34 2 · 2024 TR ANSFORMING CITIES DOI: 10.24053/ TC-2024-0016 KI-basierte Anomalie-Erkennung für datengetriebene Entscheidungen in der sicheren Smart City KI-basierte Anomalie-Erkennung; Smart City; Urbane Digitale Zwillinge; Offene Urbane Datenplattformen; IT-Sicherheit; Protokoll-Anomalie-Erkennung; LoRaWAN Stephan Borgert, Lisa Brunzel, Philipp Lämmel, Paul Darius Es gibt immer mehr Möglichkeiten, städtische Daten Urbaner Digitaler Zwillinge in Entscheidungsprozesse für unsere Gesellschaft einzubeziehen. Diese dynamische Entscheidungsgrundlage beeinflusst die Reaktion von Sicherheits- und Verwaltungsbehörden und erhöht die Anfälligkeit für externe Angriffe. Das KIVEP-Projekt zeigt, wie KI-gestützte Anomalieerkennung in IoT-Netzwerken eingesetzt werden kann, um potenzielle Bedrohungen zu identifizieren. Einleitung Die rasante Entwicklung im Bereich der Informations- und Kommunikationstechnologie (IK T ) hat in allen Sektoren zu Erzeugung riesiger Mengen an Daten und Informationen und der Verschneidung dieser geführt. Der Begriff „Smart City“ bezeichnet unter anderem den Ansatz, diese Datenmengen im kommunalen und ruralen Sektor zu nutzen, um die Smartness in Bereichen wie motorisierter Individualverkehr (MIV) inkl. Parken, ÖPNV/ ÖV, Energie-, Wasser-, Abfallwirtschaft, Klimamonitoring, zivile Sicherheit usw. zu steigern. Hierbei wird eine Kommune als ein ganzheitliches System von Systemen betrachtet [1]. In dieser sich rasch entwickelnden Landschaft der datengestützten Stadtentwicklung entwickeln sich Urbane Digitale Zwillinge - virtuelle Nachbildungen physischer Städte - zu leistungsfähigen Werkzeugen, die es Stadtplanern ermöglichen, verschiedene Szenarien für nachhaltiges Wachstum und Widerstandsfähigkeit zu simulieren und zu optimieren. Gleichermaßen wird deutlich, dass die Daten und Informationen, die als Entscheidungsgrundlage dienen sollen, besonders schützenswert sind. Hierbei ist die Integration von künstlicher Intelligenz (KI) und IT-Sicherheitsmaßnahmen für die Verwirklichung von nachhaltigen Smart Cities von größter Bedeutung. Diese Synergie gewährleistet nicht nur die effiziente Verwaltung von Ressourcen, sondern auch gleichermaßen den Schutz vor potenziellen Cyber-Bedrohungen. Die Bedeutung der Sicherheit in Anwendungen für Smart Cities hat in den letzten Jahren weiter zugenommen, insbesondere wenn kritische Infrastrukturen betroffen sind. Hochmoderne Deep Intrusion Detection Systeme (Deep IDS) helfen dabei, normalen Datenverkehr von Datenverkehr, der von potenziellen Angreifern stammt, zu unterscheiden. Da die Smart City und die Geräte, mit denen wir inter- 35 2 · 2024 TR ANSFORMING CITIES DOI: 10.24053/ TC-2024-0016 THEMA Offene und sichere Städte realen Umgebung zu erstellen. Diese digitalen Modelle ermöglichen es, Szenarien zu simulieren, Analysen durchzuführen und perspektivisch bessere Entscheidungen über die städtische Entwicklung, Infrastrukturmanagement, Energieverbrauch, Verkehr und andere wichtige Aspekte des städtischen Lebens zu treffen. Offene Urbane Datenplattformen (OUP) wie die cosma21 [7] der ekom21 [8] können die Umsetzung von Urbanen Digitalen Zwillingen durch ein breites Spektrum an Fähigkeiten unterstützen. Die Hauptaufgaben einer OUP sind zum einen die Integration von Daten zur Wiederverwendung und Wiederverwertung und zum anderen die Generierung von Mehrwertdaten und Wissen, die durch die Integration, die Vereinheitlichung und die Analyse aus den verfügbaren (Roh-)Daten entstehen. Ziele