Wie schützt man kritische Infrastrukturen vor Cyberangriffen?

Cybersicherheit für kritische Infrastrukturen

Die zunehmende Vernetzung und der Informationsaustausch in der Smart City bringen erhöhte Risiken und neue Herausforderungen für die Cybersicherheit mit sich. Insbesondere Angriffe auf kritische Infrastrukturen können erhebliche Schäden anrichten.

02.05.2024

Main content

Die Zahl an Cyberattacken nimmt weltweit stark zu. Das zeigen unter anderem der Angriffskrieg Russlands auf die Ukraine oder auch fundamentale Fälle von Wirtschaftsspionage. Besonders schwerwiegende Auswirkungen haben Cyberattacken auf kritische Infrastrukturen (KRITIS), da sie für die Aufrechterhaltung lebenswichtiger gesellschaftlicher Funktionen unerlässlich sind. Dazu gehören beispielsweise Strom- und Wassernetze oder auch die medizinische Versorgung. Fallen diese Funktionen aus, kann dies zu erheblichen Engpässen und zu Problemen bei der Aufrechterhaltung der öffentlichen Sicherheit führen.

Die wachsenden Risiken durch Cyberattacken stehen in direktem Zusammenhang mit der digitalen Transformation: Während digitale Technologien einerseits ein effizienteres Management von Wasser- oder Energieinfrastrukturen ermöglichen, stellen sie andererseits die Betreiber vor erhebliche Herausforderungen. Vor diesem Hintergrund müssen Kommunen auf ihrem Weg zur Smart City ein besonderes Augenmerk auf kritische Infrastrukturen legen und Maßnahmen für die Cybersicherheit ergreifen.

Bewusstsein für Angriffspunkte entwickeln

Infrastrukturen des Internet of Things (IoT) bilden das Herz der Smart City. Sie bestehen aus Komponenten wie Sensoren, die Daten in Echtzeit erheben und über Zugangsnetze weitergeben. Auf Plattformen werden die Daten verwaltet und zusammengeführt, um schließlich für verschiedene Smart-City-Anwendungen aufbereitet zu werden (siehe Abbildung 1). Die schiere Anzahl der Komponenten und Kommunikationsverbindungen, aus denen sich die IoT-Umgebung zusammensetzt, birgt jedoch eine Fülle von möglichen Sicherheitslücken. Hier besteht noch großer Forschungsbedarf zu speziellen Sicherheitsprotokollen für die Sensorik, zu einer sichereren Infrastruktur für IoT-Server und zu robusten Cybersicherheitsstrategien, die auch eine schnelle Wiederherstellung von Betriebsschäden gewährleisten können.

Schematische Darstellung von Smart-City-Komponenten
Abbildung 1: Schematische Darstellung von Smart-City-Komponenten Quelle: BSI 2022: 9.

Einen Überblick darüber, was die Kommune oder kommunale Unternehmen beim Auf- und Ausbau von IoT-Infrastrukturen im Hinblick auf die Informationssicherheit beachten sollten, geben die Handlungsempfehlungen zur IoT-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik.

Die Sicherheit von IoT-Komponenten und städtischen Datenplattformen erhöhen

Als zentrale Drehscheibe können Datenplattformen der Smart City ein beliebtes Ziel für Cyberangriffe sein. Sie bündeln Informationen aus verschiedenen Sektoren an einem Ort und machen sie diversen Akteuren zugänglich. In diesem Zusammenhang sind die Datensicherheit und der Datenschutz ernstzunehmende Herausforderungen. Dies gilt sowohl in Bezug auf die Interoperabilität innerhalb der Smart City als auch hinsichtlich des Schutzes sensibler personenbezogener Daten. Die Frage, welche Betreiber welche Daten speichern, verarbeiten und analysieren können, ist sorgfältig zu prüfen.

Ein übergreifendes Beispiel für ein mögliches Rahmenwerk zur sicheren Bereitstellung von Diensten in einer Smart-City-Umgebung ist das Smart Secure Service Provisioning (SSServProv). Es behandelt Datensicherheit und Datenschutz in Smart-City-Plattformen in einer mehrschichtigen und daher flexiblen Architektur. Das Rahmenwerk konzentriert sich auf die End-to-End-Sicherheit und den Datenschutz, sodass die Legitimität und Sicherheit von Dienstanbietern sowie der Schutz der Daten der Bürgerinnen und Bürger gewährleistet sind.

