Kombination von funktionaler Sicherheit und IT-Sicherheit

Kombination von funktionaler Sicherheit und IT-Sicherheit. Obwohl Funktionale Sicherheit (Safety) und Sicherheit in der Informationstechnik (IT-Sicherheit, Security) zwei unterschiedliche Disziplinen der Ingenieurswissenschaften darstellen, so gibt es doch eine klare Abhängigkeit der Funktionalen Sicherheit von der IT-Sicherheit. Während es möglich ist, IT-Sicherheit ohne Funktionale Sicherheit zu erreichen, so ist es unmöglich, Funktionale Sicherheit ohne IT-Sicherheit zu erhalten.

In der Funktionalen Sicherheit werden folgende Eigenschaften an ein System adressiert: Zuverlässigkeit (Reliability), Sicherheitsintegrität (Safety Integrity) und Sicherer Zustand (Safe State).

In der IT-Sicherheit die Eigenschaften: Vertraulichkeit (Confidentiality), Verfügbarkeit (Availability), Verbindlichkeit (Liability) und Integrität (Integrity).

Bei näherer Betrachtung ist festzustellen, dass die Maßnahmen zur Erreichung der Sicherheitsintegrität in der Funktionalen Sicherheit überwiegend Maßnahmen der IT-Sicherheit sind. D.h. es sind Maßnahmen, die die Integrität der Prozessdaten sowie die korrekte Verarbeitung der Prozessdaten sicherstellen sollen. Nicht im Fokus der Funktionalen Sicherheit ist Vertraulichkeit, Verfügbarkeit und der rechtliche Anspruch auf Verbindlichkeit. Zur Veranschaulichung sei dies an konkreten Beispielen diskutiert.

Verteilte Anwendungen bekommen sowohl in der Automatisierungstechnik als auch in Anwendungen der Fahrzeugtechnik eine immer höhere Bedeutung. Die Kommunikation wird Teil einer sicherheitskritischen Funktion eines Automatisierungssystems. Zur Erfüllung der Funktionalen Sicherheit werden von der Kommunikation Maßnahmen für die Erkennung und Beherrschung folgender Fehler gefordert: Verfälschung von Daten, Wiederholung von Daten, Verlust von Daten, Einfügung von Daten, falsche Abfolge von Daten, Verzögerung der Versendung oder des Empfangs von Daten und falsche Herkunft (Masquerade) von Daten.

Alle Maßnahmen sind eine Domäne der IT-Sicherheit, die für Integrität der Prozessdaten sorgen. Ziel der Funktionalen Sicherheit ist die chronologische Zuordnung sowie die zeitliche Abfolge und Herkunft der Prozessdaten für die Verarbeitung in der Sicherheitsfunktion. Das Ziel wird ausschließlich durch Maßnahmen der IT-Sicherheit erreicht, wie z.B. durch Prüfsummen über das Datenpaket, Zeitstempel im Datenpaket, laufende Nummern für die Datenpakete, Informationsredundanz und/oder Übertragungsredundanz. Dies gilt auch bei der Verarbeitung der Daten durch die Sicherheitsfunktion. Hier fordert die Funktionale Sicherheit die korrekte Programmausführung sowie die Korrektheit des Programms.

Maßnahmen zur Gewährleistung

Alle Maßnahmen, die während des Betriebs erforderlich sind, um die Unverfälschtheit von Daten und Programmen und damit die Funktionale Sicherheit gewährleisten zu können, benötigen zusätzliche Ressourcen der Regel- oder Steuereinrichtung. Dies sind einerseits Ressourcen bezüglich der Speicher wie Programm- und Datenspeicher aber auch Ressourcen bezüglich Schnittstellen für Überwachungsfunktionen und letztendlich Rechenzeit für die Überwachungs- bzw. Integritätsfunktionen. Genau hier entsteht ein Problem für die Funktionale Sicherheit, da einerseits die Integrität der Daten und Programme sicherzustellen ist, andererseits aber auch die zeitgerechte Reaktion auf Sensorsignale für Regel- oder Steuerfunktionen und die Reaktion auf Fehler, um den sicheren Zustand innerhalb der Prozesssicherheitszeit erreichen und aufrecht erhalten zu können.

