| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| content:kritis [2025/10/19 23:01] – lichte | content:kritis [2025/10/20 16:16] (aktuell) – [Security] approve |
|---|
| Bei der Verwendung des Risikobegriffs beim Schutz kritischer Infrastrukturen muss auf zwei Ebenen differenziert werden. Zum einen ist eine Unterscheidung zwischen frequentistisch auftretenden operationalen, insbesondere technischen Risiken und nicht frequentistisch auftretenden kritischen Bedrohungslagen notwendig. | Bei der Verwendung des Risikobegriffs beim Schutz kritischer Infrastrukturen muss auf zwei Ebenen differenziert werden. Zum einen ist eine Unterscheidung zwischen frequentistisch auftretenden operationalen, insbesondere technischen Risiken und nicht frequentistisch auftretenden kritischen Bedrohungslagen notwendig. |
| |
| Frequentistisch auftretende Risiken sind ganz überwiegend der Safety zuzuordnen, wobei hier einschlägige Normen bspw. aus dem Bereich der funktionalen Sicherheit Verwendung finden. Zusätzlich gibt es hier in Teilbereichen, die das Potential für besonders große Auswirkungen auf Umwelt und Mensch haben besondere Regelwerke, bspw. für den Bahnverkehr oder (Atom-)Kraftwerke . | Frequentistisch auftretende Risiken sind ganz überwiegend der Safety zuzuordnen, wobei hier einschlägige Normen bspw. aus dem Bereich der funktionalen Sicherheit Verwendung finden. Zusätzlich gibt es hier in Teilbereichen, die das Potential für besonders große Auswirkungen auf Umwelt und Mensch haben besondere Regelwerke, bspw. für den Bahnverkehr oder [[content:kerntechnische-anlagen|(Atom-)Kraftwerke]] . |
| |
| Nicht frequentistisch auftretende Bedrohungslagen, aus denen Großschadenslagen bzw. der Ausfall der betrachteten Infrastruktur und/oder abhängigen (kritischen) Infrastrukturen können im Wesentlichen zwei Ursachen haben: Natürliche Gefahren, bspw. Extremwetterereignisse oder Bedrohungen durch menschengemachte Angriffe auf einzelne Bestandteile der Infrastruktur. Besonderheit dieser Bedrohungen ist, dass sie nach dem auslösenden Ereignis zu kaskadierenden Effekten sowohl innerhalb der betrachteten Infrastruktur selbst als strukturübergreifend führen können. (Quelle) Im eigentlichen Sinn werden diese beiden Ursachen beim Schutz kritischer Infrastrukturen betrachtet. | Nicht frequentistisch auftretende Bedrohungslagen, aus denen Großschadenslagen bzw. der Ausfall der betrachteten Infrastruktur und/oder abhängigen (kritischen) Infrastrukturen können im Wesentlichen zwei Ursachen haben: Natürliche Gefahren, bspw. Extremwetterereignisse oder Bedrohungen durch menschengemachte Angriffe auf einzelne Bestandteile der Infrastruktur. Besonderheit dieser Bedrohungen ist, dass sie nach dem auslösenden Ereignis zu kaskadierenden Effekten sowohl innerhalb der betrachteten Infrastruktur selbst als strukturübergreifend führen können. (Quelle) Im eigentlichen Sinn werden diese beiden Ursachen beim Schutz kritischer Infrastrukturen betrachtet. |
| |
| |**Safety** |**Cyber-Security** | | |**Safety** |**Cyber-Security** | |
