Security Risiko in der physischen Sicherheit

Die Disziplin Physische Sicherheit beschäftigt sich mit Fragen nach der Absicherung von Infrastrukturen, zum Beispiel Gebäuden, Industrieanlagen, Energie- und Verkehrsinfrastrukturen – also gerade auch kritischen Infrastrukturen – gegen physische Angriffe mit dem Ziel des Eindringens und der Schädigung. Schutzmaßnahmen, die Angriffe verhindern oder maßgeblich verzögern können, lassen sich technisch durch Sicherungssysteme aber auch organisatorisch durch Prozeduren wie zum Beispiel Kontrollgänge oder Alarmierungsketten realisieren. Herausforderungen im Zusammenhang mit Safety und Security bestehen insbesondere dadurch, dass die Anforderungen an Safety und Security Maßnahmen oft widersprüchlich sind. Der Brandschutz in Gebäuden zum Beispiel erfordert, dass Fluchtwege jederzeit ungehindert passierbar sein müssen, während die Sicherung gegen das Eindringen von außen erfordert, dass die Wege in eine Infrastruktur beziehungsweise in ein Gebäude durch Zugangsregelung abgesichert und somit ggf. nicht schnell passierbar sind bzw. nur von autorisierten Personen passiert werden können.

Sicherheit im Sinne von Security umfasst eine Reihe von Aspekten, die verschiedene Kompetenzbereiche abdecken. Daher ist eine ganzheitliche Betrachtung wesentliche Grundlage für eine umfassende Sicherheitsbewertung (Harnser Group 2010). Physische Sicherheit als ein Teil davon beschäftigt sich mit dem Schutz von Infrastrukturen vor geplanten physischen Angriffen (Beyerer et al. 2010). Das Ziel von physischen Sicherheitsmaßnahmen ist es, einen Angreifer durch unterschiedlichste Maßnahmen wie Schutz (Protektion), Überwachung (Detektion) und Intervention davon abzuhalten, sein Ziel zu erreichen sowie gleichermaßen resiliente Strukturen zu schaffen, welche die Konsequenzen erfolgreicher Angriffe mindern können (Garcia 2008).

Der Risikobegriff in der (physischen) Sicherheit ist u.a. in (McGill et al. 2007) definiert als:

$ \text{Risiko} = \text{Bedrohung} \times \text{Vulnerabilität} \times \text{Auswirkung} $ (1)

Diese Definition stellt eine quantitative Beziehung her, die die Auswirkungen eines Angriffs sowie die Eintrittswahrscheinlichkeiten von Bedrohungsszenarien mit der Vulnerabilität, d.h. der Wahrscheinlichkeit, dass ein aus dem Bedrohungsszenario resultierender Angriff Erfolg haben könnte, kombiniert. Über die Vulnerabilität lässt sich somit die Wirkung von Sicherheitsmaßnahmen abbilden, die die Wahrscheinlichkeit erfolgreicher Angriffe vermindern. Die dargestellte Definition des Risikobegriffs erleichtert die Herleitung und Definition akzeptabler Risiken und notwendiger Maßnahmen zur Risikominimierung (Broder & Tucker 2012). Systemimmanente Unsicherheiten mit Bezug zu den drei Risikofaktoren sollten sorgfältig betrachtet werden (Campbell & Stamp 2004).

Es wurden bereits einige Ansätze zur Risikobewertung entwickelt; diese lassen sich unterscheiden in qualitative, quantitative und hybride Methoden (Meritt 2008). Qualitative Methoden basieren in der Regel auf Expertenwissen, während quantitative Methoden diskrete Wahrscheinlichkeiten zur Beschreibung der Parameter verwenden. Erstere sind aufgrund ihrer einfachen Nutzung weit verbreitet, wobei die Anwendung von Expertenwissen gleichermaßen auch zu ungenauen oder sogar falschen Ergebnissen führen kann (Landoll 2011). Darüber hinaus wurden quantitative Methoden zur Kosten-/Nutzenanalyse entwickelt. In der Regel berücksichtigen Kosten-/Nutzenanalysen von Sicherheitsmaßnahmen potentielle finanzielle Verluste als Folge eines erfolgreichen Angriffs, die Eintrittswahrscheinlichkeit verschiedener Angriffsszenarien sowie die Vulnerabilität der Infrastruktur (Flammini et al. 2009). Hierbei können vergleichbare Zahlenwerte berechnet werden, die jedoch zum einen Unsicherheiten nicht berücksichtigen und zum anderen gleichzeitig die Komplexität der Berechnung erhöhen (Landoll 2011).

