Schutz und Sicherheitsmodell Das beschreibt die Eigenschaft von Systemen Personen Bauteilen Gegenständen Maschinen oder

Dieses Schutz- und Sicherheitsmodell ist ein Kernmodell für die Systembeschreibung.

Schutz und Sicherheit sind bei Entwurf oder Analyse eines Systems gemeinsames Ziel einer Risikobeurteilung. Ausgangspunkt einer Risikobeurteilung ist die Annahme von Gefahrenquellen. Dabei ist eine Gefahrenquelle der potenzielle oder tatsächliche Ursprung für eine unerwünschte (unfreiwillige und nachteilige) Wechselwirkung eines betrachteten Systems mit seiner Systemumgebung oder innerhalb dieses Systems. Die Berücksichtigung einer solchen Wechselwirkung bei einer Risikobeurteilung macht aus einer Gefahrenquelle eine Schadensquelle. Schaden wiederum ist eine unerwünschte (unfreiwillige und nachteilige) Veränderung des Zustands oder einer oder mehrerer Funktionen eines Systems oder der Systemumgebung, auch Veränderung einer oder mehrerer vorhandener, aber nicht genutzter Funktionalitäten eines oder mehrerer Systemelemente.

Bei einer Risikobeurteilung werden potenzielle oder tatsächliche Schadensquellen (Gefährdungen bzw. Schädigungen) mit dem betrachteten System und seiner Systemumgebung in Beziehung gebracht und in Bezug auf potenzielle oder tatsächliche unerwünschte (unfreiwillige und nachteilige) Wechselwirkungen (Gefahren bzw. Schadensereignisse) und ihre potenziellen oder tatsächlichen Auswirkungen (Schäden) hin untersucht und bewertet (Bild 1).

Innerhalb der Risikokette aus Gefährdung und Gefahr – Schutz – sichere Konstruktion (auch sichere Organisation), sichere Prozedur – (Gefühl der) Sicherheit – Schädigung und Schadensereignis – Schaden (Bild 2) sind Schutz und Sicherheit verknüpft mit den bekannten Elementen einer Risikobeurteilung: Grenzrisiko, Risiko, Restrisiko. Das bewusst oder unbewusst akzeptierte Grenzrisiko führt dabei nicht zu Schutzmaßnahmen und wird somit Teil des verbliebenen (akzeptierten oder übersehenen) Restrisikos. Eine Schadensanalyse mit der Feststellung (Bewertung oder Einschätzung) von Umfang oder Ausmaß, Ursache und gegebenenfalls Häufigkeit eines (potenziellen oder tatsächlichen) Schadens ist schließlich Ausgangspunkt für eine (schrittweise oder erforderliche) erneute Risikobeurteilung und Optimierung des betrachteten Systems. In Bild 2 kursiv aufgeführt sind noch beispielhaft einige Sonderfälle der Risikokette.

Schutz dient somit zur Minderung eines Risikos durch oder für das betrachtete System (Schutzobjekt), sei es durch die Abwehr einer Gefahr oder die Integration einer oder mehrerer Sicherungen in das System. Schutz kann spontan erfolgen oder geplant sein. Der geplante Schutz wird erreicht durch Schutzmaßnahmen auf der Grundlage eines Sicherheitskonzepts.

Die so erreichte Sicherheit ist für ein betrachtetes System das Gefühl oder die tatsächliche Gegebenheit der Freiheit von unvertretbaren Risiken, d. h., die gefühlte oder tatsächlich vorliegende Abwesenheit, Eindämmung oder Relativierung einer Gefahr für Zustand und Funktion des Systems, die über ein als vertretbar angesehenes oder bewusst oder unbewusst akzeptiertes Grenzrisiko hinausgeht. Die Gefahr mag vermeintlich oder tatsächlich gegeben sein, aktuell bestehen oder erwartet oder befürchtet werden. Zu den Gefahren (bzw. den Schadensereignissen bei Realisierung) zählen Bedrohung, Störung oder Zerstörung von bestehenden oder angestrebten Strukturen oder Prozessen, von Leib und Leben, Hab und Gut oder von erlebten oder angestrebten Umgebungsbedingungen; auch Sabotage an einem System und Missbrauch eines Systems können Gefahren sein. Und letztlich ist auch eine – mehr oder weniger begründete – Sorge zu den Gefahren zu rechnen. (Die Grenze zwischen Gefahr und Schadensereignis kann dabei fließend sein oder unterschiedlich gesehen werden. Zum Beispiel kann für den einen eine Bedrohung noch befürchtet werden, für einen anderen schon eingetreten sein, aber noch keinen Nachteil nach sich gezogen haben; wieder ein anderer mag dieselbe Bedrohung schon als eingetreten und mit für ihn nachteiligen Konsequenzen verknüpft ansehen.)

