content:hauptseite

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
content:hauptseite [2025/10/19 16:24] – [2.1 Begriff: Risiko] drostecontent:hauptseite [2025/10/20 11:53] (aktuell) – [2.1 Begriff: Risiko] wolf
Zeile 60: Zeile 60:
  
 In der gemeinsamen Betrachtung entsteht eine Kopplung über die Ebene der Vulnerabilität in zweierlei Hinsicht: In der gemeinsamen Betrachtung entsteht eine Kopplung über die Ebene der Vulnerabilität in zweierlei Hinsicht:
-Security-Maßnahmen können die Verfügbarkeit von Safety-Funktionen beeinflussen (Designwechselwirkung) und umgekehrt, oder ein erfolgreicher Security-Angriff kann die Sicherheitsfunktion direkt außer Betrieb setzen (Angriffswirkung). Letzteres stellt den Pfad des Security Impact on Safety“ dar – der Impact eines Security-Szenarios zeigt sich dann in der Nichtverfügbarkeit einer Safety-Funktion und führt damit zu einer erhöhten Vulnerabilität im Safety-ModellÄhnliches gilt für Safety-Services (z.B. medizinische Versorgung), die von der Verfügbarkeit kritischer Infrastrukturen abhängen können.  +Security-Maßnahmen können bei widersprüchlichen Anforderungen die Verfügbarkeit von Safety-Funktionen beeinflussen (Designwechselwirkung - //Conflicting Requirements//) und umgekehrt, oder ein erfolgreicher Security-Angriff kann die Safety-Funktion direkt beeinflussen (Angriffswirkung). Letzteres stellt den Pfad des //Security Impact on Safety// dar – der Impact eines Security-Szenarios zeigt sich dann in der Nichtverfügbarkeit einer Safety-Funktion und führt damit zu einer erhöhten Vulnerabilität im Safety-RisikoAngriffswirkungen auf Safety-Funktionen werden nicht innerhalb der Safety-Domäne berücksichtigt, da deren Verfügbarkeitsnachweis probabilistisch ausgelegt ist und zufällige oder systembedingte Ausfälle beschreibt. Die Bedrohungswahrscheinlichkeit in der Security ist allerdings epistemisch und kann schwerlich quantifiziert werden. Stattdessen werden Angriffswirkungen in der Security-Domäne adressiert: Die Security-Analyse (z. B. TARA nach ISO/SAE 21434) bewertet potenzielle Angriffe auf Safety-Funktionen und legt geeignete Schutzniveaus (z. B. CAL) fest, um deren Verfügbarkeit und Integrität zu gewährleisten. Damit bleibt der Safety-Nachweis methodisch konsistent, während der Security-Layer den notwendigen Schutz gegen Angriffe bereitstellt.  
 +Für //Safety-relevant Services// (z.B. Rettungsdienste, Feuerwehren, medizinische Versorgung), die von der Verfügbarkeit kritischer Infrastrukturen abhängen können, gilt Ähnliches. Security-Maßnahmen an den Infrastrukturen müssen diese Risiken berücksichtigen und einhegen, soweit möglich. Wo Security-Maßnahmen wenig Wirkung zeigen, können z. B. Resilienz-Maßnahmen Risiken reduzieren ([[https://safetyandsecurity.vdi.de/content:hauptseite#resilienz|siehe Abschnitt 5.2]]). 
 +  
 +Besondere Herausforderung bei der Auslegung von Security-Funktionen ergeben sich bei Designwechselwirkungen mit Safety-Funktionen aufgrund widersprüchlicher Anforderungen (//Conflicting Requirements//) - siehe dazu Abschnitt 3.  
  
 Damit wird der dreigliedrige Risikobegriff zur gemeinsamen Grundlage für die Gestaltung von Maßnahmen in beiden Domänen. Er erlaubt, Angriffswirkungen systematisch abzubilden und in die Bewertung einzubeziehen. Designwechselwirkungen zwischen Safety- und Security-Maßnahmen werden ebenfalls systematisch abgebildet. Eine semi-quantitative oder sogar quantitative Bewertung von Designwechselwirkungen (siehe Abschnitte 3.2, 3.3, 3.4) im Sinne einer Abwägung wird in aller Regel aber nicht möglich sein, da für eine Risikoabwägung regelmäßig das Gesamtrisiko auf Seiten von Safety sowie Security in die Bewertung einfließen muss und die Bewertungsmetriken nicht in allen Beiträgen (Threat, Vulnerability, Impact) direkt vergleichbar oder sogar quantifizierbar sein werden. Damit wird der dreigliedrige Risikobegriff zur gemeinsamen Grundlage für die Gestaltung von Maßnahmen in beiden Domänen. Er erlaubt, Angriffswirkungen systematisch abzubilden und in die Bewertung einzubeziehen. Designwechselwirkungen zwischen Safety- und Security-Maßnahmen werden ebenfalls systematisch abgebildet. Eine semi-quantitative oder sogar quantitative Bewertung von Designwechselwirkungen (siehe Abschnitte 3.2, 3.3, 3.4) im Sinne einer Abwägung wird in aller Regel aber nicht möglich sein, da für eine Risikoabwägung regelmäßig das Gesamtrisiko auf Seiten von Safety sowie Security in die Bewertung einfließen muss und die Bewertungsmetriken nicht in allen Beiträgen (Threat, Vulnerability, Impact) direkt vergleichbar oder sogar quantifizierbar sein werden.
Zeile 115: Zeile 118:
 ===== 2.5 Risikobasierte Modelle ===== ===== 2.5 Risikobasierte Modelle =====
  
