Safety (Security) Risiko in der Kerntechnik

Atomgesetz (AtG)

Sicherheitsanforderungen an Kernkraftwerke (SiAnf)

Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit
Richtlinie für den Schutz von IT-Systemen in kerntechnischen Anlagen und Einrichtungen der Sicherungskategorien I und II gegen Störmaßnahmen oder sonstige Einwirkungen Dritter (SEWD-Richtlinie IT)

Sicherheitstechnische Regeln des Kerntechnischen Ausschusses (KTA), wie: * KTA 3103: Abschaltsysteme von Leichtwasserreaktoren * KTA 3501: Reaktorschutzsystem und Überwachungseinrichtungen des Sicherheitssystems

KTA 3502: Störfallinstrumentierung

Standards des International Atomic Energy Agency (IAEA), wie: * SSR-2/1 Safety of Nuclear Power Plants: Design * SSG-2 Deterministic Safety Analysis for Nuclear Power Plants

SSG-3 Development and Application of Level 1 Probabilistic Safety Assessment for Nuclear Power Plants

SSG-4 Development and Application of Level 2 Probabilistic Safety Assessment for Nuclear Power Plants

SSG-30 Safety Classification of Structures, Systems and Components in Nuclear Power Plants

SSG-39 Design of Instrumentation and Control Systems for Nuclear Power Plants

NSS No. 17 Computer Security at Nuclear Facilities

NSS No. 33-T Computer Security of Instrumentation and Control Systems at Nuclear Facilities

NSS No. 42-G Computer Security for Nuclear Security

Standards der International Electrotechnical Committee (IEC), Subcommittee 45 A (zumeist direkt übernommen als DIN EN bzw. DIN EN IEC) wie: * DIN EN 61226 Kernkraftwerke – Leittechnische Systeme mit sicherheitstechnischer Bedeutung – Kategorisierung leittechnischer Funktionen * DIN EN 61513 Kernkraftwerke - Leittechnik für Systeme mit sicherheitstechnischer Bedeutung - Allgemeine Systemanforderungen

DIN EN IEC 62645 Kernkraftwerke - Leittechnische und elektrotechnische Systeme – Anforderungen an die Cybersicherheit

DIN EN IEC 62859 Kernkraftwerke – Leittechnische Systeme – Anforderungen für die Koordinierung von Sicherheit und IT-Sicherheit

Wie wird das Risiko, werden Safety und Security in der Disziplin beschrieben: Begriffe, Modelle und Verfahren? Begriffe in der Kerntechnik: (Safety) Risk (IAEA safety glossary)
A multiattribute quantity expressing hazard, danger or chance of harmful or injurious consequences associated with exposures or potential exposures. It relates to quantities such as the probability that specific deleterious consequences may arise and the magnitude and character of such consequences. (Security) Risiko (en: risk) (DIN EN IEC 62645)
Potenzial, dass durch eine gegebene Bedrohung die Verwundbarkeit eines schützenswerten Guts (Asset)oder einer Gruppe von Assets ausgenutzt und Schaden für eine Organisation verursacht wird Zugriffschutz (en: security) (DIN EN 61513)
Fähigkeit des rechnerbasierten Systems, Informationen und Daten so zu schützen, dass nicht autorisierte Personen oder Systeme relevante Daten nicht lesen oder ändern können oder Bedienhandlungen durchführen oder verhindern können und autorisierten Personen oder Systemen der Zugriff nicht verwehrt wird (nuclear) safety (IAEA safety glossary)
The achievement of proper operating conditions, prevention of accidents
or mitigation of accident consequences, resulting in protection of workers, the public and the environment from undue radiation hazards. (nuclear) security (IAEA safety glossary)
The prevention and detection of, and response to, theft, sabotage, unauthorized access, illegal transfer or other malicious acts involving nuclear material, other radioactive substances or their associated facilities. Note:
There is not an exact distinction between the general terms safety and security. In general, security is concerned with intentional actions by people that could cause or threaten harm to other people; safety is concerned with the broader issue of harmful consequences to people (and to the environment) arising from exposure to radiation, whatever the cause. Modelle und Verfahren
Für die Risikoanalyse werden in der Kerntechnik für Safety und Security unterschiedliche Modelle und Verfahren genutzt:

