Müssen die Schwestern Safety und Security unter eine Haube?

24.11.2017 Allgemeines

Komplexe Sicherheitsanforderungen stellen die alte Aufgabenteilung auf den Prüfstand

Flugsicherheit, Security oder Safety?

„Safety steht für Unfallvermeidung, Security für Kriminalprävention“, so die einfache und einleuchtende Formel des TÜV Nord für die beiden Aspekte der Sicherheit. Der Feuerlöscher muss an der richtigen Stelle hängen, das ist Safety; das Werktor muss nachts verschlossen sein, das ist Security. Besser scheint es aber in diesem Fall, in der Vergangenheitsform zu sprechen, denn die organisatorische Trennung der beiden – nur in der englischen Sprache zu unterscheidenden – Sicherheitsbegriffe hat sich in der Praxis überlebt. Heute ist vor allem die Frage zu klären, ob beide Aufgabenfelder administrativ zusammengefasst werden sollen oder sogar müssen.

In der Betrachtung des TÜV Nord wird das Beispiel einer Notausgangstür bemüht. Unter dem Blickwinkel von Safety „muss man zu jeder Zeit aus dem Gebäude herauskommen, im besten Fall steht die Tür immer offen. Für den Bereich Security – Stichwort Objektschutz – sollte es diese Tür im Idealfall gar nicht geben, damit niemand hineinkommt.“ Und so kommt der Autor zu der Schlussfolgerung, „Ziele und Werte von Safety und Security widersprechen sich zum Teil.“ Dies ist allerdings gleichzeitig Grund genug, die herkömmliche Gegenüberstellung von Safety und Security zu hinterfragen.

Natürlich hat die Definition von Safety weiterhin ihre Berechtigung, so wie das Safety-Car auch künftig in kritischen Situationen auf die Formel-I-Piste geschickt wird. Zur Diskussion steht das Alleinstellungsmerkmal von Safety in immer komplexer werdenden Unternehmensabläufen.

Dabei gibt es Bereiche, in denen aus der Natur der Sache heraus Safety und Security recht eigenständige Tätigkeitsfelder weiterhin bilden. Nehmen wir die Luftfahrt. Doch auch dort gibt es dramatische Beispiele – jenseits der hinlänglich bekannten Anschläge – die Security als zwingend notwendigen Bestandteil von Safety begründen.

Am 8. September 1989 war eine Maschine der norwegischen Fluggesellschaft Partnair auf dem Flug von Oslo nach Hamburg, mit 50 Passagieren und fünf Crew-Mitgliedern, vor der Küste Dänemarks 18 km nördlich von Hirtshals abgestürzt. Alle 55 Personen an Bord fanden den Tod. Die Fluguntersuchungen ergaben, dass der Unfall des Charterflugzeuges vom Typ Convair CV-340/580 durch den (unwissentlichen oder bewussten) Einbau mehrerer gefälschter Ersatzteile ausgelöst worden war.

„Schäden entstehen im Safety Bereich auch mit guten Absichten“

Dieser, bis heute schwerste Flugzeugunfall einer norwegischen Maschine, relativiert die Sichtweise eines Airport-Insiders, der sein Credo in zwei Sätze fasste. „Schäden entstehen im Safety Bereich auch mit guten Absichten“, betonte der Betriebsratsvorsitzende der Münchener Flughafen GmbH vor einiger Zeit in einem Vortrag und fügte als Kontrapunkt hinzu: „Im Security Bereich ist die böse Absicht Voraussetzung dafür, dass ein Schaden entsteht!“ Man weiß bis heute nicht, ob der Einbau der gefälschten Teile in das Partnair-Flugzeug unwissentlich oder in „böser Absicht“ erfolgte. Es stellt sich also die Frage, helfen solche Unterscheidungen bei der täglichen Arbeit tatsächlich? Nur hinter einem Bruchteil der Gegenstände, die Jahr für Jahr von den Luftsicherheitsassistenten aus dem Gepäck der Passagiere gefischt werden, verbirgt sich eine böse Absicht. Dennoch werden die Kontrolleure an den Sicherheitsschleusen ohne Wenn und Aber der Security zugerechnet.

Beim TÜV Nord findet man eine sehr technisch bezogene Definition: „Im Bereich der klassischen Safety werden in potenziell gefährlichen Maschinen Funktionen implementiert, um Menschen und Umwelt zu schützen. In Bezug auf Security schützt man dagegen nicht mehr die Menschen vor den Maschinen, sondern es verhält sich umgekehrt: Man bewahrt die Maschine davor, dass Menschen sie lahmlegen oder relevante Sicherheitsfunktionen abschalten können.“

Jeder der schon einmal ein Verkehrsflugzeug bestiegen hat, kennt die obligatorischen „Safety Instructions“ bevor die Maschine abhebt. Es sind Verhaltensregeln bei einem Schadensfall, gleichgültig, durch welchen Umstand dieser herbeigeführt wird. Es wird also klar, dass eine feinsäuberliche Unterscheidung der beiden Begriffe – und damit verbunden eine Trennung der verantwortlichen Zuständigkeit – nur schwer zu vollziehen ist. Inwieweit sie sinnvoll ist steht auf einem anderen Blatt.

Bleiben wir beim Beispiel Airport. Ein Feuer bricht aus, wie zum Beispiel am 11. April 1996 am Düsseldorfer Flughafen. 17 Menschen verloren dabei ihr Leben. Ein Unfall, bei Schweißarbeiten hatte sich das Feuer entzündet. Also kein Thema für die Security?

