Smarte Mobilität entlastet die Strassen und schont das Klima. Sie birgt aber erhebliche Cyber-Gefahren, wenn die IoT Security nicht berücksichtigt wird. Die Aufgabe der Hersteller und Betreiber von vernetzten Anwendungen für die Smart Mobility ist es daher, in den ganzen Lebenszyklus der Produkte und Systeme auch den Faktor Sicherheit miteinzubeziehen. Erfahren Sie in diesem Blogbeitrag, wie der vernetzte Verkehr sicher fliesst – zuverlässig geschützt vor Cyber-Attacken.
Zu den Hauptverkehrszeiten sind viele Städte verstopft: Im öffentlichen Verkehr stehen die Passagiere eng beieinander, die Autos stecken im Stau und die Parkplätze sind alle besetzt. Die Lösung verspricht Smart Mobility: Intelligente Verkehrssysteme können Strassen und Menschen unterwegs auf vielfältige Weise entlasten. Zum Beispiel, indem sie die optimale Route berechnen – unter Einbezug aller klassischen öffentlichen Verkehrsmittel, autonomen Fahrzeuge und Sharing-Angeboten von Velos, E-Trottinetts oder Autos.
Vielleicht besteht der schnellste Arbeitsweg morgens aus einer Kombination von Bus und Bike und abends aus Tram und Trottinett? Denn die optimale Route kann im Laufe des Tages variieren: In einer smarten Stadt wird der Verkehr mittels Videokameras überwacht, analysiert und gesteuert. Die verfügbaren Verkehrsmittel werden in Echtzeit kommuniziert. Auch Autofahrern zeigen Apps und Navigationsgeräte die Verkehrsbelastung an und schlagen, wo nötig, alternative Strecken vor. Davon profitieren nicht nur Menschen: Auch der Warenverkehr wird schneller, effizienter und kostengünstiger.
Verglichen mit anderen Ländern steckt die Schweiz bei diesem Thema noch in den Kinderschuhen. Doch sind in den letzten Jahren bereits verschiedene Projekte umgesetzt worden: In Luzern etwa wurde schweizweit erstmals ein System getestet, bei dem Verkehrsampeln je nach aktueller Verkehrsbelastung länger auf Grün bleiben. Die Verkehrsbetriebe Zürich führten ein Pilotprojekt durch, in dem Kleinbusse auf bestimmten Strecken nach Bedarf per App bestellt werden konnten. In Genf sollen ab 2025 autonome On-Demand-Busse verkehren. Und die SBB wollen auch in Zügen des Fernverkehrs automatische Zählsysteme verbauen, um bessere Belegungsprognosen zu erreichen.
Diese Beispiele an Projekten zeigen die Vorteile: Smarte Mobilität schont nicht nur Geld, Zeit und Nerven, sie sorgt auch für weniger Staus, effizienter eingesetzte Energie und bessere Luft. Die bereits vorhandene Infrastruktur wird durch die gezielte Analyse der vorhandenen Daten und den Einsatz von Informations- und Kommunikationstechnologien verbessert. Nicht zuletzt ist reibungslos fliessender Verkehr aus unfalltechnischer Sicht sicherer.
So gut das klingt, die smarte Mobilität birgt auch Risiken. Durch die zahlreichen vernetzten Sensoren und Aktoren wie Positionsdaten, Drucksensoren im Strassenbelag für Verkehrsbewegungen, CCTV-Kameras, Lichtsensoren oder Strommesser, welche drahtlos oder drahtgebunden über Internet-Schnittstellen mit entsprechenden Gateways und Datenservern mit den Analysediensten kommunizieren können, steigen die Anforderungen an die Cyber Security. Dringen Hacker in diese technisch vernetzten IoT-Ökosysteme ein und missbrauchen Teilkomponenten, können rasch Menschenleben gefährdet sein. Zudem können wichtige Dienste durch die Angreifer lahmgelegt, Daten manipuliert und damit die entsprechenden Anbieter erpresst werden. Was passiert etwa, wenn Kriminelle die Kontrolle über eine Ampelsteuerung oder autonom fahrende Busse übernehmen können? Oder wenn sensible Nutzerdaten gestohlen werden? Das schwächste Glied ist fast immer das Einfallstor. Beispielsweise Fahrradmietstationen, On Board-Diagnose (OBD)-Port und «In Vehicle»-Netzwerke bei Fahrzeugen oder die zahlreichen Smartphone-Apps sind dabei primär im Visier der Angreifer.
