Klingsorstr. 6, 12167 Berlin
+49 151 22668185
luehrs.alexander@gmail.com

Wie funktioniert die Sicherheits­infrastruktur einer Smart City?

Wie funktioniert die Sicherheits­infrastruktur einer Smart City?

Die Smart City ist ein digitales Abbild der Stadt in all ihren Facetten und entsteht in dem Wunsch, durch die engmaschige Vernetzung öffentlicher Dienstleistungen und kommerzieller Anwendungen einen Mehrwert für Bewohner und Besucher zu schaffen. Eine Besonderheit in der Smart City ist die öffentliche Zugänglichkeit von IT-Systemen und Benutzern, da im Unterschied zu Unternehmen, kein geschützter Bereich existiert.

Die einzelnen Sektoren der Smart City sind über Datenplattformen und IoT-Systeme miteinander vernetzt und für die Nutzer über Apps oder Webportale zentral zugänglich. Um den Mehrwert für die Benutzer zu gewährleisten, müssen Smart City Anwendungen intuitiv nutzbar sein und dürfen dabei über keine unnötig komplexen und zeitaufwändigen Zugangsmechanismen verfügen. Der Wechsel zwischen verschiedenen Sektoren muss fließend sein. Diesen Mix aus Nutzbarkeit und notwendiger Sicherheit zu kreieren, wird in den kommenden Jahren eine echte Herkulesaufgabe für Kommunen und Dienstleistern.

Die Smart City benötigt mehrere Verteidigungslinien

Um die Smart City und ihre einzelnen Komponenten bestmöglich vor Angriffen von außen zu schützen, müssen die folgenden vier Maßnahmen gewährleistet sein:

1. Minimierung des Faktor Mensch

Eines der größten Sicherheitsrisiken für Unternehmen, Kommunen und somit auch die Smarte Stadt sind und waren schon immer die Menschen die in ihr wohnen und arbeiten. Analog zur heruntergelassenen Zugbrücke, der unverschlossenen Tür oder dem offenen Fenster im vordigitalen Zeitalter, sind es heute immer noch vor allem das unbedarfte Öffnen von Mailanhängen oder Phishing Mails, die es Angreifern leichtmachen ihre Attacken durchzuführen. Wir müssen Technologien installieren, die verstanden werden und somit die Menschen aus der Schusslinie der Angreifer nehmen. Ein Authentifizierungssystem ist dabei hervorragend geeignet, eine erste Abwehrlinie für den Nutzer aufzubauen.

2. Strikte Zugangskontrollen und Einsatz von Software-Defined Perimeter (SDP)

Um die Smart City zu einer echten Festung zu machen, braucht sie unkomplizierte und rigorose Verteidigungslinien. Unnötige Systeme und ungenutzte Fernverwaltungsfunktionen und Ports müssen abgeschaltet werden, damit Angreifer nicht darauf zugreifen können. Sämtliche Netzwerkaktivitäten müssen gescannt und verdächtiger Internetverkehr mit Hilfe von Security Incident und Tools überwacht werden, um Angriffe frühzeitig zu erkennen und zu stoppen. Eine der wichtigsten Maßnahmen zum Schutz einer Smart City ist der Einsatz von sicheren Firewalls und Software-Defined Perimeter. Die Bestimmung und Kontrolle der Art des Datenverkehrs, der die Firewall passieren darf, ist eine der wichtigsten Möglichkeiten, ein Netzwerk vor potentiellen Angriffen zu schützen. SDP geht dabei noch einen Schritt weiter und ermöglicht, einzelne Dienste einer Smart City nur denen gegenüber zu öffnen, die auch die Berechtigungen dazu haben. Die Grundlage ist eine durchgängige Authentifizierung als Grundlage jeglicher digitalen Kommunikation, auch zwischen IoT Geräten, Sensoren, Aktoren und Software-Komponenten.

3. Moderne Sicherheitsarchitektur für die Smart City

Um einen sicheren Remote-Zugriff auf die unterschiedlichen Anwendungen und Angebote der Smart City zu ermöglichen, muss jedenfalls eine moderne Infrastruktur auf zertifizierten Servern errichtet werden, die beispielsweise auf die Zero Trust Technologie setzt. Zero Trust ist die zeitgemäße und um ein vielfaches vertrauenswürdigere Alternative zur VPN-Technologie. VPNs werden seit Jahrzehnten genutzt und können in einer komplexen digitalen Umgebung wie einer Smart City keinen Schutz mehr gewährleisten. Sie bieten nach außen hin lediglich eine Verteidigungslinie – ist diese einmal umgangen oder geknackt, sind die Systeme der Stadt der Attacke der Eindringlinge schutzlos ausgeliefert. Zero Trust hingegen bleibt auch im inneren der Stadt wachsam und erlaubt Nutzern keinen pauschalen Zugriff auf sämtliche Anwendungen und Services, sondern immer nur auf solche Anwendungen, die jeweils gerade benötigt werden. Der Ritterschlag für die Technologie erfolgte kürzlich, als US-Präsident Biden verfügte, die amerikanischen Behörden auf Zero Trust umzurüsten.