Ein oft verwendeter Ansatz in der Security-Risikoanalyse ist die Erhebung und Nutzung von Expertenwissen, um beispielsweise Schätzwerte für unbekannte Parameter zu bestimmen (Kaplan 1992). Dies ist insbesondere bei kaum bekannter Evidenz und nicht verfügbaren objektiven Daten hinsichtlich möglicher Bedrohungen und Sicherheitsmaßnahmen der Fall (Bolger & Wright 2017). Aus diesem Grund werden Methoden entwickelt, welche Subjektivität und Unschärfe bei der Erhebung von Expertenwissen minimieren sollen. Als grundlegendes Problem zeigt sich hierbei jedoch, dass die Verwendung von Expertenwissen im Rahmen der probabilistischen Risikoanalyse zu Unschärfen und Unsicherheiten führt, die selbst analysiert werden sollten (Rausand 2013) ( Aven & Zio 2013). Aktuelle Entwicklungen in der allgemeinen Risikoanalyse fokussieren daher auf Unsicherheit als Schlüsselkonzept in der Analyse (Aven 2016).

Insbesondere die Security-Risikoanalyse und –bewertung ist oft mit großen Unsicherheiten behaftet, da Evidenz über Bedrohungen, Auswirkungen und die Fähigkeiten von Sicherheitsmaßnahmen nicht oder kaum vorhanden ist. Daher werden oft qualitative oder semi-quantitative Modelle verwendet, die hauptsächlich auf Expertenwissen basieren, obwohl sie zu irreführenden oder sogar falschen Ergebnissen führen können (Landoll 2011), denn auch bei diesen Methoden werden vorhandene Unsicherheiten bislang nicht quantifiziert und somit bei einer Entscheidungsfindung ebenfalls nicht berücksichtigt.

Das übliche Vorgehen in der Physical Security-Risikoanalyse unterscheidet sich von der Risikoanalyse in der Safety. Dies ist insbesondere durch die Definition begründet, nach der im Gegensatz zur Safety durch Security-Risiken Angriffe von außen auf Assets innerhalb eines betrachteten Systems vermieden werden sollen. Dies hat zur Folge, dass die potentiell zu schützenden kritischen Assets eines Systems bzw. einer Infrastruktur meist gut bekannt sind und Auswirkungen, die von Angriffen auf diese Assets ausgehen, recht genau definiert werden können. Gleichzeitig können potentielle Bedrohungen mit Hilfe der Szenarioanalyse zwar umfassend beschrieben werden, die tatsächliche Eintrittswahrscheinlichkeit dieser Szenarien kann jedoch in der Regel nur abgeschätzt werden. Die Vulnerabilität, also die Effizienz von Sicherungsmaßnahmen in Bezug auf diese konkreten Szenarien, ist in Modellen gut darstellbar, jedoch nur mit ggf. erheblichen Unschärfen quantifizierbar.

In der Praxis wird diesem Umstand dadurch Rechnung getragen, dass die Analyse der Assets als potentielle Angriffsziele die Grundlage der Sicherheitsbewertung bildet. Anhand der identifizierten Assets können dann Auswirkungen erfolgreicher Angriffe auf diese definiert werden. Darauf aufbauend werden in der Bedrohungsanalyse mögliche Angriffsszenarien entwickelt und die Vulnerabilität der betrachteten Infrastruktur und der eingesetzten Sicherungsmaßnahmen analysiert. Die so ermittelten Risikobeiträge werden im letzten Schritt in der Risikobewertung zusammengeführt. Die „Härtung“ derjenigen Assets, deren Beeinträchtigung durch Angriffe mit hohen Auswirkungen verbunden ist, steht bei einer physischen Security-Strategie zunächst im Vordergrund.

Der Harnser Reference Guide (Harnser Group 2010) liefert einen guten Überblick über das Verfahren, das in einem semi-quantitativen Modell umgesetzt wurde. Im Folgenden werden die einzelnen Analysepunkte näher erläutert.

Zu Beginn der Analyse werden Assets innerhalb der betrachteten Infrastruktur analysiert. Hierbei stehen insbesondere die Kritikalität der analysierten Assets für das Unternehmen oder wichtige Unternehmensprozesse im Fokus. Weitere Eigenschaften der Assets, die hinsichtlich ihrer Bedeutung analysiert werden, sind bspw. die Attraktivität als Angriffsziel, die Austauschbarkeit und Sichtbarkeit des Assets und die potentielle Belohnung eines Angreifers.

Basierend auf dieser Einstufung können dann Assets ausgewählt werden, die einerseits besonders gefährdet und deren Ausfall andererseits besonders kritische Folgen hat. Unterstützend werden hierbei die möglichen Asset-spezifischen Auswirkungen quantifiziert.

