Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- arbeitsschutz [2023/08/08 17:15] – csladmin
+++ arbeitsschutz [Unbekanntes Datum] (aktuell) – gelöscht - Externe Bearbeitung (Unbekanntes Datum) 127.0.0.1
@@ Zeile 1: / Zeile 1: @@
-~~NOCACHE~~
-[[http://localhost/inhaltsverzeichnis/| Knowlegebase Inhaltsverzeichnis]]
-----
-====== Safety (Security) Risiko im Arbeitsschutz ======
-===== Relevante Normen und Richtlinien (unvollständig) =====
-  * ISO 12100
-  * IEC 61508
-  * ISO 13849
-  * IEC 62061
-  * IEC 61496
-  * ISO/IEC 27034
-  * IEC 62443
-  * Verordnung (EU) 2019/881 Des europäischen Parlaments und des Rates http://data.europa.eu/eli/reg/2019/881/oj "Cybersecurity Act"
-===== 1 Risiko: Definition und Herausforderungen =====
-Das Risiko kann mit folgender Relation beschrieben werden:
-Risiko = Bedrohung x Vulnerabilität x Auswirkung
-In Abhängigkeit von der Quelle wird die Bedrohung noch weiter zerlegt oder als
-Wahrscheinlichkeit eines Angriffs beschrieben.
-Problematisch ist, dass im Bereich des Arbeitsschutzes bereits sehr geringe Eintrittswahrscheinlichkeiten kritisch sind, denn bereits der erste Angriff kann einen Unfall bewirken.
-Ferner kann die Wahrscheinlichkeit eines Angriffs nach derzeitiger Erkenntnis der Wissenschaft von niemandem vorhergesagt werden.
-**Risiko:**  Kombination des Schadensausmaßes und der Wahrscheinlichkeit des Schadenseintritts
-**Safety:**  Generelle Anforderungen werden beschrieben in Richtlinie 2006/42/EG Anhang I und in ISO 12100:2010
-Generelle Anforderungen zur Security in Richtlinie 2006/42/EG Anhang I 1.2.1. und in ISO 12100 Abschnitt 5.5.3.6 werden beschrieben
-Die Maschine muss den zu erwartenden Fremdeinflüssen standhalten und in der Risikobeurteilung muss auch der Zugang zu Safety-relevanten Funktionen betrachtet werden, besonders durch Fernzugänge (siehe auch ISO/IEC 27034 und IEC 62443).
-  * Spezieller: Safety-Anforderungen an Maschinensteuerungen sind in ISO 13849 und IEC 62061 beschrieben
-  * Einstufungen: ISO 13849: Performance Level a bis e; IEC 62061: Safety Integrity Level 1 bis 3
-  * Risiken durch Materialfehler und zu niedrig berechnete Lasten werden mit Sicherheitsfaktoren (Überdimensionierung) behandelt.
-  * Risiken beim Ausfall von Steuerungen durch Fehler gemeinsamer Ursache werden durch bekannte Konstruktionsmethoden (z.B. ausreichend Abstand zwischen Leiterbahnen) behandelt.
-  * Die Safety der Steuerung kann durch Security Mängel beeinträchtigt werden.
-  * Die Sicherheitssteuerung wird idealerweise durch rückwirkungsfreie Trennung von einer vernetzten Prozesssteuerung vor Angriffen geschützt (([[https://www.dguv.de/medien/ifa/de/fac/industrial-security/dguv_forum_2021-10_stein_fernwartung.pdf|Stein, Fernwartung von Industriesteuerungen]])) .
-==== Safety ====
-  * Problemstellung: [[:verfuegbarkeit|Verfügbarkeit]] einer Produktionsmaschine vs. Sicherheit für beteiligte Personen auch bei Ausfall von Schutzeinrichtungen;
-  * Mutwillige Überwindung von Schutzeinrichtungen; Sabotage
-  * Betrachtet werden im Wesentlichen Gefahren für einzelne Personen. In Einschränkung der IEC 61508 werden Personenschäden für mehrere Personen nicht schwerer eingestuft als ein einzelner Personenschaden, da die Anzahl der beteiligten Personen in der Regel begrenzt ist (z.B. gegenüber einem Flugzeugabsturz).
