Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- content:test [2025/07/17 16:19] – [8.1 Begriffe von A-Z] droste
+++ content:test [2025/07/17 17:27] (aktuell) – [2.1 Risikobegriff] droste
@@ Zeile 1: / Zeile 1: @@
 ====== 1. Einleitung & Motivation ======
 ===== 1.1 Zielsetzung des Wikis =====
 Die Bewertung von Risiken nimmt in der Regel mögliche zukünftige Entwicklungen vorweg und versucht diese anhand unterschiedlicher Szenarien einzuordnen, so dass z. B. eine Reihung im Sinne der Relevanz oder sogar eine quantitative Bewertung möglich wird. Dieses Unterfangen ist naturgemäß mit eher mehr als weniger Unsicherheiten behaftet, was das Vergleichen von Szenarien durchaus erschwert. Bei der Bemessung von Maßnahmen, die Risiken mindern sollen, sind deshalb Sicherheitsaufschläge ein gängiges Mittel, um Unsicherheiten zu berücksichtigen und somit „auf der sicheren Seite“ zu bleiben. In diesem Sinne lassen sich z. B. Anforderungen an die funktionale Sicherheit von Produkten festlegen, die Redundanzen technischer Komponenten erfordern und somit nicht zuletzt auch die Kosten erhöhen. Müssen nun allerdings Risiken gegen Kosten abgewogen werden (was regelmäßig der Fall ist) oder liegen Risiken vor, deren Anforderungen zur Minderung ggf. sogar in Ihrer Natur widersprüchlich sind, so stellt sich die Aufgabe der Risikoabwägung, die noch größere Herausforderungen bereithält, als die reine Risikobewertung. Dies ist spätestens seit der Corona-Pandemie auch breiteren Anteilen der Bevölkerung bewusst: Maßnahmen zum Gesundheitsschutz der Bevölkerung müssen z. B. gegen Einschränkungen von Grundrechten, wirtschaftliche sowie soziale Belange abgewogen werden.
@@ Zeile 8: / Zeile 8: @@
 ===== 1.2 Warum Safety & Security gemeinsam denken? =====
 Es sind im Wesentlichen zwei gegenwärtige Entwicklungen, die eine gleichzeitige Behandlung von Safety und Security nahelegen: Die zunehmende IT-basierte Vernetzung und damit zunehmende Vulnerabilität unserer Gesellschaft, aber auch ein signifikant zunehmendes Bedrohungsniveau für moderne Gesellschaften, das sich keinesfalls auf Szenarien der Cyberangriffe beschränkt, sondern auch physische Bedrohungen einbeziehen muss. In technischen Zusammenhängen spielen Infrastrukturen dabei eine zentrale Rolle.
 ====== 2. Grundlagen: Risiko, Safety, Security, Resilienz ======
-===== 2.1 Risikobegriff =====
+===== 2.1 Begriff: Risiko =====
 In einem ersten Schritt wird die Entwicklung einer einheitlichen abstrakten Definition des Risikobegriffs angestrebt, die eine ganzheitliche Beschreibung der Domänen Safety und Security ermöglicht. Hierzu sollen vorhandene Ansätze zur risikobasierten Modellierung sowohl von Safety als auch Security kritisch analysiert und eingeordnet werden. Durch die inhaltliche Zusammenführung der Ansätze soll sich eine Definition des Risikobegriffs ergeben, der es ermöglicht, die spezifischen Eigenschaften von Safety und Security und ihrer Aspekte abzubilden. Hierzu notwendige Parameter zur Analyse des Risikos, die einer quantitativen Betrachtung zugänglich sind, sollen eingeführt werden.
@@ Zeile 20: / Zeile 22: @@
 Abbildung 1 zeigt beispielhaft einen möglichen Ansatz einer dreigliedrigen Definition des Risikobegriffs für Safety und Security. Im Anhang finden sich weitere wichtige risikobasierte Ansätze zur Sicherheitsbewertung.
