"Smart City" und Cyberkriminalität: Hacker-Angriff auf die digitale Stadt

Vernetzte Ampeln, die schneller auf Grün schalten, oder smarte Stromzähler, die Angebot und Nachfrage optimieren – die Digitalisierung der Städte schreitet voran. Auch Berlin will zur intelligent vernetzten Großstadt werden. Doch diese Entwicklung birgt Gefahren, warnt Cesar Cerrudo, Sicherheitsexperte des in Seattle ansässigen Unternehmens „IO“. Es sei nur eine Frage der Zeit, bis jemand einen Computerangriff auf eine städtische Infrastruktur starten werde, sagt er. „Je mehr vernetzte Technik eine Stadt einsetzt, desto anfälliger wird sie für Cyberangriffe.“

Cerrudo ist so etwas wie ein guter Hacker, der im Kundenauftrag nach Lücken in deren IT-Systemen sucht. Zuletzt hat er mit Spezialausrüstung im Rucksack viel Zeit an Ampelkreuzungen verbracht. Bei Touren durch Städte wie New York, Washington oder Seattle konnte er 2014 zeigen, dass zur Messung der Verkehrsströme in die Straßen eingelassene Sensoren völlig unverschlüsselt mit den Knotenpunkten für die Ampelsteuerung kommunizierten.

Ein Hack - und die Ampeln spielen verrückt

Der schwierigste Teil des Probehacks war die Beschaffung eines mehrere tausend Dollar teuren Anschlussknotens, an dem die Sensordaten ausgelesen werden – ein Gerät, das üblicherweise nicht an Privatpersonen verkauft wird. Cerrudo beschaffte es sich mit einem Trick und belegte dann, dass ein Hacker aus wenigen Metern Entfernung oder mit einer starken Antenne den über ein drahtloses Funkprotokoll laufenden Datenverkehr abfangen und manipulieren könnte. Staus, blockierte Kreuzungen und sogar Unfälle könnten die Folge sein, wenn Rot- und Grünphasen an den verschiedenen Einmündungen plötzlich verrücktspielten.

200 000 der anfälligen Sensoren sind nach Schätzung Cerrudos in 40 Städten weltweit verbaut worden. Das Desinteresse vieler Hersteller und politischer Entscheider bezüglich der Sicherheit von Smart-City-Anwendungen sei schockierend. Ob es nun „smarte“ Parkuhren und Straßenbeleuchtung, IT-gesteuerte Verkehrsleitsysteme oder intelligente Zähler für Energie- und Wasserversorgungsnetze seien, „viele Städte glauben den Herstellern einfach, wenn diese ihre Produkte als sicher anpreisen“. Ein hoher Beamter des US-Verkehrsministeriums, dem er von seiner Forschung berichtet habe, habe nur mit einem trockenen „Wir haben wirklich andere Probleme“ reagiert, erzählt Cerrudo. „Vielleicht sind alle nur so sorglos, weil noch nichts wirklich Schlimmes passiert ist.“

Smart City - ein Milliardengeschäft

So mancher will vielleicht auch nicht die äußerst lukrativen Aussichten für den Markt der Smart-City-Anwendungen durch Warnungen vor Risiken getrübt sehen: Dessen Volumen beläuft sich nach Schätzungen der US-Beratungsfirma Frost & Sullivan bis 2020 auf mehr als eine Billion Dollar, zurückhaltende Schätzungen gehen immerhin noch von mehreren Milliarden aus.

Zugegeben, Angriffe auf Videoüberwachungssysteme, intelligente Stromzähler oder Fahrkartensysteme für den öffentlichen Nahverkehr seien nicht einfach, sagt Cerrudo. „Aber sie sind alles andere als unmöglich.“ Zumal auf Straßen oder in Laternenpfählen installierte Geräte mitunter leicht zugänglich seien – „ein versierter Hacker findet da schnell Sicherheitslücken.“ Verschlüsselung sei bei vielen Produkten ein großes Problem. „Sie ist entweder zu schwach, gar nicht vorhanden oder wird von den Nutzern abgeschaltet, weil sie diese zu kompliziert zu bedienen finden.“

