Seminar Sicherheitskritische Systeme - Henning Westerholt
Begriffserklärungen und Beispiele für Sicherheitskritische Systeme
Seminar Sicherheitskritische Systeme07., 08. Oktober 2004
Henning Westerholt
Seminar Sicherheitskritische Systeme - Henning Westerholt
Gliederung
Einführung
Wichtige Begriffe
Probleme Computer basierter Systeme
Fehlermanagment
Stromausfall in den USA
Was ist passiert
Gründe
Komplexität
Seminar Sicherheitskritische Systeme - Henning Westerholt
Gliederung
Systemanforderungen
Sicherheitsanforderungen
Der Flugzeugabsturz am Bodensee
Was ist passiert
Gründe
TCAS
Systemüberblick
Probleme bei der Entwicklung
Seminar Sicherheitskritische Systeme - Henning Westerholt
Einführung
Warum überhaupt mit SkS beschäftigen?
„Computer“ sind allgegenwärtig
Schätzungen (Jahr 2000):Ca. 5 Mrd. Mikrocontroller wurden hergestellt (und eingebaut..)
Im „durchschnittlichen Haushalt“ gibt es über 240 Mikrocontroller
Davon allein dutzende im AutoQuelle: http://www.faqs.org/faqs/microcontroller-faq/primer/
Seminar Sicherheitskritische Systeme - Henning Westerholt
Einführung
Sicherheitsimplikationen sind oft nicht sofort sichtbar
Ist ein Toaster gefährlich?
Ach Unsinn, er kann vielleicht mein Toast verbrennen!
Ja?Thermostat ist fehlerhaft
führt zu nicht abschalten der Energie
Daraus entwickelt sich ein Wohnungsbrand
In einem Hochhaus..
Seminar Sicherheitskritische Systeme - Henning Westerholt
Was ist gefährlich?
Allgemein Steuern und Regeln
Kontrolle von Energie, auch von kleinen Mengen
Fazit: Jeder Informatiker wird im Laufe seiner Karriere SkS entwerfen
Deshalb ist Grundwissen wichtig!
Eine Abschätzung ist bei Beginn jedes Projektes notwendig
Seminar Sicherheitskritische Systeme - Henning Westerholt
Wichtige Begriffe
Sicherheit
Was ist ein SkS?
Formen von SkS
Kontrollsysteme
Schutzsysteme
(Warnsysteme)
Hochintegrierte Systeme
Seminar Sicherheitskritische Systeme - Henning Westerholt
Wichtige Begriffe
Gefährdung, Vorfall, Unfall
Risiko, -abschätzung
Integritätslevel
Jedes Projekt muss einen angemessenen Integritätslevel zugewiesen bekommen
Anpassung der Entwicklung daran
Seminar Sicherheitskritische Systeme - Henning Westerholt
Computer basierte Systeme
Haben viele Vorteile
Schnell
Günstig
zuverlässig
Deshalb werden sie immer umfassender eingesetzt
Auch für klassische „fest-verdrahtete“ Lösungen
Seminar Sicherheitskritische Systeme - Henning Westerholt
Computer basierte Systeme
Aber auch Nachteile
Sehr hohe Komplexität
Mangelnde Vorhersagbarkeit
Unendlich viele mögliche Fehlerzustände
Beispiel:
1.000.000 Zustände, fast alle korrekt..
int test(int a, int b){return a/(a+b)
} //def: int i, 0=<i<1000
Seminar Sicherheitskritische Systeme - Henning Westerholt
Folgen
Vollständiges testen von Computer basierten Systemen unmöglich
Da Perfektion im Design und Fertigung nicht erreichbar ist, treten immer Fehler auf
Durchführen von Maßnahmen, um den Fehlern zu begegnen
Seminar Sicherheitskritische Systeme - Henning Westerholt
Fehlermanagment
Fehlervermeidung
Formale Methoden
Fehlerbehebung
Testen von Hard- und Software
Fehlererkennung
Prüfroutinen
Fehlertoleranz
Verschiedene Formen von Redundanz
Seminar Sicherheitskritische Systeme - Henning Westerholt
Der Stromausfall in USA
Am 14. August 2003
Acht Staaten im Nordosten der USA und Teile von Kanada betroffen
Schaden: ca. 6 Mrd. US$
Bis zu fünf Tage kein Strom
Auswirkungen auf 50 Millionen Menschen
Seminar Sicherheitskritische Systeme - Henning Westerholt
Der Ausfall im Überblick
Seminar Sicherheitskritische Systeme - Henning Westerholt
Das Stromnetz in der Region
Seminar Sicherheitskritische Systeme - Henning Westerholt
Gründe für den Ausfall
Mangelhaftes Systemverständnis und Überlastung des Netzes
Hohe Komplexität (später mehr darüber)
Fortschreitender Ausfall von wichtigen Netzkomponenten
Netzbetrieb an den Grenzen der Vorschriften
Aber die Situation wäre kontrollierbar und sicher gewesen!