In der Bedrohungsanalyse werden mögliche Angriffsszenarien entwickelt und auf ihre Eintrittswahrscheinlichkeit hin analysiert. Hierbei werden die Punkte der Motivation potentieller Angreifer, ihr Wissen, ihre Fähigkeiten und zur Verfügung stehende Werkzeuge sowie der gewählte Modus Operandi einbezogen.

Die Definition dieser Angriffsszenarien erfolgt in der Regel durch Experten, wobei ähnliche Angriffe auf andere Infrastrukturen und potentielle zukünftige Entwicklungen aufgegriffen werden können. Insbesondere eine vorhandene Historie stattgefundener Angriffe auf (ähnliche) Infrastrukturen des Betreibers ist von Bedeutung.

Auf den definierten Angriffsszenarien aufbauend wird dann deren Eintrittswahrscheinlichkeit abgeschätzt. Hier wird meist eine Klassifizierung der Angriffstypen durchgeführt, wobei meist zwischen Gelegenheitskriminalität, organisierter Kriminalität, Aktivismus, Vandalismus und Terrorismus unterschieden wird. Zur Einschätzung der klassifizierten Angriffstypen werden verschiedene verfügbare Informationsquellen wie bspw. Expertenwissen, polizeiliche oder geheimdienstliche Lageberichte, hinzugezogen.

In der Mehrzahl der Fälle bezieht sich die Vulnerabilitätsanalyse auf die im ersten Schritt ausgewählten Assets der betrachteten Infrastruktur und die definierten Angriffsszenarien. Hierauf basierend wird ermittelt, wie gut ein Sicherungssystem die Infrastruktur gegen diese Angriffsszenarien schützen kann bzw. wie wahrscheinlich die erfolgreiche Durchführung der Szenarien ist. Für die Analyse bedeutet dies, dass analysiert werden muss, wie effizient die installierten Sicherungsmaßnahmen im Verbund gegen spezifische Angriffe sind.

Hierzu gibt es mehrere unterschiedliche Vorgehensweisen, die üblicherweise angewendet werden können:

• Qualitativ: bspw. Gesamtschau des Systems basierend auf Compliance, meist ohne detaillierte Modellierung der Funktion des Sicherungssystems;
• Semi-quantitativ: Einschätzung der Fähigkeiten des Sicherungssystems bzw. der Überwindungswahrscheinlichkeit durch Experten auf Intervallbasis (Beispiel: sehr gering / gering / mittel / hoch / sehr hoch), dies kann allgemein ohne Modellierung oder anhand eines Modells der Barrieren eines Sicherungssystems geschehen;
• Quantitativ: Modellierung des gesamten Sicherungssystems und Berechnung der Vulnerabiliät auf probabilistischer Basis.

Die quantitative Analyse ist hinsichtlich ihrer Genauigkeit und den Möglichkeiten der Quantifizierung die interessanteste Möglichkeit zur Vulnerabilitätsanalyse, insbesondere auch im Hinblick auf die wichtige Berücksichtigung von Unsicherheiten. Im Folgenden sind verschiedene Ansätze zur Modellierung und Methodik der quantitativen Vulnerabilitätsanalyse dargestellt.

Die quantitative Vulnerabilitätsanalyse als Teil der quantitativen Risikoanalyse basiert im Wesentlichen auf Methoden der Zuverlässigkeits- und allgemeinen Risikoanalyse. Bisher entwickelte Ansätze zur Vulnerabilitätsanalyse sind abhängig von definierten Angriffsszenarien (French & Gootzit 2011). Diese Abhängigkeit wirkt sich nachteilig auf eine umfassende Analyse aus, da das Wissen über das mögliche Verhalten eines potentiellen Angreifers als unzureichend angesehen werden muss (Cox Jr. 2009). Die bestehenden Modellansätze lassen sich differenzieren in vorwiegend analytische, aber auch formale Methoden. Eine Übersicht bestehender Modelle findet sich bei Nicol et al. (Nicol et al. 2004). Analytische Methoden basieren häufig auf sogenannten Angriffsbäumen, die eine Weiterentwicklung der aus der Zuverlässigkeitsanalyse bekannten Fehlerbäume darstellen. Eingeführt wurden Angriffsbäume zuerst durch Schneier (Schneier 1999), um Analysen im Bereich der IT-Sicherheit durchzuführen. Seitdem erfuhren diese eine rasche Fortentwicklung durch verschiedenste Autoren; zusammenfassend zu finden bei z.B. Vintr et al. (Vintr et al. 2012).

