Security Sector Reform

Die menschlichen Faktoren in der staatlichen Sicherheit: Staatliche Sicherheitsorganisationen sichern die Bedürfnisse der Bevölkerung.

In vielen Krisenländern kann (oder will) der Staat nicht für die Sicherheit seiner Bevölkerung sorgen. Es entstehen vielfältige Bedrohungen für den Einzelnen (organisierte Kriminalität, nichtstaatliche bewaffnete Truppen).

Security Sector Reform oder im deutschen Sicherheitssektorreform ist ein operationales-normatives Konzept der Aussen- und Sicherheitspolitik, dass die Reform staatlicher Sicherheitsorganisationen und Prozesse im Sicherheitssektor (Sicherheitsbereich) meint.

Das Konzept fokussiert die menschlichen Sicherheitsbedürfnisse vor dem Hintergrund, dass Staaten unter bestimmten Voraussetzungen selbst zur Sicherheitsbedrohung für ihre Bevölkerung werden können. Die staatlichen Organe der inneren und äußeren Sicherheit (z.B. Polizei und Militär) behindern in diesen Fällen nachhaltige, demokratische Entwicklungen, da der Staat seine Sicherheitsverpflichtungen gegenüber der eigenen Bevölkerung nicht erfüllt.

Deutschland nutzt bei seiner Aussen- und Sicherheitspolitik das Konzept der Security Sector Reform als zentrales Instrument der deutschen Friedensförderung und Krisenprävention, um transparente und rechtsstaatlich agierende Sicherheitsorganisationen zu unterstützen (z.B. durch Ausbildung, Aufbau von rechtsstaatlichen Prozessen).

Staatliche Sicherheitskräfte wie Streitkräfte, Polizei, Justiz, Nachrichtendienste und Zivil- und Katastrophenschutz sollen (wieder) politisch legitimiert und auf rechtstaatlichen Prinzipien begründet werden.

Es ist ein wesentliches Ziel der deutschen Aussen- und Sicherheitspolitik Krisenländer dabei zu unterstützen, eigene rechtsstaatliche und demokratischen Sicherheitsorganisationen aufzubauen und nachhaltig zu erhalten.

Die Bundesregierung hat dazu die ressortgemeinsame Strategie zur Unterstützung von Sicherheitsorganisationen im Ausland (Sicherheitssektorreform (SSR)) erarbeitet und am 2. Juli  2019 verabschiedet: https://www.auswaertiges-amt.de/blob/2247420/222c695ee476e6ec1eaa350989c08f41/190917-sicherheitssektorreform-data.pdf

 

Security by Design

Security by Design verbessert die Gesamtsicherheit von Hard- und Softwaresystemen

Um Entwickler für eine umfassende Berücksichtigung von Security, Safety und Usability Aspekten zu sensibilisieren, sollten diese von Experten unterstützt und trainiert werden.Die Berücksichtigung von möglichen Cyber Angriffen bereits während der Software-Entwicklung im Design führt zu einer verbesserten Produktsicherheit (Safety) und einer besseren Verfügbarkeit des Systems.
Security by Design gilt jedoch als aufwändig und damit teuer. Darüber hinaus wollen sich viele Entwickler im Entwicklungsprozess nicht durch Sicherheitsfragen einschränken lassen.

Mehr zu diesem Thema finden Sie bei www.computerwoche.de/a/security-by-design-umsetzen

Security by Design verbessert die Möglichkeit einer integrierten Sicherheitsentwicklung, also der gemeinsamen Verbesserung der Security, Safety und Bediensicherheit. Diese Überlegungen können die System-Safety Entwicklung insgesamt unterstützen.