-  * Typische Schadensarten sind z.B. Quetschen/Scheren von Körperteilen, Verbrennungen durch heiße Oberflächen, Strahlungsschäden, Kontakt mit gefährlichen Stoffen, Stromschlag. Auch spezifische ergonomische Gefahren werden betrachtet.
-==== Security ====
-  * Klassische IT-Sicherungsmaßnahme war das Verhindern des physischen Zugriffs auf Maschinensteuerungen. Inzwischen werden Maschinen häufig auch aus der Ferne gewartet. Seit einigen Jahren geschieht auch die Steuerung größerer Anlagen über IT-Netzwerke. (SCADA)
-  * Gezielte Angriffe sind zwar in der Öffentlichkeit noch weniger bekannt, werden in Fachkreisen aber inzwischen sehr ernst genommen.
-  * Auch Schadsoftware, die Maschinensteuerungen direkt angreift, ist inzwischen entdeckt worden, aber (noch) weit weniger zahlreich als in anderen Bereichen.
-  * Mögliche Veränderung der Security-Probleme durch eine engere Anbindung von Maschinensteuerungen an die betriebswirtschaftliche Software der Firma
-===== 2 Durchführung von Risikoanalysen =====
-Bei der Durchführung von Risikoanalysen orientieren sich die 13849 und die 61508 an der Zuverlässigkeit der Sicherheitsfunktion.
-====== Welche Probleme und Dilemmata sind in Ihrer Disziplin charakteristisch ======
-Zunächst existiert keine Metrik, um von einem PL oder SIL aus der Safety auf einen notwendigen SL nach 62443 zu schließen. Ferner existiert bislang keine Möglichkeit die Wahrscheinlichkeit eines Angriffs für bestimmte Tage vorherzusagen. Es ist lediglich bekannt, dass es nur eine Frage der Zeit ist, bis eine  Sicherheitslücke ausgenutzt wird.
-====== Wie werden unscharfe oder unsichere Risikobeiträge behandelt? ======
-Die Eintrittswahrscheinlichkeit lässt sich nicht voraussagen, ist stets unscharf und lässt sich im Bereich Security nicht beliebig verschärfen. Bekannte Modelle aus der Safety lassen sich in der Security kaum anwenden.
-Schaden wird semi-quantitativ beurteilt:
-  * in der ISO 13849-1: leicht, reversibel; ernst, irreversibel/tot
-  * in der IEC 62061: irreversibel: Bsp.: Tod, Verlust eines Auges oder Arms; gebrochene Gliedmaßen, Verlust eines/mehrerer Finger; reversibel: ärztliche Behandlung erforderlich; Erste Hilfe erforderlich
-Häufigkeit und Dauer der Exposition wird quantitativ beurteilt:
-  * ISO 13849-1: Selten oder kurz (weniger als 1 mal pro 15 Minuten, nicht mehr als 1/20 der Gesamtbetriebsdauer); häufig (stand 2021)
-  * IEC 62061: ≤ 1h; > 1 h bis ≤ 1 Tag; > 1 Tag bis ≤ 2 Wochen; > 2 Wochen bis ≤ 1 Jahr; > 1 Jahr; alle jeweils unterschieden in Dauer kleiner/größer 10 Minuten
-Möglichkeit zur Vermeidung der Gefährdungsereignisse wird semi-quantitativ beurteilt:
-  * beide o.g. Normen nennen nur qualitative Einschätzungen (unmöglich, selten, wahrscheinlich)
-  * andere Normen im Maschinenbau geben für bestimmte Bewegungsarten quantitative Werte für langsame Bewegungen an (z.B. 25cm/s für Roboter, wenn nichts den betroffenen Menschen am Ausweichen hindert)
-Wahrscheinlichkeit des Schadenseintritts wird qualitativ beurteilt
-  * ISO 13849-1: Niedrig, normal
-  * IEC 62061: sehr hoch, wahrscheinlich, möglich, selten, vernachlässigbar
-Wie treten Wechselwirkungen der Domänen Safety und Security in der Risikoanalyse in Ihrer Disziplin in Erscheinung und wie werden diese behandelt?