Eine weitere Entwicklung besteht in der Überführung von Angriffsbäumen in Bayes’sche Netzwerke, um die Zeitabhängigkeit erfolgreicher Angriffe zu berücksichtigen (Fakhravar et al. 2017). Über bedingte Wahrscheinlichkeiten kann dann in Bayes’schen Netzwerken die Vulnerabilität von Infrastrukturen ermittelt werden.

Contini et al. entwickelten Modelle inkohärenter Angriffspfade, um das dynamische Verhalten des betrachteten Systems darzustellen (Contini et al. 2008). Zusätzlich werden in diesem Ansatz einfache Wahrscheinlichkeitsverteilungen für die Protektionseigenschaften in die Angriffspfade integriert, um die chronologische Reihenfolge der Angriffe zu untersuchen. Dies ermöglicht die Analyse der Interventionsfähigkeit innerhalb der betrachteten Infrastruktur, indem die Wahrscheinlichkeiten für Restprotektion und Systemreaktion (Intervention) verglichen werden können (Contini et al. 2012).

Garcia beschreibt diese Relation, indem mögliche potentielle Angriffspfade als Teil der verschiedenen Angriffsszenarien und entsprechenden Barrieren genutzt werden (Garcia 2008). Das Modell ist zeitbasiert und führt den kritischen Detektionszeitpunkt ein, der eine Voraussetzung für die erfolgreiche Intervention darstellt. Ein weiterer hybrider Ansatz, der insbesondere auf der Beschreibung von Garcia basiert, wird von Landucci et al. vorgeschlagen. In diesem werden zusätzlich zur quantitativen Betrachtung qualitative Bewertungen einbezogen und mit diskreten Wahrscheinlichkeitsintervallen quantifiziert.

Zusammenfassend zeigt sich, dass die Berücksichtigung von Unsicherheiten in den systemischen Parametern sowie dem Systemverhalten insgesamt mit Hilfe bisher existierender Ansätze zur analytischen Modellierung kaum möglich ist. Hinzu kommt, dass eine szenarioübergreifende Analyse gesamter Infrastrukturen bisher kaum möglich ist, da die Analyse jeweils von spezifischen Szenarien abhängt.

In den in der Wissenschaft diskutierten und in der Praxis der Risikoanalyse üblicherweise angewendeten quantitativen Modellen und Methoden werden probabilistische oder zeitbasierte Metriken eingesetzt. Parallel dazu existieren eine Reihe von Normen und Richtlinien, die in der Praxis der Errichtung und Planung verwendet werden. Da hier üblicherweise nur die Einhaltung technischer Eigenschaften oder die einfache Einteilung in Klassen vorgesehen ist, ist eine Verwendung dieser Normen und Richtlinien in der Risikoanalyse wenig verbreitet. Die nachfolgenden Abschnitte geben einen Überblick über Metriken zur Charakterisierung von Sicherungsmaßnahmen sowohl in Modellen als auch in Richtlinien und Normen.

Komplexere Verwundbarkeitsmodelle in der Risikoanalyse leiten die Effizienz von Sicherungsmaßnahmen aus Penetrationstests ab. Hierbei wird die zur Überwindung der getesteten Barrieren benötigte Zeit zur Überwindung bestimmt. Die Überzahl der vorgeschlagenen Modelle basiert jedoch eher auf der Verwendung geschätzter diskreter Wahrscheinlichkeiten, um eine Überwindungswahrscheinlichkeit zu beschreiben.

In Normen und Standards werden Maßnahmen zur Protektion z. B. über Widerstandsklassen (engl.: Resistance Classes) charakterisiert. Die Klassifizierung und die durchgeführten Penetrationstests variieren hierbei je nach betrachteter Maßnahme, die von Barrieren gegen menschliche Angreifer oder Fahrzeuge bis hin zum Schutz gegen ballistische Angriffe reichen.

Die Bewertung von Schlössern, Türen und weiteren Gebäudeöffnungen ist detailliert in verschiedenen Normen beschrieben, beispielhaft für Schließzylinder (DIN 18252), Schutzbeschläge (DIN 18257) und Schlösser (DIN 18251). Hierbei werden meist praktische Tests und theoretische Untersuchungen in einem genau definierten Testumfeld benötigt. Das Ergebnis ist eine Einstufung in Widerstandsklassen, die auf der Zeit basieren, die das zu testende Objekt den in den Standards beschriebenen Angriffen standhalten kann. Internationale Normen und Richtlinien, bspw. die Normen (DOS SD-STD-01.01) und (ASTM F1233-08) verfolgen eine ähnliche Herangehensweise.

