Safety & Security im Eisenbahnwesen

Die Normungslandschaft im Eisenbahnbereich hat sich in den letzten Jahren fundamental gewandelt. Von einer primär sicherheitsorientierten Ausrichtung entwickelt sich ein integrierter Ansatz, der Safety und Security als gleichwertige und sich ergänzende Domänen behandelt. Gegenwärtig läuft noch für viele Normen eine Übergangsphase, wodurch teilweise vorübergehend Inkonsistenzen entstehen.

Diese Standards repräsentieren einen Paradigmenwechsel von isolierten Sicherheitsbetrachtungen zu einem ganzheitlichen RAMS+Security-Ansatz. Die Integration erfolgt über den gesamten Systemlebenszyklus, von der Konzeption bis zur Außerbetriebnahme. Besonders bemerkenswert ist die Synchronisation mit dem RAMS-Lebenszyklus (vgl. Anhang A) gemäß EN 50126 [4], wodurch Cybersecurity nicht als nachträgliche Ergänzung, sondern als integraler Bestandteil der Systementwicklung etabliert wird.

Die Standardisierung wird hauptsächlich durch CENELEC TC 9X vorangetrieben, mit über 96 Experten aus 20+ Ländern [5]. Für Deutschland wird aus den DKE/AK 351.0.6A/B [6] und DKE/AK 351.3.7A/B [7] zugearbeitet. Die Zusammenarbeit zwischen ERA (European Union Agency for Railways) für Safety und ENISA (European Union Agency for Cybersecurity) für Security prägt die regulatorische Landschaft [8]. International erfolgt die Harmonisierung über das IEC TC 9, wodurch europäische Standards global Anwendung finden.

Während Safety in der Domaine Eisenbahn stark verankert ist und eine lange Historie hat, ist Security ein vergleichsweise neues Konzept, was sich in bestehende Prozesse und Anforderungen integrieren muss. Ein zentrales Problem sind die langen Lebenszyklen der Produkte, die mit schnellen Update Prozessen, wie von Security Normen gefordert, unvereinbar sind.

Sowohl Safety (Funktionale Sicherheit) als auch (Cyber)Security (Sicherheit vor digitalen Angriffen) werden über die Abschätzung eines Risikos quantifiziert. Während das Safety Risiko aus auf Erfahrungswerten und historischen Daten beruhenden Eintrittswahrscheinlichkeit und Schadensausmaß bestimmt werden kann, benutzt die Security komplexere Modelle, die teilweise Intention und Können eines Angreifers mit einbeziehen.

Die Risikomodellierung unterscheidet sich grundlegend zwischen Safety und Security:

Safety (Funktionale Sicherheit):

* Definition nach EN 50716: Risiko ist die Kombination aus erwarteter Häufigkeit eines Schadens und erwartetem Schweregrad dieses Schadens * Modell: Risiko = Eintrittswahrscheinlichkeit × Schadensausmaß * Ziel: Freiheit von inakzeptablem Risiko für menschliche Gesundheit und Umwelt

Security (IT-Sicherheit/Cybersecurity):

* Definition nach CLC/TS 50701: Erwarteter Verlust als Wahrscheinlichkeit, dass eine bestimmte Bedrohung eine bestimmte Schwachstelle mit einer bestimmten Folge ausnutzt * Modell: Risiko = Bedrohung × Schwachstelle × Auswirkung * Besonderheit: Keine probabilistische Bewertung möglich, da Angreifer mit Absicht handeln

Safety-Verfahren:

* Fault Tree Analysis (FTA): Top-Down-Analyse zur Identifikation von Fehlerursachen * FMEA/FMECA: Fehlermöglichkeits- und Einflussanalyse zur systematischen Bewertung potentieller Fehler * Bow-Tie-Modell: Kombiniert Fehlerursachen (Fault Tree) und Auswirkungen (Event Tree) * HAZOP: Hazard and Operability Study für systematische Gefahrenanalyse

Security-Verfahren:

* Bedrohungsmodellierung: Systematische Identifikation von Angriffsvektoren und Bedrohungsszenarien * Attack Trees: Hierarchische Darstellung möglicher Angriffspfade * Schwachstellenanalyse: Identifikation technischer, organisatorischer und prozessualer Schwachstellen * Penetrationstests: Praktische Überprüfung der Wirksamkeit von Schutzmaßnahmen