Deshalb dürfen die Hersteller und Betreiber bei den im Bereich der Smart Mobility eingesetzten Geräten auf keinen Fall die Sicherheit vernachlässigen. Sowohl IT-Sicherheit als auch jene der Operational Technology, die sogenannte OT-Sicherheit, müssen zwingend gegeben und auf einander abgestimmt sein. Heute ist das jedoch oft nicht der Fall: Bei der Entwicklung ihrer Smart Mobility-Produkte konzentrieren sich Hersteller gerne auf Features, die Kunden einen Mehrwert bieten. Bei der Sicherheit aber beschränken viele sich auf die Kommunikationsübertragungssicherheit – sei es wegen der Kosten, fehlender Zeit oder mangelnder Expertise.
Dabei wäre der Einbezug sicherer vernetzter Komponenten innerhalb des Smart Mobilty- Ökosystems von Anfang an zentral. Dies umfasst neben der bereits genannten Kommunikationssicherheit beispielsweise auch Hardware- und Softwareintegrität, eine Authentifizierung der Geräte, ihrer Dienste und Daten und vieles mehr. Die Product Cyber Security muss dabei über den gesamten Produktlebenszyklus hinweg, von der Produktidee bis zur Ausserbetriebnahme, konsequent mitberücksichtigt werden.
Ermöglicht wird dies durch das «Security by Design»-Prinzip, welches schon bei der Entwicklung von Hard- und Software berücksichtigt werden muss. Damit kann garantiert werden, dass die Systeme von Anfang an eine sehr hohe Cyber-Resilienz aufweisen und sich während ihrer Einsatzdauer an die sich verändernden Cyber-Bedrohungen adaptieren lassen. Grundlage dafür ist ein Sicherheitskonzept, auf dessen Basis die richtigen Entscheidungen im Entwicklungsprozess getroffen und eine optimale Sicherheitsarchitektur designt werden kann. Ein solches Produkt bietet einen markanten Mehrwert gegenüber herkömmlichen Produkten. Durch den «Security by Design»-Ansatz kann ein teurer Einkauf von zusätzlichen externen Sicherheitskomponenten während des Betriebs (über die gesamte Einsatzdauer hinweg) stark reduziert werden – trotz etwas höheren Entwicklungskosten. Dieser ganzheitliche Ansatz macht die Sicherheit nicht nur flächendeckend, sondern über die Einsatzdauer des Produktes auch kosteneffizienter für den Betreiber. Für einen Hersteller ein ausschlaggebendes Verkaufsargument!
Für Hersteller von IoT-Produkten und -Systemen für Smart Mobility stellt sich damit die Frage, ob man die spezifischen Sicherheitskompetenzen selber aufbauen möchte oder ob es sinnvoll ist, das notwendige Know-how von IoT Security-Experten zu beziehen. Wer damit kaum Erfahrung hat, wird viel investieren müssen, um das entsprechende Wissen intern aufzubauen. In den meisten Fällen lohnt es sich deshalb, Experten für IoT-Sicherheit beizuziehen. So gewinnt man Time-to-Market und kann seine Produkte deutlich schneller auf dem Markt platzieren – und Entwickler, Designer und Ingenieure können sich auf ihre Kernaufgaben konzentrieren: für eine Zukunft mit einer sicheren, smarten Mobilität.
«Make or Buy?»: Was lohnt sich für Ihr Unternehmen, wenn es um das Design und die Implementierung der Security Ihres IoT-Produkts geht?