Forum: Offtopic Definition von Safety und Security im Kontext IT-Sicherheit


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Antonow B. (antonow)


Lesenswert?

Hi,

gibt es offizielle Quellen (Standards/ Normen/ wissenschaftlich 
anerkannte Literatur), denen man den Unterschied zwischen Safety und 
Security entnehmen kann?

Für mich gilt folgendes Verständnis:
Security: Schutz vor einem böswilligen Angreifer
Safety: Schutz vor technischen Problemen (z.B. Ausfall eines System 
durch Redundanzen, Paritätsbit usw.)

Danke & vG

von Harald K. (kirnbichler)


Lesenswert?

Das schöne an Gummibegriffen für Manager, Entscheider und andere 
Minderleister ist, daß man ihnen beliebige Bedeutungen ankleben kann, 
insbesondere, wenn man englischsprachige Begriffe verwendet.

von Flo (linux_user)


Lesenswert?


von Antonow B. (antonow)


Lesenswert?

Hi FLo,

ich habe ein Problem mit dem Gesülze auf diesen Billig-Webseiten. 
Gefühlt kopiert jede Seite den gleichen Müll.

In diesem konkreten Fall wird von OT gesprochen und automatisierten 
Anlagen in der Industrie. Es gibt also einen ganz klaren Bezug zu 
physischen Welt. Nur deshalb macht es meiner Ansicht nach Sinn, über den 
Schutz von Mensch und Umwelt vor physischem Schaden zu sprechen.

Was ist den Safety von Software??????????????

Wie ich sagte, ist nach meinem Verständnis die Ausfallsicherheit 
gemeint. Also Paritätsbits beispielsweise bei Datenspeicherungen oder 
Datenübertragungen. Usw. Security dann die Sicherung vor bösartiger 
Manipulation, z.B. Verschlüsselung.

Danke & vG

von Ge L. (Gast)


Lesenswert?

Antonow B. schrieb:

> gibt es offizielle Quellen (Standards/ Normen/ wissenschaftlich
> anerkannte Literatur), denen man den Unterschied zwischen Safety und
> Security entnehmen kann?

Den  Unterschied hast Du bereits korrekt benannt. Die genaue Definition 
ergibt sich aus den anzuwendenden Normen.

* Functional Safety:
IEC 61508 Functional Safety of Electrical/Electronic/Programmable 
Electronic Safety-related Systems
ISO 26262 Road vehicles – Functional safety

* IT Security:
ISO/IEC 27001 Information technology – Security techniques – Information 
security management systems – Requirements
ISO/IEC 27033 IT Network security
ISO/IEC 27005 Information Security Risk Management
ISO/IEC TR 19791 Security assessment of operational systems
usw.

von Antonow B. (antonow)


Lesenswert?

Kannst du mir ein genaues Zitat aus einer Norm für IT-Sicherheit - 
Safety nennen?

von Daniel A. (daniel-a)


Lesenswert?

Ich dachte immer, bei Safety geht es darum, das niemand zu schaden 
kommen kann?

* Eine Mikrowelle geht nicht an, wenn die Türe offen ist.
* Gefährliche Maschinen haben einen Notabschaltknopf.
* Wenn der Fahrstuhl runter fällt, greift der Bremsmechanismus (da ist 
keine Technik die ausfallen könnte dahinter). usw.

Solche Sachen eben.

von Ge L. (Gast)


Lesenswert?

Antonow B. schrieb:
> Kannst du mir ein genaues Zitat aus einer Norm für IT-Sicherheit -
> Safety nennen?

Was für ein Zitat? Die gängigsten Normen IEC 61508 und ISO 26262 findet 
man (inoffiziell) im Netz und es gibt Dutzende Bücher darüber.


Daniel A. schrieb:
> Ich dachte immer, bei Safety geht es darum, das niemand zu schaden
> kommen kann?
>
> * Eine Mikrowelle geht nicht an, wenn die Türe offen ist.
> * Gefährliche Maschinen haben einen Notabschaltknopf.
> * Wenn der Fahrstuhl runter fällt, greift der Bremsmechanismus (da ist
> keine Technik die ausfallen könnte dahinter). usw.

Exakt. Die genannten Beispiele sind aber alle Hardwarelösungen, die SW 
leistet hier keinen Beitrag zur Sicherheit. Der wäre z.B. gegeben, wenn 
fail operational gefordert ist. Das ESP hat einen Fehler erkannt, aber 
die ABS/EBV-Funktion soll weiter vorhanden sein.

von Uwe D. (monkye)


Lesenswert?

Antonow B. schrieb:
> Hi FLo,
> In diesem konkreten Fall wird von OT gesprochen und automatisierten
> Anlagen in der Industrie.

