Sie sind hier: HomeSteuerungsebeneSafety & Security

Risikoermittlung: Der Vampir-Effekt der Quantifizierung

Kontroverse Diskussionen bezüglich der Risiko-Ermittlung für Produkte und Systeme gibt es immer wieder. Doch welche Ansätze sind tatsächlich im Rahmen von Safety und Security sinnvoll? Welches Vorgehen empfiehlt das neue Rahmenwerk für Safety und Security – die IEC TR 63069:2019?

Vampir-Effekt der Quantifizierung, Siemens Bildquelle: © Siemens

Ingenieuren wird nachgesagt, die Welt quantifizieren zu wollen und bestimmten Ereignissen möglichst eine exakte zahlenbasierte Wahrscheinlichkeit zuzuordnen. Als vermeintlich exakte Risikominderung stehen im Kontext der Funktionalen Sicherheit die Herleitungen statistischer oder zufälliger, gefährlicher Fehler häufig im Mittelpunkt vieler Betrachtungen – unter anderem durch den Nachweis der Einhaltung von Grenzwerten des Safety Integrity Level (SIL) oder Performance Level (PL) mit Hilfe gängiger Berechnungstools. Dabei kann schnell das eigentliche Ziel aus dem Fokus geraten beziehungsweise es kann zu einem bekannten Phänomen kommen, welches in der Werbebranche als ‚Vampir-Effekt‘ bezeichnet wird. Dieser Effekt – auch als aufmerksamkeitsabsorbierende Wirkung bekannt – führt dazu, dass der Kunde sich zwar an eine bestimmte witzige Handlung oder Person (den Vampir) erinnern kann, aber nicht mehr an das zu bewerbende Produkt.

In Analogie dazu stellt in der Sicherheitstechnik die Fokussierung auf den erfolgreichen Nachweis der Ausfallrate mittels einschlägiger Softwarepakete – also letztlich die Quantifizierung von zufälligen, gefährlichen Fehlern – eine ähnliche Aufmerksamkeit auf sich wie der besagte Vampir. Systematische Fehler, die sich auf menschliches Verhalten zurückführen lassen – zum Beispiel die fehlerhafte Programmierung von Sicherheitssoftware oder die Nichtbeachtung wichtiger technischer Randbedingungen von Sicherheitssystemen – verlieren dabei unberechtigterweise an Stellenwert.

Unter Kenntnis dieses Sachverhaltes sei es dem Leser selbst überlassen, sich bekannter Unfallberichte zu entsinnen und zu bewerten, ob die Ursachen einer falschen Statistik zuzuschreiben waren, oder eben ganz konkret auf systematische Fehler und Fehleinschätzungen zurückzuführen sind. Eines der größten Schadensereignisse der jüngeren Geschichte etwa – Fukushima – wäre sicherlich nicht durch eine statistisch verbesserte Ausführung der Notstrom-Versorgung zu verhindern gewesen. Vielmehr waren es vermutlich die systematischen Randbedingungen der Anlagenauslegung, die zur eigentlichen Katastrophe führten.

Natürlich gibt es Überlegungen in Risikobetrachtungen, welche sich in Zahlen übertragen lassen. Der klassische Maschinen- und Anlagenbau kann beispielsweise gut mit der Betrachtung von Aufenthaltsdauer im Gefahrenbereich umgehen. Neue Fragen stellen sich aber, wenn Systeme auch weniger kontrollierte Umgebungen beherrschen sollen oder ein Einsatzfall so flexibel ist, dass sich ehemals feste Parameter dynamisch verändern.

