Obwohl sie ultravernetzt sind, leiden moderne Smart Citys unter einem chronischen Mangel an Cybersicherheit im Hinblick auf die urbane Mobilität. Während die Akteure im Bereich der urbanen Mobilität immer vielfältiger werden, nehmen auch die Häufigkeit und Intensität von Cyberangriffen immer mehr zu- Dies bringt einen vernetzten, aber verwundbaren Mobilitätspark in Bedrängnis. Dies ist der erste Beitrag aus unserer Artikelserie über die Herausforderungen der Cybersicherheit in vernetzten Städten und Smart Citys.
Eines Morgens im Juni 2023 im polnischen Olsztyn steht die Stadtverwaltung auf dem Kopf: Die Fahrkartenautomaten für den öffentlichen Nahverkehr sind außer Betrieb, der Verkehr kommt auf vielen Straßen der Stadt nahezu zum Erliegen und das Ampelsteuerungssystem arbeitet im Störungsmodus. Am Vortag hatte ein Cyberangriff die vernetzte Verkehrsinfrastruktur dieser polnischen Stadt, die sich als eine der erfolgreichsten Smart Citys des Landes präsentiert, ins Fadenkreuz genommen.
In Olsztyn wie auch in anderen sogenannten Smart Citys ist die urbanen Mobilität ein Anliegen vieler Akteure: Dieser Sektor umfasst sowohl die etablierten Betreiber öffentlicher Verkehrsmittel als auch Start-ups für sanfte Mobilität und private Transportmittel (darunter Autos). Deshalb müssen alle diese Dienste miteinander vernetzt arbeiten, um die gewünschte Multimodalität in die Tat umzusetzen. Eine der größten Herausforderungen in der heutigen Zeit besteht jedoch darin, dass die meisten Verkehrsdienste nur unzureichend vor Cyberbedrohungen geschützt sind. Dies ist eine der wichtigsten Schlussfolgerungen eines Berichts der ENISA, der europäischen Agentur für Cybersicherheit, der die Verwundbarkeit dieses Sektors gegenüber Cyberangriffen hervorhebt.
Die Herausforderungen der Cybersicherheit im Hinblick auf urbane Mobilität
Heute ermöglicht die vernetzte urbane Mobilität insbesondere die Optimierung von Verkehrsströmen. Eines der bekanntesten Beispiele ist London mit den Mautgebühren an den Zufahrtsstraßen der Stadt, aber dies kann auch Ampeln oder andere Videoüberwachungskameras einschließen, die mit intelligenten Sensoren ausgestattet sind, um Verkehrsdaten zu sammeln. Insgesamt zielen diese vernetzten Dienste insbesondere darauf ab, die Auswirkungen von Verkehrsstaus zu verringern und den Verkehr bei Verkehrsspitzen besser zu steuern.
Vernetzte Schnittstellen sind auch bei den meisten Diensten im Bereich der „sanften Mobilität“ vorhanden, sowohl in Bezug auf die Ladestationen als auch auf die Apps, mit denen Fahrzeuge, d.h. Fahrräder oder Roller, gebucht werden können. Verbundene Netze bieten schließlich die Möglichkeit, die verschiedenen Verkehrsbetriebe untereinander zu koordinieren, um die Interoperabilität der Verkehrsmittel zu erleichtern. Einer der zentralen Schwerpunkte der urbanen Mobilitätspolitik betrifft deshalb MaaS (oder Mobility-as-a-Service).
Diese Innovationen bergen jedoch neue Herausforderungen für die Cybersicherheit, denn „vernetzte Stadt“ ist oft gleichbedeutend mit „Schwachstellen“. So hebt die ENISA hervor, dass im Jahr 2022 opportunistische Cyberangriffe auf die vernetzte Verkehrsinfrastruktur von Städten explosionsartig zunahmen. Dies sind allerdings nicht die einzigen möglichen Attacken: Angriffe, die ebenfalls auf der Ausnutzung von Sicherheitslücken beruhen, können auch auf frei zugängliche Fahrrad- oder Roller-Sharing-Stationen abzielen, um persönliche Daten und Bankinformationen der Benutzer und Benutzerinnen zu stehlen. Andere Attacken wiederum, wie Malware oder DDoS-Angriffe, können explizit auf urbane Mobilitätsdienste abzielen. Im Verkehrssektor betreffen die Schwachstellen zwar „insbesondere die Systeme der Informationstechnologie (IT) “, wie die ENISA betont, doch das bedeutet nicht, dass OT-Netzwerke nicht ins Visier genommen.
Die beliebteste Waffe von Cyberkriminellen ist ebenso wie in anderen Bereichen nach wie vor die Ransomware. Diese Angriffe sind bis 2022 um 25 % gestiegen, wie die EU-Agentur feststellte. Und das weltweit: Deutschland im Mai 2017, Dänemark im Mai 2018 und November 2022, Italien im März 2022 oder Polen im August 2023 – es wird zwar häufig auf Eisenbahngesellschaften verwiesen, wenn es um Cyberangriffe in der Welt des Transportwesens geht, aber es ist doch die gesamte Branche betroffen.
