Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
content:railway [2026/06/10 14:48] sprengercontent:railway [2026/06/11 10:56] (aktuell) sprenger
Zeile 55: Zeile 55:
 Zwischen safety und security existieren bedeutende Überschneidungen [12, 18] in ihren Zielen und Methodiken, andererseits gibt es auch grundsätzliche Zielkonflikte.  Zwischen safety und security existieren bedeutende Überschneidungen [12, 18] in ihren Zielen und Methodiken, andererseits gibt es auch grundsätzliche Zielkonflikte. 
  
-Gemeinsamkeiten: +**Gemeinsamkeiten**
  
   * Beide schützen Menschen, Vermögenswerte und Betrieb vor Schäden [18]    * Beide schützen Menschen, Vermögenswerte und Betrieb vor Schäden [18] 
Zeile 65: Zeile 65:
 Im Eisenbahnwesen treten spezifische Zielkonflikte zwischen Safety und Security auf:  Im Eisenbahnwesen treten spezifische Zielkonflikte zwischen Safety und Security auf: 
  
-Verfügbarkeit vs. Sicherheit: +**Verfügbarkeit vs. Sicherheit**
  
   * **Safety-Perspektive**: Ausfall in einen sicheren Zustand (z.B. Notbremsung) ist akzeptabel    * **Safety-Perspektive**: Ausfall in einen sicheren Zustand (z.B. Notbremsung) ist akzeptabel 
Zeile 71: Zeile 71:
   * **Dilemma**: Sicherheitsrelevante Systeme müssen sowohl in sicheren Zustand gehen als auch verfügbar bleiben    * **Dilemma**: Sicherheitsrelevante Systeme müssen sowohl in sicheren Zustand gehen als auch verfügbar bleiben 
  
-Offenheit vs. Zugriffsbeschränkung: +**Offenheit vs. Zugriffsbeschränkung**
  
   * **Safety**: Fordert transparente, bedienbare Systeme für Wartung und Notfälle    * **Safety**: Fordert transparente, bedienbare Systeme für Wartung und Notfälle 
Zeile 77: Zeile 77:
   * **Lösung**: Defense-in-Depth mit gestaffelten Schutzmaßnahmen bei gleichzeitiger Bedienbarkeit    * **Lösung**: Defense-in-Depth mit gestaffelten Schutzmaßnahmen bei gleichzeitiger Bedienbarkeit 
  
-Fehlertoleranz vs. Fehlerausnutzung: +**Fehlertoleranz vs. Fehlerausnutzung**
  
   * **Safety**: Redundanzen und Fail-Safe-Mechanismen gegen zufällige Fehler    * **Safety**: Redundanzen und Fail-Safe-Mechanismen gegen zufällige Fehler 
Zeile 83: Zeile 83:
   * **Prinzip**: Diversität in Redundanzen zur Vermeidung gemeinsamer Schwachstellen    * **Prinzip**: Diversität in Redundanzen zur Vermeidung gemeinsamer Schwachstellen 
  
-Legacy-Systeme: +**Legacy-Systeme**
  
   * Bestandssysteme ohne integrierte Cybersecurity-Maßnahmen    * Bestandssysteme ohne integrierte Cybersecurity-Maßnahmen 
Zeile 93: Zeile 93:
 Die epistemische Unsicherheit wird in beiden Domänen unterschiedlich adressiert:  Die epistemische Unsicherheit wird in beiden Domänen unterschiedlich adressiert: 
  
-**Konservative Ansätze bei Safety**: +**Konservative Ansätze bei Safety**: 
 + 
   * Worst-Case-Annahmen bei fehlenden Daten    * Worst-Case-Annahmen bei fehlenden Daten 
   * Sicherheitsfaktoren in Berechnungen    * Sicherheitsfaktoren in Berechnungen 
Zeile 131: Zeile 132:
   * Basiert auf Expertenurteilen und historischen Erfahrungen    * Basiert auf Expertenurteilen und historischen Erfahrungen 
  