Im Gegensatz hierzu werden Fahrzeugbarrieren in Normen z. B. anhand der Distanz, die ein spezifischer LKW unter definierten Randbedingungen, z.B. zulässiges Gesamtgewicht 7,5 t, Anprallgeschwindigkeit 80 km/h, Anprallenergie ca. 2000 Kilojoule und definierter Anprallwinkel, durch eine Barriere hindurchschlägt, klassifiziert. Die meisten der hierzu existierenden Normen und Richtlinien lassen sich auf die US-Normen (ASTM F2656M-18a) und (DOS ST-STD-02.01) zurückverfolgen.

Observationsmaßnahmen, die eine Detektion ermöglichen sollen, werden in Modellen und Methoden üblicherweise analog zur Protektion beschrieben. Die Fähigkeit zur Detektion wird entweder mit Hilfe diskreter Wahrscheinlichkeiten abgeschätzt oder seltener als Zeit beschrieben, die bei einer Observation benötigt wird, um eine Detektion eines Angriffs zu ermöglichen.

Die Interpretation von Normen und Richtlinien im Hinblick auf Observationseigenschaften ist deutlich schwieriger, da hier zumeist nur Vorgaben zu Spezifikationen und technischen Eigenschaften gemacht werden, bspw. für Videoüberwachung in (VdS 2364) und (DIN EN 62676-1-1). Bei Erfüllung dieser Vorgaben (Compliance) erfolgt dann eine Einstufung in Klassen oder Level. Die Beschreibung von Detektionssystemen wie Perimeterüberwachung [VdS 3143] und Einbruchmeldeanlagen (VdS 2227) erfolgt ebenfalls über technische Spezifikationen oder Vorgaben.

Im Gegensatz zu Protektions- und Observationsmaßnahmen werden Interventionsmaßnahmen in üblichen Modellen überwiegend zeitbasiert beschrieben. Hierbei wird analysiert, welche Zeit benötigt wird, um einen Angriff zu stoppen. Komplexere Modelle verwenden hierbei zeitbasierte Verteilungen, die eine Berücksichtigung von Unsicherheiten ermöglichen. Einfache Methoden verwenden auch hier, analog zu Protektion und Detektion, diskrete Wahrscheinlichkeiten zur Charakterisierung der Intervention.

Eine ausführlichere Berücksichtigung von Interventionsmaßnahmen findet sich in einschlägigen Normen und Standards nicht. Die Erwähnung einer notwendigen rechtzeitigen Intervention findet sich bspw. in (VdS 3143).

Die Wichtigkeit von Safety und Security in Design und Betrieb von Komponenten, Systemen und Infrastrukturen ist seit einiger Zeit anerkannt. Zusätzlich wird vermehrt deutlich, dass sich Anforderungen und Maßnahmen aus dem Bereich der Safety und der Security gegenseitig beeinflussen können. Dies kann z. B. dazu führen, dass fehlende Security Safety-Probleme hervorruft. Die Beeinflussung kann sogar zu Zielkonflikten zwischen beiden Domänen führen (Lichte & Wolf 2018). Eine Risikoanalyse, die versucht diese Beziehungen zu beschreiben und zu analysieren, ist bisher nicht bekannt. Zuletzt sind einige Ansätze veröffentlich worden, die versuchen, dieses Problem anzugehen, wobei die meisten dieser Ansätze jedoch darauf beschränkt sind, ein gemeinsames Risiko zu beschreiben, ohne jedoch die Wechselwirkungen zu betrachten.

Dies kann insbesondere auf eine unterschiedliche Definition der zugrunde liegenden Risiken zurückgeführt werden. Das zweigliedrige Risikomodell der Safety beschreibt das Risiko als Produkt aus Wahrscheinlichkeit des Auftretens (Probability of Occurence – PO) und möglichen Auswirkungen (Consequences – C). Hingegen basiert die Beschreibung des Risikos in der Physical Security auf einem dreigliedrigen Modell, welches die Wahrscheinlichkeit des Auftretens in eine Bedrohung (Threat – T) und zugehörige Vulnerabilität (Vulnerability – V) aufteilt.

$$ R_{\text {Safety }} P O x C $$

$$ R_{\text {Security }} T x V x C $$

Hintergrund ist eine fundamental unterschiedliche Definition der Begriffe Safety und Security. So kann Safety definiert werden als der Schutz der Umwelt vor Auswirkungen, die aus einem Versagen einer im System befindlichen Komponente oder eines Teilsystems resultieren. Im Gegensatz dazu kann Security als Schutz eines Assets innerhalb eines Systems vor einer außerhalb befindlichen Bedrohung aufgefasst werden. Diese unterschiedlichen Definitionen führen zu systematischen Unterschieden im Prozess der Risikoanalyse und –bewertung:

Safety untersucht für gewöhnlich mögliche Auswirkungen ausgehend vom Ausfall bestimmter Komponenten in einem System. Die systemischen Zusammenhänge und das Ausfallverhalten einzelner Komponenten sind hierbei bisweilen sehr gut bekannt, während Aussagen über die detaillierten Auswirkungen eines Ausfalls schwerer zu treffen sind.