Durch die Maßnahmen der IT-Sicherheit werden zeitliche Anforderungen bezüglich Reaktionszeit in der Regel- oder Steuerfunktion negativ beeinflusst, insbesondere wenn diese nicht durch Hardware-Maßnahmen sondern durch Software-Maßnahmen umgesetzt werden. Die minimale Reaktionszeit verlängert sich durch die Zusatzfunktionen der IT-Sicherheit z.T. erheblich, so dass zeitliche Anforderungen der Regelung oder Steuerung nicht mehr zuverlässig einzuhalten sind. Die Echtzeitfähigkeit eines zeitlich diskreten Regel- oder Steuersystems geht ggf. verloren, es kommt zu Instabilitäten der Regelung oder zu verspäteter Reaktion einer Steuerung, so dass ein gefährlicher Zustand der gesteuerten oder geregelten Einrichtung erreicht werden kann.

Maßnahmen zur Überwachung

Die Maßnahmen zur Überwachung der Integrität von Daten und Programmen können nur dann reduziert werden, wenn Regel- oder Steuersysteme mehrkanalig realisiert werden und jeder Kanal die Funktionale Sicherheit bezüglich der Regelung oder Steuerung erreichen kann. Dies bedeutet jedoch höhere Kosten für die Regel- und Steuersysteme. Andererseits wird durch frei programmierbare und konfigurierbare Regel- und Steuergeräte ohne IT-Sicherheit der Missbrauch durch den Anwender ermöglicht und die Haftungsfrage bekommt eine neue Dimension.

Nehmen wir einfach die Veränderung eines Regelparameters durch den Anwender an, der z.B. den Produktionsdurchsatz in einer automatisierten Fertigung erhöhen würde. Führt die Veränderung des Parameters ggf. zu gefährlichen Ausfällen des Automatisierungssystems und zu Toten oder zur Gefährdung der Umwelt, so müsste hinsichtlich der Schuldfrage der Verursacher eindeutig festgestellt werden können. Es ist also von höchster Bedeutung, bezüglich der Haftungsfrage festzustellen, was die Ursache eines gefährlichen Ausfalls war und wer hierfür die Verantwortung trägt, entweder der Betreiber, der Hersteller des Automatisierungssystems oder das Bedienungspersonal.

Auch hier ist über Maßnahmen der IT-Sicherheit sicherzustellen, dass unautorisierte Veränderungen am Regel- oder Steuergerät nicht möglich sind und die Änderungen eindeutig Personen oder einem technischen Versagen zugewiesen werden können. Dies ist jedoch nur möglich, wenn der Zugang zum System nur auf einen bekannten Kreis an Personen eingeschränkt und die sicherheitsrelevanten Handlungen der Personen bzw. Anomalien des Systems aufgezeichnet werden. Auch dies bedeutet wieder, Ressourcen eines Regel- oder Steuersystems zu Aufgaben zu verwenden, die ggf. von der Regelung oder Steuerung benötigt werden. Es bedarf in der Funktionalen Sicherheit Strategien, bereits dann Gegenmaßnahmen einzuleiten, solange dies noch kontrollierbar möglich ist. Hierzu werden intelligente Überwachungsfunktionen benötigt.

Sicherheit in der Informationstechnik ist eine Vorbedingung

Wie aus den Beispielen zu erkennen ist, ist die Sicherheit in der Informationstechnik eine Vorbedingung für die Funktionale Sicherheit und kein Widerspruch. Maßnahmen der IT-Sicherheit sind jedoch bestimmende Einflussgrößen für die Anwendbarkeit der Informationstechnik in sicherheitskritischen Anwendungen und schränken das Einsatzspektrum maßgeblich ein. Beides, "Safety und Security", muss in einem ausgewogenen Verhältnis stehen und von der Anwendung her möglich sein.

Der Verzicht auf IT-Sicherheitsmaßnahmen zugunsten der Erfüllung von Regel- oder Steueraufgaben ist nicht zu empfehlen und widerspricht dem Stand der Technik. Systeme ohne ausreichende Maßnahmen zur IT-Sicherheit und zur Funktionalen Sicherheit dürfen in einem sicherheitskritischen Kontext nicht zum Einsatz gelangen. Die Funktionale Sicherheit ist interdisziplinär und nicht eine isolierte Disziplin. Dies wird seit geraumer Zeit erkannt und in einschlägigen Normen und Standards berücksichtigt.

 

KONTAKT

Dipl. Ing. Harald Hauff
TÜV Süd Automotive GmbH, München
Tel.: 089/5791-4378
Fax: 089/5791-4438
harald.hauff@tuev-sued.de
www.tuev-sued.de/automotive