Safety:
Zur Risikoanalyse (hier Sicherheitsanalyse genannt) legen die SiAnf in Kap. 5.5 Anforderungen fest:

(2) Zur Nachweisführung der Erfüllung der technischen Sicherheitsanforderungen sind deterministische Methoden sowie die probabilistische Sicherheitsanalyse heranzuziehen:

Die deterministischen Methoden umfassen * a) die rechnerische Analyse von Ereignissen oder Zuständen,

b) die Messung oder das Experiment,

c) die ingenieurmäßige Bewertung.

(3) Als Grundlage für Nachweisführungen müssen vorliegen: * a) eine aktuelle Zusammenstellung der sicherheitstechnisch wichtigen Informationen über den bestehenden Zustand der betroffenen Maßnahmen und Einrichtungen sowie

b) eine Dokumentation, dass der bestehende Zustand der betroffenen sicherheitstechnisch wichtigen Maßnahmen und Einrichtungen die aktuell geltenden Anforderungen erfüllt.

5 (4) Bei der rechnerischen Analyse von Ereignisabläufen oder Zuständen müssen * a) für den jeweiligen Anwendungsbereich validierte Berechnungsverfahren verwendet sowie

b) mit der Berechnung verbundene Unsicherheiten quantifiziert oder durch geeignete Verfahren abgedeckt werden.

(5a) In Ergänzung der deterministischen Nachweisführungen muss durch probabilistische Sicherheitsanalysen (PSA) die Ausgewogenheit der sicherheitstechnischen Auslegung überprüft werden. Mathematisch lässt sich Risiko als das Produkt aus dem Schadensausmaß und der Eintrittshäufigkeit darstellen und kann damit als Maß für die Größe einer Gefährdung verstanden werden. Um Risiken qualitativ und quantitativ zu erfassen, werden Zuverlässigkeitsmethoden angewendet. Einerseits werden Komponenten, Systeme und Anlagen deterministisch ausgelegt. Das bedeutet, es wird eine umfangreiche und bestmögliche Analyse bzw. Beurteilung der für die Funktionsfähigkeit und Integrität relevanten Einflussfaktoren durchgeführt. Anhand dessen werden entsprechende Sicherheitszuschläge oder ggf. zusätzliche Systeme für die Auslegung berücksichtigt.
Da andererseits im Beanspruchungsfall einer Komponente, eines Bauteils oder eines Systems nicht genau quantifiziert werden kann in welchem Ausmaß die Sicherheitszuschläge in Anspruch genommen werden, werden Versagenswahrscheinlichkeiten hergeleitet. In diesen sog. probabilistischen Analysen werden durch Kombination und Verkettung dieser Eintrittshäufigkeiten der Versagensfälle, Schadenshäufigkeiten abgeleitet, z. B. in Bezug auf verschiedene Barrieren. Durch diese Quantifizierung können auch Risiken bestimmt werden. Diese Bestimmung beschreibt allerdings nicht das Restrisiko eines Systems.

Security:
Die SEWD-IT RL fordert für die einzelnen sicherheits- und sicherungsrelevanten Systeme die Durchführung einer Analyse zur Bewertung der Angemessenheit der getroffenen IT-Security-Maßnahmen.
Zur Risikoanalyse legt auch die DIN EN 62645 in Kap. 5.4.3.2.2 Anforderungen fest:
5.4.3.2.2.2 Die Begründung, dass IT-Sicherheitsanforderungen korrekt aufgegriffen worden sind, muss durch Risikobewertungsanalysen der vorgeschlagenen Lösung erfolgen. Solche Untersuchungen berücksichtigen Verwundbarkeitsanalysen der technischen Realisierung und spezifische Analysen von Bedrohungs- und Angriffsszenarien.
5.4.3.2.2.5 Die anlagenspezifische Risikobewertung sollte wenigstens folgende Schritte abdecken:

Bestimmung von Umfang und Kontext;

Identifizierung der Bedrohung und deren Charakterisierung;

Bewertung der Verwundbarkeit;

Ausarbeitung von Angriffsszenarien;

Abschätzung des Risikoniveaus;

Definition der Gegenmaßnahmen.

