Security versus Safety

Beginnen wir mit der Definition der Begriffe "Sicherheit", "Security" und "Safety". Risiken und gefährdete Assets zu erkennen, ist eine der Grundpfeiler der IT und Informationssicherheit. In diesem Zusammenhang sprechen wir oft von möglichen Gefahren und deren Auswirkungen auf Betrieb und Arbeitsabläufe. Wir versuchen die Auswirkungen von Sicherheitsrisiken zu mitigieren, stehen aber gleichzeitig vor einem Definitionsproblem. Denn während im Englischen die Begriffe "Safety" und "Security" unterschiedliche Bedeutungen wiedergeben, steht uns im Deutschen nur das Wort "Sicherheit" zur Verfügung. Es ist daher sinnvoll die beiden englischen Begriffe näher zu beleuchten, und die dahinterstehenden Konzepte besser zu verstehen und Reibungsverluste in der Kommunikation zu minimieren. "Safety" lässt sich oft auch als Betriebssicherheit bezeichnen, obgleich der Begriff für die eigentliche Bedeutung von "Safety" in der IT etwas zu eng gefasst ist. Sie versucht Mensch und Maschine vor Schaden und Fehlbedienung zu schützen. Ein Beispiel hierfür sind Schutzabdeckungen, durch die sich ein Gerät erst dann in Betrieb nehmen lässt, wenn sie vollständig geschlossen sind. Oder eine Flugzeugtür die sich erst dann öffnen lässt, wenn sich Innen- und Außendruck auf selbem Niveau befinden. "Safety" schützt also vor Verletzung, Beschädigung oder Zerstörung. Wurde ein Gerät oder eine Software so entworfen, dass die Nutzung oder Bedienung nur unter diesem Augenmerk möglich ist, handelt es sich um "Safety by Design". Betrachten wir das Beispiel einer Flugzeugtür, so ist die Eigenschaft, dass sich diese im Flug nicht öffnen lässt, ein Design Feature. Der im Vergleich zum Außendruck höherer Kabinendruck und der Einsatz einer sich nach innen öffnenden Tür, schützt vor Fehlbedienung, wodurch verhältnismäßig wenige Menschen jährlich durch versehentliches Öffnen einer Flugzeugtür während des Fluges aus einer Kabine gesogen werden. "Safety by Default" wäre hingegen, wenn sich die Kabinentür nach außen öffnen ließe und ein Bolzen die Tür automatisch bei Druckunterschied verriegeln würde. Während diese Maßnahme zwar den selben Zweck erfüllt, kann eine Rekonfiguration der zugrundeliegenden Software oder das Versagen eines Drucksensors die Funktion dieser Safety-Maßnahme beeinträchtigen. Sicherheitsmaßnahmen, die unter dem englischen Begriff "Safety" fallen, sind meist auch gesetzlich geregelt und finden sich in unzähligen Normen wieder. Je nach Einsatzgebiet ist die Einhaltung solcher Normen zwingend erforderlich. Safety-Maßnahmen sind in der Regel sehr statisch, da sich die zugrundeliegenden Anforderungen zumeist selten oder auch nie ändern. Dies gilt besonders für die Kategorie "Safety by Design", da eine Änderung einer Maßnahme oft nur mit radikalen Änderungen an der entsprechenden Komponente oder deren vollständige Neuentwicklung möglich ist. Der englische Begriff "Security" kann im deutschen Sprachraum mit dem Begriff der Daten/ und Informationssicherheit gleichgesetzt werden. Es geht hier unter anderem Informationen und Systeme zu schützen so wie deren Eigenschaften, wie Vertraulichkeit, Integrität und Verfügbarkeit zu Gewehrleisten. Drei Begriffe, die wir als sogenannte primäre Schutzziele der Informationssicherheit noch im Detail behandelt werden. Diese Art von Sicherheit wird im Gegensatz zu Betriebssicherheit erst seit kurzem von tatsächlicher Relevanz. Während "Safety" vor Jahrzehnten ein Thema aufgrund von Industrialisierung und Automatisierung war, hat die "Security" erst durch die zunehmende Vernetzung und die Digitalisierung im selben Maß an Bedeutung gewonnen. Da wir in diesem Kontext mit zusätzlichen Faktoren, wie beispielsweise der Angreifermotivation konfrontiert sind, handelt es sich um ein sehr dynamisches Gebiet. Mittlerweile finden wir Anforderungen an die Informationssicherheit auch zunehmend in der Gesetzgebung wieder. Eines der prominentesten Beispiele hier ist die Datenschutzgrundverordnung.