-**Semi-quantitative Risikoanalyse**: +**Semi-quantitative Risikoanalyse**: 
   * Standard in Cybersecurity gemäß CLC/TS 50701    * Standard in Cybersecurity gemäß CLC/TS 50701 
   * Numerische Bewertung auf Ordinalskalen (z.B. 1-5)    * Numerische Bewertung auf Ordinalskalen (z.B. 1-5) 
Zeile 185: Zeile 187:
 **Defense-in-Depth als gemeinsames Prinzip**: **Defense-in-Depth als gemeinsames Prinzip**:
  
-  * Safety-Analogie: Erster Fehler darf keine Gefahr verursachen, zweiter Fehler wird erkannt  +  * **Safety-Analogie**: Erster Fehler darf keine Gefahr verursachen, zweiter Fehler wird erkannt  
-  * Security-Analogie: Keine einzelne Maßnahme als ausreichend, immer zweite Verteidigungslinie  +  * **Security-Analogie**: Keine einzelne Maßnahme als ausreichend, immer zweite Verteidigungslinie  
-  * Schichten: Physisch → Perimeter → Netzwerk → Host → Anwendung → Daten +  * **Schichten**: Physisch → Perimeter → Netzwerk → Host → Anwendung → Daten 
  
 **Behandlung in der Risikoanalyse**: **Behandlung in der Risikoanalyse**:
Zeile 197: Zeile 199:
 **Methodische Integration**: **Methodische Integration**:
  
-**Zonierungskonzept**: Gemeinsame Architektur für Safety- und Security-Anforderungen  +  * **Zonierungskonzept**: Gemeinsame Architektur für Safety- und Security-Anforderungen  
-**Boundary Protection**: Schutz von Zonengrenzen durch Gateways und Firewalls  +  **Boundary Protection**: Schutz von Zonengrenzen durch Gateways und Firewalls  
-**SecRACs**: Security-related Application Conditions analog zu Safety-RACs +  **SecRACs**: Security-related Application Conditions analog zu Safety-RACs 
  
 **Keine direkte Kopplung SIL-SL**: **Keine direkte Kopplung SIL-SL**:
    
-  * Prinzip 7 (CLC/TS 50701): Maßnahmen für Safety und Security sollen nicht gekoppelt werden, SIL basiert auf Fehlerwahrscheinlichkeit, SL auf Angreifertyp  +  * **Prinzip 7 (CLC/TS 50701)**: Maßnahmen für Safety und Security sollen nicht gekoppelt werden, SIL basiert auf Fehlerwahrscheinlichkeit, SL auf Angreifertyp  
-  * Mindestanforderung: Jedes Safety-System sollte mindestens SL 1 erfüllen (Schutz vor unbeabsichtigten Fehlern) +  * **Mindestanforderung**: Jedes Safety-System sollte mindestens SL 1 erfüllen (Schutz vor unbeabsichtigten Fehlern) 
  
 **Priorisierung von Maßnahmen**: **Priorisierung von Maßnahmen**:
  
-Bei Konflikten: Verfügbarkeit wesentlicher Funktionen hat Vorrang  +  * Bei Konflikten: Verfügbarkeit wesentlicher Funktionen hat Vorrang  
-Im Fehlerfall geschlossen: Nicht wesentliche Funktionen werden gestoppt  +  Im Fehlerfall geschlossen: Nicht wesentliche Funktionen werden gestoppt  
-Aufrechterhaltung des Safety-Levels auch bei Security-Incidents  +  Aufrechterhaltung des Safety-Levels auch bei Security-Incidents  
  
 =====3. Domänenübergreifende Zusammenführung===== =====3. Domänenübergreifende Zusammenführung=====
Zeile 247: Zeile 249:
 **Security-Methoden**:  **Security-Methoden**: 
  
-Relativ neu im Bahnwesen (CLC/TS 50701:2023)  +  * Relativ neu im Bahnwesen (CLC/TS 50701:2023)  
-Qualitative/semi-quantitative Bewertung  +  Qualitative/semi-quantitative Bewertung  
-Bedrohungsorientierter Ansatz  +  Bedrohungsorientierter Ansatz  
-Kontinuierliche Anpassung an neue Bedrohungen +  Kontinuierliche Anpassung an neue Bedrohungen 
  