Man – Machine Teaming: Natürliche Intelligenz trifft künstliche Intelligenz (KI)

Die Automatisierungslücke zwischen natürlicher und künstlicher Intelligenz durch Aus- und Weiterbildung schließen. Man – Machine Teaming: Natürliche Intelligenz trifft künstliche Intelligenz (KI)

Auch für Man – Machine Teams gilt übrigens die alte didaktische Weisheit: Üben, üben, üben (d.h.  Machine Learning). Die aktuellen und vor allem zukünftigen Arbeitsprozesse mit intelligenten IT-Systemen (vom Auto bis zur intelligenten Kaffeemaschine) können in entsprechend gestalteten Trainings erfahrbar gemacht und geübt werden. Technische Systeme werden immer intelligenter. Dadurch steigt der Grad der Automatisierung stetig. Mit zunehmender Komplexität der Systeme (Autos, Flugzeuge, Handys, Kaffeemaschinen) wird es für den Nutzer immer schwieriger, das Verhalten des Systems zu verstehen oder vorherzusagen: „Was macht das System denn jetzt, das hat es ja noch nie gemacht“. Umgekehrt sind die intelligenten, automatischen Systeme zurzeit  kaum in der Lage, sich auf das Verhalten des Benutzers einzustellen.

 

In der Zusammenarbeit zwischen Menschen und den (teil-)automatisieren Systemen gibt es ein Problem: Die Menschen müssen – oftmals ad hoc -  die Steuerung übernehmen, weil der Automat unvorhergesehen ausfällt oder unangemessen reagiert (z.B. ein Abstandsassistent im Auto, der in einer Baustelle mit den vielen Zeichen und Objekten nicht zurechtkommt und beschleunigt, um dann gleich wieder abzubremsen). Man spricht hier von der sogenannten Automatisierungslücke, die zwischen einer menschlich-manuellen Bearbeitung (ich fahre mein Auto alleine, ohne die automatische Unterstützung von Assistenzsystemen) und  einem autonomen, technischen System (das Auto fährt ausschließlich mit Assistenten) besteht. Diese Lücke wird noch auf lange Zeit bestehen, da selbst die elaboriertesten Systeme davon ausgehen, dass im Falle eines Systemausfalls der Nutzer (z.B. der Fahrer oder der Überwacher einer autonom fahrenden U-Bahn) eingreifen wird und kann.

Um besser mit dieser Automatisierungslücke umgehen zu können, ist es sinnvoll, dass die Menschen besser verstehen, was das System kann und was nicht, aber ebenso das System versteht, was der Mensch kann und was nicht. Mit den Möglichkeiten der KI kann man teilautonom agierenden Systemen diese Fähigkeit zu einer zunächst rudimentären Empathie geben.

Das intelligente System ersetzt den Menschen nicht, sondern kollaboriert mit ihm als verständiger Assistent oder als gleichwertiger Teampartner. Eine sinnvolle, kompetenzbasierte Aufgabeaufteilung zwischen natürlicher und künstlicher Intelligenz verbessert Effizienz, Sicherheit und Aufgabebearbeitung. Dazu bedarf die KI (z.B. intelligente Chatbots, kooperative Roboter) eines mentalen Modells seiner menschlichen Partner, um deren Möglichkeiten und aktuellen Status erfassen zu können und angemessen („emphatisch“) zu reagieren. Man spricht dann von einem „Man – Machine Teaming“. Aber nicht nur die Maschinen müssen in diesen gemischten Teams lernen, auch die Menschen müssen das System, vor allem sein Verhalten, verstehen lernen.

Fokus und Thema von Trainings im Kontext Man – Machine Teaming müssen sein:

• Aspekte der Kommunikation (mit den KI-Systemen)
• Gestaltung gemeinsamer Lern-, Trainings- und Einsatzszenarien zwischen KI und Mensch
• Vermeidung von false learning (was kann die KI, was nicht?)
• Umgang mit der Wahrnehmung von Künstlichkeit (hinsichtlich Emotionen, Werten und ethischen Fragen)
• Führung von gemischten Teams aus künstlich intelligenten Systemen und Menschen
• Vor- und Nachteile der Substitution menschlicher Teammitglieder durch KI-Systeme.

Ablenkung durch Neue Medien

Smartphones und andere interaktive Medien lenken in vielerlei Hinsicht ab und binden kognitive Kapazität. 

