Die Digitalisierung der urbanen Infrastruktur ist eine Reaktion auf die zunehmende städtische Verdichtung sowie auf die Notwendigkeit eines effizienten und sparsamen Energieverbrauchs. Dieser Wandel hin zu stärker vernetzten Städten wirft jedoch Fragen rund um die Cybersicherheit auf. Denn alles, was vernetzt ist, kann verwundbar sein. Und Cyberkriminelle haben ihre Fähigkeit, die inhärenten Schwachstellen dieser neuen Architekturen auszunutzen, bereits mehrmals unter Beweis gestellt. Ein Panorama der Angriffsfläche vernetzter Städte.
Beleuchtung, Beschilderung, urbane Mobilität, Wasser- und Energieversorgung, Videoüberwachung, Gebäudemanagement, Parken…: Durch die Vernetzung der wichtigsten Systeme eröffnen Smart Citys neue Möglichkeiten, aber sie erweitern auch ihre Angriffsfläche. Wir werfen einen Blick zurück auf diese Herausforderungen der Cybersicherheit anhand der Top 8 der Cyberangriffe auf vernetzte Städte und Smart Citys – eine antechronologische, aber keine erschöpfende Liste.
USA, 2023: Wenn eine Behörde für die Wasserversorgung vorübergehend außer Betrieb gesetzt wird
Im November 2023 wurde die städtische Wasserversorgungsbehörde von Aliquippa im US-Bundesstaat Pennsylvania Opfer eines Cyberangriffs auf ihre Wasserdruckkontrollgeräte, wie CBS News Pittsburgh berichtete. Am Samstag, den 25. November, funktionierte ein Computergerät der Behörde, das den Wasserdruck überwacht, nicht mehr und zeigte stattdessen eine antiisraelische Botschaft an.
Dabei handelte es sich um einen Cyberangriff mit internationalen Auswirkungen, denn in der Folge übernahm Cyber Av3ngers, eine iranische Gruppe von Cyberkriminellen, die bereits in ähnliche Vorfälle in Israel verwickelt war, die Verantwortung für den Vorfall.
London, 2023: Wenn Botschaften von Hacktivisten auf Bussen angezeigt werden
Im Oktober 2023 übernahm die Hacktivistengruppe The Dyke Project die Kontrolle über die Werbeanzeigen im öffentlichen Nahverkehrsnetz in London. Nach Informationen des Online-Magazins Slate ersetzten die Cyberkriminellen die übliche Werbung durch Botschaften von Queering the Map, einer Website, auf der LGBT+-Personen anonyme und geolokalisierte Nachrichten austauschen können.
Transport for London, die städtische Verkehrsbehörde, bestätigte den Cyberangriff und entfernte die nicht genehmigten Botschaften gemäß den Unternehmensrichtlinien.
Polen, 2023: Wenn ein Cyberangriff das Verkehrssystem zum Erliegen bringt
Laut eines Berichts von LeMagIT erlitt die polnische Stadt Olsztyn im Juni 2023 einen Cyberangriff, der ihr Verkehrssystem zum Erliegen brachte. Olsztyn, das für seine Smart-City-Funktionen bekannt ist, verwendet ein Verkehrsmanagementzentrum mit Kreuzungsüberwachung und Erkennung von Verkehrsverstößen, Wi-Fi-Hotspots in Straßenbahnen sowie einem Wetterinformationssystem. Der Angriff betraf fast 100 Kreuzungen im Stadtzentrum und störte Ampeln sowie andere kritische Elemente des Verkehrssystems.
Infolgedessen bildeten sich auf den Hauptverkehrsachsen der Stadt lange Staus, und die Bürgerinnen und Bürger hatten Probleme, Fahrkarten für den öffentlichen Nahverkehr zu kaufen. Nach dem Angriff musste ZDZiT, der Verkehrsbehörde der Stadt, die Server physisch vom Netz trennen, um den Vorfall einzudämmen.
Irland, 2022: Wenn ein Anwohner das IT-System eines Parkhauses umgeht
Im Mai 2022 musste David Young sich vor dem Strafgericht in der irischen Stadt Cork verantworten, weil er eine Schwachstelle im IT-System eines privatwirtschaftlichen Unternehmens ausgenutzt hatte, das im Auftrag der Stadtverwaltung das Parksystem betreibt. Die Zeitung Irish Examiner berichtete, dass David Young während eines Software-Updates eine vorübergehende Schwachstelle entdeckt hatte, welche die manuelle Änderung von Kundenkonten ermöglichte. Anschließend nutzte er diese Sicherheitslücke, um sein Parkguthaben in betrügerischer Weise zu erhöhen.