-Risikobasierte Modelle sind vielseitige Werkzeuge zur Analyse komplexer Systeme. Sie bilden die logische Struktur ab, in der Risiken entstehen, bewertet und gegeneinander abgewogen werden können. Der Begriff Modell wird hier im erweiterten Sinn verwendet und umfasst sowohl modellhafte Darstellungen – etwa strukturierte Beschreibungen von Ursachen, Zuständen und Auswirkungen – als auch methodische Verfahren, die solche Modelle zur Risikoanalyse und Entscheidungsunterstützung praktisch anwenden.+Risikobasierte Modelle sind vielseitige Werkzeuge zur Analyse komplexer Systeme. Sie bilden die logische Struktur ab, in der Risiken entstehen, bewertet und gegeneinander abgewogen werden können. **Der Begriff Modell wird hier im erweiterten Sinn verwendet und umfasst sowohl modellhafte Darstellungen – etwa strukturierte Beschreibungen von Ursachen, Zuständen und Auswirkungen – als auch methodische Verfahren, die solche Modelle zur Risikoanalyse und Entscheidungsunterstützung praktisch anwenden.**
  
 Risikobasierte Modelle ermöglichen es insbesondere, verschiedene Szenarien vergleichbar zu machen und dadurch Entscheidungsprozesse zu erleichtern. Auf diese Weise lassen sich Risiken gegeneinander abwägen und Maßnahmen priorisieren – ein Aspekt, der gerade bei begrenzten Ressourcen und konkurrierenden Schutzstrategien von hoher Bedeutung ist. Risikobasierte Modelle ermöglichen es insbesondere, verschiedene Szenarien vergleichbar zu machen und dadurch Entscheidungsprozesse zu erleichtern. Auf diese Weise lassen sich Risiken gegeneinander abwägen und Maßnahmen priorisieren – ein Aspekt, der gerade bei begrenzten Ressourcen und konkurrierenden Schutzstrategien von hoher Bedeutung ist.
Zeile 237: Zeile 240:
  
   * Physische Sicherheit: Brandschutz (Safety: automatische Türentriegelung im Brandfall) untergräbt Zutrittsbeschränkung (Security).   * Physische Sicherheit: Brandschutz (Safety: automatische Türentriegelung im Brandfall) untergräbt Zutrittsbeschränkung (Security).
-  * Flughäfen: Notöffnung (Safety) von Sicherheitstüren untergräbt Zutrittskontrolle (Security) in den Sicherheitsbereich. Fehlbetätigungen führen ggf. zu Evakuierung des Sicherheitsbereichs und erneuter Kontrolle aller Passagiere.+  * Flughäfen: Notöffnung (Safety) von Sicherheitstüren untergräbt Zutrittskontrolle (Security) in den Sicherheitsbereich. Unberechtigte Betätigungen von Nottastern führen ggf. zu Evakuierung des Sicherheitsbereichs und erneuter Kontrolle aller Passagiere. 
 +  * Umspannstation - Stromnetz: Bei Eindringen Unbefugter kann die Polizei als Interventionskraft (Security) die Anlage nicht ohne Sicherheitseinweisung (Safety) bzw. Begleitung geschulten Personals betreten.   
   * Generisch: Ein frei zugänglicher Not-Aus-Schalter kann Sicherheitsmechanismen umgehen und so eine potenzielle Security-Schwachstelle darstellen.   * Generisch: Ein frei zugänglicher Not-Aus-Schalter kann Sicherheitsmechanismen umgehen und so eine potenzielle Security-Schwachstelle darstellen.
  
  • content/hauptseite.1760883886.txt.gz
  • Zuletzt geändert: 2025/10/19 16:24
  • von droste