Smartphones und andere interaktive Medien lenken in vielerlei Hinsicht ab und binden kognitive Kapazität. Dabei lenken Smartphones keineswegs allein und ausschließlich während ihrer Nutzung ab. Ein klingelndes Smartphone außer Greifreichweite, ohne Möglichkeit den Anruf zu beantworten verursachte in einer Studie aus 2015 eine erhöhte Herzfrequenz, Angstgefühle und eine geringere kognitive Leistungsfähigkeit (Clayton et al. 2015). Eine weitere Studie untersuchte den Einfluss des Smartphones auf die kognitive Kapazität allein durch die Präsenz eben dieses. Hierfür wurde untersucht, inwieweit sich die kognitive Kapazität verändert, wenn das Smartphone in einem anderen Raum, in der Tasche oder auf dem Tisch lag. Dabei stellten die Autoren fest, dass ein Smartphone, das auf dem Tisch in Sichtweite (jedoch mit dem Display nach unten) liegt und lautlos gestellt ist, die Leistungsfähigkeit des Arbeitsgedächtnisses signifikant mehr reduziert als ein Smartphone, welches sich in einem anderen Raum befindet. Der Unterschied zwischen dem Smartphone auf dem Tisch und dem Smartphone in der Tasche war ebenso zu erkennen, jedoch nicht signifikant. Ein Smartphone in der (Hosen-)Tasche lenkt also beinahe genauso ab, wie ein Smartphone, das neben einem auf dem Tisch liegt. Ebenso kein Unterschied wurde festgestellt, wenn das Smartphone lautlos oder ganz ausgeschaltet auf dem Tisch lag. Interessanterweise unterschied sich die Selbsteinschätzung der Leistungsfähigkeit erheblich von den gemessenen Daten. Die meisten Studienteilnehmer gaben an, dass der Ort des Smartphones keinen Einfluss auf Ihre Leistungsfähigkeit gehabt habe (Ward et al. 2017). Die Wahrnehmung hinsichtlich der ablenkenden Wirkung, in diesem Fall von Smartphones, scheint sich also deutlich von den realen Messwerten zu unterscheiden. Die Ablenkungswirkung von Neuen Medien bezieht sich demnach nicht ausschließlich auf die Nutzung oder darauf, dass sich das Smartphone/ Smartwatch etc. durch Vibrieren oder Klingeln bemerkbar macht. Allein die Präsenz verringert die kognitive Leistungsfähigkeit. Wie stark der Effekt ist, hängt zudem davon ab, wie abhängig Personen von diesem Medium sind bzw. wie wichtig es für diese Personen ist (Ward et al. 2017). 

Am besten untersucht ist derzeit die Ablenkungswirkung von Smartphones beim Autofahren und im Straßenverkehr. 

In einer Metaanalyse zur Ablenkungswirkung von Nebenaufgaben beim Autofahren hat die Technische Universität Braunschweig im Auftrag der Unfallforschung der Versicherer (UDV) aus 70 Studien die Anzahl an Beeinträchtigungen der Fahrleistung während der Ausführung verschiedener Nebenaufgaben mit Informations- und Kommunikationssystemen (IKT) analysiert. 

Die Ergebnisse dieser Studie deuten darauf hin, dass die Ablenkungswirkung – zumindest beim Autofahren – auch von der Art der Nutzung der IKT abhängt. Als wenig ablenkend gilt hierbei: 

• Textbotschaft annehmen (nicht lesen),

• Radio Sender einstellen

• Bedienung von Systemen im Fahrzeug (sehr heterogen)

Als ablenkend werden folgende Nebenaufgaben beschrieben:

• Musikauswahl

• Telefonieren

• Textbotschaften senden (Empfängerauswahl) 

Als störend werden folgende Nebenaufgaben beschrieben:

• Bedienung von Navigationssystem und Smartphone

• Textbotschaften lesen und schreiben 

Zusammenfassend scheint es, dass die Ablenkungswirkung mit der visuellen und manuellen Beanspruchung, sowie der kognitiven Beanspruchung, ansteigt. 

(Literatur und Referenzen beim Autor: harald.schaub@googlemail.com)

ProzessNet Ereignis-Datenbank

Fehler in den Arbeitsanweisungen und andere Probleme bei der Zusammenarbeit Mensch-Organisation-Technik in der Prozessindustrie.