Seminar Sicherheitskritische Systeme - Henning Westerholt
Gründe für den Ausfall
Ungenügendes Situationsbewusstsein und technische Probleme
Softwareprobleme in der Leitstelle
Keine Kommunikation zwischen Technikern und Bedienern
Mangelhafte Schulung für Notfälle
Folge: Keine Warnfunktionen mehr, die vorhandenen Informationen waren falsch
Seminar Sicherheitskritische Systeme - Henning Westerholt
Gründe für den Ausfall
Unzureichendes Beschneiden der Bäume
Starke Belastung des Netzes durch aus diesem Grund ausfallende Leitungen
Überlastung der Leitungen verstärkte den Effekt noch
Hauptgrund für den Beginn der Kettenreaktion
Seminar Sicherheitskritische Systeme - Henning Westerholt
Gründe für den Ausfall
Fehlerhafte oder keine Echtzeitüberwachung und mangelhafte Zusammenarbeit
Überwachung des Netzes nur durch technische Hilfsmittel, die defekt waren, möglich
Verletzung der „n-1“ Bedingung wird deshalb bei Koordinator nicht erkannt
Keine Vorschriften und Verfahren für Zusammenarbeit der einzelnen Instanzen
Seminar Sicherheitskritische Systeme - Henning Westerholt
Komplexität
"Complexity is the worst enemy of security" – Bruce Schneier
Das selbe gilt auch für safety
Seminar Sicherheitskritische Systeme - Henning Westerholt
Komplexität
Wichtigste Regel: KISS
Leider im Normalfall nicht durchsetzbar
Nur bei sehr kritischen Projekten
Beispiele
Windows 2k: 50-60 Millionen Zeilen Code
Red-Hat 7.2: 30 Millionen Zeilen
Seminar Sicherheitskritische Systeme - Henning Westerholt
Ein dynamisches System
Seminar Sicherheitskritische Systeme - Henning Westerholt
Das Ende der Kettenreaktion
Diese und die vorgehenden Grafiken:https://reports.energy.gov/BlackoutFinal-Web.pdf
Seminar Sicherheitskritische Systeme - Henning Westerholt
Stromausfall USA - Fazit
Problem der Komplexität
Verwendung von handelsüblichen Systemen für SkS
Scharfer Wettbewerb
Preisdruck, Sparmaßnahmen
Folge: In Zukunft mehr Probleme..
Seminar Sicherheitskritische Systeme - Henning Westerholt
Systemanforderungen
Zuverlässigkeit
Verfügbarkeit
Integrität
der Daten
des Systems
Störungssichere Systeme
Verlässlichkeit
Seminar Sicherheitskritische Systeme - Henning Westerholt
Sicherheitsanforderungen
Der eigentliche „Zweck“ des SkS
Berücksichtigung der Systemanforderungen
Verschiedene Typen
Wächtermechanismus
Sperrmechanismus
Konflikte zwischen Anforderungen müssen berücksichtigt werden
Seminar Sicherheitskritische Systeme - Henning Westerholt
Der Flugzeugabsturz am Bodensee
Am 01. Juli 2002 stoßen in 11.000m Höhe über dem Bodensee eine Tupolev und Boing zusammen
71 Menschen sterben
Fehler des Fluglotsen und technische Mängel der Flugsicherung führten dazu
Widersprüchliche Angaben von TCAS System und Fluglotse
Seminar Sicherheitskritische Systeme - Henning Westerholt
Das TCAS System
Ist ein Annäherungswarnsystem
Aktive Funktionsweise
Pilot muss auf Hinweise angemessen reagieren
Soll Zusammenstöße in der Luft verhindern
Pflicht in größeren Flugzeugen
Warnung über optische und akustische Signale
Seminar Sicherheitskritische Systeme - Henning Westerholt
Das TCAS System
Grafik:http://www.eddh.de/topics/tcas.html
Seminar Sicherheitskritische Systeme - Henning Westerholt
Gründe für den Zusammenstoß
Technische Mängel bei der Flugsicherung
Defektes Telefon
Bodenkollisionswarnsystem defekt
Stress und Überlastung bei dem Lotsen
Er musste einen Kollegen vertreten
Er wusste nicht, dass sein Warnsystem defekt war
Seminar Sicherheitskritische Systeme - Henning Westerholt
Probleme mit TCAS
Anfangs hohe Anzahl an Fehlalarmen
System zu empfindlich
Mangelhaftes Testen während der Entwicklung
Wenig Vertrauen der Piloten in die Verlässlichkeit des Systems
Formelle Probleme bei den Luftfahrtvorschriften
Seminar Sicherheitskritische Systeme - Henning Westerholt
Flugzeugabsturz Bodensee - Fazit
Trotz formeller Methoden anfangs kein sicheres System
Aber mittlerweile:
Zusätzliche Test mit reellen Daten
Internationale Vorschriften nachgebessert
Backup-Einrichtungen und mehr Personal bei der Flugsicherung
Seminar Sicherheitskritische Systeme - Henning Westerholt
Vielen Dank für die Aufmerksamkeit!
Fragen?
Jetzt:
Kontakt: [email protected]