OT = Operative Technologie (Produktion)

> Es gibt also einen ganz klaren Bezug zu
> physischen Welt. Nur deshalb macht es meiner Ansicht nach Sinn, über den
> Schutz von Mensch und Umwelt vor physischem Schaden zu sprechen.

Von Safety sprichst Du immer dann, wenn es um den physischen Schutz von 
Mensch oder Umwelt (auch Maschinen) sprichst.

Über Security wird geredet, wenn Daten und (IT/OT) Systeme geschützt 
werden sollen.

Beitrag #7491152 wurde von einem Moderator gelöscht.
von Uwe D. (monkye)


Lesenswert?

IT-Sicherheit meint fast immer Security. Es gibt da wenig Deutung. 
Einige Normen wurden schon genannt.

Frage nicht das Forum, sondern „jemanden“ der damit sein Geld verdient. 
Im Konzern den CISO, im Mittelstand die Leute - die diverse Normen 
anwenden wollen (z.B. IEC 62443)

von Antonow B. (antonow)


Lesenswert?

Hallo Uwe,

Was ist den Safety von Software??????????????

Wie ich sagte, ist nach meinem Verständnis die Ausfallsicherheit
gemeint. Also Paritätsbits beispielsweise bei Datenspeicherungen oder
Datenübertragungen. Usw. Security dann die Sicherung vor bösartiger
Manipulation, z.B. Verschlüsselung.

Was ist deine Meinung dazu?

von Ing-Dom (Firma: OpenKNX) (sirsydom)


Lesenswert?

Antonow B. schrieb:
> Was ist den Safety von Software??????????????

nicht nur, aber auch

Funktionale Sicherheit sicherheitsbezogener
elektrischer/elektronischer/programmierbarer elektronischer Systeme –
Teil 3: Anforderungen an Software (IEC 61508-3:2010);
Deutsche Fassung EN 61508-3:2010


Die wesentlichen Anforderungen an Software in sicherheitsbezogenen 
Systemen beziehen sich auf die Vermeidung systematischer Fehler, u.A. 
durch die Vorgabe eines Entwicklungsmodells (V-Modell) mit Validierung 
und Verifikation  auf allen Ebenen des Entwicklungsprozesses.


ist mein täglich Brot. Ich war viele Jahre Functional Safety Manager und 
aktuell leite ich die Entwicklung eines embedded FuSi-Frameworks im 
Bereich der Industrieautomatisierung.

Bzgl der Wechselwirkung zwischen Safety und Security:
Aus aktueller Sicht sind das 2 völlig getrennte Paar Schuhe. Es gab 
Bestrebungen das zu Verbinden in der Normunswelt, aktuell sieht es aber 
so aus, dass es auf eine Anforderung hinausläuft innerhalb der 
Safety-Norm, dass die Security eines Safety-Gerätes gem. einer 
anerkannten Security-Norm realisiert sein muss.
Das ist aber spätestens mit der Einführung des EU-CRA (Cyber Resiliance 
Act) sowieso verpflichtend, insofern....

von Daniel A. (daniel-a)


Lesenswert?

Also für mich geht es bei Safety, auch bei Software, darum, das niemand 
zu schaden kommen kann. Ehrlich gesagt wird es mir unwohl, wenn ich 
Safety in einem anderen Zusammenhang sehe.

Wenn möglich sind Physische / HW Safeties natürlich meistens am besten. 
https://en.wikipedia.org/wiki/Therac-25

Aber nicht alles lässt sich mit HW lösen. Und selbst wenn es nur 
Software ist, auch Software kann gefährlich sein (auch wenn sie nicht in 
einer Mikrowelle drin steckt).

Und selbst wenn ein Programm nicht in der Lage sein sollte, jemanden 
direkt physisch zu Schanden, kann diese Menschen indirekt schaden. 
Jenachdem geht das dann auch in Ethik über.

Ein Beispiel währe z.B. Gefangene, die zu lange hinter Gittern sitzen. 
https://kjzz.org/content/1660988/whistleblowers-software-bug-keeping-hundreds-inmates-arizona-prisons-beyond-release
Das Gegenteil gibt es natürlich auch.

Und dann gibt es Sachen wie Vorhersage Software für die Polizei. Das 
geht zwar eher in Richtung Ethik. Aber man weiss, das solche Software 
nicht richtig funktionieren kann, selbst wenn es den Anschein hat. Es 
schadet Menschen.

Und solche Sachen sind nur das Offensichtliche. Es wäre schön, wenn auch 
in der Softwareentwicklung Safety und Ethik ernst genommen würden...

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.