Die Anwendung von Systemdenken im Sicherheitsbereich

Letzte Woche fand die ACSAC-Konferenz in New Orleans statt. Eines der invited papers dort war das Fachreferat von Dr. Nancy Leveson mit dem Originaltitel „Applying Systems Thinking to Safety and Security“. Darin sollte es um die Anwendung des Systemdenkens im Sicherheitsbereich gehen. Ich war erst spät in der Nacht in New Orleans angekommen  und somit nicht sicher, ob ich um halb acht Uhr morgens bereits für eine Präsentation aufstehen konnte. Doch nachdem ich schon lange an Systemtheorie interessiert bin (siehe etwa mein Blog über „Die Bedrohung der Bedrohung selbst“), ließ ich mir den Vortrag dennoch nicht entgehen.

Es war die Mühe wert! Dr. Leveson beschrieb das Störfall-Modell (STAMP) und die Risikoanalyse-Technik (STPA), die sie und ihre Kollegen entwickelt haben und die auch das Thema ihres neuesten Buches „Engineering a Safer World“ (Eine sicherere Welt schaffen) sind.  Das Modell und die Technik entwickelten sich aus der Arbeit zum Thema Sicherheit in Kontrollsystemen, und bezog sich auf das Beispiel eines Kontrollsystems für eine automatisierte Eisbahntüre aus einem Sandia-Bericht von John Thomas aus dem Jahr 2012 (Seite 21).

grafik

Die von Dr. Leveson an der ACSAC-Konferenz vorgestellte und in diesem Sandia-Bericht beschriebene Technik beginnt mit der Identifizierung von möglichen Gefahren. Also zum Beispiel der Möglichkeit, dass sich eine automatisierte Tür öffnet, während der Zug sich noch bewegt. Oder aber dem Fall, dass der Zug anhält und die Tür sich eben nicht öffnet. Wenn man diese Gegebenheiten verstanden hat, kann man die Beschränkungen und Anforderungen definieren und in weiterer Folge verfeinern, sobald man mehr über die besonderen Bedrohungen und Störungen  weiß. Solche Bedrohungsszenarien, sogenannte „attack trees“, wie sie für Smart Grid in den NESCOR Berichten vom September 2013 geliefert werden, und andere Techniken, die auf der Detailebene starten, können diesen „Top –down“ -Ansatz ergänzen. Aber Techniken, die auf der höchsten Ebene starten, bieten eine ganz andere Perspektive als solche, die von einem niedrigen Niveau ausgehen.

Zusammen mit meinen Kollegen vom SPARKS -Projekt , werde ich mit Dr. Leveson noch im Januar Kontakt aufnehmen, um über die Anwendung ihres Modells und ihrer Technik im Smart Grid sprechen. Das scheint mir ein sehr vielversprechender Ansatz für eine umfassende Perspektive, wenn es um die Festlegung  der Anforderungen und Beschränkungen für die Smart-Grid –Sicherheit geht. Ich lasse Sie wissen, wie es weitergeht!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.