sind die Förderung der Interoperabilität zwischen verschiedenen städtischen IT-Systemen, die Ermöglichung einer effizienten Nutzung städtischer Daten und die Generierung von Mehrwertdiensten. In Bild 1 wird gezeigt, aus welchen Hauptkomponenten sich ein UDZ-System zusammensetzt. Auf der untersten Ebene befindet sich die in den urbanen Infrastrukturen eingesetzte Sensorik und Aktorik. Über Kabel- oder Funknetze und Protokolle unterschiedlichster Art wird die Verbindung zu den Daten- und Dienstegebenden Systemen wie Fachsystemen und IoT-Plattformen hergestellt. Im LoRaWAN-Umfeld sind das i. d. R. Kombinationen aus LoRaWAN-Networkserver (LNS) und -Gatewaymanager. Von dort agieren, immer stärker vernetzt sind, steigt auch die Menge der privaten sensiblen Daten, die über diese Netze übertragen werden. Die Vielfalt der verschiedenen Gerätetypen und die Vielzahl der beteiligten Protokolle verschärfen die Situation weiter [2]. Diese Komplexität hat zur Folge, dass auch die Anzahl der verschiedenen Angriffsvektoren, die bei der Absicherung eines Netzwerks zu berücksichtigen sind, steigt. Die Forschung zum Thema Sicherheit in Smart Cities hat in den letzten Jahren stark zugenommen, was die Wichtigkeit und Dringlichkeit der Einführung bewährter Sicherheitspraktiken hervorhebt [3], [4]. Eins dieser Forschungsprojekte ist KIVEP („Kompromittierungen von IoT-Geräten vorbeugen und erkennen durch Protokoll-Anomalie-Erkennung“ ) [5], dessen Ergebnisse im Kontext der Urbanen Digitalen Zwillinge in diesem Artikel näher betrachtet werden. In den folgenden Abschnitten werden aktuelle Entwicklungen aus den Bereichen Urbane Digitale Zwillinge sowie IT-Sicherheit an dem Fallbeispiel KIbasierte Anomalie-Erkennung vorgestellt und deren Potenzial bzw. Relevanz für die Entwicklung von sicheren Smart Cities aufgezeigt. Was sind Urbane Digitale Zwillinge (UDZ) und wie können sie unterstützen? Urbane Digitale Zwillinge [6] (UDZ) sind virtuelle Repräsentationen einer physischen Stadt oder urbaner Regionen. Sie nutzen Daten aus verschiedenen Quellen wie Sensoren, IoT-Geräten, GIS und anderen Systemen, um ein möglichst detailliertes Abbild der Bild 1: Urbane Digitale Zwillinge entstehen aus einer Kombination von Fachverfahren, Offener Urbaner Datenplattform und Fachzwillingen 36 2 · 2024 TR ANSFORMING CITIES DOI: 10.24053/ TC-2024-0016 THEMA Offene und sichere Städte ƒ Nachhaltige Stadtentwicklung: Durch die Simulation und Visualisierung von städtischen Entwicklungsszenarien können nachhaltige Entscheidungen getroffen und deren Auswirkungen besser verstanden werden. Durch die Erweiterung einer OUP zu einem UDZ wird ein umfängliches System geschaffen, welches neue Möglichkeiten der Smart-City-Entwicklung und des Managements bietet. Dazu gehört auch die Steigerung der IT-Sicherheit der Smart Cities. Wenn wir das durch den heute breitflächig etablierten Stand der Technik zur IT-Sicherheit erreichte Schutzniveau als 1. Verteidigungslinie bezeichnen, so wird im Rahmen von KIVEP eine 2. Verteidigungslinie aufgebaut. Ein erfolgreicher Angriff eines UDZ-Systems hat Manipulation von Funktionen und Daten zur Folge. Diese führen zu Anomalien im System-Verhalten und damit in den Datenströmen des UDZ. Über wirksame Verfahren zur Anomalie-Erkennung werden die Angriffe erkannt und Gegenmaßnahmen können eingeleitet werden. Diese werden im folgenden Kapitel beschrieben. Praxisbeispiel: KI-basierte Anomalie-Erkennung Wie im vorherigen Kapitel erwähnt, spielt IoT eine zentrale