Liebe Begriffsbildner/-innen,
die Diskussion in Frankfurt auf der GI 2003 hat uns alle nach
übereinstimmenden Aussagen weitergebracht. Noch keine Lösung, aber mehr
Klarheit.
Aus meiner Sicht:
Beide Communities, die "Safety"- und die "Security"-Community haben seit
langem jeweils für sich konsentiert eine begriffliche Abgrenzung der
Begriffe "Security" vs. "Safety" erarbeitet. Dabei ordnen sie der
jeweils anderen Community einen Schwerpunkt zu, in dem die andere sich
aber nicht wiederfindet.
Ganz knapp zusammengefasst:
Die Safety-Community versteht es so:
Security ("die anderen")= Informationssicherheit bzw. Datensicherheit
Safety ("wir")= Sicherheit für die Umgebung eines Informationssystems
Die Security-Community versteht es so:
Security ("wir")= Sicherheit gegen absichtliche Angriffe
Safety ("die anderen")= Sicherheit gegen Fehler und unbeabsichtigte Unfälle
Nun wollen sich die Safety-Leute nicht von den Angriffen ausschließen
lassen und die Security-Leute nicht von den Systemumgebungen.
Keine der beiden Ansätze ist die umfassendere.
Mein Vorschlag: Wir akzeptieren die jeweiligen "Wir"-Definitionen:
Safety
= Umgebungssicherheit
= Sicherheit für die Umgebung eines Informationssystems
Security
= Angriffstoleranz bzw. Angriffsresistenz
= Sicherheit gegen absichtliche Angriffe
Und dann stellt sich erfreulicherweise heraus, dass die beiden Begriffe
Überschneidungen haben, denn die Security-Leute behandeln
SELBSTVERSTÄNDLICH auch den Einfluss von und die Auswirklung auf
Umgebung (im Sinne der Safety-Leute sind das Safety-Fragen),
und die Safety-Leute behandlen SELBSTVERSTÄNDLICH auch absichtliche
Angriffe (aus Sicht der Security-Leute sind das Security-Fragen). Und
daraus wird klar, wieso wir einen gemeinsamen Fachbereich haben, weil
die Dinge nämlich zusammenhängen.
Übrigens stellt sich dann erstaunlicherweise heraus, dass
"Fehlertolerante IT-Systeme" von BEIDEN Communities jeweils der anderen
Begrifflichkeit zugeordnet werden! Die Security-Leute zählen das wegen
der Fehler zu "Safety", die Safety-Leute zählen das wegen der
Einschränkung auf die IT-Systeme zu "Security".
Und wenn man doch trennscharf werden will, bietet sich (frei nach einem
alten Vorschlag von Pfitzmann) etwa folgendes an:
* Angriffstoleranz/-resistenz = Security, sowohl für IT-Systeme, als
auch Umgebung;
* Umgebungssicherheit = Safety, sowohl gegen Angriffe, als auch Fehler;
* Fehlertoleranz = Ausschlussgebiet von Security (aber nicht
deckungsgleich mit Safety!);
* Informations- bzw. Datensicherheit = Ausschlussgebiet von Safety (aber
nicht deckungsgleich mit Security).
Dann ergeben sich ganz natürlich trennscharfe Begriffe durch
einschränkende Attribute wie
* Schnittmenge aus Safety und Security:
= Angriffsresistente Safety
= Angriffsresistente Systemumgebungen
= Security in Bezug auf Systemumgebungen
* Safety ohne Security
= Fehlertolerante Safety
= Fehlertolerante Systemumgebungen
* Security ohne Safety
= Angriffsresistente IT-Systeme
= Security für IT-Systeme
* Weder Security noch Safety
= Fehlertolerante IT-Systeme
* Sicherheit =
Vereinigungsmenge aus Safety und Security plus
fehlertolerante IT-Systeme
Mit diesen Begriffen könnten wir alles präzise ausdrücken. Was halten
Sie/haltet Ihr davon?
Beste Grüße --- RÜdiger Grimm
Umwelteinbettung
keller wrote:
> Hallo Herr Pohl,
> im FB Sicherheit gibt es einen AK, welcher diese Begrifswelt zur Zeit
> ausarbeitet.