 **Gemeinsame Elemente**:  **Gemeinsame Elemente**: 
  
-Risikomatrix-Ansätze  +  * Risikomatrix-Ansätze  
-Integritätslevel-Konzepte (SIL/SL)  +  Integritätslevel-Konzepte (SIL/SL)  
-Defense-in-Depth Strategie  +  Defense-in-Depth Strategie  
-Lifecycle-Management  +  Lifecycle-Management  
-Nachweis-basierte Argumentation (Safety Case/Security Case) +  Nachweis-basierte Argumentation (Safety Case/Security Case)
  
 **Übertragbare Ansätze**:  **Übertragbare Ansätze**: 
  
-**Bow-Tie-Modell**: Kann für Security-Angriffspfade adaptiert werden  +  * **Bow-Tie-Modell**: Kann für Security-Angriffspfade adaptiert werden  
-**FMEA**: Erweitert zu FMECA (Criticality Analysis) für Security  +  **FMEA**: Erweitert zu FMECA (Criticality Analysis) für Security  
-**Zonierung**: Purdue-Modell aus Prozessleittechnik adaptiert+  **Zonierung**: Purdue-Modell aus Prozessleittechnik adaptiert
  
 ==3.3 Gemeinsamer Nenner für Quantifizierung== ==3.3 Gemeinsamer Nenner für Quantifizierung==
Zeile 270: Zeile 272:
 Die Entwicklung eines gemeinsamen Nenners ist herausfordernd aber essenziell:  Die Entwicklung eines gemeinsamen Nenners ist herausfordernd aber essenziell: 
  
-Harmonisierte Risikokategorien: +**Harmonisierte Risikokategorien** 
 + 
 +  * Einheitliche Schweregrad-Skalen für Auswirkungen  
 +  * Kategorien: Funktionale Sicherheit, Betrieb, Finanzen, Reputation, Regulatorik  
 +  * Ermöglicht Vergleichbarkeit auch bei unterschiedlichen Ursachen  
 + 
 +**Kompatible Assessment-Skalen**:  
 + 
 +  * **Likelihood**: 1-5 Skala für beide Domänen  
 +  * **Schweregrad**: A-E oder 1-5 für Auswirkungen  
 +  * **Risikoschweregrad**: Gering-Mittel-Hoch-Sehr Hoch  
 + 
 +**Gemeinsame Indikatoren**:  
 + 
 +  * **Verfügbarkeit**: Downtime, MTBF, MTTR  
 +  * **Integrität**: Fehlererkennungsrate, False Positive Rate  
 +  * **Auswirkung**: Anzahl betroffener Personen, finanzielle Schäden 
 + 
 +**Integriertes Risiko-Dashboard**:  
 + 
 +  * Visualisierung von Safety- und Security-Risiken in gemeinsamer Matrix  
 +  * Identifikation von Wechselwirkungen und Synergien  
 +  * Priorisierung von Maßnahmen nach Gesamtrisiko  
 + 
 +**Grenzen der Quantifizierung**:  
 + 
 +  * Security-Risiken bleiben qualitativ/semi-quantitativ  
 +  * Keine direkte Umrechnung zwischen SIL und SL  
 +  * Fokus auf konsistente Bewertungsmethodik statt einheitlicher Metrik 
 + 
 +=3.4 Erforderliches neues Wissen für Synthese= 
 + 
 +Die systematische Integration von Safety und Security erfordert Entwicklung neuer Kompetenzen und Wissensbereiche:  
 + 
 +**Interdisziplinäre Kompetenzen**:  
 + 
 +  * **Safety Engineers**: Benötigen Grundverständnis von Cybersecurity-Bedrohungen  
 +  * **Security Engineers**: Benötigen Verständnis für Safety-kritische Systeme  
 +  * **Kompetenzlücke**: Derzeit eine der größten Herausforderungen der Branche  
 + 
 +**Unsicherheitsbewertung**:  
 + 
 +  * Methoden zur Quantifizierung epistemischer Unsicherheit  
 +  * Umgang mit unvollständiger Information  
 +  * Sensitivitätsanalysen für robuste Entscheidungen  
 +  * Bayesianische Ansätze zur Aktualisierung von Annahmen  
 + 
 +**Ethische Abwägung**:  
 + 
 +  * Priorisierung bei Zielkonflikten (z.B. Privacy vs. Monitoring)  
 +  * Verhältnismäßigkeit von Maßnahmen  
 +  * Transparenz und Accountability  
 +  * Berücksichtigung sozialer Auswirkungen  
 + 
 +**Integrierte Entscheidungsmodelle**:  
 + 
 +  * Multi-Kriterien-Entscheidungsanalyse (MCDA)  
 +  * Game-theoretische Ansätze für Angreifer-Verteidiger-Szenarien  
 +  * Kosten-Nutzen-Analysen für kombinierte Maßnahmen  
 + 
 +**Adaptive Systeme**:  
 + 
 +  * Selbstadaptierende Sicherheitsarchitekturen  
 +  * Machine Learning für Anomalieerkennung  
 +  * Kontinuierliches Monitoring und Feedback  
 +  * Cyber-Physical Systems Security  
 + 
 +**Organisatorisches Wissen**:  
 + 
 +  * Governance-Strukturen für integriertes Risikomanagement  
 +  * Change Management für Kulturwandel  
 +  * Incident Response Koordination  
 +  * Supply Chain Risk Management  
 + 
 +**Forschungsbedarf**:  
 + 
 +  * Formale Verifikation kombinierter Safety-Security-Properties  
 +  * Quantifizierung von Defense-in-Depth Effektivität  
 +  * Metriken für Security-Resilienz  
 +  * Langzeitauswirkungen von Legacy-System-Integration 
 + 
 +=====4. Fazit und Ausblick=====
  