Security-Analyse beginnt im Gegensatz dazu meist mit der Analyse von Angriffszielen auf Basis resultierender Auswirkungen. Daran schließt sich eine Untersuchung möglicher Angriffsszenarien an. Die eigentliche Betrachtung des Sicherungssystems und der Vulnerabilität ist der letzte Schritt der Risikoanalyse. Hierbei ist das Wissen über Auswirkungen in der Regel recht hoch, die Evidenz bezüglich der Eigenschaften und des Verhaltens des Sicherungssystems und seiner Komponenten im Falle spezifischer Angriffe ist jedoch niedrig.

In Ergänzung zur Unterscheidung zwischen den Domänen Safety und Security muss innerhalb der Security zwischen den Disziplinen der physischen und der IT-Security unterschieden werden. Die meisten der oben genannten Ansätze, die sich mit der Zusammenführung der beiden Domänen befassen, beziehen sich auf die IT-Security vernetzter Systeme und Anlagen, bspw. Systems of Systems (SoS) oder Cyber Physical Systems (CPS) im Umfeld aktueller Entwicklungen wie Smart Home oder Industrie 4.0. Ein eher abstrakter und umfassender Ansatz wurde von Beyerer et al. vorgeschlagen (Beyerer & Geisler 2016).

Jedoch ist es, insbesondere bei der Betrachtung von Infrastrukturen, in der Security-Risikoanalyse auf Grund ihrer Verknüpfung meist sinnvoll, sowohl die physische als auch die IT-Security zu betrachten. Gleichzeitig zeigt die praktische Erfahrung, dass die Analyse beider Disziplinen in der Regel als separierte Prozesse mit wenigen Berührungspunkten etabliert ist. Im Allgemeinen werden unterschiedliche Methoden der Risikoanalyse verwendet, obwohl die meisten dieser Methoden auf dem dreigliedrigen Risikomodell basieren. Trotz einer gemeinsamen Basis fehlt es an einem Rahmenkonzept, das eine ganzheitliche Security-Analyse ermöglicht.

Die Annahmen bezüglich des systemischen Verhaltens von Sicherheitsmaßnahmen sowie die unterschiedlichen Metriken zur Beschreibung von Angriffsmodi einerseits und Sicherungsmaßnahmen andererseits sind wichtige Gründe für die Komplexität der Zusammenführung von physischer und IT-Security.

Im Gegensatz zu Modellen der IT-Security werden Sicherheitsmaßnahmen und damit die Funktionsweise von Sicherungssystemen in der Regel durch drei maßgebliche Parameter definiert: Protektion, Detektion/Observation und Intervention. Modelle der IT-Security fokussieren meist nur auf den Parametern Protektion und Intervention. Die Maßnahmen zur Detektion bzw. Observation eines Angreifers sind ein wichtiger Teil physischer Sicherungssysteme, da sie eine rechtzeitige Intervention gegen einen Angriff erst ermöglichen. Diese Maßnahmen sind jedoch in der IT-Security kaum implementiert, weil die Erkennung eines nicht physisch anwesenden Angreifers in einem IT-System deutlich schwieriger ist. Zusätzlich funktionieren Sicherheitsmaßnahmen und die Mechanismen des Zusammenwirkens dieser Maßnahmen unterschiedlich, da auch die Angriffsmodi sich in den beiden Domänen stark unterscheiden. In der IT-Domäne sind viele Angriffsmodi grundsätzlich gut bekannt, da sie auf eine strikt logisch aufgebaute Umgebung beschränkt sind. Die Beschränkung in physischen Domänen basiert auf den zwangsweise geschlossenen Trajektorien der Bewegung eines Angreifers auf Angriffspfaden. Dies bedeutet, dass der Angreifer diesen Angriffspfaden entlang bestimmter Sicherheitsbarrieren folgen muss, die wiederum in einer Analyse gut abgeschätzt werden können. Im Gegensatz hierzu sind IT-basierte Angriffe nicht auf definierbare Angriffspfade beschränkt, sondern können bereits in einem Schritt zum Erfolg führen. Daher sind mögliche Angriffspfade oder Angriffspunkte betrachteter Systeme möglicherweise unbekannt und in einer IT-Security-Analyse nur schwer vorauszusagen.

