Risiken verstehen und bewerten

Markus Schacher hat uns bei einem Workshop die wichtigsten Informationen zur modellbasierter Risikoanalyse als Grundlage für die Ableitung von Sicherheitsanforderungen vermittelt. Markus Schacher ist von der Firma KnowGravity Inc. und dort zuständig für Coaching, Training und Produktmanagement. KnowGravity ist ein Beratungsunternehmen mit Fokus auf ganzheitliches und strukturiertes Business-, Systems und Software-Engineering und bieten verschiedene Services in den Bereichen Enterprise Architecture, Cyber Security und Digitale Transformation.

Ziele der Risikoanalyse

Du weisst, was Risiko ist und wie es behandelt wird
Du hast die wichtigsten Begriffe und Abkürzungen gehört
Du hast einige der wichtigsten Techniken ausprobiert

Definition

Es gibt verschiedene Definitionen für Risiko:

ISO 26262 Funktionale Sicherheit: Die Kombination aus der Eintrittswahrscheinlichkeit eines Unheils und dessen Schweregrad.
ISO 21434 Cyber Security: Der Effekt von Unsicherheit die Cyber Security eines Strassenfahrzeugs ausgedrückt in Angriffswahrscheinlichkeit und Auswirkung.
ISO 27000 Informationssicherheit-Managementsystem/ISO 31000 Risikomanagement: Der Effekt von Unsicherheit auf Objekte.

Risikomatrix

Ein häufig verwendetes Hilfsmittel zur Risikobewertung ist die Risikomatrix (siehe Abbildung). Sie ist beschrieben durch zwei Achsen: die x-Achse bezeichnet die Kosten eines Ereignisses (hier in Euro) und die y-Achse die zu erwartende Häufigkeit des Eintritts des Ereignisses in Wahrscheinlichkeit pro Zeit. Aus der Multiplikation der beiden Faktoren erhalten wir die Einheit des Risikos, nämlich Kosten pro Zeit.

Die Risikoakzeptanz ist oft durch die gelbe Zone definiert; sie wird auch als ALARP-Region (As Low As Reasonably Practicable) bezeichnet. In unserer Darstellung finden sich in der ALARP-Region Risiken in der Grössenordnung von 0.2 EUR/h bis 2.2 EUR/h, während die Werte in der grünen Zone darunter liegen und die in der orangen entsprechend darüber.

Bei der Risikobewertung geht es dann darum, mögliche Konsequenzen in der Risikomatrix zu positionieren bzw. “einzuzeichnen”. Diese Konsequenzen können durch Gegenmassnahmen nach links und/oder unten verschoben werden.

Failure Mode and Effects Analysis (FMEA)

Die Failure Mode and Effects Analysis (Fehlermöglichkeits- und -einflussanalyse) ist eine Analysetechnik um zu bestimmen, welche Störfälle bei einem Objekt zu welchem Versagen und Konsequenzen führen können und durch welche Gegenmassnahmen diese Konsequenzen verringert werden können. Die Haupttypen von FMEA sind:

System-FMEA: Analyse von potentiellen Fehlern und Konsequenzen von einem existierenden Produkt
Prozess-FMEA: Analyse von potentiellen Fehlern und Konsequenzen von einem existierenden Prozess
Design-FMEA: Analyse von potentiellen Fehlern und Konsequenzen während der Designphase
FMECA (Failure Mode, Effect and Criticality Analysis): wie FMEA, aber quantitativer (insbesondere bezüglich Auswirkungen)

Ursache-/Wirkungsmodelle

Ursache-/Wirkungsmodelle können als Diagramm dargestellt werden (siehe Abbildung). Dabei soll der Zusammenhang von möglichen Ereignissen (Ursachen), die daraus folgenden gefährlichen Situationen und die wiederum daraus folgenden möglichen Konsequenzen verdeutlicht werden.

