NET 10/2021

28 www.net-im-web.de 10/21 „Smartisierung“ einer Stadt auf nationaler Ebene halten. Dazu gehören die DSGVO für personenbezogene Daten und die NIS-Richtlinie für Betreiber kri- tischer Infrastrukturen (Kritis). „In jedem Fall muss die Stadt Mustervertragsklauseln definieren, die in ihre zukünftigen Verträge aufgenommen werden sollen, und sich bei deren Ausarbeitung rechtlich und technisch beraten lassen, um sich allumfassend zu schützen“, fügt Gries hinzu. Maßgeschneiderte Cybersicherheit Die Cybersicherheit einer Smart City muss ihre Entwicklung antizipieren. Um dies zu bewerkstelligen, gibt es nur eine Methode: Die Cybersicherheit muss bereits in der Eruierungsphase eines Smart-City-Pro- jektes berücksichtigt werden, und zwar auf allen Ebenen, denn sie betrifft jedes kommunizierende Gerät, die Netz- und Systeminfrastruktur, die Betriebszentren (Client-Arbeitsplätze, Handys,Tablets usw.) und auch die Benutzer (Gewohnheiten, Bewusstsein usw.). Je intelligenter und vernetzter Städ- te sind, destomehr sind sie Cyberbedrohun- gen ausgesetzt – mit sehr konkreten Folgen für die Bürger. „Aus diesem Grund ist es elementar, demAdd-on-Ansatz ein Ende zu setzen, bei demSchichten vonCybersecurity hinzugefügt werden, um Sicherheitslücken imNachhinein zu schließen“, erklärt Gries. Die Auswahl der einzusetzenden Lösungen ist daher umso wichtiger. Verschiedene Elemente Ein möglicher Ansatz für die nachhaltige Absicherung vernetzter Städte könnte aus folgenden Elementen bestehen: • Implementierung verschiedener Si- cherheitsebenen: Datenverschlüsse- lung, Firewall, Authentifizierung, Ver- waltung von Zugriffsrechten, Einsatz von Zero-Trust-Modellen usw.; • Einsatz von europäischen Lösungen, die von vornherein die Einhaltung europäischer Vorschriften zusichern und – da es sich um Lösungen für die Absicherung öffentlich bereitzustellen- der Dienste handelt – die mittlerweile wenigstens bei der Cybersicherheit unerlässliche technische europäische Souveränität gewährleisten. • Bereitstellung einer bereichsüber- greifenden Cybergovernance mit der Implementierung eines zentralisierten SecurityOperations Center (SOC) pro Stadt oder Kreis, das Sicherheitsvor- kommnisse bei allen IT-Infrastrukturen überwacht und möglichen lateralen Bewegungen unter den Systemen Ein- halt gebietet. Eine gut durchdachte Segmentierung der Systeme erleichtert diese Aufgabe. • Mapping der Geräte: Man kann keine Infrastruktur absichern, die man nicht kennt. Die Stadt muss eine klare Vor- stellung davon haben, was abgesichert werden muss und welche Geräte im Laufe der Zeit noch hinzugefügt wer- den sollen, um Präventivmaßnahmen zu ergreifen. • Sicherstellung der Interoperabilität zwischen Lösungen, um das Sicher- heitsniveau zu erhöhen; • Die Verträge der Stadt müssen Cyber- sicherheitsklauseln enthalten, in denen die Verteilung der Verantwortlich- keiten und Verpflichtungen zwischen den Partnern detailliert festgelegt ist. www.stormshield.com Anders als in geschlossenen IT-Umgebungen sind OT-Anlagen in der Stadt verteilt, relativ einfach zugänglich und dadurch leichter manipulierbar, was eine genaue Absicherungsstra- tegie erforderlich macht (Foto: Gerd Altmann, Pixabay)