VDE dialog: Können Sie die Verwirrung erklären?
Prof. Dr. Dieter Wegener: Fangen wir mit Safety und Security an. In der deutschen Sprache sagen wir zu beidem Sicherheit, obwohl es verschiedene Themen sind, und daher rührt die Verwirrung. Es gibt dazu ein schönes Bild aus der Hundewelt: Für Safety steht der Bernhardiner. Er kümmert sich um die persönliche Unversehrtheit und die Gesundheit eines Menschen. Dagegen steht ein scharfer Wachhund für die Security. Er schreckt beispielsweise Einbrecher ab, die mit Absicht und krimineller Energie in ein System eindringen wollen. Die Hunde stehen also für zwei Domänen, die sich stark unterscheiden. In der Safety-Domäne kommt es darauf an, zu verhindern, dass Menschen verletzt werden und/oder die Umwelt in Mitleidenschaft gezogen wird. Hier handelt es sich um ein statisches Umfeld. In dieser Domäne sind Methoden und Maßnahmen transparent, damit Fehler erkannt und Gegenmaßnahmen implementiert werden können.
VDE dialog: Was ist in der Security-Domäne so anders?
Prof. Dr. Dieter Wegener: Hier geht es um Auswirkungen auf die Verfügbarkeit und die Integrität eines Systems. Es bedarf der Vertraulichkeit, sowohl was die Funktionen als auch die Schwachstellen betrifft. Und: Das Umfeld ist dynamisch. Es gilt, beabsichtigte – zum Teil kriminell motivierte –, aber auch unbeabsichtigte Manipulationen abzuwehren.
VDE dialog: Für den Laien ist auf den ersten Blick nur schwer zu erkennen, wo der Unterschied tatsächlich liegt.
Prof. Dr. Dieter Wegener: Er spielt in der Praxis eine große Rolle. Denn in beiden Domänen arbeiten verschiedene Experten mit verschiedenen Methoden, mit unterschiedlichen Prozessen und Zeitstrecken. In der Security-Domäne geht es um Herausforderungen und Risikoanalysen bezogen auf Verfügbarkeit und Integrität des Systems. Werden sie verletzt, dann kann nicht nur ein wirtschaftlicher Schaden entstehen.
VDE dialog: Der aber auch schon an die Existenz gehen kann...
Prof. Dr. Dieter Wegener: Und deshalb unbedingt vermieden werden sollte. Aber jetzt wird es spannend: Denn Manipulationen in der Security-Domäne können auch Auswirkungen auf die Safety-Domäne haben. Dann entsteht nicht mehr nur materieller Schaden, dann geht es um Risiken für Menschen und Umwelt mit gesundheitlichen Folgen – und das hat im Falle eines Unfalls mit Personenschaden sogar strafrechtliche Konsequenzen.
VDE dialog: Was vielen noch nicht bewusst ist?
Prof. Dr. Dieter Wegener: Maschinenhersteller erklären mit dem CE-Kennzeichen, dass ihr Produkt die Anforderungen der europäischen Maschinenrichtlinie 2006/42/EG beziehungsweise des deutschen Produktsicherheitsgesetzes und der Produktsicherheitsverordnung erfüllt und dass die Maschine einem Konformitätsbewertungsverfahren unterzogen wurde. Als Entwicklungsleiter oder Produktverantwortlicher müssen Sie deshalb eine Konformitätserklärung unterschreiben. Wenn aufgrund konstruktiver Mängel, die hätten verhindert werden können, Menschen oder die Umwelt zu Schaden kommen, schreitet der Staatsanwalt ein, es droht Gefängnis! Deshalb ist Safety so relevant.
VDE dialog: Also ist dies doch ein Security-Problem und muss im Rahmen der Security-Implementierung berücksichtigt werden?
Prof. Dr. Dieter Wegener: Es muss dafür gesorgt werden, dass die Safety-Auflagen erfüllt werden. Die Safety, um die sich ganz andere Spezialisten kümmern, muss mit der Industrial Security verzahnt werden. Und genau dafür entwickeln wir gerade bei der DKE eine VDE-Anwendungsregel für Safety und Security. Konkret haben wir die Anwendungsregel VDE-AR-E 2802-10-1 für Security und Funktionale Sicherheit entwickelt. Diese Regel verbindet systematisch die Industrial Security gemäß IEC 62443 und die Funktionale Sicherheit gemäß der IEC 61508, vor allem bei Automatisierungssystemen. Sie unterstützt Hersteller, Integratoren und Betreiber.
VDE dialog: Welche Rolle spielt sie in der Praxis?
Prof. Dr. Dieter Wegener: Siemens beispielsweise fertigt Geräte für die Automatisierungstechnik. Der Integrator konzipiert eine ganze Fabrik, unter anderem mit Komponenten von Siemens. Er ist dafür verantwortlich, dass die Anlage – auch unter dem Mitwirken von Service-Providern – sicher betrieben wird, wie es der Gesetzgeber nach dem Produktsicherheitsgesetz und der Produktsicherheitsverordnung fordert. Deshalb kommen hier den Safety-Funktionen innerhalb der Security-Umgebung eine sehr hohe Bedeutung zu. Denn wenn zum Beispiel ein Hacker einen Roboter umprogrammiert, sodass er materiellen Schaden anrichtet, ist dies nur ein Security-Problem. Verletzt er aber aufgrund des Angriffes Menschen, so tritt – wie gesagt – der Staatsanwalt auf den Plan. Teil 1 der VDE-AR-E 2802-10-1 ist gerade fertiggestellt worden. Sie beschreibt die Grundlagen: die Begriffe, Basisansätze, die Probleme und die Zusammenhänge zwischen Safety und Security. Sie beschreibt auch Konflikte, Lösungen und Wechselwirkungen und kategorisiert die Ziele.
VDE dialog: Was steht noch aus?
Prof. Dr. Dieter Wegener: Die VDE-AR-E 2802-10-1 besteht aus insgesamt vier Teilen. Der erste ist bereits abgeschlossen. Im zweiten Teil werden Referenzarchitekturen – ähnlich wie RAMI 4.0 oder SGAM – entworfen. Im dritten Teil folgt eine erweiterte Risiko- und Anforderungsanalyse für Security, auf die die Methoden von Safety nicht direkt anwendbar sind. Der vierte Teil wird sich mit Anwendungsbeispielen beschäftigen.
Das Interview führte Heinz Arnold. Er ist Chefredakteur von Markt & Technik, der Wochenzeitung für Elektronik.