Interoperabilität und Standardisierung vorantreiben

Sicherheitslücken können auch aufgrund der Vielfältigkeit von Technologien entstehen, die ein IoT-System einbezieht. Die heterogenen Komponenten und unterschiedlichen Standards des IoT erschweren es, übergreifende Cybersicherheitsrahmen und -maßnahmen zu entwickeln. Der Security-by-Design-Ansatz legt den Fokus schon beim Entwurf der Komponenten auf Cybersicherheitsmaßnahmen und -standards. Er kann – neben einer verbesserten Cybersicherheit und damit einhergehenden geringeren Kosten von Schutzmaßnahmen – Endnutzerinnen und -nutzern die Kontrolle der Komponenten erleichtern und deren Leistung verbessern.

Kaskadeneffekte verhindern

Stromnetz
Störungen in einem Bereich des Netzes eines Betreibers können sich auf das gesamte System auswirken und ganze Stadtteile lahmlegen. stock.adobe.com | AKI

Eines der Hauptrisiken im Zusammenhang mit der Vernetzung der Smart City sind Kaskadeneffekte: Störungen in einem Bereich des Netzes eines Betreibers können sich auf das gesamte System auswirken und ganze Stadtteile lahmlegen. Insbesondere dann, wenn zukünftig immer mehr (kritische) Infrastrukturen miteinander vernetzt sind, kann ein einziger Angriff erhebliche Schäden anrichten. Doch die Komplexität der Smart City erhöht die Schwierigkeit und die Kosten für die Umsetzung geeigneter Sicherheitsmaßnahmen.

Spezifische Informationsmanagementsysteme können dabei helfen, die Zusammenarbeit und den Informationsaustausch zwischen Betreibern zu fördern und kaskadierende Ausfälle abzumildern. Eine solche Initiative findet sich in Berlin. Das Projekt Plan #B zielt darauf ab, gemeinsam neue Sicherheitsmaßnahmen und Strategien zu entwickeln, um die kontinuierliche Kommunikation und den Betrieb im Falle eines Stromausfalls zu gewährleisten. Organisatorische Maßnahmen wie sorgfältig ausgearbeitete Reaktions- und Wiederherstellungspläne sind für den Schutz der Integrität der Smart City von entscheidender Bedeutung.

Auf modulare Systeme setzen

Maschinelles Lernen
Großes Potenzial zur Verbesserung der Cybersicherheit versprechen Methoden des maschinellen Lernens und des Deep Learning.

Des Weiteren lohnt es sich, netzgebundene Infrastrukturen wie Wasser-, Gas-, Strom- oder Telekommunikation modular aufzubauen, um so zu verhindern, dass sich Störungen ungehindert auf andere Bereiche ausbreiten. Solche modularen Systeme mit mehreren voneinander abgrenzbaren Teilen haben ein geringeres Risiko hinsichtlich großflächigen Kaskadenversagens, weil sie zwar in sich stark, aber untereinander gesichert oder entkoppelbar verknüpft sind. Verbindungen zwischen modularen Teilsystemen sollten durch sogenannte „Feuersperren“ (Firebreaks) gesichert werden, um ein Versagen größerer Teile des Systems zu verhindern oder kontrolliert ablau­fen zu lassen. Durch die Reparatur oder den Austausch einzelner Module können sich diese Systeme einfacher von Schocks erholen, an Veränderungen anpassen und falls nötig grundlegend transformieren (ausführliche Informationen und Beispiele zum Resilienz-Merkmal Modularität finden sich in der KTS-Studie „Resilienz in der Smart City“). 

Künstliche Intelligenz für Cybersicherheit nutzen

Die möglichen Angriffspunkte für Cyberattacken in der Smart City sind vielfältig und müssen unbedingt im Blick behalten werden. Großes Potenzial zur Verbesserung der Cybersicherheit versprechen Methoden des maschinellen Lernens und des Deep Learning. Sie lassen sich für verschiedene Zwecke im Bereich Cybersicherheit einsetzen, etwa für das Erkennen von Netzwerkeinbrüchen, von Phishing- und Malware-Angriffen oder für die automatisierte Reaktion und Abwehr von Cyberangriffen. Im Gegensatz zu herkömmlichen Systemen kann auf Künstlicher Intelligenz (KI) basierte Modellierung die Entscheidungsfindung verbessern und intelligenter machen. Einen interessanten Einblick zu den Möglichkeiten von KI für Cybersicherheitsanwendungen bietet die Studie AI-Driven Cybersecurity: An Overview, Security Intelligence Modeling and Research Directions.