Jedem praktizierten Zahlenspiel in der Funktionalen Sicherheit ist gemein, dass es auf einem bekannten Umfeld und physikalisch bestimmbaren Zusammenhängen basiert, aber auch auf zeitlich stabilen nicht näher bestimmten Annahmen beziehungsweise Näherungen. Ohne diese Voraussetzungen wäre auch eine Angabe der statistischen Wahrscheinlichkeit zukünftiger, gefährlicher Ausfälle – zum Beispiel in Form eines PFH-Werts – nicht möglich. Versuche, die Wahrscheinlichkeit des erwähnten Beispiels Fukushima in Zahlen zu fassen, könnten gegebenenfalls sogar gelingen; sie würden allerdings darüber hinwegtäuschen, dass es sich um eine systematisch ungünstige Auslegung gehandelt hat. Kurzum: Experten sind sich einig, dass die Quelle der häufigsten Fehler von Systemen – und zwar nicht nur im Umfeld der Funktionalen Sicherheit! – in der Spezifikation und am Unverständnis des Systemverhaltens (rechtzeitige Gefahrenerkennung) festgemacht werden kann und nicht an einzelnen statistischen Fehlern, die zusätzlich einer systematischen Analyse unterzogen werden (FMEA und FMEDA).

Risikowelten Safety-Security, Siemens Bildquelle: © Siemens

Bild 1: Die Beziehung zwischen den Risikowelten Safety / Security

Geradezu ins Absurde führen daher Ansätze, welche das Risiko durch Angriffe – egal ob gewollter oder ungewollter Art – im Rahmen der Informationssicherheit (IT- oder Cyber-Security) zu quantifizieren versuchen. Während es bei Bauteil-Fehlern möglich ist, aufgrund der dokumentierten Ausfallzahlen in der Vergangenheit Abschätzungen vorzunehmen, ist dies in der Informationssicherheit problematisch. Denn im Gegensatz zu beobachtbaren Bauteil-Fehlern, im Kontext von Safety, können bei der IT-Security auch erfolgreiche Angriffe dauerhaft unerkannt bleiben und jegliche konkrete Aussage oder Prognose zur Informationssicherheit eines Systems in Frage stellen. Letztendlich hängt das Risiko eines Angriffes lediglich von der Motivation des Angreifers auf ein System ab. So können auf der einen Seite sehr schwach geschützte Systeme durchaus lange unbeeindruckt ausreichend informationssicher bleiben, solange kein Angriffsinteresse besteht. Andererseits können aber stark geschützte Systeme – wie etwa unser elektronisches Bezahlsystem – für Angreifer sehr attraktiv und vermutlich angreifbar sein.

Ergänzend ist festzuhalten, dass der sogenannte ‚Faktor Mensch‘ bereits bei der Sicherheitstechnik (Safety) den Hauptanteil der Risiken auf sich vereint. Diesen systematischen Fehlern lässt sich nicht durch Quantifizierung begegnen, sondern nur durch technischen Sachverstand sowie mit Methoden, die dazu geeignet sind, bekannte menschliche Schwächen zu adressieren. Im Rahmen der IT-Security ist darüber hinaus noch ins Kalkül zu ziehen, dass intelligentes manipulatives oder gar kriminelles Verhalten vorliegt. Dieser Aspekt vereint sich mit der rapiden technischen Entwicklung in Bezug auf Rechenleistung und Systemkomplexität.

Das Diagramm in Bild 1 stellt das Risiko eines Systems bezüglich Safety und IT-Security gegenüber und stellt folgende Aspekte bildlich dar:

Simatic-Controller-Serie von Siemens Bildquelle: © Siemens

Bild 2: Die Simatic-Controller-Serie wird über alle Phasen des Produktlebens­zyklus mit integrierter Security nach IEC 62443-4-1 ent­wickelt. Die Safety-Ausführung erfüllt zusätzlich die Anforderungen bis SIL 3 nach IEC 61508.

  1.  Risikobetrachtungen zu Safety und IT-Security verhalten sich orthogonal, das heißt, es können Risiken und Schutzmaßnahmen der einen Domäne in der Regel nicht mit denen der anderen in Bezug gebracht werden.
  2. Die technischen Schutzmaßnahmen bei Safety stellen den Hauptteil der Risikoreduzierung dar und können heute relativ gut für den Systembetrieb bestimmt werden. 
  3. Bei IT-Security stellen die technischen Maßnahmen nur einen kleinen, schwer bestimmbaren Anteil mit zusätzlicher zeitlicher Dynamik dar. Die Hauptproblematik sind die Graubereiche, die sich sowohl bei der Risikobestimmung aber auch in der Qualität der Schutzmaßnahmen zeigen. Der Faktor Mensch ist dabei in allen Phasen – jedoch entgegen der Funktionalen Sicherheit ganz besonders in der Anwendungsphase des Systems – bestimmend.
  4. Der Sonderfall der vorhersehbaren Fehlverwendung ist bei Safety auf einen sehr kleinen Bereich der Risikoreduzierung anwendbar und sollte nicht als ein schädlicher Angriff auf das System verstanden werden.