-Entscheidend für die zuverlässige Umsetzung von Security ist ein Zusammenspiel vieler Domänen. Dazu zählen etwa die Ergonomie und Psychologie, für die Akzeptanz und ein hinreichendes Problembewusstsein bei den betroffenen Personen. Ferner die Elektronik zur Härtung gegen Seitenkanalangriffe. Die Mathematik zur Validierung kryptographischer Verfahren und die Informatik zur performanten und sicheren Implementierung der Verfahren. Weitere Anforderungen ergebend sich unter anderem aus dem Produktsicherheitsgesetz, der Maschinenrichtlinie und dem Cybersecurity Act. Innerhalb dieser Domänen werden die Wechselwirkungen äußerst heterogen behandelt und sind bisher kaum harmonisiert. Sie erfordern dass Hersteller und Betreiber den Stand der Technik, die Normenwerke und Regeln und mit Weitsicht zu einer Gesamtheit vereinen. Diese Synthese aus Safety und Security ist Zentrale Aufgabe des FA 512.
-===== 3 Domänenübergreifende Zusammenführung =====
-=== Werden in den angrenzenden Disziplinen ähnliche oder andere Probleme bearbeitet? ===
-Die funktionale Sicherheit ist Teil des Arbeitsschutzes. In der Safety-Disziplin wird bisher keine Security behandelt, oder wird auf Regelwerke zur Security verwiesen.
-  * Wenn Safety über programmierbare Sensoren/Steuerungen/Aktoren erfolgt, ist deren Security nötig, um Safety nicht zu kompromittieren.
-=== Was sind methodische Unterschiede und Gemeinsamkeiten in verschiedenen Domänen? ===
-In der Safety wird die Metrik durch Quantifizierung der Zuverlässigkeit dominiert. Im Gegensatz dazu ist eine Quantifizierung im Bereich der Security praktisch kaum möglich. Im Bereich der Security gilt der Grundsatz, dass es nur eine Frage der Zeit ist, bis eine eventuell vorhandene Sicherheitslücke in einem Angriff ausgenutzt wird.
-=== Wie könnte ein gemeinsamer Nenner für die Quantifizierung von Risiken in Safety- und Security Modellen aussehen? ===
-Es ist Gegenstand aktueller Forschung, wie eine Quantifizierung im Bereich der Security ermöglicht werden kann.
-Während die Quantifizierung in der Safety bereits weit entwickelt ist scheint eine einfache Lösung für den Bereich der Security nicht in Sicht. Dies liegt insbesondere daran, dass die Einflüsse auf die Safety als Funktion der der Zeit angenähert werden können. Das Verhalten von Angreiferinnen und Angreifern lässt sich nicht vorhersagen. Für die  Quantifizierung kann die Ausfallrate von 1000 Halbleitern systematisch bestimmt werden.
-Programmierfehler lassen sich dagegen kaum für eine sinnvolle Quantifizierung verwenden. Entweder kann ein Fehler automatisiert gefunden werden, dann sollten er leicht vor Auslieferung gefunden werden können. Oder es handelt sich um Fehler, der aktuell nur durch einen Menschen gefunden werden kann, dann hängt die Erkennungsrate ebenso vom Menschen ab, wie die Fehlerrate beim Codieren.
-=== Welches neue Wissen ist erforderlich für eine Synthese der Domänen? ===
-Es sollte kein neues Grundlagenwissen erforderlich sein. Entscheidende Grundlagen wurden unter anderem bereits von Auguste Kerckhoff in "La cryptographie militaire" (([[https://de.wikipedia.org/wiki/Kerckhoffs%E2%80%99_Prinzip|https://de.wikipedia.org/wiki/Kerckhoffs%E2%80%99_Prinzip]]))  von 1883 und J.H. Saltzer ; M.D. Schroeder in "The protection of information in computer systems" (([[https://www.doi.org/10.1109/PROC.1975.9939|https://www.doi.org/10.1109/PROC.1975.9939]]))  von 1975 geschaffen.
-  * [[https://www.dguv.de/medien/ifa/de/fac/industrial-security/dguv_forum_2019-12_stein_security.pdf|Industrial Security: Angriffe auf vernetzte Industriesteuerungen]]
-===== Quellen =====
-o.g. Normen, Richtlinien und Gesetze