 

Die Smart City resilient und sicher aufstellen

Darstellung des Cybersicherheitskompasses und der zugehörigen Leistungskategorien
Auf der interaktiven Webseite Cybersicherheitskompass.de erhalten Kommunen einen schnellen Überblick, welche Angebote in ihrem Bundesland zur Verfügung stehen – seien es Meldestellen, Warn- und Informationsdienste, Schulungen oder Beratungsangebote. Stiftung Neue Verantwortung

Kommunen stehen in der Verantwortung, geeignete Maßnahmen zur Stärkung der Cybersicherheit umzusetzen und sich resilient aufzustellen. Um Kommunen dabei zu unterstützen, hat die Stiftung Neue Verantwortung e.V. gemeinsam mit dem Deutschen Städtetag eine Orientierungshilfe entwickelt. Für den Cybersicherheitskompass für Kommunen wurden Leistungen des Bundes und der Länder, die der Förderung der Informationssicherheit und Resilienz von Kommunen dienen, recherchiert und kategorisiert und auf einer interaktiven Webseite verfügbar gemacht (siehe Abbildung 2). Die Plattform OpenKRITIS bietet zudem eine klare Übersicht über die Sicherheitsmaßnahmen, die KRITIS-Betreiber laut IT-Sicherheitsgesetz umsetzen müssen.

Für den Wassersektor hat das Kompetenzzentrum Wasser Berlin einen detaillierten Bericht zur Cybersicherheit veröffentlicht und weist darin auf aktuelle und zukünftige Sicherheitslücken durch die Digitalisierung sowie damit verbundene Forschungsbedarfe hin. 

Wie die Smart City entwickeln sich auch Maßnahmen zur Cybersicherheit dynamisch weiter. Kommunen sollten sich hier unbedingt kompetent aufstellen und aktuelle Entwicklungen verfolgen, um ihre zunehmend vernetzten kritischen Infrastrukturen in der Smart City vor Cyberangriffen zu schützen.

Leselinks

Urbane Datenplattformen

Von der Idee bis zur Umsetzung: Entscheidungshilfen für Kommunen
Erscheinungsjahr 2023

Resilienz in der Smart City

Wie Kommunen besser mit Krisen umgehen und proaktiv eine nachhaltige Zukunft gestalten können
Erscheinungsjahr 2023

Bedarfsanalyse zur Informationssicherheit in deutschen Städten

Erscheinungsjahr 2023

Da das Leistungsangebot sich ständig weiterentwickelt, wurde im Rahmen des Projekts in einer Bedarfsanalyse untersucht, welche Unterstützungsleistungen von Bund und Ländern speziell für Städte besonders hilfreich sind und welche noch benötigt werden.

Beil, L., 2021: Kritische Infrastruktur in Gefahr? Zugriff: https://tinyurl.com/l-beil-cybersicherheit [abgerufen am 30.04.2024].

Handlungsempfehlungen zur Informationssicherheit für IoT-Infrastrukturen:

BSI – Bundesamt für Sicherheit in der Informationstechnik, 2022: Smart Cities/Smart Regions – Informationssicherheit für IoT-Infrastrukturen. Zugriff: https://tinyurl.com/cybersicherheit-smartcities [abgerufen am 30.04.2024].

 Rahmenwerk zur sicheren Bereitstellung von Diensten in einer Smart-City-Umgebung:

Khan, Z.; Pervez, Z.; Abbasi, A. G., 2017: Towards a secure service provisioning framework in a smart city environment. Future Generation Computer Systems 77: 112–135.

Security by Design als Ansatz zur Sicherheit für das Internet der Dinge (IoT):

Javed, B.; Iqbal, M. W.; Abbas, H., 2017: Internet of things (IoT) design considerations for developers and manufacturers. 2017 IEEE International Conference on Communications Workshops (ICC Workshops). Zugriff DOI: 10.1109/ICCW.2017.7962762 [abgerufen am 30.04.2024].

Projekt Plan #B:

Senatsverwaltung für Inneres und Sport, 2021: Plan #B. Zugriff: https://tinyurl.com/berlin-plan-b [abgerufen am 30.04.2024].

Möglichkeiten von KI für Cybersicherheitsanwendungen:

Sarker, I. H.; Furhad, M. H.; Nowrozy, R., 2021: AI-driven cybersecurity: an overview, security intelligence modeling and research directions. SN Computer Science, 2 (3): 1–18.

Cybersecurity für kritische Infrastrukturen:

OpenKRITIS, 2023: Cybersecurity in KRITIS. 
Zugriff: https://www.openkritis.de/massnahmen/index.html [abgerufen am 30.04.2024].

Cybersicherheit im Wassersektor:

KWB – Kompetenzzentrum Wasser Berlin (Hrsg.), 2022: Cybersicherheit im Wassersektor – Analyse der zukünftigen Entwicklung der Wasser- und Abwasserinfrastruktur. Zugriff: https://tinyurl.com/kwb-cybersecurity [abgerufen am 30.04.2024].

Autorinnen und Autoren