Safety und Security in der öffentlichen IT
Fraunhofer FOKUS

S²: Safety und Security aus dem Blickwinkel öffentlicher IT

News vom 15. Apr. 2015

Das neue ÖFIT-Whitepaper untersucht die Sicherheitsaspekte Safety und Security im Bereich der öffentlichen IT. Zentral ist dabei die gesamtheitliche Betrachtung von Sicherheit. Das Whitepaper thematisiert die vielschichtigen Aspekte von Sicherheit und zeigt die zugehörigen Handlungsfelder und Forschungsfragen auf.
Sicherheit bezeichnet einen von Risiken und Gefahren freien Zustand, der bezogen auf Menschen, Objekte oder Systeme verwendet wird. Das Whitepaper bezieht sich dafür auf die Sicherheitsaspekte Security und Safety. Security meint den Schutz vor Angriffen von außen, Safety das sichere Funktionieren des Systems. Sind beide Sicherheitsaspekte erfüllt, darf weder die Umgebung das System schädigen noch das System die Umgebung. Durch die anhaltende Durchdringung unserer Gesellschaft mit Informationstechnologie verschwimmt die Grenze zwischen Safety und Security nicht nur zusehends, beide Aspekte beeinflussen sich auch gegenseitig.
Das Whitepaper untersucht den Zusammenhang von Safety und Security bezogen auf Verkehr, Versorgung und Industrie genauer und leitet  Gemeinsamkeiten der informationstechnischen Systeme ab. Außerdem werden Herausforderungen und Trends für ein gesamtheitliches Sicherheitskonzept benannt und Handlungsfelder und Forschungsfragen vorgestellt. 
Fünf Kernthesen fassen die Ergebnisse der Untersuchung zusammen:
  1. Um sicher zu sein, brauchen die komplexen Systeme einen multidisziplinären Ansatz und eine verstärkte Zusammenarbeit von Experten mit Domänenwissen.
  2. Informationstechnik übernimmt immer mehr eine Querschnittfunktionen.
  3. Die Vernetzung erhöht die Komplexität. Dadurch können Systeme sowohl sicherer als auch unsicherer werden. Sicherer, weil automatisierte Systeme den Menschen von Routineaufgaben entlasten und menschliches Versagen verhindern. Unsicherer, weil sich die Sicherheitsmaßnahmen auch gegenseitig aufheben und sich Sicherheitslücken potenzieren können.
  4. Ein übergreifendes Sicherheitsmanagement gewinnt an Bedeutung. Es muss jedoch dauerhaft überprüfbar sein, wer bzw. was einen Anteil an der Gesamtsicherheit verantwortet und welche Veränderungen während der Lebenszeit eines Gesamtsystems weitere Sicherheitsmaßnahmen erfordern.
  5. Resilienz und Autonomie ersetzen periphere Sicherheit. Statt auf eine vollständige, dauerhafte Abschottung als alleinige Sicherheitsmaßnahme zu vertrauen, müssen die Systeme widerstandsfähiger werden. Durch Diagnose, Lernfähigkeit und korrektive Adaption wird die innere Abwehrkraft (Resilienz) vernetzter Systeme gestärkt.