Schlaue Stadt, sichere Stadt

Rund um den Globus wollen Städte schlauer werden: Smart City heißt das Zauberwort. Es ist die Vision eines urbanen Raums, in dem Millionen vernetzte Geräte und Sensoren dank Datenanalyse und intelligenter Steuerung die Lebensqualität aller verbessern und helfen, Ressourcen schonend einzusetzen und die Wettbewerbsfähigkeit zu steigern. Diese Vorstellung nimmt heute bereits Gestalt an – dank eines exponentiell wachsenden Internets der Dinge (IoT), leistungsfähiger Mobilfunk- und Breitbandnetze und Fortschritten bei maschinellem Lernen oder Künstlicher Intelligenz. Kein Luxus, sondern eine notwendige Entwicklung, leben bis 2050 doch voraussichtlich 70 Prozent der Weltbevölkerung in urbanen Regionen.

Doch mit jedem neuen IoT-Gerät, jedem Server, jeder Datenübertragung wächst das Risiko, dass Cyberkriminelle, Hacktivisten oder Terroristen Einfallstore finden und missbrauchen: für Datendiebstahl oder sogar Sabotage. Und weil diese Risiken nicht nur unsere Daten betreffen, sondern vermehrt auch unser alltägliches Leben, muss die Stadt der Zukunft möglichst cybersicher sein. Denn nur, wenn Menschen der Infrastruktur ihrer Smart City vertrauen und in ihr sicher wohnen können, wird sie auch zum Erfolg.

Die Initiativen in Richtung intelligenter Stadt sind heute vielfältig, wie das Smart City Ranking 2020 der Wirtschaftshochschule IMD in Lausanne belegt, an dessen Spitze Singapur, Helsinki und Zürich stehen (siehe Infokasten). Jede dieser Initiativen wird dabei von einer Strategie für Cybersicherheit begleitet, so dass wichtige Akteure wie Stadtverwaltung und Management kritischer Infrastrukturen – wie Krankenhäuser, Energieversorgung, Mobilität oder Logistik – an einem Strang ziehen. Dabei sollten ihnen zudem Spezialisten zur Seite stehen, die in der Lage sind, mit Cyberbedrohungen adäquat umzugehen.

Siemens kann ihnen ebenfalls dabei helfen. Etwa, indem die Städte von einem der weltweit führenden Sicherheitskonzepte profitieren, das umfassend Infrastruktur, Anlagen und Menschen vor Cyberangriffen schützt. Zu diesem solchen holistischen Ansatz von Siemens gehört etwa auch, Soft- und Hardware regelmäßig auf Schwachstellen zu überwachen und umfassend auf Sicherheitslücken zu testen, den Datenverkehr rund um die Uhr zu überwachen, Mitarbeiter regelmäßig zum Thema Cyberbedrohungen zu schulen und natürlich, den Zugang zu kritischen Systemen zum Beispiel mit adäquaten Authentifizierungslösungen streng zu reglementieren.

Aber für jeden Baustein einer Smart City gibt es besondere Anforderungen. Moderne Bürogebäude etwa werden heute mit Steuerungssystemen für Klimaanlagen, Beleuchtung, intelligenten Stromzählern, Überwachungskameras, Fahrstühlen, Ladestationen für Elektrofahrzeuge, Zugangskontrollen und vielem mehr ausgestattet. Während diese Betriebstechnik früher weitgehend isoliert war, ist sie heute immer stärker mit den IT-Systemen der die Gebäude verwaltenden Firmen und dem Internet vernetzt. Das ermöglicht nicht nur Fernwartung, sondern auch Cloud-Dienste wie Datenanalyse zur permanenten Optimierung der Betriebsabläufe. Es schafft aber auch verstärkt Angriffspunkte für Kriminelle, die Zugang zu den diversen Steuerungssystemen erlangen wollen.

„Eine der Maßnahmen gegen Eindringlinge ist Soft-und Hardware einzusetzen, die auf dem Prinzip ‚Security by Design and Default‘ basiert. Dies bedeutet, dass die Zahl der Schwachstellen bereits im Design minimiert wird“, sagt Alina Matyukhina, Cybersecurity Manager by Siemens Smart Infrastructure. Ein Beispiel sind Steuerungseinheiten für Gebäudeautomatisierung, wie sie Siemens 2020 unter dem Namen PXC4 und PXC5 auf den Markt gebracht hat. Sie sind mit signierter Firmware versehen, die sicherstellt, dass sie – wie auch alle folgenden Updates – aus zuverlässigen Quellen stammt. Sie überprüfen auch die die Zertifikate der Geräte, die sie steuern. Die die Identität dieser Geräte ist zudem kryptografisch geschützt, basierend auf digitalen Zertifikaten, die jedes Gerät bei der Herstellung erhält.

