VDE – Teil 1 Die Sicherheit eingebetteter Systeme

Die Sicherheit eingebetteter Systeme
Die Sicherheit eingebetteter Systeme

Mikrorechnerbasierte Systeme übernehmen immer mehr Sicherheitsaufgaben in unserem Alltag. Damit diese Funktionen auch richtig ausgeführt werden, gibt es Normen zur funktionalen Sicherheit und IT-Sicherheit, die nicht nur technische Fragen beantworten. Im Auftakt der Artikelreihe zur funktionalen Sicherheit wird der Sicherheitsbegriff sowie die grundsätzliche Vorgehensweise erläutert.

In unsere technische Umgebung halten immer mehr mikrorechnerbasierte Systeme Einzug - und sie übernehmen dabei auch Sicherheitsfunktionen: Sie wachen über den richtigen Druck im Reaktionskessel von Anlagen der chemischen Industrie, sie sorgen dafür, dass Eisenbahnzüge auf dem richtigen Gleis mit der richtigen Geschwindigkeit fahren, sie kontrollieren die Kräfte im Bremssystem in unserem Automobil, lösen bei Bedarf den Airbag aus und sie verhindern Unfälle im Umgang mit Maschinen. Wir sprechen von eingebetteten Systemen, wobei die erwähnten Sicherheitsfunktionen eine Teilmenge ihrer Aufgaben bilden.

Die Menschen möchten auf diese Helfer in ihrer Umgebung vertrauen können und erwarten hierfür eine entsprechend befähigte Technik. Funktionale Sicherheit und IT-Sicherheit sind die Werkzeuge des Automatisierungsingenieurs, um hinreichend sicher zu sein, dass die Sicherheitsfunktionen richtig ausgeführt werden und unerlaubte Handlungen nicht die Hilfe der elektronischen Systeme in eine böse Überraschung verkehren können.

Funktionale Sicherheit und -IT-Sicherheit

Funktionale Sicherheit bedeutet hierbei die Fähigkeit, die festgelegten Sicherheitsfunktionen zuverlässig und spezifikationsgemäß auszuführen. Die Auslegungsgrundsätze für Systeme, die diese Fähigkeit aufweisen sollen, sind Gegenstand der siebenteiligen Reihe der Internationalen Sicherheitsgrundnormen IEC 61508; sie wurde in das deutsche Normenwerk als Reihe DIN EN 61508 (VDE 0803) übernommen, siehe auch [1] bis [7] sowie [8]. Systeme, die Sicherheitsfunktionen ausführen, werden in der Norm „sicherheitsbezogene Systeme“ genannt; üblich sind auch die Benennungen „sicherheitsgerichtete Systeme“ oder „sichere Systeme“.

Das Ziel der Informationssicherheit ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, die ein System verarbeitet, sicherzustellen - je nach Betrachtungsweise können weitere Ziele hinzutreten. Diese Informationen können zur Ausführung von Sicherheitsfunktionen dienen oder auch nicht. Ein möglicher Angreifer könnte beispielsweise versuchen, die Ausführung einer Sicherheitsfunktion zu stören und damit Gefahren herbeizuführen, oder aber er kann unbemerkt vertrauliche Informationen gewinnen, ohne dass ein Sicherheitsproblem auftritt. Aus diesem Grunde ist es nicht vorteilhaft, die IT-Sicherheit als Spezialdisziplin der funktionalen Sicherheit aufzufassen. Die Auslegungsgrundsätze für eingebettete Systeme, die Eigenschaften der IT-Sicherheit aufweisen sollen, sind indes noch nicht fest gefügt, es gibt hierzu noch keinen „Stand der Technik“. Dieser wird gerade erst im Rahmen der internationalen Normung erarbeitet. Der zweite Teil der Artikelserie wird eine Vorausschau geben und diese mit den Grundsätzen der funktionalen Sicherheit vergleichen.

Diejenigen Anwendungsgebiete, in denen eingebettete Systeme eingesetzt werden, haben bereits ihre eigene Vorgehensweise zum Erreichen von Sicherheit - eine Sicherheitsphilosophie, die mit den Betrachtungsweisen der funktionalen Sicherheit und der IT-Sicherheit nicht unbedingt übereinstimmt. Insbesondere die Vorgehensweise der klassischen Elektrotechnik zur Erreichung von Sicherheit ist hier zu nennen. Mindestens Verständnisprobleme sind daher oft die Folge.

Erläutert beispielsweise der Ingenieur der funktionalen Sicherheit die Beherrschung der zufälligen Bauteilausfälle und die Vermeidung von systematischen Fehlern in der von ihm vorgeschlagenen sicherheitsgerichteten Steuerung, fragt sich sein Kollege aus der Starkstromtechnik, wo denn hier die Sicherheit unter normalen Bedingungen und denen des ersten Fehlers bleibt. Während des Vortrages über grundlegende Anforderungen der IT-Sicherheit des hierfür zuständigen Fachmanns legt sich die Stirn des für die Anlagensicherheit Verantwortlichen fragend in Falten, weil er im Geiste vergeblich versucht, diese als Ergebnis einer Risikoanalyse, die er gewohnt ist, herzuleiten.

Diese Verständigungsschwierigkeiten behindern in der Praxis die angemessene Behandlung von funktionaler und IT-Sicherheit in neuen Anwendungsgebieten und damit letztlich den Einsatz eingebetteter Systeme in diesen. Daher ist es hilfreich, die gemeinsamen Grundlagen sowie die Grundsätze der benachbarten Disziplinen zur Sicherheit zu erläutern, was im Folgenden geschehen soll.