-Einheitliche Schweregrad-Skalen für Auswirkungen  +Die Integration von Safety und Security im Eisenbahnwesen ist eine komplexeaber notwendige Entwicklung. Die aktuellen Standards EN 50716IEC 62443 und CLC/TS 50701 bieten einen soliden Rahmenjedoch bestehen noch erhebliche Herausforderungen: 
-Kategorien: Funktionale SicherheitBetriebFinanzenReputation, Regulatorik  +
-Ermöglicht Vergleichbarkeit auch bei unterschiedlichen Ursachen +
  
-Kompatible Assessment-Skalen+**Zentrale Erkenntnisse**
  
-Likelihood: 1-5 Skala für beide Domänen  +  * Defense-in-Depth ist das verbindende Prinzip zwischen Safety und Security  
-Schweregrad: A-E oder 1-5 für Auswirkungen  +  * Keine direkte Kopplung zwischen SIL und SL, aber gemeinsame Architekturansätze   
-Risikoschweregrad: Gering-Mittel-Hoch-Sehr Hoch +  * Quantitative Methoden für Safety, qualitative/semi-quantitative für Security  
 +  * EN 50129 spielt eine Schlüsselrolle als Brücke zwischen beiden Domänen 
  
-Gemeinsame Indikatoren+**Kritische Erfolgsfaktoren**
  
-Verfügbarkeit: Downtime, MTBF, MTTR  +  * Aufbau interdisziplinärer Kompetenzen  
-Integrität: Fehlererkennungsrate, False Positive Rate  +  * Systematische Adressierung von Legacy-Systemen  
-Auswirkung: Anzahl betroffener Personen, finanzielle Schäden  +  * Kontinuierliche Aktualisierung von Bedrohungsmodellen  
-Integriertes Risiko-Dashboard: +  * Entwicklung harmonisierter Bewertungsansätze 
  
-Visualisierung von Safetyund Security-Risiken in gemeinsamer Matrix  +Die Zukunft liegt in der Entwicklung adaptiver, resilienter Systeme, die Safety und Security nicht als separate Disziplinen, sondern als integrierte Aspekte eines ganzheitlichen Risikomanagements verstehen. 
-Identifikation von Wechselwirkungen und Synergien  +
-Priorisierung von Maßnahmen nach Gesamtrisiko +
  
-Grenzen der Quantifizierung: +**Referenzen** 
  
-Security-Risiken bleiben qualitativ/semi-quantitativ  
-Keine direkte Umrechnung zwischen SIL und SL  
-Fokus auf konsistente Bewertungsmethodik statt einheitlicher Metrik  
  
  • Zuletzt geändert: 2026/06/11 10:56
  • von sprenger