahverkehr sollten als besonders schützenswerte Systeme gelten.
Kosten für Authentifizierung senken
Bisher ist die Authentifizierung von 2G zu 4G ein einseitiger Prozess zwischen den Telekommunikationsnetzen und Diensteanbietern auf der einen Seite und dem Endgerät auf der anderen. Im 5G-Ökosystem gibt es jedoch mehrere Modelle, die geschäftliche und nutzerbezogene Kommunikationssysteme unterstützen. Eine Empfehlung für sicheres Authentifizieren stützt sich auf eine netzwerkbasierte Version. Unter besonderen Umständen können Diensteanbieter sich dafür entscheiden, die Netzwerkauthentifizierung für vertrauenswürdige Geräte auszunehmen, um die Kosten für die Authentifizierung zu senken. In dem Fall erfordert die Sicherheit des 5G-Netzwerks eine hohe Flexibilität von Organisationen, um verschiedene unbekannte Geräte mit unterschiedlichen Standards zu verwalten. Die Anforderungen an eine sichere IoT/M2M-Kommunikation oder Remote-Zugriffe können sehr unterschiedlich sein. Somit ist ein einheitliches, hybrides Framework erforderlich, um verschiedene Methoden für jede Sicherheitsstufe zu koordinieren. Security-as-a-Service wird möglicherweise den grundlegenden Rahmen bieten, um die Bedürfnisse der verbundenen Geräte und Benutzer zu decken.
- Wie sicher sind intelligente Städte?
- Erkennen von Anomalien
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Microchip
Sicherheitsanker für die Fahrzeugvernetzung
Mit neuem Intel Prozessor
Computer-Modul für Echtzeit-Anwendungen
Software-Engineering
Mit Mutanten Tests testen
Software-Entwicklung
Embedded-Linux-Systeme tracen – Teil 1
Kickstarter-Kampagne gestartet
Embedded-Gehäuse für Raspberry Pi 4