Welche Probleme und Dilemmata sind in Ihrer Disziplin charakteristisch?

Notwendigkeit der Kenntnis der spezifisch auftretenden sicherheitsrelevanten physikalischen Phänomene
Sicherheitstechnische Lösungen für Industrieanlagen ohne bzw. mit geringerer potentiellen Gefahr für die Bevölkerung lassen sich nicht einfach übertragen. Hierbei ist auch die Schwierigkeit des Know How Erhalts in Deutschland nach dem Kernenergieausstieg zu berücksichtigen.

Risiko/ Restrisiko * Öffentliche Akzeptanz ist (in Deutschland, vgl. German Angst) ein schwieriger Aspekt (beeinflusst u.a. durch Katastrophen wie Tschernobyl und Fukushima, Endlagerung, subjektive Risiko-/Gefährdungsbeurteilungen)

Das Risiko wird einerseits als objektives, mathematisch erfassbares Risiko, andererseits als subjektives Empfinden beschrieben. Letzteres wird durch intuitive Wahrnehmung und Beurteilung von Tatbeständen und Ereignissen hervorgerufen. Katastrophen und Probleme rufen Angst hervor, Transparenz, Aufklärung und Öffentlichkeitsarbeit hingegen fördern Vertrauen.

Das Restrisiko beschreibt zum einen den Anteil des Risikos, der über die Anlagenauslegung (auch für Unfälle) hinausgeht und sich quantifizieren/abschätzen lässt. Weiter gehört dazu aber auch der Teil, der hinter dem Erfahrungs- und Erkenntnishorizont des Menschen liegt, also qualitativ und quantitativ nicht erfasst werden kann und daher ebenfalls Angst hervorruft.

Zusammenhang Safety / Security * Teilweise werden aus Sicht der Gesamtanlage Safety und Security (früher nur Anlagensicherung, physical protection) immer noch traditionell als separat zu betrachtende Aspekte angesehen. Dementsprechend werden bei Risikoanalysen nur Safety-Aspekte (Versagen von Komponenten aufgrund von Zufallsausfällen oder Auslegungsfehlern) betrachtet. Aus I&C Sicht muss aber die IT-Security als ein zur Safety beitragender, notwendiger Aspekt betrachtet werden. Wie werden unscharfe oder unsichere Risikobeiträge behandelt?

Abschätzungen, Sicherheitszuschläge bei der deterministischen Auslegung, Wahrscheinlichkeiten, Simulationen von (nahezu) kompletten Anlagen (Parametervariationen), gestaffeltes Sicherheitskonzept („Defence in Depth“)

Bestimmung der Unsicherheiten: Ingenieurtechnische Abschätzungen und Erfahrungswerte, konservativ (konservative Anfangs- und Randbedingungen), Best Estimate Plus Uncertainty (BEPU)

Wie werden Risikoanalysen in Ihrer Disziplin durchgeführt? (qualitativ, quantitativ, semi-quantitativ, nach Norm oder Richtlinie)
Welche Metriken kommen hierbei zum Einsatz?
Nach Atomgesetz und Sicherheitsanforderung für Kernkraftwerke unter Anwendung des KTA‑Regelprogramms:
Betrachtung von (vgl. zusätzlich [ATW2018 ]):

Auslegungsstörfälle, Design Basis Accidents (DBA)

Probabilistische Sicherheitsanalysen, Probabilistic Safety Analysis (PSA)

Störfall- und Unfallanalysen, (Severe) Accident Analysis (SAA) Fehlerbaumanalysen und PSA:
Quantitativ, Probabilistic Safety Analysis (PSA) (2 Stufen), siehe §19a Abs. A Atomgesetz, bzw. RS-Handbuch 3-74.3 (Bekanntmachung des Leitfadens zur Durchführung der „Sicherheitsüberprüfung gemäß § 19a des Atomgesetzes – Leitfaden Probabilistische Sicherheitsanalyse –“ für Kernkraftwerke in der Bundesrepublik Deutschland vom 30. August 2005 (BAnz. 2005, Nr. 207))