 ===== 2.2 Begriff: Safety =====
 Safety-Risiken im Sinne dieser Dokumentation sind insbesondere Risiken die von der Technik ausgehen und Mensch, Technik oder Infrastruktur betreffen. Damit sind ursächlich für Safety-Risiken meist versagende technische Komponenten. Auch unabsichtliches menschliches Fehlverhalten kann ursächlich für Safety-Risiken sein, z.B. im Bereich Arbeits- oder Brandschutz. Die Besonderheit für die Risikobewertung besteht darin, dass das auslösende Ereignis eines Safety Vorfalls oft auf der Basis von Evidenz und Erfahrungswerten probabilistisch beschrieben werden kann, was die Häufigkeit des Eintretens betrifft. Dies ist bei den Security-Risiken i.d.R. nicht möglich.
 ===== 2.3 Begriff: Security =====
 Security-Risiken im Sinne dieser Dokumentation gehen auf von Menschen gewollt verursachte Ereignisse zurück, die Technik und Infrastruktur und damit mittelbar auch den Menschen bedrohen. Die Häufigkeit, mit der diese Ereignisse eintreten ist aufgrund der menschlichen Willensbildung i.d.R. nicht probabilistisch zu erfassen. In Ermangelung von Evidenz kann man i.d.R. nur mit sehr großen Unsicherheiten behaftete Angaben zur Bedrohungswahrscheinlichkeit machen. Aus diesem Grund beschränkt sich die Analyse der Eintrittswahrscheinlichkeit bei Security-Risiken oft auf die Vulnerabilität. Dies gilt sowohl für die IT- als auch für die physische Sicherheit.
 ===== 2.4 Begriff: Resilienz =====
 Der Begriff Resilienz beschreibt die Fähigkeit eines Systems (unmittelbar sowie langfristig) mit den Auswirkungen unspezifischer und möglicherweise unvorhergesehener Störereignisse umzugehen. Entsprechend der Vielfalt an Mechanismen, die zu einem positiven Umgang mit einem Störereignis beitragen können, ergibt sich die Resilienz eines Systems aus einer Kombination unterschiedlicher Kompetenzen und Strategien. Genau genommen beschreibt der Begriff Resilienz also nicht eine einzelne, sondern eine Gruppe von Fähigkeiten. Diese Gruppe lässt sich anhand dreier übergeordneter Grundfähigkeiten zusammenfassen, die die Zielsetzung resilienten Verhaltens erfassen: Ein resilientes System ist in der Lage die Auswirkungen einer Störung gering zu halten (Absorptionsfähigkeit) und sich von diesen schnell und vollständig zu erholen (Restorationsfähigkeit). Darüber hinaus besitzt ein resilientes System eine gewisse Lernfähigkeit, die es dem System ermöglicht die zum Umgang mit Störungen notwendigen Fähigkeiten zu steigern oder diese in einer sich verändernden Gefährdungslage langfristig zu erhalten (Adaptionsfähigkeit). Jede dieser drei übergeordneten Grundfähigkeiten (Absorptions-, Restorations- und Adaptionsfähigkeit) ergibt sich wiederum aus verschiedenen Resilienz-bildenden Eigenschaften und Fertigkeiten. Beispielsweise kann die Absorptionsfähigkeit eines Systems durch bestimmte Strukturmerkmale (wie ein modulares Design oder das Vorhandensein redundanter Elemente) sowie durch organisatorische Fertigkeiten der handelnden Akteure (z.B. Entscheidungs- und Kommunikationsfähigkeit in Krisensituationen) positiv beeinflusst werden.
