Städte wenden sich zur Lösung lang bestehender urbaner Probleme vermehrt dem Internet der Dinge (IoT) zu – doch welche Risiken entstehen, wenn in der Planungsphase die Cybersicherheit vernachlässigt wird?
Den Begriff „Smart Cities“ haben Sie sicherlich schon gehört. Dem Konzept liegt die Idee zugrunde, Informations- und Kommunikationstechniken (engl. ICT) zu nutzen, um die Infrastruktur der Energiewirtschaft, der Versorgungsbranche und des Transportwesens zu überwachen. Dabei sollen Kosten eingespart, Umwelteinflüsse reduziert und eine schnellere Fehlerbehebung ermöglicht werden.
Die Vorteile liegen auf der Hand. Wenn eine Straßenlaterne ausfällt und dieser Fehler kommuniziert, kann sie schneller repariert werden. Wenn man ein erhöhtes Verkehrsaufkommen effizienter kontrollieren kann, reduziert man Smog und Lärm und verkürzt Reisezeiten. Wenn man Klimaanlagen und Heizungen sinnvollen Raumtemperaturen anpasst, kann das den Stromverbrauch reduzieren und Energieverschwendung verhindern. Wenn man den Verkehr in Echtzeit verfolgt, kann man die besten Routen für Rettungsfahrzeuge planen.
Die meisten nationalen Regierungen haben sich dem Übereinkommen von Paris verpflichtet und müssen daher Zielvorgaben für reduzierte Kohlenstoffdioxid-Emissionen erfüllen. Diese Vorgaben werden zwangsläufig an regionale und kommunale Ebenen weitergegeben und die Implementierung von smarten Technologien im städtischen Raum spielen eine große Rolle bei der Erreichung dieser Ziele. Wenn jedoch viele komplexe, verbundene, computergesteuerte Netzwerke aus tausenden IoT-Sensoren und -Geräten zusammenkommen, läuten bei bei Cybersecurity-Experten die Alarmglocken.
ESET-Forscher haben bereits Malware untersucht, die höchstwahrscheinlich bei verschiedenen Angriffen auf die Energiebranche angewendet wurde und letztendlich Stromausfälle verursachte (z. B. BlackEnergie oder Industroyer). Solche Störungen nehmen massiven Einfluss auf das Leben der Menschen, denn eine unregelmäßige oder unzuverlässige Energieversorgung verursacht sehr schnell weitere Probleme. Nahrungsmittel und Medikamente verderben rasch, sobald die Kühlung versagt. Krankenhäuser müssen ihren Energieverbrauch auf lebensnotwendige Systeme reduzieren. Zapfsäulen funktionieren nicht mehr (Ladesäulen für E-Autos natürlich auch nicht), Ampelanlagen versagen, Gebäude beginnen, sich aufzuheizen oder kühlen aus. Die Straßenbeleuchtung fällt aus. Elektronische Zahlungsmethoden funktionieren nicht mehr, Löhne werden vielleicht nicht mehr ausbezahlt, Geldautomaten geben kein Bargeld mehr aus. Handys oder Laptops können nicht mehr aufgeladen werden. Insulinpumpen werden nicht mehr aufgeladen, CPAP-Beatmungsgeräte arbeiten nicht mehr, Fernüberwachungssysteme sowie Sicherheitskameras funktionieren nicht mehr – nicht einmal die Kaffeemaschine! Daher ist es leicht zu verstehen, wie schnell unter diesen Umständen Chaos ausbricht.
Vorstellbar sind auch viel subtilere Angriffe als großflächige Stromausfälle. Es gab bisher mindestens zwei Vorfälle, bei denen auf kompromittierten Kontrollsystemen einer Kernkraftanlage eine illegale Software eingesetzt wurde, um Kryptowährung zu schürfen. Das Schürfen von Kryptowährung benötigt eine unvorstellbare Menge an Energie und stellt eine große Umweltbelastung dar – zusätzlich zu den entstehenden Kosten und der Gefahr eines Stromausfalls (mit all den vorher beschrieben Problemen). Nicht nur Unternehmen sind von solchen Attacken betroffen. In vielen (den meisten?) Fällen sind IoT-Geräte nicht ausreichend gesichert und ihre Schwachstellen können ausgenutzt werden, sodass der Benutzer nur wenige Maßnahmen zur Schadensminderung einleiten kann. Letztes Jahr wurde ein großangelegtes Vorhaben aufgedeckt, bei dem Netzwerkrouter von Privatpersonen zur Generierung von Kryptowährung benutzt wurden. Wo schnelles Geld gemacht werden kann – angesichts der Angreifbarkeit der Systeme –, dort wird es auch eine kriminelle Ausbeutung geben.
Intelligente Messgeräte sind ein Segen für Versorgungsunternehmen sowie für Verbraucher und Gewerbe, da sie eine präzise Überwachung des Verbrauchs ermöglichen. Eine mögliche Kompromittierung erlaubt aber gleichermaßen den Diebstahl von Strom, Gas oder Wasser. Ein vielleicht noch schlimmeres Szenario: Solche Messgeräte zeigen an, wie viel erzeugte Energie in das Stromnetz gespeist wird (etwa bei Dach-Photovoltaikanlagen) und der Rest des Stromnetzes benötigt exakte Daten für einen ordnungsgemäßen Lastausgleich und zur Lasterzeugung. Wie es bei Sicherheitslecks oft der Fall ist, können die unvorhergesehenen Ereignisse oft die verheerendsten Folgen mit sich bringen.
Die Europäische Union (EU) ist bei der Umsetzung von Smart-City-Technologien, neben anderen IoT-basierten Projekten, bisher sehr aktiv gewesen. Viele wurden unter der Federführung des EU-Forschungs- und Innovationsprogramms Horizont 2020 eingeführt. Diese Projekte haben unterschiedliche Reichweiten, aber viele wirken sich weitreichend auf die von ihnen betroffenen Sektoren aus – Smart Cities und Gesellschaft, die Landwirtschaft, das Gesundheitswesen, das Meeres- und Gewässermanagement, die Nahrungsmittelversorgung, die Produktion, und viele weitere Lebensbereiche werden beeinflusst.
Manche dieser Vorhaben werden von „Mission Boards“ verwaltet, die anleitend und beratend bei der Umsetzung der Projekte agieren. (Um ganz offen zu sein: Ich war einer von 550 Bewerbern um einen Sitz im „Mission Board“ für klimaneutrale und intelligente Städte, habe allerdings keinen erlangt. Insgesamt waren 15 Expertenstellen zu besetzen.)
Diese Boards setzen sich aus Mitgliedern zusammen, die in vielfältigen Disziplinen tätig sind. Man kann nur hoffen, dass die Cybersicherheit bei ihren Überlegungen an erster Stelle steht, obwohl sie kaum Erwähnung in den Anweisungen für die Boards findet.
Letzten Endes wird die Implementierung von Technologien, die das Leben vieler Menschen verbessern und Umweltbelastungen verringern können, enorme Vorteile haben. Andererseits sollten wir auch die Risiken nicht vergessen, die durch Versäumnisse bei der Absicherung dieser Technologien entstehen können.