Rolle bei der Datenbeschaffung in einer Smart City. Die Hauptidee hinter dem Internet der Dinge (IoT) ist es, Kleinstrechner mit Sensoren oder Aktuatoren (IoT-Geräte) mit dem Internet zu verbinden. Diese Verbindung zwischen Sensoren und Aktoren und Offenen Urbanen Datenplattformen definiert sich im Bereich der LoRaWAN-IoT überwiegend durch die Nutzung von LoRaWAN-Networkserver (LNS) und -Gateways. Für eine tiefergehende Protokoll-Anomalie-Erkennung auf der Ebene der Gateways wäre typischerweise Einsicht in Ende-zu- Ende-verschlüsselte Pakete nötig. Eine naive Lösung wäre es, die Ende-zu-Ende-Sicherheit aufzubrechen. Würde aber ein Gateway selbst kompromittiert, kann ein Angreifer Zugriff auf den gesamten Datenverkehr der über die kompromittierten Gateways verbundenen IoT-Geräte bekommen. Um diese Probleme zu lösen, wurde von [ui! ] und Fraunhofer FOKUS das Projekt KIVEP initiiert, um letztlich den Einsatz von privatsphäreerhaltender Protokoll-Anomalie-Erkennung in den Systemen von [ui! ] zu ermöglichen, somit die Robustheit dieser Systeme zu erhöhen und die Marktstellung von [ui! ] weiter zu verbessern [5]. Was ist Anomalie-Erkennung? Die Anomalie-Erkennung beschreibt das Problem, Muster in Daten zu finden, die nicht dem erwarteten Verhalten entsprechen. Diese nicht konformen Muswerden die Daten in eine Offene Urbane Datenplattform OUP integriert, in der sie auf unterschiedlichste Art analysiert und zu Mehrwertdaten und -diensten verarbeitet werden. Die darauf operierende Ebene ist die der Daten- und Dienstenehmenden Systeme. Werden auf dieser Ebene Fachverfahren oder Fachanwendungen ausgeführt, die spezielle nichtfunktionale Eigenschaften erfüllen, so werden diese als Fachzwillinge bezeichnet. Vereinfacht kann die Kombination aus Fachsystemen/ IoT-Plattformen mit Offenen Urbanen Datenplattformen und Fachzwillingen als Urbaner Digitaler Zwilling (UDZ) bezeichnet werden. Weitere Details und Spezifikationen können der in Q2 2024 zu erwartenden „DIN SPEC 91607 - Digitale Zwilling für Städte und Kommunen“ [9] entnommen werden. UDZ Management-Apps, Dashboards für Bürger: innen und Kommunale Ausführungs- und Kommunikationssysteme befinden sich ebenfalls auf der Ebene der Daten- und Dienstenehmenden Systeme. Die Urbane Datenplattform (OUP) bildet somit die Basis, auf der Fachzwillinge effektiv operieren können. Sie befreit Daten aus isolierten Datensilos und schafft damit ein Fundament für ein synergetisches städtisches Ökosystem als System von Systemen. Dieses Ökosystem ermöglicht es der Stadtverwaltung, ihre Prozesse zu digitalisieren, Innovationsräume zu erschließen und neue Wege für eine moderne Verwaltung und Bürgerbeteiligung einzuschlagen (vgl. Bild 1). Die DIN SPEC 91357 [10] bietet in diesem Zusammenhang einen strukturierten Rahmen für den Aufbau von Offenen Urbanen Datenplattformen. Diese Spezifikation definiert Anforderungen an Interoperabilität, Datenmanagement und Sicherheitsstandards, die für die Schaffung einer robusten, skalierbaren und sicheren OUP erforderlich sind. Die Einhaltung dieser Standards ermöglicht es, dass unterschiedlichste Datensätze und Systeme reibungslos zusammenarbeiten und so einen nahtlosen Datenfluss gewährleisten. Es ergeben sich aus der Anwendung der DIN SPEC 91357 für die Gestaltung von UDZ auf Basis von Urbanen Datenplattformen mehrere Möglichkeiten: ƒ Verbesserte Datenqualität: Eine einheitliche Methodik für das Datenmanagement sorgt für hohe Datenqualität und -integrität. ƒ Erhöhte Transparenz: Standardisierte Datenformate und Schnittstellen erleichtern den Zugang und das Verständnis der Daten für Bürger und Entscheidungsträger. ƒ Innovation durch Interoperabilität: Kompatible Systeme ermöglichen es Entwicklern, innovative Lösungen zu schaffen, die auf der OUP aufbauen und den UDZ bereichern. 