4. Sichere Zwei-Faktor-Authentifizierung ohne Passwörter

Eine Zwei-Faktor-Authentifizierung besteht stets aus zwei unterschiedlichen Sicherheitskomponenten. Meist sind das eine Besitzkomponente, bezogen auf ein bestimmtes Zugangsgerät wie z.B. ein Smartphone, ein Tablet oder eben der Arbeitslaptop. Wir integrieren zudem stets eine biometrische Komponente wie z.B. einen Fingerabdruck oder einen Retina- oder Gesichtsscan oder eine Wissenskomponente wie die PIN. Gerade aufgrund der Flexibilität und Geschwindigkeit in der Nutzung eignet sich besonders die Biometrie, wie man es beispielsweise auch von der Nutzung von Apple Pay kennt. Während des Authentifizierungsvorgangs wird die Freigabe des kryptografischen Schlüsselmaterials erteilt. Die Verarbeitung der biometrischen Merkmale wird dabei vom Smartphone und nicht von der App durchgeführt. Die App bekommt lediglich die Antwort „Ja, die Anfrage war erfolgreich“ oder „Nein, die Anfrage war nicht erfolgreich“ und schaltet anschließend den Zugriff auf das kryptografische Schlüsselmaterial frei. Der Vorteil dieser Kombination aus Besitzkomponente und biometrischer Komponente ist, dass die Dienste schneller zugänglich gemacht werden können und dadurch der gern vergessene oder verlorene Pulk an individuellen Passwörtern endlich obsolet wird. Alleine wenn man bedenkt, dass aktuell mehr als 11 Milliarden Kombinationen aus Benutzernamen und Passwörtern frei im Netz einsehbar und verfügbar sind wird klar, dass der vollständige Verzicht auf Passwörter in großem Maße zum Schutz vor Cyber-Angriffen beiträgt.

Spagat zwischen Nutzbarkeit und Sicherheit

Damit eine Smart City reibungslos funktioniert, bedarf es einer engen Verzahnung der IT-Systeme der wichtigsten teilhabenden Akteure. Das Zusammenspiel zwischen Verwaltung und Dienstleistern aus den unterschiedlichsten Branchen muss an den Schnittstellen überzeugen. Zudem ist es wichtig, dass die agierenden Systeme sich an öffentlich zugängliche Standards halten und somit ein offenes Ökosystem in der Smart City schaffen. In der jüngeren Vergangenheit sind viele Smart City Projekte an der mangelnden Einheitlichkeit der Datenstandards der unterschiedlichen Systeme gescheitert. Um hier erfolgreich zu sein, bedarf es einer engen Zusammenarbeit und einem ständigen Austausch mit externen Partnern. Der Smart City Index des Branchenverbands bitkom listet aber auch vielversprechende Modellprojekte wie z.B. in Hamburg oder Gelsenkirchen, auf deren Erkenntnissen die weiteren Bestrebungen des Bundes aufgebaut werden können.

Wie anfangs erwähnt darf die Sicherheitsarchitektur einer Smart City das digitale Leben ihrer Nutzer auf keinen Fall zu sehr einengen und ausbremsen, sonst besteht die Gefahr, dass die Angebote schlichtweg nicht genutzt werden und dadurch keinerlei Mehrwert bieten. Neben der Sicherheit nimmt die reibungslose und intuitive Nutzbarkeit von Technologien eine zentrale Bedeutung bei der Planung der digitalen Stadt ein. Um das größtmögliche Nutzerspektrum anzusprechen und maximale Zugänglichkeit zu gewährleisten, müssen Benutzeroberflächen übersichtlich, intuitiv und barrierefrei nach WCAG Level AA+ gestaltet werden.

Sämtliche Prozesse und Abläufe müssen trotz höchster Sicherheit effizient und transparent vonstattengehen und dürfen lediglich wenige Sekunden in Anspruch nehmen. Gerade durch den Einsatz einer Zwei-Faktoren-Authentifizierung mit dem Abgleich biometrischer Merkmale, sowie der systemseitigen Geräte-Sperre zur Absicherung von Apps, wird bei Nutzern ein hohes Maß an Akzeptanz und Vertrauen geschaffen.

Quelle: Security Insider

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert