Der SafeSec Day brachte am 03.10. in Brunn am Gebirge jene Community zusammen, die sich tagtäglich mit zweierlei beschäftigt: Safety (der Sicherheit von Mensch, Tier und Umwelt) und Security (der Sicherheit von Daten, Informationen und Systemen). Um die 40 Teilnehmer/innen hörten News aus der Branche und tauschten sich mit den Expert/innen aus – unter anderem zum Thema STPA. Worum geht es dabei?
Die System-Theoretic Process Analysis ist eine Methode zur Gefährdungsanalyse. Sie wurde am MIT (Massachusetts Institute of Technology) in Boston erfunden und findet weltweit immer mehr Anwendung.
STPA unterscheidet sich deutlich von traditionellen Methoden der Gefährdungsanalyse, die sich meist auf den Ausfall einzelner Bauteile konzentrieren. Stattdessen betrachtet STPA Systemzustände und untersucht, welche gefährlichen Zustände zu einem Verlust führen könnten. Zudem kann die STPA auch Situationen aufdecken, in denen alles so läuft wie festgelegt, die sich dennoch als unsicher entpuppen. Diese Verluste können verschiedene Formen annehmen, von Menschenleben, Verletzungen, bis hin zu Reputationsschäden eines Unternehmens. Auch ethische Werte können in die Überlegung inkludiert werden. Die sozio-technologische Betrachtung unter Einbezug von sowohl Mensch als auch Maschine macht STPA besonders relevant für sehr komplexe Systeme, etwa in der Automobilindustrie, der Steuerung von Anlagen oder in der Softwareentwicklung.
Risiko begreifen
Ein Beispiel zur Verdeutlichung: In einem Auto sorgt ein Abstands-Tempomat dafür, dass der Fahrer den eingestellten Abstand zum vorausfahrenden Fahrzeug automatisch einhält. Sollte dieser Mindestabstand jedoch unterschritten werden, entsteht eine gefährliche Situation – der Wagen könnte dem vorausfahrenden Auto zu nahe kommen, was im schlimmsten Fall zu einem Unfall führen würde.
Der erste Schritt der STPA besteht darin, genau solche Verluste zu identifizieren, die es zu vermeiden gilt. Danach wird analysiert, welche Systemzustände zu diesen Verlusten führen könnten. Im nächsten Schritt wird das System logisch modelliert, um zu verstehen, welche Komponenten beteiligt sind und wie sie miteinander interagieren. Dabei geht es weniger darum, wie das System tatsächlich physisch aufgebaut ist, sondern um die Steuer- und Feedbackprozesse.
Nehmen wir wieder das Beispiel des Abstands-Tempomaten: Die Steuerungseinheit des Autos gibt Beschleunigungs- und Bremsbefehle an das Bremssystem und den Motor weiter. Gleichzeitig erhält sie über Sensoren Rückmeldungen, zum Beispiel über den Abstand zum vorausfahrenden Fahrzeug. So hält das Auto den eingestellten Abstand. Problematisch wird es, wenn dieser Informationsaustausch gestört ist, etwa wenn ein Sensor nicht funktioniert oder fehlerhafte Daten liefert. In solch einem Fall könnte das Auto fälschlicherweise beschleunigen, obwohl der Abstand zum Vorderfahrzeug zu klein ist – eine gefährliche Aktion.
STPA ist für alle da
Die Stärke der STPA liegt darin, dass sie nicht nur auf technische Fehler abzielt. Auch wenn alle Komponenten einwandfrei funktionieren, könnten Design- oder Steuerungsfehler dazu führen, dass das System gefährliche Zustände erreicht. Die universelle Anwendbarkeit der STPA ist ein weiteres großes Plus. Sie lässt sich nicht nur auf technische Systeme, sondern auch auf abstrakte Werte wie Vertrauen in eine App anwenden. Dadurch bietet sie eine flexible Methode, die von verschiedenen Branchen und Disziplinen genutzt werden kann.
Über den SafeSec Day
Die Kooperationsveranstaltung von TÜV AUSTRIA Akademie und msg Plaut Austria GmbH beleuchtete den Faktor Mensch genauso wie komplexe Systeme und alle Schnittstellen dazwischen.
Am (Schalt-)Plan standen Impulsvorträge, Workshops und eine Keynote. Zum Beispiel über MBSE Modeling, das Informationen aus bislang verteilten Dokumenten in ein übersichtliches Modell gießt und so einen Überblick verschafft; außerdem ein Impulsvortrag über User Interface Design, ein Vortrag und ein Workshop zur KI und eine kompakte Aussteller-Messe, die den Expertentag ergänzte.