Unheilige Allianz: Terroristen und Hacker

Eine kritische Infrastruktur wie die umfassend vernetzte Stadt biete große Verlockungen für böswillige, finanzkräftige Angreifer: „Das könnte eine ausländische Regierung oder auch Terrorgruppen wie der Islamische Staat sein, der in letzter Zeit offenbar zunehmend Universitätsabsolventen mit IT-Kenntnissen rekrutiert.“ Der Sicherheitsexperte wirbt bei Kommunen für Schutzmaßnahmen, fordert Spezialistenteams für IT-Sicherheit, Notfallpläne für Cyberangriffe und „Mechanismen, mit denen Hersteller gezwungen werden, ihre Smart-City-Anwendungen sicher zu machen“. Alles andere, sagt Cerrudo, „wäre verantwortungslos“.

Felix Lindner glaubt nicht daran, dass Produkttests oder Zertifizierungen der „intelligenten Stadt“ ein ausreichend Sicherheit verleihen würden. Er berät mit seiner in Berlin ansässigen Firma „Recurity Labs“ Unternehmen und Institutionen zu Sicherheitsfragen und warnt seit Längerem vor dem Hype um eine allumfassende digitale Vernetzung von Kommunikationssystemen und wichtigen Infrastrukturen in der Smart City. Im vergangenen Jahr demonstrierte er einen „Penetrationstest“ am Beispiel der Stadtwerke Ettlingen. Er drang bis in die Leitzentrale vor, wo er die Elektrizitätsversorgung der 40 000-Einwohner-Stadt hätte abschalten können. Ein solcher Angriff auf einen lokalen Versorger sei mit ausreichendem Personaleinsatz vielleicht noch einigermaßen schnell in den Griff zu bekommen, sagt Lindner. „Bei einem Smart Grid, in dem sich ein Stromzähler-Wurm per Funk verbreitet, ist es nicht so einfach, die Kontrolle wiederzuerlangen.“

"Smart wäre, den Quatsch zu lassen"

Durch die Vielzahl der beteiligten Komponenten potenzierten sich die Sicherheitsprobleme, warnt er. Einfache Crashtests für Software-Anwendungen in einer über IT-Schnittstellen vielfach verwobenen Kommunikation von Menschen, Maschinen und Steuersystemen gebe es nicht, sagt Lindner. „Es ist unmöglich, alle Testfälle durchzuspielen.“ Diese Verwundbarkeit sei sehr gefährlich: „Wir können froh sein, dass es nicht so viele Leute mit einem kaputten moralischen Kompass gibt, die zugleich die technischen Fähigkeiten haben. Denn eigentlich braucht man nur drei Leute, denen man ein anständiges Jahresgehalt zahlt, und los geht’s.“ Die Frage, was genau an der Smart City eigentlich den Bürgern helfen soll, habe ihm noch niemand beantworten können. „Smart wäre, wenn man den ganzen Quatsch lassen würde.“

Manfred Hauswirth, Chef des Fraunhofer-Instituts für Offene Kommunikationssysteme (Fokus) in Berlin, sieht das anders. Fokus unterstützt die Stadt auf ihrem Weg zur Smart City, der per Senatsbeschluss vom April eingeschlagen wurde. Hauswirth ist überzeugt, dass die Vernetzung von Infrastrukturen mehr Vor- als Nachteile bringen wird. „Staumeldungen werden viel exakter, wenn wir dafür – natürlich unter Berücksichtigung des Datenschutzes – Telekommunkationsdaten von Handynutzern verwenden könnten.“ Im Katastrophenmanagement wiederum könnten Handydaten Informationen darüber geben, wie viele Menschen sich gerade am Unglücksort aufhalten. Doch auch er sieht mögliche Sicherheitsrisiken, an denen die Entwickler arbeiten müssten.

Noch stünden die Smart Citys am Anfang. In Bezug auf Hackerangriffe sei das sogar vorteilhaft, sagt Hauswirth. „Die mangelnde Vernetzung ist im Moment noch das, was uns beschützt.“ Viele „Hackerstorys“ seien allerdings ein bisschen aufgebauscht, findet er. „So schnell wird kein Hacker Berlin übernehmen.“

Claudia Wessling