Da sich die Angriffsmodi in physischer und IT-Security durch angewandte Methoden des Angreifers und Angriffspfade oder –punkte unterscheiden, weichen auch die verwendeten Metriken zur Beschreibung der Fähigkeiten eines Angreifers und der Abwehrmaßnahmen voneinander ab. Es zeigt sich, dass in der IT-Security, im Gegensatz zu zeitbasierten Beschreibungen in der physischen Welt, meist auf kombinatorisch basierte Metriken, beispielsweise die Anzahl möglicher Passwortkombinationen, zurückgegriffen wird.

Wichtige Grundlage für eine Zusammenführung von Safety und Security in unterschiedlichen Disziplinen kann ein vereinheitlichtes dreigliedriges Risikomodell sein. In diesem sollte das Risiko, ähnlich dem Modell der Security, in drei Beiträge entsprechend Bedrohung, Verwundbarkeit und Auswirkung aufgeteilt sein. So wäre es möglich, strukturelle und methodische Gemeinsamkeiten der bisherigen Risikodefinitionen und –analysen zu nutzen. Gleichzeitig können unterschiedliche und für Disziplinen und Domänen individuelle Zusammenhänge in der Entstehung und Vermeidung von Risiken berücksichtigt werden. Die Wirksamkeit technischer Maßnahmen zur Risikoreduktion würde vorzugsweise im Teilbereich Vulnerabilität der einheitlichen Risikodefinition implementiert werden.

Um zu einer gemeinsamen Aussage bezüglich eines übergreifenden Gesamtrisikos zu kommen, ist es jedoch notwendig, neue und vergleichbare Metriken zu entwickeln und in der Risikoanalyse nutzbar zu machen, beispielsweise über eine Form der Nutzwertanalyse, die allgemein zur Entscheidungsfindung komplexer Probleme eingesetzt wird (Guarnieri 2015). Gleichzeitig ist es wichtig, die in den verschiedenen Domänen und Disziplinen auftretenden Unsicherheiten und Unschärfen sowie deren Einfluss auf die Risikoanalyse zu verstehen. Mit Hilfe geeigneter Methoden, z. B. Sensitivitätsanalysen, sollten diese berücksichtigt und bewertet werden.

ASTM F1233-08 (2013). Standard Test Method for Security Glazing Materials And Systems. ASTM F1233-08:2013.

ASTM F2656M-18a (2018). Standard Test Method for Crash Testing of Vehicle Security Barriers. ASTM F2656M-18a:2018.

Aven, T. (2016). Risk assessment and risk management: Review of recent advances on their foundations. European Journal of Operational Research 253 (1): 1-13.

Aven, T. & Zio, E. (2014). Foundational Issues in Risk Assessment and Risk Management. Risk Analysis 34 (7):1164-1172.

Beyerer, J. & Geisler, J. (2016). A Framework for a Uniform Quantitative Description of Risk with Respect to Safety and Security. In: European Journal for Security Research 1: 135-150.

Beyerer, J. & Geisler, J & Dahlem, A. & Winzer, P. (2010). Sicherheit: Systemanalyse und Design. In: Sicherheitsforschung – Chancen und Perspektiven. Berlin: Springer.

Bolger, F. & Wright G. (2017). Use of expert knowledge to anticipate the future: Issues, analysis and directions. International Journal of Forecasting 33 (1): 230-243.

Broder, J. F. & Tucker, E. (2012). Risk Analysis and the Security Survey, 4th ed. Waltham: Butterworth-Heinemann.

Campbell, P. L. & Stamp J. E. (2004). A Classification Scheme for Risk Assessment Methods. Albuquerque: Sandia National Laboratories.

Contini, S. & Cojazzi, G. G. M. & Renda, G. (2008). On the use of non-coherent fault trees in safety and security studies. Reliability Engineering and System Safety 93 (12): 1886-1895.

Contini, S. & Fabbri, L. & Matuzas, V. & Cojazzi, G. (2012). Protection of Multiple Assets to Intentional Attacks. A Methodological Framework. In: 11th Probabilistic Safety Assessment 2012, Proc. intern. conf., Helsinki.