Eine weitere Sicherheitskomponente ist die jüngste Erweiterung des populären Open Source-Kommunikationsprotokolls ‚Building Automation and Control Networks‘ (BACnet), das den Datenverkehr zwischen Geräten verschiedener Hersteller in Gebäuden ermöglicht: BACnet Secure Connect‘ (BACnet/SC) „Darin steckt die gleiche Technologie, die für die Sicherung von Online-Banking verwendet wird“, erklärt Matyukhina. „Die Kommunikation über Gebäudenetzwerke wird dadurch so sicher wie eine Online-Banküberweisung. Das Risiko, dass die Datenkommunikation manipuliert wird, wird damit stark minimiert. Beispielsweise, dass jemand die Klimaanlage eines Datencenter sabotiert – und so eine komplette Serverfarm ausfällt. Deshalb setzen wir bei Smart Infrastructure dieses Protokoll ebenfalls für unsere Produkte und Systeme ein.“

Auch Stromnetze sind essentiell für Smart Cities. Dabei werden künftig ‚Smart Grids‘ an Bedeutung gewinnen. Diese Netze erlauben, es unter anderem, dezentrale Stromerzeugung – wie Photovoltaikanlagen – und Stromverbrauch aufeinander abzustimmen. Das erfordert nicht nur ein leistungsfähiges Strom-, sondern auch Kommunikationsnetze mit IoT-Geräten wie intelligenten Stromzählern oder Stromspeichern. Weil aber gerade solch dezentrale Stromnetze die Zahl der involvierten Geräte und somit das Risiko einer Cyberattacke drastisch erhöhen, hat sich Siemens das Thema Grid Security ebenfalls auf die Fahnen geschrieben.

Ohne ein intelligentes Mobilitätsystem würde es auch keine Smart City geben. Unter seinem Dach werden sich Nahverkehr, Privatfahrzeuge, Car- und Bike-Sharing, Ampeln, Verkehrszeichen, Leitstellen und ein alles verbindendes Funknetz finden. Allein der Blick auf den heutigen Schienenverkehr einer Stadt belegt die Komplexität, die hier gehandhabt werden muss: Sie reicht von der Verkehrsleitzentrale über den betrieblichen Informationsdienst bis hin zur Fahrzeugsteuerung und dem Fahrgastinformationssystem. „Mobilitätsanbieter haben ein großes Interesse, über ein intelligentes, vernetztes System die Qualität und Effizienz ihrer Angebote zu erhöhen. Aber das muss immer einher gehen mit einem Schutz der Infrastruktur sowie personenbezogener Daten, seien es Kreditkarteninformationen oder Bewegungsdaten“, sagt Andreas Mehlhorn, Leiter Mobility Consulting bei Siemens.

„Aber wir hätten ein noch größeres Problem, wenn Hacker zum Beispiel Zugriff auf das Steuersystem eines Zuges und der Bahninfrastruktur erhielten – das könnte in massiven Sicherheitsproblemen enden.“ Um solche Störfälle zu verhindern, arbeiten die Mobility-Experten von Siemens auch auf diesem Gebiet an Security-Konzepten für Züge. Ein Beispiel ist die ‚Data Capture Unit‘, die den Datenfluss nur in eine Richtung zu IT-Netzwerken oder Cloud-Diensten ermöglicht. Diese Datendiode verhindert so, dass Systeme und somit etwa Stellwerke oder Züge via Internet von Hackern gesteuert werden können.

Aus diesen und anderen Bausteinen – wie Stadtplanung, Gesundheitssystem, Verwaltung oder Bürgerbeteiligung – werden Smart Cities errichtet. Damit bei dieser Bautätigkeit die Umsetzung der Cybersicherheit in einem buchstäblich geregelten Rahmen verläuft, braucht es regulatorische und gesetzliche Vorgaben. So sind 2020 weltweit mehrere Gesetze in Kraft getreten, die helfen, kritische Infrastrukturen und das IoT zu schützen. Sie reichen von der ‚California IoT Bill‘ über das ‚Telecommunications Business Law‘ in Japan bis hin zum ‚IT-Sicherheitsgesetz 2.0‘ in Deutschland. Hinzu kommen internationale Standards, die garantieren, dass Geräte, Systeme und Prozesse verschiedenster Hersteller Mindestanforderungen für Cybersicherheit erfüllen. Unterstützt werden diese Maßnahmen von Cybersecurity-Initiativen wie der Charter of Trust, die Siemens mit führenden Unternehmen aus der ganzen Welt ins Leben gerufen. Diese Zusammenarbeit zeigt erste Erfolge und hat ehrgeizige Ziele für die Zukunft.

All das unterstreicht, dass eine Smart City, so lokal jede von ihr letztlich sein wird, ohne internationale Kooperation nie Wirklichkeit wird. Aus dem Zauberwort Smart City wird so die Smart World.

Hubertus Breuer