Safety Einführung
Safety Einführung
Safety Einführung
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Seminar im IdS<br />
Seminar <strong>Safety</strong> und Security Engineering<br />
Sommersemester 2006<br />
Seminarausarbeitung<br />
<strong>Safety</strong> <strong>Einführung</strong><br />
Benjamin Tzschoppe<br />
18. Juli 2006<br />
Universität Duisburg-Essen · Fachbereich Ingenieurwissenschaften · Abteilung<br />
Informatik<br />
Arbeitsgruppe Software Engineering – Prof. M. Heisel<br />
betreut durch: Dipl.-Inform. Denis Hatebur
INHALTSVERZEICHNIS i<br />
Inhaltsverzeichnis<br />
1 Was ist Sicherheit? 1<br />
1.1 Unterschied <strong>Safety</strong> und Security . . . . . . . . . . . . . . . . . 1<br />
1.2 Typische <strong>Safety</strong>anforderungen . . . . . . . . . . . . . . . . . . 2<br />
1.3 Begriffe und Definitionen . . . . . . . . . . . . . . . . . . . . 3<br />
2 IEC 61508 5<br />
2.1 <strong>Einführung</strong> . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5<br />
2.2 Bestandteile der IEC 61508 . . . . . . . . . . . . . . . . . . . 6<br />
2.3 <strong>Safety</strong> Integrity . . . . . . . . . . . . . . . . . . . . . . . . . . 7<br />
2.4 Die SIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8<br />
3 Warum ist <strong>Safety</strong> wichtig? 8<br />
3.1 <strong>Safety</strong> Probleme in der Vergangenheit . . . . . . . . . . . . . 9<br />
4 Anwendung von <strong>Safety</strong> 9<br />
5 <strong>Safety</strong> und Security 10<br />
5.1 Unterschiede . . . . . . . . . . . . . . . . . . . . . . . . . . . 10<br />
5.2 Mögliche Zusammenarbeit . . . . . . . . . . . . . . . . . . . . 12<br />
6 Fazit 12<br />
7 Literatur 14
1 WAS IST SICHERHEIT? 1<br />
1 Was ist Sicherheit?<br />
Sicherheit bezeichnet den Zustand, der frei von vertretbaren Risiken der Beeinträchtigung<br />
ist oder als gefahrenfrei angesehen wird.[Aut06]<br />
Sicherheit kann man auch als Komplement von Risiko definieren, wobei folgende<br />
Risikodefintion zu Grunde liegen soll: ” Das Risiko einer Anlage oder<br />
Tätigkeit ist die Summe über alle (gefährlichen) Ereignisse der Produkte von<br />
Eintrittswahrscheinlichkeit und Schadensausmaß und evtl. (subjektiven) Gewichtungsfaktoren“.[OH]<br />
In der Security-Branche spricht man an Stelle von<br />
gefährlichen Ereignissen auch von ” erfolgreichen Angriffen“.<br />
1.1 Unterschied <strong>Safety</strong> und Security<br />
Die englische Sprache bietet den Vorteil, dass sie für den Begriff Sicherheit<br />
zwei verschiedene Worte verwendet. Unter <strong>Safety</strong> versteht man die funktionale<br />
Sicherheit von Maschinen und Anlagen zum Schutz von Mensch,<br />
Maschine und Umwelt. In unserem besonderen Falle die funktionale Sicherheit<br />
von Softwaresystemen zum Schutz von Mensch und Maschine. Unter<br />
Security versteht man dagegen die Sicherheit von Daten gegenüber unberechtigtem<br />
Zugriff von außen. Die Schutzziele sind hier vor allem: Vertraulichkeit,<br />
Integretät und Authentizität. Aber auch die Beweisbarkeit und<br />
Verfügbarkeit von Daten sowie der Schutz vor Image-Schäden (zum Beispiel<br />
durch Rückrufaktionen) [Bac06] Security ist also der Schutz von (Software)-<br />
Systemen von unberechtigten Zugriffen von außen. <strong>Safety</strong> ist der Schutz<br />
von Softwaresystemen von zum Beispiel Bedienfehlern des Anwenders oder<br />
mögliche Fehler der Technologie. Ein Beispiel kann den Unterschied zwischen<br />
<strong>Safety</strong> und Security noch ein wenig veranschaulichen. Der Security<br />
Aspekt bei einem Gütertransport mit einem LKW kann zum Beispiel das<br />
Wählen von zufällig ausgesuchten Strecken sein. Oder eine Polizeieskorte die<br />
den Transport begleitet. Solche Maßnahmen dienen eher dazu den Transport<br />
von Zugriffen von beispielsweise Terroristen zu schützen. Zutreffende <strong>Safety</strong>maßnahmen<br />
wären das Wählen von ” sicheren“ Fahrzeugen, dies könnte zum<br />
Beispiel ein besondere Tank bei Gefahrguttransporten sein. Aber auch ein<br />
Anti-Blockier-System gehört zu den <strong>Safety</strong>aspekten eines Transportes.<br />
Klar aus den Beispielen und der Abgrenzung von <strong>Safety</strong> und Security werden<br />
nicht nur die beiden Begriffe, sondern auch, dass beide Begriffe auch noch<br />
in anderen Disziplinen eine Rollen spielen. Vor allem in der Elektrotechnik<br />
spielt <strong>Safety</strong> eine große Rolle.
1 WAS IST SICHERHEIT? 2<br />
<strong>Safety</strong><br />
Umwelt<br />
Maschine<br />
Abbildung 1: <strong>Safety</strong>, Schutz<br />
der Umwelt vor der Maschine<br />
1.2 Typische <strong>Safety</strong>anforderungen<br />
Umwelt<br />
Security<br />
Maschine<br />
Abbildung 2: Security, Schutz der<br />
Maschine vor der Umwelt<br />
Spezifische <strong>Safety</strong>anforderungen sind vom System abhängig und können von<br />
System zu System variieren. Dennoch gibt es die Möglichkeit typische <strong>Safety</strong>anforderungen<br />
darzustellen. <strong>Safety</strong> bezogene Software bezweckt vor allem<br />
Leben zu schützen. Aber auch die Gesundheit der Menschen und die Umwelt<br />
vor jedlichen Schäden, die das System hervorrufen könnte zu bewahren.<br />
<strong>Safety</strong> ist dabei im Gegensatz zur Security auf nicht vorsätzliche Ereignisse<br />
fokussiert, sondern auf Ereignisse die zufällig auftreten.<br />
In <strong>Safety</strong> bezogenden Systemen gibt es zwei Arten von Störfällen. Die erste<br />
Art von Störfall sind die sogenannten incidents. Diese incidents sind zwar<br />
nicht wünschenswert aber nach Safteyregeln legal. Bei dieser Art von Störfall<br />
könnte zum Beispiel eine begrenzte Menge Radioaktivät austreten, die zwar<br />
nicht wünschenswert ist, aber nicht direkt Menschenleben bedroht oder die<br />
Umwelt mit nicht mehr zu reparierenden Schäden belastet.<br />
Liegen die Konsequenzen eines Störfalles außerhalb dieser begrenzten Regeln,<br />
nennt man den Zwischenfall accident. Das dieser Fall schwerwiegender<br />
ist, kann man auch an der Übersetzung von incident und accident sehen.<br />
Im Deutschen bedeutet incident = Störfall sowie accident = Unfall.
1 WAS IST SICHERHEIT? 3<br />
1.3 Begriffe und Definitionen<br />
Dieses Unterkapitel soll dazu dienen einige Begriffe aus der <strong>Safety</strong>community<br />
vorzustellen, um sie zu einem späteren Zeitpunkt mit den entsprechenden<br />
Securitybegriffen gegenüber zu stellen.
1 WAS IST SICHERHEIT? 4<br />
Begriff Definition<br />
Hazard Eine Situation oder ein Ereignis, dessen Ergebnis einen nicht<br />
wünschenswerten Effekt auf die Umwelt hat. <strong>Safety</strong> Maßnahmen<br />
zielen normalerweise darauf ab die Härte der Konsequenzen<br />
eines solchen Hazards zu reduzieren. Natürlich wird<br />
auch probiert durch entsprechende Maßnahmen das Risiko<br />
des Eintreten des Hazards überhaupt zu reduzieren (Riskreducing)<br />
Failure <strong>Safety</strong>maßnahmen werden getroffen um das System davor<br />
zu schützen, Schäden in der Umwelt anzurichten. Von einem<br />
Failure spricht man, wenn eine dieser <strong>Safety</strong>maßnahmen<br />
nicht korrekt funktioniert. Failures in einem <strong>Safety</strong>system<br />
haben meist unerwünschte Resultate zur Folge. Die<br />
Wahrscheinlichkeit, dass ein Failure eintritt kann entweder<br />
durch statistische Werte errechnet werden, oder sie sind<br />
statisch (zum Beispiel Design-Eigenschaften des Systems<br />
wie Wände eines Atomkraftwerkes“). Bei diese Design-<br />
”<br />
Eigenschaften geht man von Naturgesetzen aus, die nicht<br />
gebrochen werden können. Sie können also nicht ausfallen.<br />
Incident Mit Incident bezeichnet man einen Fall, dessen Eintreten<br />
zwar nicht wünschenswert ist, aber dennoch legal. Hierbei<br />
sind weder Menschenleben in Gefahr, noch wird die Umwelt<br />
mit dauerhaften Schäden belastet<br />
Accident Liegen die Konsequenzen eines Failures außerhalb der erlaubten<br />
Grenzwerte spricht man von einem Accident. Ein<br />
Accident ist also der Fall, den es unbedingt gilt zu verhindern.<br />
Risiko Risiko = Eintrittswahrscheinlichkeit×Schadensausmaß,<br />
je höher das Risiko, desto höher ist auch die Einstufung in<br />
den <strong>Safety</strong>-Integrity Leveln (siehe unten)<br />
Risikoanalyse Die Risikoanalyse wird benutzt um Anforderung an die<br />
<strong>Safety</strong>-Software zu bestimmen. Typische Beispiel für Risikoanalysen<br />
im <strong>Safety</strong>bereich sind HAZOP (=Hazard and<br />
Operability study), ETA (=Event Tree Analysis) etc. Es<br />
gibt noch einige weitere Beispiele, in dieser Ausarbeitung<br />
soll aber dort nicht näher drauf eingegangen werden.<br />
Barrier Protection<br />
<strong>Safety</strong> barriers werden benutzt um verschiedene Stufen des<br />
Schutzes für die umgebende Umwelt zu geben. Die erste Stufe<br />
ist, dass die Software selbst safetybezogen entwickelt wurde.<br />
Die zweite Stufe ist das benutzen von Redundaten Softwaresystemen<br />
(oder Teilen) für die gleiche Funktion. Das<br />
checken von Checksummen und selbstkorrigierende Software<br />
ist die dritte Barriere. Zeitkontrolle und Software Handshakes<br />
(eine Software, die ein Signal erhalten halt, muss eine<br />
Bestätigung schicken, dass das Signal angekommen ist, sonst<br />
wird ein ” Failure“ angezeigt)
2 IEC 61508 5<br />
2 IEC 61508<br />
2.1 <strong>Einführung</strong><br />
Die IEC 61508 ist eine Industrienorm der International Electrotechnical<br />
Commission (IEC) zur Schaffung von sicheren elektrischen, elektronischen<br />
und programmierbar elektronischen (E/E/PE) Systemen, die eine Sicherheitsfunktion<br />
ausführen.<br />
Die aus vier normativen und drei informativen Teilen bestehende Norm hat<br />
eine Gesamtlänge von über 400 Seiten und trägt den Titel ” Funktionale<br />
Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbar<br />
elektronischer Systeme“. Sie wurde 1998 veröffentlicht, wovon einige Teile<br />
2000 in einer überarbeiteten Fassung neu veröffentlicht wurden. Das Konzept<br />
der <strong>Safety</strong> Integrity Levels (SIL) wurde schon 1991 von Def Stan entworfen.<br />
Die IEC hat dieses Konzept als Kernkonzept von IEC 61508 übernommen<br />
und normiert. Vom Europäischen Komitee für Normung (CEN) wurde die<br />
Norm 2001 inhaltsgleich als EN 61508 übernommen. In Deutschland hat<br />
sie als deutsche Fassung unter den Namen DIN EN 61508 und VDE 0803<br />
Gültigkeit, ihre Anwendung ist freiwillig.<br />
Von der Norm erfasst sind alle sicherheitsbezogenen Systeme, die elektrische,<br />
elektronische oder programmierbar elektronische Komponenten (E/E/PES)<br />
enthalten, und deren Ausfall ein maßgebliches Risiko für Mensch oder Umwelt<br />
bedeutet. Sie bezieht sich somit auf keine bestimmte Anwendung. Dazu<br />
gehören Systeme, die auf Anforderung eine Sicherheitsfunktion ausführen,<br />
zum Beispiel das Antiblockiersystem bei einem Kraftfahrzeug, und Systeme,<br />
die auf ständige Ausführung der Sicherheitsfunktion angewiesen sind, zum<br />
Beispiel die Steuerungseinheit einer Trägerrakete. Gemäß der Norm bilden<br />
die Funktionen aller sicherheitsbezogener Systeme die funktionale Sicherheit<br />
des Gesamtsystems. Die IEC 61508 ist als ” Sicherheits-Grundnorm“<br />
ausgewiesen, das heißt sie kann als Basis für anwendungsspezifische Normen<br />
dienen. Zum Beispiel setzt die auf der IEC 61508 basierende IEC 61513 Anforderungen<br />
für sicherheitsrelevante Systeme in einem Kernkraftwerk fest.<br />
Der Geltungsbereich der Norm erstreckt sich über Konzept, Planung, Entwicklung,<br />
Realisierung, Inbetriebnahme, Instandhaltung, Modifikation bis<br />
hin zur Außerbetriebnahme und Deinstallation sowohl des gefahrverusachenden<br />
Systems als auch der sicherheitsbezogenen (risikomindernden) Systeme.<br />
Die Norm bezeichnet die Gesamtheit dieser Phasen als ” gesamten Sicherheitslebenszyklus“.<br />
Zentrales Element ist die Bestimmung von Sicherheitsintegritätsleveln (SIL)<br />
von 1 bis 4, den die Sicherheitsfunktionen des E/E/PES erfüllen müssen, da-
2 IEC 61508 6<br />
mit das tolerierbare Risiko des gefahrverusachenden Systems nicht überschritten<br />
wird. Mit höherer notwendiger risikomindernder Wirkung des sicherheitsbezogenen<br />
Systems müssen der SIL und somit die Anforderungen an die<br />
Verlässlichkeit des sicherheitsbezogenen Systems steigen.<br />
2.2 Bestandteile der IEC 61508<br />
Im folgendem Unterabschnitt werden nun die einzelnen Bestandteile der IEC<br />
61508 kurz erläutert.<br />
Teil 1: Allgemeine Anforderungen<br />
• Generelles Management der funktionalen Sicherheit (Functional <strong>Safety</strong><br />
Management, FSM). Hier werden alle Aktivitäten und Prozessabläufe<br />
für die Entwicklung und das Managen von sicherheitsrelevanten Systemen<br />
definiert.<br />
• Der Sicherheitslebenszyklus und die Anforderungen jeder Phase<br />
• Die SIL Definition und die ” Gefährundungs und Risikoanalyse“ um<br />
ein SIL Ziel des Gesamtsystems zu bestimmen.<br />
• Notwendigkeit von Kompetenzkriterien für Personen, die im sicherheitskritischen<br />
Bereich eingebunden sind.<br />
• Grad der Unabhängigkeit von prüfenden/zertifizierten Personen und<br />
Organisationen<br />
• Anforderungen an die Dokumentation jeder Phase des Sicherheitszyklus<br />
Teil 2 Anforderungen an sicherheitsbezogene Systeme (Hardware)<br />
• Sicherheitslebenszyklus-Aktivitäten, die zur Konzeption und zur Realisierung<br />
der Hardware notwendig sind<br />
• Notwendigkeit die quantitative Ausfallwahrscheinlichkeit der Hardware<br />
zu bestimmen (zu berechnen) und nachzuweisen.<br />
• Techniken und Verfahren zur Beherrschung systematischer Hardwarefehler.<br />
Anforderungen an Software<br />
• Techniken und Verfahren, wie sicherheitsgerichtete Software entwickelt<br />
und dokumentiert sein sollte. Hierbei werden nur systematische Fehler<br />
betrachtet, da es in der Softwareentwicklung keine zufälligen Fehler<br />
geben kann.<br />
• Tabellen mit Anforderungen an Entwicklungstechniken für jeden SIL
2 IEC 61508 7<br />
• Informative Anhänge<br />
Teil 4: Begriffe und Abkürzungen<br />
Teil 5: Beispiele zur Ermittlung der Stufe der Sicherheitsintegrität<br />
• Vier Beispiele zur Einstufung eines Systems in SIL<br />
Teil 6: Anwendungshinweise über Verfahren und Maßnahmen<br />
• Anwendung der IEC61508 2 und 3<br />
• Kalkulation der Hardwarefehler und Ausfallwahrscheinlichkeit<br />
• Berechnung eines ” Diagnosedeckungsgrad“<br />
• Methode zur Bestimmung von ” Common Caus Failures“<br />
• Beispiel zur Anwendung der Anforderungstabellen aus Teil 3 für Softwareentwicklung<br />
Teil 7: Anwendungshinweise über Verfahren und Maßnahmen[IEC98]<br />
2.3 <strong>Safety</strong> Integrity<br />
Um die SIL zu verstehen, muss im Vorfeld geklärt werden, was Saftey Integrity<br />
bedeutet. Normalerweise sollte wenn eine Funktion des Systems ausfällt<br />
dies nicht direkt zu einem totalen Verlust der <strong>Safety</strong> Funktion führen. Die<br />
Fehlfunktion soll von einer anderen Funktion des Systems kompensiert werden.<br />
Zum Beispiel kann die Handbremse in einem Auto den Ausfall der normalen<br />
Hydraulikbremse kompensieren. Es kann allerdings sein, dass die Handbremse<br />
das Auto nicht im gleichen Maße zum stehen bekommt, wie die<br />
normalerweise wirkende Hydraulikbremse. Mit anderen Worten, kann eine<br />
<strong>Safety</strong>funktion weitergeführt werden (möglicherweise schwächer) trotz des<br />
Verlustes der eigentlichen Safteyfunktion. Diese Fähigkeit von <strong>Safety</strong>funktionen<br />
effektiv zu wirken, trotz Ausfalls der eigentlich dafür zuständigen<br />
<strong>Safety</strong>funktion nennt man <strong>Safety</strong> Integrity.<br />
Man erkennt leicht, dass es verschiedene Level von <strong>Safety</strong> Integrity geben<br />
kann, abhängig davon, wie viele verschiedene <strong>Safety</strong>funktionen das System<br />
hat und wie effektiv diese sind.
3 WARUM IST SAFETY WICHTIG? 8<br />
Abbildung 3: Die Fehlerwahrscheinlichkeit wird in diskrete Ebenen (Level)<br />
unterteilt, in der IEC 61508 gibt es vier verschiedene Ebenen. Für jede Ebene<br />
hat die IEC 61508 Anforderungen gestellt, die das System erfüllen muss.<br />
2.4 Die SIL<br />
Für <strong>Safety</strong> Funktionen dessen Aufgabe es ist hohe Risiken zu lindern, benötigen<br />
wir ein höheres Level an <strong>Safety</strong> Integrity als für <strong>Safety</strong> Funktionen die niedrige<br />
Risiken absichern. Das Äquivalent zu SIL in der Securitycommunity ist<br />
EAL (Evaluation Assurance Level)<br />
Die SIL (= <strong>Safety</strong> Integration Levels) benutzt vier verschiedene Level.<br />
Angefangen von SIL 1, was die niedrigste Stufe ist bis hin zu SIL 4, was<br />
die höchste Stufe ist. SIL 0 wird dabei für Funktionen benutzt, die keine<br />
<strong>Safety</strong>relevanz haben. Je höher das SIL desto niedriger ist die dazugehörige<br />
tolerierbare Gefährdungsstufe.<br />
3 Warum ist <strong>Safety</strong> wichtig?<br />
Früher waren viele Systeme entweder safetykritisch oder securitykritisch.<br />
In Zukunft werden viele Systeme wohl beides sein, also <strong>Safety</strong>- und Securitykritisch.<br />
Der Grund dafür ist, dass immer mehr IT-Systeme in wichtige<br />
Teile unserer Lebens- und Arbeitsumgebung eingebettet werden. Diese<br />
IT-Systeme sind dann meist noch vernetzt, was sowohl in der <strong>Safety</strong> Entwicklung<br />
als auch in der Security Entwicklung für höhere Ansprüche sorgt.<br />
Gründe für diese Vernetzung von auch sicherheitskritischeren Systemen ist<br />
meist mehr Funktionalität und eine einfacherer Wartung.[Pfi04]<br />
Leider werden Expertenwahrnungen, auch kleine Systeme mit einem hohen<br />
Maß an <strong>Safety</strong> und Security auszustatten, heruntergespielt. Argumente gegen<br />
eine aufwendigere Entwicklung sind meist: ” So kleine Systeme können<br />
keine ernsthaften Probleme auslösen“. Aber mit der heutigen Vernetzung<br />
von vielen kleinen Systemen können dann viele Fehler zur gleichen Zeit auftreten,<br />
was dann meist doch ernsthafte Probleme auslösen kann.[Pfi04]
4 ANWENDUNG VON SAFETY 9<br />
3.1 <strong>Safety</strong> Probleme in der Vergangenheit<br />
Wenn man schon über die Bedeutung der <strong>Safety</strong> in der heutigen Zeit nachdenkt,<br />
lohnt auch ein kurzer Blick zurück, um <strong>Safety</strong>-Probleme aus der Vergangenheit<br />
zu beleuchten.<br />
Ein Beispiel für das Scheitern eines Softwaresystem in <strong>Safety</strong>-Fragen, ist der<br />
Absturz der von der ESA (European Space Agency) erbauten und entwickelten<br />
Ariane 5.<br />
Die Ariane 5 startete am 4. Juni 1996 zu ihrem Erstflug, kurze Zeit nach<br />
dem Start sprengte sich die Rakete mit ihrer Nutzlast von vier Cluster-<br />
Satelliten in die Luft.<br />
Ursache war ein Softwarefehler, in den Teilen, die von Ariane 4 übernommen<br />
worden waren. Ariane 5 beschleunigte schneller als Ariane 4, dies führte zu<br />
einem Überlauf einer Variablen des Lenksystems. Dieser erfolgte bei der Umwandlung<br />
einer 64-Bit Gleitpunktzahl für die horizontale Geschwindigkeit<br />
in eine vorzeichenbehaftete 16-Bit-Ganzzahl. Daraus resultierte ein Absturz<br />
des Lenksystems, was dazu führte, dass die Navigationsanlage nur noch Statusdaten<br />
an den OBC (On Board Computer) sandte. Dieser interpretierte<br />
die Daten als echte Fluglage, die natürlich vom eigentlich Kurs abwich, und<br />
ließ die Schubdüsen der Booster bis zum Anschlag schwenken. Dadurch begann<br />
die Rakte auseinander zu brechen und löste das boardeigene Selbstzerstörungssystem<br />
aus, bevor die Bodenkontrolle eingreifen konnte.<br />
Menschen kamen bei diesem Unfall nicht ums Leben, es entstand ein Schaden<br />
von ca. 500 Millionen Dollar.[Hei06]<br />
4 Anwendung von <strong>Safety</strong><br />
Erste Umsetzungen der IEC 61508 sind auch im Automobilsektor zu finden.<br />
Ein Beispiel ist die Anwendung der IEC 61508 auf ein Lenksäulenmodul mit<br />
integriertem Lenkwinkelsensor.<br />
In der Automobilindustrie waren bisher immer sicherheitsrelevante Standards<br />
im Entwicklungsprozess, die sich entweder mit Produkten oder mit<br />
Prozessen beschäftigen (z.B. QS 9000 oder TS 16949). Nach der neustem<br />
Stand der Sicherheitstechnik wird die Sicherheit mit einer Kombination aus<br />
Prozess- und Produktanforderungen geregelt. Damit soll Sicherheit nicht in<br />
ein Produkt ” hineingeprüft“ werden. Sondern es soll, genau wie im Qualitätsmanagement<br />
auch, der Sicherheitsaspekt in allen Projekphasen mitberücksichtigt<br />
werden.<br />
In der Organiation des Entwicklungsprozesses wird ein sogenannter <strong>Safety</strong>-<br />
Manager ergänzt, der besondere Kenntnisse in der Sicherheitstechnik- und
5 SAFETY UND SECURITY 10<br />
Dokumentation besitzt. Er ist für die stetige Umsetzung der zu Beginn festgelegten<br />
Sicherheitsschritte verantwortlich.<br />
Die konkrete Anwendung der IEC 61508 und der darin enthaltenen SILs,<br />
passiert im Ansatz einer Systembetrachtung, die die kritischen, sogenannten<br />
sicherheitsgerichteten Funktionen des Systems nach außen beschreiben.<br />
Dies geschieht mit Hilfe einer Liste solcher Funktionen. Im Beispiel der Anwendung<br />
bei der Firma KOSTAL in der Herstellung von Lenksäulenmodulen<br />
wäre es zum Beispiel: ” es darf kein Lenkwinkel mit mehr als 1 Grad abweichung<br />
gesendet werden“. Diese Funktionen werden dann einem Sicherheitslevel<br />
(<strong>Safety</strong>-Integrity-Level SIL) zugeordnet, sowie eine zulässige Restfehlerrate,<br />
die nicht überschritten werden darf.<br />
Im gesamten Entwicklungsprozess ist schrittweise abzusichern, dass das Steuergerät<br />
diesen Festlegungen entspricht. Im Gegensatz zur Erfüllung einer hohen<br />
Anzahl von Einzelanforderungen basiert der Ansatz der IEC 61508 auf<br />
einem geschlossenen Ansatz, der das Sicherheitsverhalten des Systems nach<br />
außen spezifiziert. Ergänzend werden qualitative Produktanforderungen in<br />
Abhängigkeit vom Sicherheitslevel gestellt, der grundsätzliche Mindestanforderungen<br />
(wie z.B. Überspannungsschutz) an Sicherheitskritische System<br />
garantiert.<br />
Insbesondere für die Softwareentwicklung bedeutet dies, je nach SIL-Einstufung<br />
verschiedene Maßnahmen im Entwicklungsprozess, z.B. Designreviews, Codereviews<br />
etc.<br />
Diese Mindestmaßnahmen sollen Fehler bzw. deren Auswirkungen reduzieren.[lKG06]<br />
5 <strong>Safety</strong> und Security<br />
Konzepte von <strong>Safety</strong> und Security haben eine Menge gemeinsam, schade nur<br />
das die beiden dahinterstehenden Communities so unterschiedlich sind.<br />
Die Menschen der Security-Branche denke meist nur an alte Männer, die<br />
nicht willens sind neue Sachen dazu zu lernen, wenn sie sich die <strong>Safety</strong><br />
Community vorstellen sollen. Die <strong>Safety</strong> Community hingegen denkt über<br />
die Security Leute, dass es die ” Youngsters“ wären, die gerade dabei sind,<br />
dass Rad noch mal neu zu erfinden. Es scheint also eine gewisse Rivalität<br />
zwischen den beiden Gruppen zu herrschen.[MBL]<br />
5.1 Unterschiede<br />
In der Information-Security sind die Hauptziele confidentiality (Vertraulichbarkeit),<br />
integrity (Integrität) und availability (Erreichbarkeit) von Informationen<br />
sicherzustellen. Im <strong>Safety</strong>bereich sind die Hauptziele hingegen,
5 SAFETY UND SECURITY 11<br />
Leben, Gesundheit und Umwelt vor dem (Software)-System zu schützen. In<br />
beiden Communities haben sich unterschiedliche Begriffe und unterschiedliche<br />
Techniken etabliert.<br />
Der Begriff Incident“ hat in beiden Communities verschiedene Bedeutun-<br />
”<br />
gen. In der <strong>Safety</strong>-Community unterscheidet man zwischen Incidents“ und<br />
”<br />
” Accidents“. ” Incidents“ sind legale Zustände, Accidents“ müssen auf je-<br />
”<br />
den Fall vermieden werden.<br />
In der Security-Community sind ” Incidents“ Vorfälle, die es absolut zu vermeiden<br />
gilt. ” Events“ heißen dort die legalen Zuständen, die zwar nicht<br />
wünschenswert aber akzeptabel sind. Unterschiede sind aber auch noch zwischen<br />
den Begriffen ” Failure“ aus der <strong>Safety</strong>branche und dem Begriff ” Incident“<br />
aus der Securitybranche. Ein ” Failure“ im <strong>Safety</strong>jargon meint, dass<br />
eine oder mehrere <strong>Safety</strong>maßnahmen nicht korrekt funktionieren. ” Incident“<br />
wird im Securityjargon sowohl für einen Fehler im System, als auch für einen<br />
Fehler in den Sicherheitsmaßnahmen genutzt.<br />
Ein weitere Unterschied ist, dass Fehler im Sinne von ” Failures“ in der <strong>Safety</strong><br />
bezogenden Entwicklung nur zufällig auftreten. Werden diese gewollt<br />
herbeigeführt spricht man auch von Sabotage und das Problem wird an die<br />
Security-Leute weiterdelegiert.<br />
Klar ist auch, dass der Wert von Leben, Gesundheit und Umwelt nicht<br />
von <strong>Safety</strong>system zu <strong>Safety</strong>system unterschiedlich ist, sondern immer gleich<br />
(wichtig) bleibt. Dies ist in Securitybranche unterschiedlich. Zum Beispiel ist<br />
kann das Mitlesen einer privaten E-Mail natürlich nicht so einen hohen Schaden<br />
verursachen wie das Ausspionieren von wichtigen Geschäftsgeheimnissen.<br />
Außerdem kann die Gewichtung der einzelnen Teilbereiche der Security unterschiedlich<br />
sein. Bei wichtigen geschäftlichen E-Mails kann es von sehr<br />
großem Vorteil sein, dass kein Konkurrent diese mitlesen kann. Im E-Commerce<br />
ist hingegen ” availability“ und ” integrity“ wichtiger.<br />
Unterschiede von <strong>Safety</strong> und Security sind auch in der ” Fehlerbehandlung“<br />
zu sehen. Im <strong>Safety</strong>-Konzept hat jedes System einen ” sicheren“ Zustand,<br />
der bei ” Failure“ immer erreicht werden kann. Dies kann zum Beispiel ein<br />
Shutdown sein, wenn <strong>Safety</strong> anders nicht mehr gewährleistet werden kann<br />
(wobei es bei <strong>Safety</strong>systemen der Shutdown nicht zwingend immer der ” Sichere<br />
Zustand“ ist, zum Beispiel kann ein Flugzeug, was in 10.000 Metern<br />
höhe fliegt nicht einfach so heruntergefahren werden). Für Security-Systeme<br />
ist der Shutdown selten ein brauchbarer sicherer Zustand. So kann ja gerade<br />
der Shutdown eines Systems in Bezug auf die Ausfallsicherheit ein mögliches<br />
Ziel für einen Angreifer sein.[MBL]
6 FAZIT 12<br />
5.2 Mögliche Zusammenarbeit<br />
Für eine engere Zusammenarbeit der beiden konkurrierenden Gemeinschaften<br />
kann man mehrere Gründe aufzählen. Vorteil der <strong>Safety</strong>-Community<br />
ist, dass ihre Techniken und Methoden schon lange angewandt und getestet<br />
werden. Die Security-Community könnte von den Erfahrungen der <strong>Safety</strong>gemeinde<br />
lernen und bräucht das ” Rad nicht nocheinmal zu erfinden“.<br />
Auf der anderen Seite werden einige Security-Techniken auch immer wichtiger<br />
für die <strong>Safety</strong>gemeinde. Es werden in naher Zukunft wohl immer mehr sicherheitskritische<br />
Systeme mit offenen Netzwerken (wie dem WWW) zwecks<br />
RemoteControl oder entfernten Wartungsarbeiten verbunden. Die Integrität<br />
und die Vertraulichkeit von Informationen bekommt dadurch auch für die<br />
<strong>Safety</strong>-Community eine höhere Bedeutung. So müssen die <strong>Safety</strong>-Entwickler<br />
ja sicherstellen, dass für die sicherheitskritische Anwendung wichtige Informationen<br />
sicher durchs offene Netzwerk fließen.<br />
Auch verschieden Begrifflichkeiten aus beiden Communities beschreiben ein<br />
ähnliches, wenn nicht sogar ein gleiches Konzept. So sind zum Beispiel ” Hazards“<br />
und ” Threats“ effektiv das Gleiche. Bei ” Hazards“ (<strong>Safety</strong>) ist die<br />
Eintrittswahrscheinlichkeit der wichtigstes Parameter, bei ” Threats“ (Security)<br />
die Erfolgswahrscheinlichkeit eines Angriffs. Die Konzepte von ” Failures“<br />
(<strong>Safety</strong>) und ” Incidents“ (Security) sind auch ähnlich. Beide beschreiben<br />
das Eintreten von nicht erwünschten Ereignissen. Einziger Unterschied<br />
ist, dass die ” Failure“ auf die Sicherheitsfunktionen des <strong>Safety</strong>-Systems beschränkt<br />
sind, bei ” Incidents“ (Security) gibt es keine derartige Beschränkung.<br />
Mit dem Angleichen der Begrifflichkeiten könnten beide Communities auf<br />
die jeweiligen Techniken der anderen Community zurückgreifen. So können<br />
Techniken zur Klassifikation und Bestimmung von ” Hazards“ und zur ” Failure“<br />
Beschreibung auch auf ” Threats“ und ” Incidents“ angwendet werden.<br />
Gerade in der Risikoanalyse können viele Techniken von <strong>Safety</strong> und Security<br />
ausgetauscht werden.<br />
Auch in der Testphase von Softwareentwicklung können Techniken ausgetauscht<br />
werden. So können formale Methoden um in der <strong>Safety</strong>branche zu<br />
zeigen, dass die <strong>Safety</strong>bedingungen erfüllt sind, auch in der Securitybranche<br />
Andwendung finden.[MBL]<br />
6 Fazit<br />
<strong>Safety</strong> alleine ohne Security zu betrachten war sehr schwierig, da die beiden<br />
Domänen meist immer im Zusammenhang auftreten. Sinnvoll war dadurch<br />
auch an dieser Stelle der Vergleich von <strong>Safety</strong> und Security um Unterschiede
6 FAZIT 13<br />
und Gemeinsamkeiten in den Begriffen und in den Techniken klar zu machen.<br />
Hier soll nochmal hervorgehoben werden, dass durch die immer weiter verbreitete<br />
Vernetzung, die <strong>Safety</strong>gemeinde immer mehr auf die Techniken der<br />
Securitygemeinde (wie zum Beispiel Datenverschlüsselung oder Datenintegrität)<br />
zugreifen muss. Das Ziel sichere Systeme zu entwickeln wird nur gelingen<br />
wenn beide Communities in Zukunft mehr zusammenarbeiten. Die Securitygemeinde<br />
kann dabei vom größeren Erfahrungsschatz und ausgereifteren<br />
Techniken der <strong>Safety</strong>gemeinde profitieren. Die Synergie der Zusammenarbeit<br />
kann vielleicht helfen in Zukunft kleinere und größere Katastrophen zu<br />
vermeiden.
7 LITERATUR 14<br />
7 Literatur<br />
Literatur<br />
[Aut06] Autoren von Wikipedia.de. Wikipedia.de, 2006.<br />
http://www.wikipedia.de.<br />
[Bac06] Markus Back. Definition ist immer eine Frage der Perspektive, 2006.<br />
http://www.polyscope.ch/UserFiles/File/polyscope/sicherheit-01-<br />
06.pdf.<br />
[Gen06a] Dr. Robert Genser. Critical Infrastructure. 2006.<br />
[Gen06b] Dr. Robert Genser. Security of <strong>Safety</strong>-Critical Computer Systems<br />
Subgroup. 2006.<br />
[Gmb06] Leopold Kosta GmbH. Erste Umsetzung der IEC 61508. 2006.<br />
[Hei06] Prof. M. Heisel. Embedded Systems, 2006. http://www.fb9dv.uniduisburg.de/se/en/education/ws0506/embsys/index.php.<br />
[IEC98] IEC International Electrotechnical Commission. Functional safety<br />
of electrical/electronic/programmable electronic safty-relevan systems,<br />
1998.<br />
[MBL] Lillian Rostad Inger Anne Tondel Maria B. Line, Odd Nordland.<br />
<strong>Safety</strong> vs. Security.<br />
[OH] Arno Meyna Olaf H.Peters. Handbuch der Sicherheitstechnik.<br />
[Pfi04] Andreas Pfitzmann. Why safety and security should and will merge.<br />
Why <strong>Safety</strong> and Security.pdf, 2004.