Es wird zwischen zufälligen und systematischen Fehlern unterschieden:

zufällig: Ein Fehler kann jederzeit auftreten und nur limitiert kontrolliert werden, z. B. das Altern eines Komponenten oder äussere Einflüsse
systematisch: Ein Fehler, der reproduzierbar in ähnlichen Situationen auftritt, z. B. physikalische / softwaretechnische Schwächen eines Designs

Systemmodelle

System

Ein System ist eine Kombination von zusammenhängenden, miteinander interagierenden Elementen, die als kohärente Entität ein einer operativen Umgebung oder einer Unterstützungsumgebung arbeiten um ein definiertes Ziel zu erreichen. Diese Elemente können aus Menschen, Hardware, Software, Firmware, Information, Prozeduren, Einrichtungen, Services und anderen Unterstützungsaspekten bestehen.

Systeme können

zusammengesetzt sein aus Komponenten, die selber als System bezeichnet werden können,
eingebettet sein in grössere Systeme (Systemkontext) oder
verbunden sein zu anderen Systemen über Schnittstellen.

Für eine Risikoanalyse ist es von grosser Bedeutung, das System, worauf sich die Analyse bezieht, und seinen Kontext zu definieren.

Wichtige Begriffe

Tolerable Hazard Rate (THR, Einheit: 1/h): Die Häufigkeit einer Gefahr, die gerade noch akzeptabel ist in Anbetracht des resultierenden Risikos.
Tolerable Functional Failure Rate (TFFR, Einheit: 1/h): Die Häufigkeit eines Fehlers in einer Funktion oder einem System, dass gerade noch akzeptabel ist in Anbetracht des resultierenden Risikos.
(Automotive) Safety Integrity Level ((A)SIL): Einer von verschiedenen definierten diskreten Leveln, um Sicherheitsanforderungen von sicherheitsbezogenen Funktionen zu spezifizieren, die einem sicherheitsbezogenen System zugeordnet werden sollen.

Als Beispiel betrachten wir SIL-Levels basierend auf die TFFR von Komponenten:

10e-6 <= TFFR < 10e-5
10e-7 <= TFFR < 10e-6
10e-8 <= TFFR < 10e-7
10e-9 <= TTFFR < 10e-8

Wichtig: Normen verlangen nach spezifischen Architekturen, Techniken und Massnahmen während des Entwicklungsprozesses.

Techniken

Fehlerbaumanalyse

Fehlerbaumanalyse (Fault Tree Analysis, FTA) ist eine schlussfolgernde Analysetechnik um, ausgehend von Gefahren, potentielle Ursachen in einem Komponenten von einem System zu identifizieren, die zu diesen Gefahren führen könnten. Der typische Ablauf eines Ingenieurs ist dabei:

Gefahren an Systemgrenzen identifizieren
Ursachen in der Systemanatomie suchen
Ursachen von Ursachen suchen
Nach gemeinsamen und ursprünglichen Ursachen suchen
Häufigkeiten schätzen
Potentielle Gegenmassnahmen zur Senkung der Häufigkeiten identifizieren
Sicherheitsanforderungen formulieren

Ereignisbaumanalyse

Ereignisbaumanalyse (Event Tree Analysis, ETA) ist eine induktive Analysetechnik zur Identifizierung von potentiellen Konsequenzen, sobald eine Gefahr in einem System eingetreten ist; inklusive der Bestimmung der Wahrscheinlichkeit dieser Konsequenzen. Der typische Ablauf eines “Pessimisten” ist dabei:

Gefahren an Systemgrenzen identifizieren
Konsequenzen in der Systemumgebung suchen
Konsequenzen von Konsequenzen suchen
Risiken bewerten und berechnen
Verluste schätzen
Potentielle Gegenmassnahmen zur Senkung der Verluste identifizieren
Sicherheitsanforderungen formulieren

Risikomanagement

Nach ISO 31000:2009 bezeichnet Risikomanagement die koordinierten Aktivitäten um eine Organisation bezüglich Risiko zu führen und zu kontrollieren. Sie ist in untenstehender Grafik illustriert.

Fazit

Die Abbildung zeigt eine Übersicht über Risikoanalysetechniken. Illustriert sind die behandelten Techniken ETA, FMEA, FTA und verschiedene damit verbundene Prozesse.

Fazit: Risiken komplexer, heterogener Systeme können und müssen untersucht und verstanden werden, sodass sie akzeptabel und dementsprechend vertretbar gemacht werden können.