Diese geschilderten Aspekte und insbesondere die grundsätzliche Fragestellung, ob Security thematisch zu Safety gehört oder Safety zu Security, waren und sind Bestandteil durchaus kontroverser Fachgespräche in den entsprechenden Arbeitsgruppen der Normungsgremien. Die gewonnenen Erkenntnisse und der gebildete Konsens mündeten in die Erklärungen und Vorschläge der IEC TR 63069 (Framework for functional safety and security). Dieser ‚Technical Report‘ bewegt sich grundsätzlich unabhängig von bestimmten Industrien auf der Ebene der IEC-61508-Normenreihe (Basisnorm für Funktionale Sicherheit) sowie der IEC 62443, der derzeit bedeutendsten Normenreihe zur Cybersecurity. Konkret empfiehlt die IEC TR 63069, die Risikobetrachtungen für die beiden Domänen Safety und Security thematisch getrennt zu sehen, da diese über grundsätzlich unterschiedliche Ansätze geführt werden. Zu berücksichtigen ist dabei, dass die relevanten Auswirkungen auf Safety, die sich aus der Bedrohungslage seitens der IT-Sicherheit ergeben, in der Security-Risikobetrachtung bereits aufgegriffen werden und nur an dieser Stelle eine effiziente Bewertung aller Gefährdungen der Funktionalen Sicherheit (Safety) eines Systems durch Cyber-Angriffe überhaupt möglich ist.

Es wäre natürlich denkbar, einen gemeinsamen Risikoansatz vorzuschlagen. Ein solcher scheitert allerdings bereits an den unterschiedlichen Bewertungskriterien und der Gewichtung der Security gegenüber der Safety. Entscheidend ist letztlich die Erkenntnis, dass sicherheitstechnische Aussagen darauf beruhen müssen, dass eine nachteilige Beeinflussung eines Systems durch IT-Security-Angriffe effektiv und systematisch unterbunden ist. Dies stellt auch die erste Leitlinie der IEC TR 63069 ausdrücklich fest. Diese Vorgabe ist möglicherweise eine starke Anforderungen an die Schutzmaßnahmen der IT-Security für ein System und wird auch konkret in der Praxis nicht immer erreichbar sein, insbesondere wenn diese Maßnahmen rein präventiv verstanden werden. Es gibt allerdings zu diesem Ansatz keine andere praktisch vernünftige Alternative. Die Dynamik der IT-Security erfordert vielmehr eine höhere permanente Aufmerksamkeit und Reaktionsfähigkeit im Rahmen des kompletten Lebenszyklus. 

Daraus ergibt sich ein deutlich erhöhter Bedarf, Risiko-Analysen zur Informationssicherheit regelmäßig zu hinterfragen, beziehungsweise auf eine Unternehmenskultur und funktionierende Prozesse zu setzen, die eben gerade den ‚Faktor Mensch‘ adressieren. Besonders entscheidend sind aber Maßnahmen, welche die Anlagen und Systeme im Betrieb in den Fokus nehmen, sowie die Planung von reaktiven Maßnahmen im Falle eines Vorfalles. Nicht sinnvoll ist es hingegen, neuen Quantifizierungsaufwand im Vorfeld zu erzeugen oder auszubauen und damit den Vampir-Effekt zu verstärken – mit negativen Auswirkungen auf notwendige systematische Analysen und wirksamen Maßnahmen zur Risikominimierung.

Autor: 
Holger Laible ist Senior Safety Expert im Produktmanagement der Simatic bei Siemens und Mitglied in nationalen und internationalen Normungs­gremien.