Cox Jr., L. A. (2009). Risk Analysis of Complex and Uncertain Systems. New York: Springer

Department of State (DOS), Physical Security Division. (1993). Certification Standard Forced Entry and Ballistic Resistance of Structural Systems: SD-STD-01.01, Revision G April 1993. SD-STD-01.01:1993

Department of State (DOS), Physical Security Division. (2003). Certification Standard Test Method for Vehicle Crash Testing of Perimeter Barriers and Gates: SD-STD-02.01, Revision A March 2003. SD-STD-02.01:2003

DIN 18251 (2018). Schlösser – Einsteckschlösser und Mehrfachverriegelungen – Begriffe und Maße. DIN 18251:2018.

DIN 18252 (2018). Profilzylinder für Türschlösser – Begriffe, Maße, Anforderungen, Prüfverfahren und Kennzeichnung. DIN 18252:2018.

DIN 18257 (2015). Baubeschläge – Schutzbeschläge – Begriffe, Maße, Anforderungen, Kennzeichnung. DIN 18257:2015.

DIN EN 62676-1-1 (2014). Videoüberwachungsanlagen für Sicherheitsanwendungen - Teil 1-1: Systemanforderungen – Allgemeines. DIN EN 62767:2014.

Fakhravar, D. & Cozzani, V. & Khakzad, N. & Reniers, G. (2017). Security vulnerability assessment of gas pipelines using Bayesian network. In: 27th European Safety and Reliability Conference ESREL 2017, Proc. intern. conf., Portoroz, Slovenia.

Flammini, F. & Gaglione, A. & Mazzocca, N. & Pragliola, C. (2009). Quantitative security risk assessment and management for railway transportation infrastructures. In: Critical Information Infrastructure Security. Berlin: Springer.

French, G. S. & Gootzit, D. (2011). Defining and Assessing Vulnerability of Infrastructure to Terrorist Attack. In: Vulnerability, Unvertainty and Risk: Analysis, Modeling and Management, Proc. conf., Hyattsville.

Garcia, M. L. (2008). The Design and Evaluation of Physical Protection Systems. 2nd ed. Burlington: Butterworth-Heinemann.

Guarnieri, P. (2015). Decision Models in Engineering and Management. Ed. 2015. Cham: Springer International Publishing (Decision Engineering)

Harnser Group (Ed.) (2010). A Reference Security Management Plan for Energy Infrastructure. Brussels: European Commission.

Kaplan, S. (1992). 'Expert Information' versus 'expert opinions'. Another approach to the problem of eliciting/combining/using expert knowledge in PRA. Reliability Engineering & System Safety 35 (1): 61-72.

Landoll, D. J. (2011). The Security Risk Assessment Handbook: A Complete Guide for Performing Security Risk Assessments, 2nd ed. Boca Raton: CRC Press.

Landucci, G. & Argenti, F. & Cozzani, V. & Reniers, G. (2017): „Quantitative performance assessment of physical security barriers for chemical facilities“. In: 27th European Safety and Reliability Conference ESREL 2017, Proc. intern. conf., Portoroz, Slovenia.

Lichte, D. & Wolf, K.-D. (2018). Use Case Based Consideration of Safety and Security in Cyber Physical Production Systems Applied to a Collaborative Robot System. In: 28th European Safety and Reliability Conference ESREL 2018. Trondheim, Norway.

McGill, W.L., Ayyub, B.M., Kaminskiy, M. (2007). Risk Analysis for Critical Asset Protection: Risk Analysis for Critical Asset Protection. Risk Analysis 27, 1265–1281.

Meritt, J. W. (2008). A Method for Quantitative Risk Analysis. In: 22nd National Information Systems Security Conference, Proc. nat. conf., Arlington.

Nicol, D. M. & Sanders, W. H. & Trivedi, K. S. (2004). Model-based evaluation: from dependability to security. IEEE Transactions on Dependable and Secure Computing 1 (1): 48-65

Rausand, M. (2013). Risk Assessment Theory, Methods, and Applications. New York:Wiley.

Schneier, B. (1999). Attack Trees. In: Dr. Dobbs Journal 24 (12): 21–29.

VdS 2227 (2016). VdS-Richtlinien für Einbruchmeldeanlagen. Einbruchmeldeanlagen – Allgemeine Anforderungen und Prüfmethoden. VdS 2227:2016

VdS 2364 (2006). VdS-Richtlinien für Videoüberwachungsanlagen – Systemanforderungen Kategorie I. VdS 2364:2006

VdS 3143 (2012). Sicherungsleitfaden Perimeter. VdS 3143:2012.

Vintr, Z. & Valis, D. & Malach, J. (2012). Attack tree-based evaluation of physical protection systems vulnerability. In: 2012 IEEE International Carnahan Conference on Security Technology (ICCST), Proc. intern. conf., Carnahan.