37 2 · 2024 TR ANSFORMING CITIES DOI: 10.24053/ TC-2024-0016 THEMA Offene und sichere Städte kann sich je nach den Erfordernissen anpassen. Bei Erkennung von normalem Netzwerkverkehr besteht das Ziel der Middlebox darin, den analysierten Datenverkehr an Backend-Server weiterzuleiten, auf denen die Daten weiterverarbeitet und über die IoT-Plattform der Sensoranbieter der vorgesehenen Zielgruppe zur Verfügung gestellt werden. Bei Erkennung von Anomalien werden Events erstellt und verarbeitet. Solche Mechanismen könnten entweder direkt in der Middlebox platziert werden oder im entsprechenden NOC (Network Operations Center) oder SOC (Security Operations Center) ausgeführt werden, sofern im Gesamtkontext einer Smart City gedacht wird. Nachdem die Daten von einer Datenquelle extrahiert wurden, erfolgt eine wichtige Phase der Datenprüfung (vgl. Bild 1,  „Konsistenzprüfung “ ). In diesem Schritt werden die extrahierten Daten noch im Konnektor analysiert, um ihre Qualität und Konsistenz zu überprüfen und um ein Profil zu erstellen. Hierbei werden Aspekte wie fehlende Werte, Duplikate und statistische Anomalien betrachtet. Diese Prüfung ist entscheidend, um sicherzustellen, dass die Daten für die anschließende Nutzung in einem Use Case geeignet sind. Die hierbei generierten Metriken können kontinuierlich fortgeschrieben werden und für die Anwender auf der Ebene der Management Apps visualisiert werden. Bevor die Daten weiterverarbeitet werden, erfolgt eine Schemavalidierung (vgl. Bild 1,  „Schemavalidierung“). Diese Validierung stellt sicher, dass die Daten dem erwarteten Schema und den gestellten Anforderungen entsprechen. Die Schemavalidierung kann beispielsweise die Überprüfung von Datentypen, die Einhaltung von Schranken und die Bestätigung, dass alle erforderlichen Datenfelder vorhanden sind, umfassen. Im Anschluss werden die Daten auf der [ui! ] UrbanPulse weiterverarbeitet und archiviert. Im dritten Schritt erfolgt die Datenprüfung auf den archivierten Daten (vgl. Bild 1,  „Anomalie-Erkennung“). Dabei kommen überwiegend Prüfverfahren zum Einsatz, die auf Datensätzen über längere Zeiträume operieren und damit größere Datenmengen verarbeiten können. Echtzeit-KI-Prognose-Ergebnisse der Data Analytics werden hierbei mit Echtzeit- Ist-Daten verglichen, um Anomalien der Datenflüsse zu identifizieren. Der Zugriff auf archivierte Daten erleichtert die Analyse und Berichtsgenerierung deutlich. Diese Prüfungen werden kontinuierlich durchgeführt, die entsprechenden Metriken für die einzelnen Datensätze geprüft. Alle Ergebnisse der Prüfungen auf allen drei Ebenen werden für Betreiber des Urbanen Digitalen Zwillings visualisiert (vgl. Bild 1,  „Daten“). Wird eine Anomalie erkannt, die sich auf Daten auswirken, die von ter werden in verschiedenen Anwendungsbereichen häufig als Anomalien oder Ausreißer bezeichnet [11]. Die Anomalie-Erkennung kann in einer Vielzahl von Anwendungen eingesetzt werden, beispielsweise bei der Erkennung von Kreditkartenbetrug, im Gesundheitswesen, bei der Erkennung von Angriffen im Bereich der IT-Sicherheit oder bei der Fehlererkennung in sicherheitskritischen Systemen. Konkret könnte bei Angriffen im