„Security fordert unsere Gesellschaft in allen Bereichen; Safety darf seine Rolle dabei nicht überschätzen“

Der VDE Verband Elektrotechnik Elektronik Informationstechnik in Frankfurt a.M. hat zur Balance von Safety und Security Expertenmeinungen eingeholt. „Security fordert unsere Gesellschaft in allen Bereichen; Safety darf seine Rolle dabei nicht überschätzen“, steht als Überschrift über der Einschätzung von Holger Laible, einem Safety-Experten bei Siemens, der die Aufhebung einer Trennung der beiden Sicherheitsfelder befürwortet und dies zu begründen weiß: „Der derzeitige Trend, Security zunehmend als Teil der Safety aufzufassen und Ableitungen und Analogien zwischen beiden Themenfeldern zu benennen, wird langfristig nicht zielführend sein. Safety geht von einem intakten Umfeld (auch der Security) aus, damit bestehende physikalische Methoden und Konzepte gelten können. Dem gegenüber sind Security-Attacken nicht kalkulier- oder vorhersehbar. Experten der Security stellen im angemessenen Rahmen sicher, dass dieses Umfeld gegeben ist. Safety-Experten tragen zum Verständnis für Sicherheitskonzepte in diesem Umfeld bei.“

Versuchen wir es noch deutlicher zu machen. Es gehört zum sicheren Betriebsablauf, dass beispielsweise in einem Flugzeug alle Instrumente einwandfrei funktionieren, damit der Pilot mit seiner Crew die Maschine auftragsgemäß fliegen und navigieren kann. Also klassische Safety-Vorbereitungen. Um unter heutigen Bedingungen eine Attacke gegen das Flugzeug zu führen, wird mehr das Ausschalten dieser sicheren Funktionalität in den Fokus der Angreifer rücken. Insofern heißt, um die These vom Siemens-Experten Laible auf die Füße zu stellen: Security schützt oder garantiert Safety!

Diese Erkenntnis zu Ende gedacht, bedeutet auch, gewisse Konsequenzen zu ziehen. Organisatorisch ist es dann nur noch folgerichtig, Safety in den Bereich Security zu implementieren.

Das ergibt sich aus gewissen Abläufen. Greifen wir noch einmal den Brand am Flughafen auf. Wenn dieser Fall eintritt, geht man – insbesondere unter den heutigen Befindlichkeiten – davon aus, des es sich um einen Anschlag handeln kann. Das heißt, die Security-Abteilung ist bis zur vollständigen Klärung der Ursache in höchstem Maßen gefragt, da es ihr ja auch obliegt, die gesamte Gefährdungssituation vor dem Ausbruch des Brandes noch einmal unter die Lupe zu nehmen und vor allen Dingen als erster Ansprechpartner für die auf den Plan tretenden staatlichen Ermittler zur Verfügung zu stehen.

Noch deutlicher wird das Verhältnis von Safety zu Security, wenn man einen Blick in die (längst begonnene) Zukunft wagt. Die Energieversorgung, die ein wichtiger Teil der kritischen Infrastruktur ist, unterbrechungsfrei zu gewährleisten ist Aufgabe von komplizierten Steuerungsprozessen, sensiblen Lieferketten etc. Allesamt wichtig unter dem Aspekt der einwandfreien Funktion im Sinne von Safety. Darüber aber muss das Schutzschild von Security ausgebreitet sein. Das kann seine Aufgabe nur erfüllen, wenn die Safety-Maßnahmen bis ins Detail abgestimmt sind.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) listet folgende zehn Bedrohungen auf, denen industrielle Steuerungssysteme derzeit ausgesetzt sind:

- Infektion mit Schadsoftware über Internet und Intranet

- Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware

- Social Engineering

 - Menschliches Fehlverhalten und Sabotage

- Einbruch über Fernwartungssysteme

- Mit dem Internet (via IP) verbundene Steuerungskomponenten

- Technisches Fehlverhalten und höhere Gewalt

 - Kompromittierung von Smartphones im Produktionsumfeld

 - Kompromittierung von Extranet und Cloud-Komponenten

- (Distributed) Denial of Service Angriffe - (D)DoS.

Hier kommt man an den Kern des Problems. Beim Internet der Dinge (IoT) oder Industrie 4.0 lassen sich die beiden Begriffe in den Abläufen praktisch nicht mehr trennen. Verband Deutscher Maschinen- und Anlagenbau (VDMA) rückt Security unübersehbar ins Zentrum: „Ohne den Schutz von Daten und Know-how ist Industrie 4.0 undenkbar.“

Weiteres Beispiel: autonomes Fahren. Das via Internet gesteuerte Fahrzeug bekommt seine Safety-Befehle (also die Steuerung zum sicheren Fahren) auf demselben Wege, wie auch Hackerangriffe, die den fahrbaren Untersatz zu kapern versuchen. Um das autonome Fahren vor ungebetenen Chauffeuren zu schützen, müssen Safety und Security faktisch verschmelzen.

Dies führt in der logischen Konsequenz dazu, dass auch die administrative Verantwortung für die Abläufe in einer Hand (die natürlich auch die Größe einer organisatorischen Einheit erreichen kann) zusammen geführt werden muss.

Dieser gesellschaftlich-technischen Entwicklung trägt seit einiger Zeit die Hochschule Furtwangen mit dem Studiengang Security & Safety Engineering Rechnung. „Security & Safety Engineering geht von einem ganzheitlichen Sicherheitsverständnis aus“, sagte dazu Professor und Studiendekan Ludger Stienen gegenüber der Presse.

Thomas Schuster

Zurück