IT-Sicherheit

Wenn sicherheitsgerichtete Steuerungen ihre Sicherheitsfunktionen zuverlässig erbringen, sprechen wir von funktionaler Sicherheit.

Die Definition aus der DIN EN 61508-4:2011 (VDE 0803-4) lautet:

3.1.12
funktionale Sicherheit:

Teil der Gesamtsicherheit, bezogen auf die EUC und das EUC-Leit- oder Steuerungssystem, der von der korrekten Funktion des E/E/PE-sicherheitsbezogenen Systems und anderer risikomindernder Maßnahmen abhängt

Das folgende Beispiel ist sinngemäß DIN EN 61508 Beiblatt 1 (VDE 0803 Beiblatt1) entnommen und hier weiter ausgeführt:

Betrachten wir eine Schneidemaschine, die von einer speicherprogrammierbaren Steuerung (SPS) gesteuert wird. Sie hat ein rotierendes Messer, das mit einer aufklappbaren festen Abdeckung als Schutzeinrichtung versehen ist. Zur regelmäßigen Reinigung ist das Messer durch Aufklappen der Abdeckung zugänglich. Die Abdeckung ist durch die SPS mit dem Antrieb des Messers so verriegelt, dass er bei jedem Anheben gestoppt wird. Dadurch wird das Messer angehalten, bevor sich der Bediener damit verletzten kann.

„EUC“ in der obigen Definition bedeutet „Equipment under Control“, in unserem Beispiel ist es die Schneidemaschine.

„EUC-Leit- oder Steuerungssystem“ ist in diesem Fall die SPS.

Eine Risikoanalyse hat jedoch ergeben, dass eine gewöhnliche SPS nicht zuverlässig genug ist, um den Maschinenbediener hinreichend zu schützen. Es wird deshalb ein zusätzliches, Schutzsystem vorgesehen. Es überwacht mit einem elektronischen Näherungsschalter die Abdeckung und wirkt auf den Motor. Es heißt in der obigen Definition „E/E/PE-sicherheitsbezogenen System“.

Möglicherweise ist es mit Schützen oder Relais aufgebaut. Hierfür steht das erste „E“ (elektrisch)

In einigen Fällen steckt ein festverdrahtetes Sicherheitsschaltgerät dahinter, das intern mit diskreten Halbleitern aufgebaut ist. Hierfür steht das zweite „E“ (elektronisch)

Stand der Technik ist ein Sicherheitsschaltgerät mit Mikrorechner. Sein Programm kann für diesen Anwendungsfall  konfiguriert werden. Hierfür steht „PE“ (programmierbar elektronisch)

Eine derartige Schneidemaschine ist mit verschiedenen Gefahren verbunden. Der Bediener könnte einen elektrischen Schlag bekommen, wenn die elektrische Installation schadhaft sein sollte und er die Maschine anfasst. Möglicherweise erwärmt sich das zu schneidende Gut beim Schneidevorgang so stark, dass es zur Verbrennung der Hand des Bedieners führt, wenn dieser ohne seine Schutzhandschuhe damit umgeht. Sicherheit gegen diese Gefahren meinen wir nicht, wenn wir in diesem Beispiel über funktionale Sicherheit sprechen. Wir betrachten hier nur den Fall, dass das E/E/PE-sicherheitsbezogenen System nicht zuverlässig arbeitet, der Bediener die Abdeckung anhebt und in das laufende Messer greift. Das bedeutet die Formulierung „Teil der Gesamtsicherheit...“

In der oben genannten Definition taucht das Wort „Funktion“ auf. Die „Sicherheitsfunktion“ ist ein zentraler Begriff in der DIN EN 61508 (VDE 0803). Das ist die Aufgabenstellung an das sicherheitsgerichtete System. Sie könnte in unserem Beispiel lauten:

„Wird die aufklappbare Abdeckung um 5 mm oder mehr angehoben, dann muss der Motor abgeschaltet und die Bremse aktiviert werden, so dass das Messer innerhalb von 1 Sekunde zum Stillstand kommt“

Es könnte sein (wenn auch nicht gerade in diesem Beispiel), dass der Schutz des Bedieners auch durch mechanische Maßnahmen, wie z.B. ein Schutzgitter, erreicht wird. Das ist gemeint mit „anderen risikomindernden Maßnahmen“.

Im Fall der Realisierung mit wenigen Schützen oder Relais sind alle Ausfallarten des elektromechanischen Systems bekannt, so dass es ein „einfaches System“ ist. Die Vorschriften den DIN EN 61508 (VDE 0803) brauchen dann nicht angewendet zu werden.

In der Praxis wird in einem vergleichbaren Anwendungsfall nicht immer ein separates Schutzsystem eingesetzt, sondern die gesamte Antriebssteuerung in einem sicherheitsgerichteten System zusammengefasst.