Bereich der IT-Sicherheit ein anormales Muster im Netzwerkverkehr bedeuten, dass ein kompromittierter Computer sensible Daten an ein nicht autorisiertes Ziel sendet [12]. Somit ist auf einer abstrakten Ebene eine Anomalie definiert als ein Muster, welches nicht dem erwarteten „normalen“ Verhalten entspricht. Ein einfacher Ansatz zur Erkennung von Anomalien besteht daher darin, einen Bereich zu definieren, der das normale Verhalten darstellt, und jede Beobachtung in den Daten, die nicht zu diesem normalen Bereich gehört, als Anomalie zu deklarieren. Mehrere Faktoren können diesen Ansatz jedoch zu einer großen Herausforderung machen [11]: ƒ Es ist schwierig, eine Region als „normal“ zu definieren, die jedes mögliche normale Verhalten umfasst. Außerdem ist die Grenze zwischen normalem und anormalem Verhalten oft nicht genau zu ziehen. ƒ Wenn Anomalien das Ergebnis böswilliger Handlungen sind, passen sich die böswilligen Angreifer oft an, um die anomalen Beobachtungen als normal erscheinen zu lassen, wodurch die Aufgabe, normales Verhalten zu definieren, noch schwieriger wird. ƒ In vielen Bereichen entwickelt sich normales Verhalten ständig weiter - so auch in einer Smart City - und eine derzeitige Definition von normalem Verhalten könnte in Zukunft nicht mehr repräsentativ sein. Wie wurde die Anomalie-Erkennung umgesetzt? Um die Normalitätsvariationen in eine Anomalie- Erkennung einzubeziehen, wurden im Rahmen des KIVEP-Projekts auf der [ui! ] UrbanPulse drei Prüfungen und die Visualisierung (Bild 1 Gelbe Felder) der Ergebnisse der Prüfungen auf der Ebene der daten- und dienstnehmenden Systeme erhoben und erprobt. Die erste wichtige Komponente ist die sogenannte „Middlebox“ (vgl. Bild 1,  „Middlebox“), die als virtuelle Umgebung gedacht ist, die die Funktion der Intrusion Detection (d. h. die Erkennung von Protokoll- Anomalien) übernimmt. Der endgültige Standort der „Middlebox“ ist nicht genau festgelegt (bspw. direkt hinter dem Gateway, vor dem LNS, auf dem LNS) und 38 2 · 2024 TR ANSFORMING CITIES DOI: 10.24053/ TC-2024-0016 THEMA Offene und sichere Städte Literatur [1] Osman AMS, Elragal AA, Ståhlbröst A. Data-Driven Decisions in Smart Cities: A Digital Transformation Case Study. Applied Sciences. 2022; 12(3): 1732. https: / / doi. org/ 10.3390/ app12031732. [2] M. Chen, Y. Miao, Y. Hao), and K. Hwang, „Narrow band internet of things,“ IEEE Access, vol. 5, pp. 20 557-20 577, 2017. [3] E. L. C. Macedo, E. A. R. de Oliveira, F. H. Silva, and R. R. M. Jr, „On the security aspects of internet of things: A systematic literature review“, Journal of Communications and Networks, vol. 21, no. 5, 2021. [4] M. binti Mohamad Noor and W. H. Hassan, „Current research on internet of things (iot) security: A survey“, Computer Networks, vol. 148, pp. 283-294, 2019. [5] KIVEP, https: / / www.forschung-it-sicherheit-kommunikationssysteme.de/ projekte/ kivep , zuletzt besucht am 19.04.2024. [6] Urbane Digitale Zwillinge, Deutscher Städtetag, 2023, https: / / www.staedtetag.de/ files/ dst/ docs/ Publikationen/ Weitere-Publikationen/ 2023/ expertenpapierurbane-digitale-zwillinge-2023.pdf, zuletzt besucht am 19.04.2024. [7] cosma21, https: / / www.ekom21.de/ loesungen/ cosma21/ , zuletzt besucht am 19.04.2024. [8] ekom21, https: / / www.ekom21.de/ , zuletzt besucht am 19.04.2024. [9] DIN SPEC 91607 - Digitale Zwilling für Städte und Kommunen, https: / / www.din.de/ de/ forschung-undinnovation/ themen/ smart-cities/ aktuelles/ der-digitalezwilling-fuer-staedte-und-kommunen-kommt--859000, zuletzt besucht am 19.04.2024. [10] DIN SPEC 91357 - Reference Architecture Model Open Urban Platform (OUP). https: / / www.beuth.de/ de/ technische-regel/ din-spec-91357/ 281077528. [11] Varun Chandola, Arindam Banerjee, and Vipin Kumar. 