> Anbei sende ich Ihnen dieses Papier mit Anmerkungen von RüdigerGrimm.
> Anmerkungen bitte per email an mich.
> Gruß
> Hubert Keller
>
> Pohl, Hartmut schrieb:
>
>> Hallo Herr Federath,
>> ich höre, dass Sie auf der Jahrestagung Vorstellungen zur Begriffswelt
>> safety und security vorgetragen haben. Könnte ich mir das Papier oder
>> die Folien einmal ansehen? Würden Sie mir das Papier senden?
>>
>>
>> MhG Ihr Hartmut Pohl
>>
>> _______________________________________________
>> FB-LG mailing list
>> FB-LG(a)gi-fb-sicherheit.de
>> http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
>>
>>
>
>
> ------------------------------------------------------------------------
>
> _______________________________________________
> FB-LG mailing list
> FB-LG(a)gi-fb-sicherheit.de
> http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
Hallo Herr Federath,
ich höre, dass Sie auf der Jahrestagung Vorstellungen zur Begriffswelt safety und security vorgetragen haben. Könnte ich mir das Papier oder die Folien einmal ansehen? Würden Sie mir das Papier senden?
MhG Ihr Hartmut Pohl
Hallo,
wir stellen zum Ende dieser Woche einen Artikel zum Thema "IT-Security
in der Hochschullehre" fertig.
Falls jemand dazu Material zur Verfügung stellen könnte (z.B. eine kurze
Information über eigene Lehrveranstaltungen, Richtlinienvorschläge
etc.), wäre das sehr willkommen.
Viele Grüße
Jan Jürjens
--
Jan Ju"rjens, Software & Systems Engineering, TU Munich
http://www4.in.tum.de/~juerjens - tel. +49 179 8804051
Liebe MitstreiterInnen im Fachbereich,
diese Mail ist an alle FG-Leitungen gerichtet, die noch keine Wahlen zur
FG-Leitung durchgeführt haben!
In Vorbereitung auf unsere FB-Runde möchte ich Sie nochmal herzlich um
Durchführung der Wahlen zu den FG-Leitungen bitten. Diese müssen bis zum
nächsten Herbst (Oktober bzw. November 2004) abgeschlossen sein, so dass
aus der dann gewählten FB-Leitung die Sprecher wiederum gewählt werden können.
Sie erinnern sich sicher, dass die Gründung des Fachbereichs von folgendem Zeitrahmen
ausging:
- Feb. 2002 Gründung des Fachbereichs
- Feb. 2002 Konstituierung der FG-Leitungen (falls noch nicht gewählt)
und Konstituierung der FB-Leitung
- bis Herbst 2004 Wahlen der FG-Leitungen
- bis Jan (GI-Präsidiumssitzung Ende Januar) 2005 Wahl der FB-Leitung
Da davon auszugehen ist, dass Fachgruppen sich ca einmal im Jahr zu WOrkshops
treffen (die VIS hat sich alle 2 Jahre getroffen und dabei eine Mitgliederversammlung
zur Wahl der VIS-Leitung durchgeführt), sollte also der Termin gut machbar sein.
Mit freundlichen Grüßen,
Ihr Manfred Reitenspiess
Dr. Manfred Reitenspiess
Director Business Development RTP 4 Continuous Services
Fujitsu-Siemens Computers
Otto-Hahn-Ring 6
Muenchen
D-81739
Germany
Telephone +49 89 63642393
Telefax +49 89 63642393
Email mailto:manfred.reitenspiess@fujitsu-siemens.com
Internet http://www.fujitsu-siemens.com/rl/products/software/clustertechnology.html
Sprecher des Fachbereich Sicherheit - Schutz und Zuverlässigkeit der Gesellschaft für Informatik (GI) Internet: www.gi-fb-sicherheit.de
Telephone: +49 8102 784898
Mail to: manfred(a)reitenspiess.de
Internet: www.reitenspiess.de
-- RTP4CS -------- RTP 4 Continuous Services --------- RTP4CS --