Dieses Beispiel soll nur zur Erläuterung der Terminologie dienen. Die funktionale Sicherheit für Maschinensteuerungen wird in den sektorspezifischen Normen DIN EN 62061(VDE 0113-50) und DIN EN ISO 13849 behandelt. Für bestimmte Maschinen kann es weitere sogenannte C-Normen geben

 IT-Sicherheit beschäftigt sich mit dem Schutz von IT-Systemen vor unerlaubten Handlungen. IT-Sicherheit ist damit etwas anderes als funktionale Sicherheit. Im deutschen Sprachgebrauch wird auch von "Informationssicherheit" gesprochen, im englischen von „Security", „Information security" oder „Cyber-Security". Eine Definition von „Information Security" findet sich in ISO/IEC 27001:2009, 2.19. In deren deutschen Übernahme, der DIN ISO/IEC 27001, lautet die entsprechende Stelle:

 Aufrechterhaltung der Vertraulichkeit (2.9), Integrität (2.25) und Verfügbarkeit (2.7) von Informationen

ANMERKUNG Zusätzlich können auch andere Eigenschaften wie Authentizität (2.6), Zurechenbarkeit (2.2), Nicht-Abstreitbarkeit (2.27) und Verlässlichkeit (2.33) einbezogen werden.

Lesen Sie im folgenden die Sicht des UK 931.1 „IT-Sicherheit in der Automatisierungstechnik", wie Normenanwender künftig mit diesen beiden Themen umgehen müssen

 In der Regel werden IT-Sicherheit und funktionale Sicherheit getrennt behandelt. In der Tat sind dies zwei verschiedene Fachgebiete und so findet auch die Normung in unterschiedlichen Gremien statt. In den einschlägigen Normen wird darauf hingewiesen, dass das jeweils andere Thema zu beachten ist, es werden auch die entsprechende Normen zitiert. Es fehlt ihnen jedoch eine ganzheitliche Betrachtung.

Was unterscheidet nun die funktionaler Sicherheit von der IT-Sicherheit? Bei der funktionalen Sicherheit (Englisch: „functional safety") geht es darum, durch Automatisierungstechnik sicherzustellen, dass von einem Gerät oder einer Anlage keine Gefahr für Menschen oder Umwelt ausgeht. Diese Art von Sicherheit richtet sich gewissermaßen „vom Gerät nach draußen".

Bei der IT-Sicherheit (Englisch: „Security") geht es darum, Gefahren abzuwehren, die von außen auf das System einwirken. Es geht also um Dinge wie Schadsoftware oder einen nicht autorisierten Zugriff auf ein System. In beiden Fällen kann die Funktion des System beeinträchtigt oder es sogar dazu gebracht werden, nichts oder etwas Falsches zu tun.

Damit ist schon die Verbindung zwischen beiden Themen hergestellt: Wenn das betrachtete System zum Beispiel eine sicherheitsgerichtete Steuerung oder ein Feldgerät in einer Sicherheitseinrichtung ist, dann ist jede Beeinträchtigung seiner Funktion auch gleichzeitig eine der (funktionalen) Sicherheit.

Beeinträchtigungen der Sicherheitsfunktionen von sicherheitsgerichteten Systemen werden in der funktionalen Sicherheit mit einer entsprechenden Fehleranalyse untersucht und anhand von statistischem Material abgeschätzt. Etwas schwerer erscheint die Beurteilung der Zuverlässigkeit von Software, hier hilft dann unter anderem ein Qualitätsmanagementsystem.

Ganz schwierig wird eine quantitative Aussage, wenn Bedrohungen der IT-Sicherheit mit einbezogen werden sollen. Es ist praktisch unmöglich, hier die Gefahr abzuschätzen und in eine zu erwartende Ausfallrate zu übersetzen. Es hängt vieles von den Schwachstellen der Systeme ab, die zum Zeitpunkt der Untersuchung noch nicht bekannt sind. Der Faktor Mensch spielt eine große Rolle, das Verhalten der eigenen, in der Regel gutmeinenden Mitarbeiter, aber auch die Motivation und Möglichkeiten potentieller Angreifer. Es ist eine bislang ungelöste Aufgabe, in diesem Kontext zu einer belastbaren Aussage über die zu erwartenden Ausfällen zu kommen. Dies sollte Grund genug sein, dass Fachleute beider Gebiete bei diesem wichtigen Thema zusammenarbeiten.

(von Dr. Wolfgang Morr/Bayer Technology Services GmbH, Geschäftsführer der NAMUR, Obmann UK 931.1)

Bei der Gefärdungsanalyse auch die IT-Sicherheit betrachten

Die Normen zur funktionalen Sicherheit schreiben im Rahmen ihres Sicherheitslebenszyklus im Allgemeinen eine Risikoanalys vor. Hier muss auch die IT-Sicherheit betrachtet werden, sehen Sie dazu bitte auch die entsprechende Mitteilung des für die DIN EN 61508 (VDE 0803) zuständigen GK 914.