Stufe 1: Ereignis - Kernschaden (Multiples Komponentenversagen, totaler Stromausfall, EVA (Umwelteinflüsse, menschliche Einflüsse) …);
Stufe 2: Kernschaden - Freisetzung von Radioaktivität (Kernschaden → Kernschmelze → Sicherheitsbehälterversagen à Freisetzung von Radioaktivität);
Stufe 3: (selten, nicht Pflicht): Freisetzung - Strahlendosiswerte (Unterschiedliche Szenarien für die Ausbreitungen freigesetzter radioaktiver Stoffe in die Umwelt sowie Strahlenschutzmaßnahmen, Evakuierungen, Verzehrverbote) Die SEWD-IT RL fordert für die einzelnen sicherheits- und sicherungsrelevanten Systeme die Durchführung einer Analyse zur Bewertung der Angemessenheit der getroffenen IT-Security-Maßnahmen. Hierfür ist es erforderlich, das System zu modellieren, das Bedrohungspotential zu definieren und die Bedeutung der möglichen Manipulationen aufgrund ihrer möglichen Auswirkung einzuordnen. Die Analyse bewertet die Wirksamkeit der bestehenden bzw. geplanten Security-Maßnahmen in Hinblick auf die Verhinderung der einzelnen Manipulationen unter Berücksichtigung der ihrer spezifischen Auswirkung auf die Sicherheit der Nuklearanlage. Wie treten Wechselwirkungen der Domänen Safety und Security in der Risikoanalyse in Ihrer Disziplin in Erscheinung und wie werden diese behandelt?
Wechselwirkungen zwischen beiden Aspekten werden derzeit nur in den Ansätzen zur IT-Bedrohungsanalyse betrachtet. Dies erfolgt indem für die postulierten IT-Bedrohungen die möglichen Auswirkungen auf die vom IT-System auszuführenden Sicherheitsfunktionen (safety functions) analysiert werden.

Werden in den angrenzenden Disziplinen ähnliche oder andere Probleme bearbeitet?
Was sind methodische Unterschiede und Gemeinsamkeiten in verschiedenen Domänen?
Wie könnte ein gemeinsamer Nenner für die Quantifizierung von Risiken in Safety- und Security Modellen aussehen?
Welches neue Wissen ist erforderlich für eine Synthese der Domänen? Durch ein Integriertes Managementsystem

Schnittmengen bzgl. Safeguards, Security und Safety: Bspw. Maßnahmen gegen EVA (Einwirkung von außen, Flugzeugabsturz, Eindringen in/Manipulation der Anlage)), Werksfeuerwehr, (bewaffnetes) Sicherheitspersonal;

Zielkonflikt bzgl. Security und Safety: Bspw. Fluchtwege (bspw. Notschleuse), Notwarte (gebunkert);

Zielkonflikt bzgl. Safeguards und Security bzw. Safety: Informationsbeschaffung, Lokalisierung von Material

Überwindung von Security-Maßnahmen führt letztendlich zur Gefährdung der Safety-Maßnahmen (Fernhaltung von radioaktivem Material von Umwelt/Mensch) und Safeguards (Verhinderung von Proliferation); Für eine disziplinübergreifende Quantisierung sollte eine allgemeine Vorgehensweise für die Zuordnung von Klassen (z. B. gering, mittel, hoch) entwickelt werden, um die Wahrscheinlichkeit von Bedrohungen und die Auswirkungen bewerten zu können. Auf dieser Basis sollte die Vorgehensweise für Sensitivitätsuntersuchungen entwickelt werden, z. B. zur Erkennung von dominanten oder unakzeptablen Risiken oder zur Bewertung der angemessenen Wirksamkeit von Maßnahmen auf der Basis des zugrundeliegenden Risikos.

[ATW2018] Integrated Approach for Nuclear Safety, Security and Safeguards, in atw – International Journal for Nuclear Technology 01/2018,
Berlin 2018.