-====== 3. Wechselwirkungen & Herausforderungen ======
+====== 3. Wechselwirkungen zwischen Safety und Security ======
 ===== 3.1 IT-Security Impact on Safety =====
-(Inhalte aus Abschnitt 1.1 und 2.1 konsolidiert)
+(Inhalte aus Alt 1.1, 2.1)
 ===== 3.2 Zielkonflikte zwischen Safety und Security =====
-(Inhalte aus Abschnitt 1.1 und 2.2 konsolidiert)
+(Inhalte aus Alt 1.1, 2.2)
 ===== 3.3 Security Impact on Availability =====
-(Inhalte aus Abschnitt 1.1 und 2.3 konsolidiert)
+(Inhalte aus Alt 1.1, 2.3)
 ===== 3.4 Cyberphysische Systeme =====
-(Inhalte aus Abschnitt 1.1 und 2.4 konsolidiert)
-====== 4. Disziplinübergreifende Ansätze & Domänenspezifisches ======
+(Inhalte aus Alt 1.1, 2.4)
+====== 4. IT-Security ======
+===== 4.1 Grundlagen der IT-Security =====
+(Aus Alt 4.3)
+===== 4.2 Vorgehensmodelle & Metriken =====
+(Aus Alt 4.1, 6.2)
+===== 4.3 Normen & rechtlicher Rahmen =====
+(Aus Alt 4.4.4, 4.4.5)
+===== 4.4 Domänenspezifische Herausforderungen =====
+====== 6. Modellierung & Methodik ======
+===== 6.1 Entwicklung eines integrierten Modells =====
+(Aus Alt 6.2)
+===== 6.2 Umgang mit Unsicherheiten =====
-===== 4.1 Bewertungsansätze und Metriken =====
+(Aus Alt 6.3)
-(Hier Inhalte aus Kapitel 6.2 zusammenfassen)
-===== 4.2 Domänenspezifische Herausforderungen =====
+===== 6.3 Umgang in der Funktionale Sicherheit =====
-(Abschnitt 4.4 hier einsortieren)
-===== 4.3 Resilienz bewerten =====
+(Aus Alt 5)
-(Inhalte aus Kapitel 9.2 übernehmen)
-====== 5. Risikomodelle & Methodik ======
+====== 7. Ethische Aspekte ======
-===== 5.1 Entwicklung eines integrierten Modells =====
-(Abschnitt 6.2 übernehmen)
-===== 5.2 Umgang mit Unsicherheiten =====
-(Abschnitt 6.3 übernehmen)
-===== 5.3 Beispiele aus Normen und Praxis =====
+===== 7.1 Ethische Überlegungen & Abwägung =====
-(Inhalte aus Kapitel 5 übernehmen)
-====== 6. Rechtliche, normative und ethische Aspekte ======
+(Aus Alt 7)
-===== 6.1 Rechtlicher Rahmen =====
+====== 8. Leitfragen-Erläuterungen ======
-(Aus Abschnitt 4.4.4 extrahieren – bitte prüfen ob Überarbeitung nötig ist.)
-===== 6.2 Relevante Normen =====
+===== 8.1 Frage 1=====
-(Aus Abschnitt 4.4.5 extrahieren – bitte prüfen ob Überarbeitung nötig ist.)
-===== 6.3 Ethische Überlegungen & Abwägung =====
+(Aus Alt 8)
-(Abschnitt 7 vollständig übernehmen)
-====== 7. Fragenkatalog zur domänenübergreifenden Synthese ======
+===== 8.2 Frage 2 =====
-===== 7.1 Methodenvergleich =====
+(Aus Alt 8)
-===== 7.2 Herausforderungen der Vereinheitlichung =====
-===== 7.3 Offene Forschungsfragen =====
-(Alle Inhalte aus Kapitel 8 übernehmen, ggf. Gliederung prüfen)
+===== 8.3 Frage 3 =====
+(Aus Alt 8)
-===== 8.2 Links, Standards, Ressourcen =====
-[MARKIERUNG: Abschnitt fehlt. Externe Links z. B. auf VDI, IEC, ISO sinnvoll einfügen.]
-====== Hinweise ======
-Querverlinkungen zwischen Normen (z. B. ISO 26262 → IEC 61508), Begriffsdefinitionen (z. B. Resilienz ↔ Risiko), und Disziplinen (z. B. KRITIS ↔ Verfügbarkeit) sollten technisch im Wiki umgesetzt werden (interne Verlinkung).
-Inhalte mit mehrfachen Dopplungen wurden bewusst konsolidiert, z. B. bei Resilienz, Zielkonflikten, IT-Security. Bitte die vereinheitlichten Stellen auf redaktionelle Konsistenz prüfen.
-Einige Abschnitte zur IT-Security enthalten Dopplungen zu Kapitel 4 – eine Überarbeitung bzw. Gliederung in technische und organisatorische Maßnahmen wäre empfehlenswert.
-Letzte Anmerkung: Stellen mit MARKIERUNG oder Doppelverwendung wurden nur strukturell sortiert, nicht redaktionell neu geschrieben. Eine inhaltliche Überarbeitung dieser Stellen ist noch notwendig.