Rückblick auf Cyberangriffe, welche die urbane Mobilität beeinträchtigt haben
Solche Cyberangriffe sind potenziell dramatisch. Ein Angriff auf Ampelschaltsysteme könnte beispielsweise dazu führen, dass alle Ampeln zur gleichen Zeit auf grün schalten, was schwerwiegende Verkehrsunfälle verursachen würde, wie die Fachseite a/o proptech prophezeit – eine Annahme, die den Forschern und Forscherinnen der Universität Michigan nicht entgangen ist. Bereits im Jahr 2014 gelang es einem Team, den unverschlüsselten Datenstrom zu hacken, um eine Ampelschaltung zu steuern, die Anzeige zu stören und auf diese Weise Staus zu verursachen. Diese Erfahrung diente als Fallbeispiel dafür, dass andere Städte ein Segmentierungsprinzip zwischen ihren Netzwerken, an die Ampeln angebunden sind, und ihren allgemeinen Verkehrsnetzwerken einführen sollten.
Neben Cyberangriffen, die sich direkt gegen das städtische Mobilitätssystem richten, stellen auch Versuche, segmentierte Mobilitätsdienste zu sabotieren oder zu missbrauchen, eine sehr reale Bedrohung dar, die nicht nur globale Metropolen betrifft! So erlebte Frankreich zwischen 2019 und 2022 eine Reihe von böswilligen Angriffen auf die Verkehrsmittel kleinerer Metropolen, wie in Sarrebourg (Moselle), Sequedin (Nord), Huez (Oisans), La Croix-Valmer (Var) oder auch Nuits-Saint-Georges (Côtes-d’Or). Eines der jüngsten Beispiele betraf jedoch eine größere Metropole: Île-de-France Mobilités wurde Opfer eines Hackerangriffs, bei dem 4.000 E-Mail-Adressen und Passwörter von Benutzern und Benutzerinnen extrahiert wurden, wie L'Usine Digitale berichtete.
Diese Art von Cyberangriffen nimmt eine neue Dimension an, wenn sie sich gegen eine Millionenstadt richten: Im April 2023 meldeten die Verkehrsbetriebe von Uttar Pradesh, einem Bundesstaat im Norden Indiens, einen Cyberangriff auf ihr Fahrkartenausgabesystem. Während das System zehn Tage lang blockiert war, konnten die Benutzer und Benutzerinnen ihre Fahrkarten nicht bezahlen und der Stadtverwaltung entging ein erheblicher Teil ihrer Einnahmen, berichtete die Website CNBC. Im August 2023 wurde ein Zugterminal der Stadtverwaltung von Chicago angegriffen und das Netz für mehrere Stunden lahmgelegt. Neben der Störung des Systembetriebs hatte sich die Cyberkriminellengruppe Akira auch zum Diebstahl von 85 Gigabyte sensibler Daten bekannt.
Eine andere Art von Risiko besteht in der Kompromittierung von Navigations- oder Parksystemen. In diesem Zusammenhang bilden die Ladestationen für Fahrzeuge beliebte Ziele für Eindringlinge. Wie lässt sich die Verkehrsinfrastruktur einer Smart City also besser schützen?
Wie lässt sich die Mobilität in vernetzten Städten schützen?
Die Heterogenität der Technologien und Akteure stellt ein großes Hindernis für die Umsetzung einer harmonischen Cybersicherheitsstrategie dar, stellte Khobeib Ben Boubaker, Head of Industrial Security Business Line bei Stormshield seit 2021, in einem früheren Papier zum Schutz der Smart City fest. Dazu gesellt sich die Vielfalt an Sicherheitsstandards und Referenzsystemen (SRI2, DSGVO, in Erwartung der Anwendung von NIS2...).
Allerdings existieren bereits heute Strategien zur Cyberverteidigung vernetzter Städte, die dem Ansatz der Verteidigung in der Tiefe folgen: Die präzise und umfassende Kartierung der verschiedenen Systeme und Ausrüstungen, die mit der urbanen Mobilität verbunden sind, ist dabei der erste Schritt, der alle Beteiligten zusammenbringt. Die Installation verschiedener Sicherheitsebenen (Verwaltung von physischen und digitalen Zugriffsrechten, Multi-Faktor-Authentifizierung, Netzwerksegmentierung, Verwaltung von Backups, Datenverschlüsselung ...) folgt später daraus. Der Einsatz von zertifizierten oder qualifizierten Cybersicherheitslösungen, die mit den Empfehlungen der ANSSI in Frankreich in Verbindung stehen, ermöglicht auch die Einhaltung europäischer Vorschriften wie der DSGVO zum Schutz personenbezogener Daten sowie der SRI2-Richtlinie zur Cyberresilienz.
Der Ansatz für die Cybersicherheit der Stadt von heute und morgen kann nun so weit reichen, dass Sicherheitslösungen direkt in die Systeme der urbanen Mobilität eingebaut werden. Dabei ist es wichtig, die Besonderheiten dieser oft eingeschränkten Umgebungen, wie beispielsweise Temperatur, Luftfeuchtigkeit oder auch Staub, zu berücksichtigen. Der Einsatz geeigneter Sicherheitslösungen ist die einzige Möglichkeit, diese Geräte fernab von Computerschränken wirksam zu schützen. Diese interoperablen Lösungen müssen so viele Daten wie möglich direkt aus der Praxis berichten. Diese Daten werden dann von einem SOC analysiert, dessen Aufgabe es ist, Sicherheitsereignisse aus den verschiedenen Informationssystemen des Nahverkehrs auszulesen und potenzielle Überschreitungen, Fehlfunktionen oder Bedrohungen zu identifizieren.
Diese sicherere urbane Mobilität kann jedoch nur durch eine effektive Zusammenarbeit zwischen den Akteuren der Cybersicherheit, der Industrie und den Kommunen effektiv umgesetzt werden. Die Stadt von morgen ist bereits heute mobil und vernetzt – alles was noch fehlt, ist der Schutz.
