Safety dient dem Schutz von Mensch, Anlage und Umwelt, mit anderen Worten: die Anlage darf keinen Schaden anrichten. Bei Security hingegen ist die Anlage vor Schaden zu schützen. Daten und Programme müssen ohne Verfälschung ausschließlich ihrem bestimmungsgemäßen Gebrauch zugeführt werden. Um der Aufgabe \’Safety\‘ gerecht zu werden, muss also \’Security\‘ unbedingt berücksichtigt werden. Aus diesem Grund fordern auch die Safety Normen IEC61508 und bald auch die IEC61511 eine ausreichende Betrachtung der Security. Sowohl für Safety als auch für Security gilt, dass ein Zustand \’sicher\‘ oder gar \’dauerhaft sicher\‘ nicht existiert. Es ist lediglich möglich, die Barrieren u. a. gegen Angriffe zu erhöhen oder Fehler zu vermeiden, um das Risiko zu reduzieren. Grundsätzlich gilt es zwei Arten von Fehlern bzw. Schwachstellen zu unterscheiden: 1. zufällige Fehler sind nicht reproduzierbare Fehler wie z.B. zufällige Bauteilausfälle. Aufgrund langjähriger Erfahrung und entsprechender Analysen lassen sich diese statistisch erfassen und quantifizieren. Diesen Fehlern wird z. B. durch Diagnosen und konstruktiven Maßnahmen begegnet. So werden beispielsweise Bauteile so eingesetzt, dass ein Ausfall zum sicheren Zustand der Anlage führt. 2. systematische Fehler sind reproduzierbare Fehler wie z. B. in Betriebssystemen. Das Vorhandensein systematischer Fehler in Systemen lässt sich nachweisen, die Abwesenheit jedoch nicht. Die statistische Erfassung dieser Fehler berücksichtigt lediglich die Vergangenheit. Eine Quantifizierung der Vergangenheitswerte lässt sich jedoch kaum für eine Prognose verwenden. Diesen Fehlern sollte mit qualitätssteigernden Maßnahmen wie einem Functional Safety Management System begegnet werden. Für Safety sind beide Fehlerarten zu betrachten, bei Security ist lediglich von systematischen Fehlern auszugehen. Während jedoch bei Safety von zufälliger Fehlbedienung auszugehen ist, steht bei Security die gezielte Manipulation im Vordergrund der Betrachtung. Ein SIL 3-taugliches Safety-Protokoll kann z. B. bis zu einer hohen Fehlerrate (BER=10-2) gegen zufällige Fehler geschützt sein, nicht aber gegen gezielte Manipulation. Ein modernes SIL 3-Protokoll (Black Channel) lässt sich jedoch verschlüsseln und kann so gegen Angriffe geschützt werden. Safety und Security nutzen oft ähnliche Konzepte. So rät die IEC61511 zur Verwendung von Schutzebenen (Layers of Protection) und der Entwurf der IEC62443 (Security) rät zur Trennung von Teilsystemen (Defence in the Depth). Die vermeintlich höheren Aufwände wie z. B. für Schnittstellendefinitionen werden durch einen sicheren Ausschluss von Störgrößen und eine einfachere, robustere Gesamtlösung mehr als kompensiert (Rückwirkungsfreiheit). Des Weiteren unterstützt die heterogene Produktlandschaft den Ausschluss von common code Fehlern (ähnlich wie die common cause Fehler bei Safety). Safety und Security benötigen also organisatorische und technische Maßnahmen zur Risikominimierung. Safety braucht Security. Safety ist nicht Security. Safety trägt aber einiges zur Security bei, wenn die Eigenschaften richtig dokumentiert sind.
HIMA Paul Hildebrandt GmbH