2009. Anomaly detection: A survey. ACM Comput. Surv. 41, 3, Article 15 ( July 2009), 58 pages. https: / / doi. org/ 10.1145/ 1541880.1541882 [12] Kumar, V. 2005. Parallel and distributed computing for cybersecurity. IEEE Distrib. Syst. Online 6, 10. Eingangsabbildung: © iStock.com/ Nico ElNino Entscheidenden als Entscheidungsgrundlage genutzt werden, werden die Anomalie-Erkennungsergebnisse entsprechend visualisiert. Nach Prüfung können übliche Sicherheitsmaßnahmen eingeleitet werden. Im Rahmen des KIVEP-Projekts konnte der beschriebene Ansatz erfolgreich umgesetzt und evaluiert werden. Fazit und Ausblick Digitale Transformationen, neue Innovationen und zunehmendes Erheben von Daten im Verwaltungs- und Stadtentwicklungskontext ermöglichen immer mehr Optionen, Daten der Stadt in hoheitliche und prägende Entscheidungen für unsere Gesellschaft einfließen zulassen. Durch diese dynamische Entscheidungsgrundlage können sich Angriffe mit der Intention der Ressourcen- oder Personenschädigung intensiv auf die Reaktionsfähigkeit der Sicherheits- und Verwaltungsbehörden auswirken. Urbane Digitale Zwillinge als Entscheidungsunterstützungswerkzeug und als virtuelle Repräsentationen einer physischen Stadt oder urbaner Regionen sind im Kontext dessen besonders schützenswert. Bei fehlerhafter, ungenauer Abbildung der realen Umgebungen durch das Aufkommen von Anomalien können diese Auswirkungen auf Simulationen, Analysen, Infrastrukturmanagement und Ressourcenverbrauch haben. Im Zentrum der Aufbereitung der Daten für einen Urbanen Digitalen Zwilling stehen Offene Urbane Datenplattformen (OUP), die eine Weitergabe verifizierter, veredelter und validierter Daten ermöglichen. Um diese Weitergabe in einer hohen Qualität garantieren zu können, ist die Integration von Sicherheitsmechanismen essenziell. Hierbei stellt die Anomalie-Erkennung einen effektiven und effizienten Sicherheitsmechanismus dar. Durch unterschiedliche KI-gestützte Prüfungsverfahren kann Anomalie-Erkennung Muster in Daten identifizieren, die nicht dem erwarteten Verhalten entsprechen und entsprechend auf diese Abweichungen autonom reagieren. Durch die Dynamik des Forschungsgebiets der IT-Sicherheit und Cyber-Bedrohungen wird die Sicherheit der Entscheidungssysteme öffentlicher Verwaltung weiterhin ein wichtiger Bereich aktueller und zukünftiger Forschungen sein. Überwiegend komplexe Forschungsthemen wie Homomorphe Verschlüsselung, privatsphäreerhaltende Mechanismen und eine Gesamtintegration von Sicherheitsmodulen auf Basis von Zero Trust werden immer wichtiger, wenn datenintensive Systeme unsere Gesellschaft mitgestalten. Das Projekt KIVEP wird vom Bundesministerium für Bildung und Forschung (BMBF) unter dem Förderkennzeichen 16KIS1421 gefördert. Stephan Borgert, Director Research and Innovation bei [ui! ] Urban Software Institute GmbH, Stephan.Borgert@ui.city Lisa Brunzel, Projektmanagerin Research and Innovation bei [ui! ] Urban Software Institute GmbH, Lisa.Brunzel@ui.city Philipp Lämmel, Stv. Gruppenleiter Quality Engineering für Urbane IKT bei Fraunhofer FOKUS, philipp.laemmel@fokus.fraunhofer.de Paul Darius, Studentische Hilfskraft bei Fraunhofer FOKUS paul.darius@fokus.fraunhofer.de AUTOR*INNEN