Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung | |
| content:hauptseite [2025/10/20 11:49] – [2.1 Begriff: Risiko] wolf | content:hauptseite [2025/10/20 11:53] (aktuell) – [2.1 Begriff: Risiko] wolf |
|---|
| |
| In der gemeinsamen Betrachtung entsteht eine Kopplung über die Ebene der Vulnerabilität in zweierlei Hinsicht: | In der gemeinsamen Betrachtung entsteht eine Kopplung über die Ebene der Vulnerabilität in zweierlei Hinsicht: |
| Security-Maßnahmen können bei widersprüchlichen Anforderungen die Verfügbarkeit von Safety-Funktionen beeinflussen (Designwechselwirkung - //Conflicting Requirements//) und umgekehrt, oder ein erfolgreicher Security-Angriff kann die Safety-Funktion direkt beeinflussen (Angriffswirkung). Letzteres stellt den Pfad des //Security Impact on Safety// dar – der Impact eines Security-Szenarios zeigt sich dann in der Nichtverfügbarkeit einer Safety-Funktion und führt damit zu einer erhöhten Vulnerabilität im Safety-Risiko. Angriffswirkungen auf Safety-Funktionen werden nicht innerhalb der Safety-Domäne berücksichtigt, da deren Verfügbarkeitsnachweis probabilistisch ausgelegt ist und zufällige oder systembedingte Ausfälle beschreibt. Die Bedrohungswahrscheinlichkeit in der Security ist allerdings epistemisch und kann schwerlich quantifiziert werden. Stattdessen werden Angriffswirkungen in der Security-Domäne adressiert: Die Security-Analyse (z. B. TARA nach ISO/SAE 21434) bewertet potenzielle Angriffe auf Safety-Funktionen und legt geeignete Schutzmaßnahmen bzw. Schutzniveaus (z. B. CAL) fest, um deren Verfügbarkeit und Integrität zu gewährleisten. Damit bleibt der Safety-Nachweis methodisch konsistent, während der Security-Layer den notwendigen Schutz gegen Angriffe bereitstellt. | Security-Maßnahmen können bei widersprüchlichen Anforderungen die Verfügbarkeit von Safety-Funktionen beeinflussen (Designwechselwirkung - //Conflicting Requirements//) und umgekehrt, oder ein erfolgreicher Security-Angriff kann die Safety-Funktion direkt beeinflussen (Angriffswirkung). Letzteres stellt den Pfad des //Security Impact on Safety// dar – der Impact eines Security-Szenarios zeigt sich dann in der Nichtverfügbarkeit einer Safety-Funktion und führt damit zu einer erhöhten Vulnerabilität im Safety-Risiko. Angriffswirkungen auf Safety-Funktionen werden nicht innerhalb der Safety-Domäne berücksichtigt, da deren Verfügbarkeitsnachweis probabilistisch ausgelegt ist und zufällige oder systembedingte Ausfälle beschreibt. Die Bedrohungswahrscheinlichkeit in der Security ist allerdings epistemisch und kann schwerlich quantifiziert werden. Stattdessen werden Angriffswirkungen in der Security-Domäne adressiert: Die Security-Analyse (z. B. TARA nach ISO/SAE 21434) bewertet potenzielle Angriffe auf Safety-Funktionen und legt geeignete Schutzniveaus (z. B. CAL) fest, um deren Verfügbarkeit und Integrität zu gewährleisten. Damit bleibt der Safety-Nachweis methodisch konsistent, während der Security-Layer den notwendigen Schutz gegen Angriffe bereitstellt. |
| Für //Safety-relevant Services// (z.B. Rettungsdienste, Feuerwehren, medizinische Versorgung), die von der Verfügbarkeit kritischer Infrastrukturen abhängen können, gilt Ähnliches. Security-Maßnahmen an den Infrastrukturen müssen diese Risiken berücksichtigen und einhegen, soweit möglich. Wo Security-Maßnahmen wenig Wirkung zeigen, können z. B. Resilienz-Maßnahmen Risiken reduzieren ([[https://safetyandsecurity.vdi.de/content:hauptseite#resilienz|siehe Abschnitt 5.2]]). | Für //Safety-relevant Services// (z.B. Rettungsdienste, Feuerwehren, medizinische Versorgung), die von der Verfügbarkeit kritischer Infrastrukturen abhängen können, gilt Ähnliches. Security-Maßnahmen an den Infrastrukturen müssen diese Risiken berücksichtigen und einhegen, soweit möglich. Wo Security-Maßnahmen wenig Wirkung zeigen, können z. B. Resilienz-Maßnahmen Risiken reduzieren ([[https://safetyandsecurity.vdi.de/content:hauptseite#resilienz|siehe Abschnitt 5.2]]). |
| | |