Um das Problem zu lösen, stellte das Unternehmen einen IT-Berater ein, was zu Analyse- und Update-Kosten in Höhe von über 12.000 € führte. Was David Young betrifft, so bekannte er sich schuldig und hatte diese sowie die Kosten für die zu Unrecht gutgeschriebenen Parkgebühren zu tragen.
China, 2019: Wenn ein Datenleck ein massives Überwachungssystem enthüllt
Im Mai 2019 wurde ein Datenleck in einem Überwachungssystem für chinesische Smart Citys entdeckt. Ein Interview der Nachrichtenseite TechCrunch mit dem Sicherheitsforscher John Wethington brachte weitere Einzelheiten über das Ausmaß dieser Entdeckung zutage: Der Sicherheitsforscher hatte eine Elasticsearch-Datenbank gefunden, die im Internet offen und ohne Passwort zugänglich war. Sie enthielt Gigabytes an Gesichtserkennungsdaten von Hunderten von Personen, die über mehrere Monate hinweg gesammelt wurden.
Dieses Leck warf Fragen über den Einsatz von Gesichtserkennung und Überwachungssystemen in smarten Städten auf.
USA, 2017: Wenn Cyberkriminelle mitten in der Stadt Notfallsirenen aktivieren
Im April 2017 aktivierten Cyberkriminelle in Dallas 156 Notrufsysteme gleichzeitig, wie das Magazin Forbes berichtete. Der Angriff, der sich kurz vor Mitternacht ereignete, wurde mit einer Warnung vor einer schweren Wetterlage ohne Anzeichen auf eine bevorstehende Naturkatastrophe verwechselt. Das Büro für Notfallmanagement in Dallas musste schnell eingreifen, um die Alarme zu deaktivieren. Die Behörde wandte sich an die Federal Communications Commission, um die Verantwortlichen zu identifizieren.
Der Vorfall führte nicht nur zu einer erheblichen Lärmbelästigung in der Stadt, sondern auch zu einem Anstieg der Notrufe, wodurch die Rettungsdienste überlastet wurden. Die Systeme wurden zwar schnell wiederhergestellt, doch der Bürgermeister der Stadt, Mike Rawlinson, zögerte nicht, in Forbes auf den Vorfall zu reagieren: „Dies ist ein ernstes Zeichen dafür, dass wir die technologische Infrastruktur unserer Stadt verbessern und besser schützen müssen.“
Finnland, 2016: Wenn ein DDoS-Angriff Heizungen in Wohnungen kaltstellt
Nach Informationen von Forbes wurden im November 2016 in Lappeenranta, einer finnischen Stadt mit 60.000 Einwohnern, die Steuerungssysteme zweier Wohngebäude durch einen DDoS-Cyberangriff so gestört, dass Heizung sowie Warmwasser ausfielen. Im Zuge dieses Angriffs wurden die Heizungs- und Warmwassersysteme immer wieder neu gestartet, was zu einer Endlosschleife führte, die schließlich den normalen Betrieb blockierte.
Obwohl die Außentemperatur zum Zeitpunkt des Angriffs nicht auf extrem niedrige Werte fiel, markierte dieser Vorfall den ersten Schritt in Bezug auf die Cybersicherheit für vernetzte Gebäude.
USA, 2014: Wenn Cybersicherheitsforscher Ampeln steuern
Im August 2014 veröffentlichten Forscher der Universität Michigan in Zusammenarbeit mit einer örtlichen Straßenverkehrsbehörde eine Schwachstelle in Ampelsteuerungssystemen. Mithilfe einfacher Laptops konnten sie problemlos 100 Ampeln im Bundesstaat Michigan steuern, indem sie die Zeitschaltung der Ampeln an Kreuzungen veränderten und eine Reihe von grünen Ampelanzeigen erzeugten.
Ein Bericht in der Daily Mail beleuchtete die Sicherheitslücken des Systems, das in 40 US-Bundesstaaten eingesetzt wird. Zu den Schwachstellen zählte beispielsweise die Verwendung von ungesicherten drahtlosen Netzwerken und Standardpasswörtern.
Es scheint offensichtlich, dass die zunehmende Konnektivität urbaner Systeme Cyberkriminellen neue Möglichkeiten eröffnet. Von der Steuerung von Verkehrsampeln bis hin zur Kompromittierung von Überwachungssystemen zeigen all diese Vorfälle, wie wichtig eine verstärkte Cybersicherheit für den Schutz lebenswichtiger Infrastrukturen ist.