Die ProcessNet Ereignis-Datenbank leistet hierzu wertvolle Beiträge.Bei der Analyse von Ereignissen und Unfällen in der Anlagen- und Prozesssicherheit sollen neben technischen auch nicht-technische Faktoren (z.B. Organisation, Management, Human Factors) als Ursache für Fehler, die oft auf einem Abweichen von Prozessen, Arbeitsanweisungen und Regeln basieren, untersucht werden.

Um Lehren aus nichtmeldepflichtigen, aber sicherheitsrelevanten Ereignissen ziehen zu können und diese für die gesamte chemische Industrie nutzbar zu machen, wurde von DECHEMA (Gesellschaft für Chemische Technik und Biotechnologie) und VCI (Verband der Chemischen Industrie) eine öffentlich und unentgeltlich zugängliche Ereignis-Datenbank geschaffen. Diese stellt praxisnahe Lehren aus nichtmeldepflichtigen, aber sicherheitsrelevanten Ereignissen zur Verfügung. So kann das Wissen über die Genese von Ereignissen, aber auch über eine sichere Prozessführung kontinuierlich aktualisiert werden.

Fachleute aus der Prozessindustrie und der chemischen Industrie sammeln unter der Mitwirkung von Experten der IABG im Ausschuss „Ereignisse“ seit 1996 Ereignisbeschreibungen, die von VCI-Mitgliedern freiwillig eingereicht werden. Die anonymisierten Texte werden analysiert, in einer standardisierten Form in der Datenbank abgelegt und anschließend veröffentlicht.

Ziel ist es, das hohe Niveau der Anlagen- und Prozesssicherheit in der deutschen chemischen Industrie zu halten und weiter zu verbessern. Da bereits einzelne Ereignisse das Anlagensicherheitsniveau in der öffentlichen Wahrnehmung nachhaltig in Frage stellen können, gilt es nicht nur die Statistiken, sondern auch jeden Einzelfall zu betrachten und Wiederholungen zu vermeiden.

Neben konkreten Lehren, wie bspw. die Handhabung bestimmter Stoffe sicherer gemacht werden kann, gibt es auch allgemeine Lehren, z.B. dass bei der Einführung technischer Sicherheitsmaßnahmen auf die aktuelle, korrekte und verständliche Abstimmung mit den Arbeitsanweisungen geachtet werden muss.

Die ProcessNet Ereignis-Datenbank leistet hierzu wertvolle Beiträge.

Security-Teams benötigen viel Erfahrung und Übung zur Abwehr kritischer Bedrohungen

Security-Teams benötigen viel Erfahrung und Übung, um kritische Bedrohungen aus der Flut harmloser Meldungen und Ereignisse herausfiltern zu können.

Security-Teams benötigen – über die adäquate IT-Ausstattung hinaus – viel Erfahrung und Übung, um kritische Bedrohungen aus der Flut harmloser Meldungen und Ereignisse herausfiltern zu können. Aber nicht jeder IT-Experte muss ein geborener Sherlock Holmes der IT-Sicherheit sein, um sich auf das Meistern kritischer Ereignisse vorbereiten zu können – durch entsprechende Ausbildung und Trainings kann man die notwendigen Fähigkeiten erlernen.

Ein typisches kritisches Ereignis ist z.B. der sehr häufige und wiederholte Zugriff auf einen bestimmten Server: Ist es tatsächlich ein Angriff oder nur ein harmloser Softwaretest einer neuinstallierten Software (False Positive)? Eine andere Variante sind Phishing-E-Mails und Spearphishing-E-Mails, bei denen der Benutzer keinen Verdacht schöpft, da der Angriff von einer vertrauten E-Mail-Adresse ausgeht (False Negative). Oder der Identitätsdiebstahl durch Malware, wo die Login-Daten eines Mitarbeiters gestohlen und für einen Angriff genutzt werden. Viele dieser und weiterer Szenarien sind nur durch geübte und trainierte Security-Teams, ausgestattet mit der entsprechenden Technologie, zu erkennen und abzuwehren.

Nur mit professioneller Trainings- und Übungsunterstützung können diese Anforderungen aktuelle und in der Zukunft bewältigt werden.