| |Grundsätzlich werden Bedrohungen bzw. daraus resultierende Risiken bei der Analyse der Sicherheit kritischer Infrastrukturen auf Basis von Szenarien betrachtet (s.a. Abschnitt 2). Das bedeutet, dass nach einer Identifikation möglicher Szenarien sowohl deren Schadenspotential als auch die Verwundbarkeit der analysierten Infrastruktur ermittelt werden. Daraus ergibt sich ein dreigliedriger Risikoansatz: \\ Risiko=f(Bedrohung, Verwundbarkeit, Auswirkung)|Risiko wird häufig definiert als die Kombination (also dem Produkt) aus der Häufigkeit, mit der ein Schaden auftritt und dem Ausmaß dieses Schadens. Der Schaden wird häufig als Differenz zwischen einem geplanten und ungeplanten Ergebnis dargestellt. Risiko ist eine spezielle Form der Unsicherheit oder besser Unwägbarkeit. In der ISO wird Risiko auch als das Ergebnis von Unwägbarkeiten auf Zielobjekte definiert. In diesem Sinne wird daher auch von Konsequenzen statt von Schaden gesprochen, wenn Ereignisse anders eintreten als erwartet. Hierbei kann eine Konsequenz negativ (Schaden) oder positiv (Chance) sein. Die obige Definition hat sich allerdings als gängiger in der Praxis durchgesetzt. Im Unterschied zu „Gefährdung“ umfasst der Begriff „Risiko“ bereits eine Bewertung, inwieweit ein bestimmtes Schadensszenario im jeweils vorliegenden Fall relevant ist.| | |Grundsätzlich werden Bedrohungen bzw. daraus resultierende Risiken bei der Analyse der Sicherheit kritischer Infrastrukturen auf Basis von Szenarien betrachtet (s.a. Abschnitt 2). Das bedeutet, dass nach einer Identifikation möglicher Szenarien sowohl deren Schadenspotential als auch die Verwundbarkeit der analysierten Infrastruktur ermittelt werden. Daraus ergibt sich ein dreigliedriger [[https://safetyandsecurity.vdi.de/content:hauptseite#grundlagenrisiko_safety_security_unsicherheiten|Risikoansatz]]: \\ Risiko=f(Bedrohung, Verwundbarkeit, Auswirkung)|Risiko wird häufig definiert als die Kombination (also dem Produkt) aus der Häufigkeit, mit der ein Schaden auftritt und dem Ausmaß dieses Schadens. Der Schaden wird häufig als Differenz zwischen einem geplanten und ungeplanten Ergebnis dargestellt. Risiko ist eine spezielle Form der Unsicherheit oder besser Unwägbarkeit. In der ISO wird Risiko auch als das Ergebnis von Unwägbarkeiten auf Zielobjekte definiert. In diesem Sinne wird daher auch von Konsequenzen statt von Schaden gesprochen, wenn Ereignisse anders eintreten als erwartet. Hierbei kann eine Konsequenz negativ (Schaden) oder positiv (Chance) sein. Die obige Definition hat sich allerdings als gängiger in der Praxis durchgesetzt. Im Unterschied zu „Gefährdung“ umfasst der Begriff „Risiko“ bereits eine Bewertung, inwieweit ein bestimmtes Schadensszenario im jeweils vorliegenden Fall relevant ist.| |
| |
| === Risikoanalyse === | === Risikoanalyse === |
| ==== Security ==== | ==== Security ==== |
| |
| Die physische Sicherheit hat zum Ziel, erfolgreiche Angriffe zu verhindern. Hierzu werden potenzielle Angriffsszenarien identifiziert und Maßnahmen zur Vereitelung solcher Angriffe ergriffen. Ein umfassendes Verständnis dieses Konzepts erfordert die Berücksichtigung mehrerer Faktoren, darunter die Wahrscheinlichkeit von Bedrohungen, die Verwundbarkeit und das Schadenspotenzial. In diesem Zusammenhang wurden mehrere Modelle zur Quantifizierung des physischen Sicherheitsrisikos entwickelt, die jeweils ihre Stärken und Grenzen haben. | Die [[content:physische_sicherheit|physische Sicherheit]] hat zum Ziel, erfolgreiche Angriffe zu verhindern. Hierzu werden potenzielle Angriffsszenarien identifiziert und Maßnahmen zur Vereitelung solcher Angriffe ergriffen. Ein umfassendes Verständnis dieses Konzepts erfordert die Berücksichtigung mehrerer Faktoren, darunter die Wahrscheinlichkeit von Bedrohungen, die Verwundbarkeit und das Schadenspotenzial. In diesem Zusammenhang wurden mehrere Modelle zur Quantifizierung des physischen Sicherheitsrisikos entwickelt, die jeweils ihre Stärken und Grenzen haben. |
| |
| ==== Safety / Naturgefahren ==== | ==== Safety / Naturgefahren ==== |