Da Schutz und Sicherheit als erforderliche Maßnahme und angestrebtes Ergebnis einer Risikobeurteilung eines Systems zusammengehören, werden Schutz und Sicherheit zusammenfassend dargestellt. Dabei sollen auch die vielen verschiedenen Aspekte von Sicherheit (Sicherheitsaspekte) nicht differenzierend betrachtet werden. Gesondert angesprochen werden jedoch im Folgenden immer Schutz und Sicherheit innerhalb des betrachteten Systems, Schutz des Systems vor seiner Umwelt (der Systemumgebung) und Schutz der Systemumgebung vor dem System, da unter Schutz- und Sicherheitsgesichtspunkten bei einer Systembetrachtung die Systemumgebung immer einbezogen werden muss (Bild 3).

Sicherheit (von lat. sēcūritās zurückgehend auf sēcūrus „sorglos“, aus sēd „ohne“ und cūra „(Für-)Sorge“) bezeichnet einen Zustand, der als frei von unvertretbaren Risiken angesehen wird, für den also der Betrachter keine Schadensquelle sieht oder in Betracht zieht, die nicht von ihm akzeptiert ist. („Sicher“ kann u. a. bedeuten: ausfall- oder störungssicher, verfügbar (vgl. engl. safe); ziel- oder ergebnissicher (vgl. engl. sure); geschützt, vertraulich, geborgen (vgl. engl. secure); aber auch überprüft, bestätigt, verlässlich, gewiss (vgl. engl. certain); auch selbstsicher und selbstbewusst (vgl. engl. firm).) Mit dieser Definition ist Sicherheit sowohl auf ein einzelnes Individuum als auch auf andere Lebewesen, auf unbelebte reale Objekte oder Systeme und auch auf abstrakte Gegenstände bezogen (vgl. Sicherheit). Mit anderen Worten: Sicherheit und Schutz können reale Systemelemente oder Systeme (Personen, Organisationen, Geräte, Maschinen, Anlagen …) oder virtuelle Systemelemente oder Systeme (Daten, Informationen, Pläne, Wissen …) betreffen. Die folgende Darstellung ist entsprechend möglichst allgemeingültig angelegt, soll also die gefühlte und tatsächliche Sicherheit einer oder mehrerer Personen, Gemeinschaften, Unternehmungen, Organisationen, anderer Lebewesen und technischer, kultureller oder wirtschaftlicher Einrichtungen, Strukturen und Systeme umfassen und dabei private, berufliche, finanzielle, wirtschaftliche und öffentliche Aspekte einschließen. Je nach Anwendungsfall kann Sicherheit gleichbedeutend sein mit Geborgenheit oder Gefahrlosigkeit, Schutz gleichbedeutend sein mit Abwehr, Absicherung, Abwendung, Sicherung oder Verteidigung und – wegen ihrer Doppeldeutigkeit als Maßnahme oder Zustand – Sicherheit und Schutz gleichbedeutend sein mit Nachhaltigkeit, Stabilität, Unveränderbarkeit oder Unverletzlichkeit. Trotz der angestrebten Allgemeinheit liegt der Fokus der Betrachtung auf industriellen und gesamtgesellschaftlichen Aspekten von Sicherheit und Schutz.

Bei Berücksichtigung des Zeitaspekts geht Sicherheit einher mit Vertrauen in die Zuverlässigkeit (der Funktionsfähigkeit und Funktionen) der Systemelemente und der Schutzmaßnahmen eines Systems (oder – insbesondere in Bezug auf Personen – in die Verlässlichkeit der Funktion eines Systems) und insgesamt in die Stabilität einer Beziehung, Gemeinschaft, Struktur oder Umgebung.

Nicht im Zentrum des betrachteten Anwendungsbereichs stehen Begriffe wie Gewissheit, Vorhersagesicherheit, Eintreffenssicherheit, Unfehlbarkeit, Zielsicherheit, Treffsicherheit.

Über den hier betrachteten Anwendungsbereich hinaus reichen Begriffe wie Selbstsicherheit, Selbstgewissheit.

Für ein gegebenes System umfasst Sicherheit

• die Sicherheit auf Grund der geplanten oder gewollten Gegebenheiten innerhalb des Systems,
• die Sicherheit der Systemumgebung gegenüber unerwünschten Auswirkungen des System auf die Systemumgebung,
• die Sicherheit gegenüber unerwünschten Einwirkungen auf das System als Ganzes oder auf ein oder mehrere Systemelemente von außerhalb des Systems

(vgl. Bild 3) sowie den jeweiligen Schutz gegen ungewollte oder unerwünschte, auch unbeabsichtigte oder unerwartete Nutzungen des Systems oder derartige Veränderungen am oder im System (z. B. durch Missbrauch oder Sabotage).

Einbezogen sind somit Sicherheit und Schutz entlang des Zeitstrahls, also in Bezug auf die betrachtete Gegenwart und in Bezug auf die Sicherheit zu einem beliebigen oder bestimmten zukünftigen Zeitpunkt oder Zeitbereich.

Entsprechend der geforderten Sicherheit hat Schutz drei Richtungen:

• den Schutz der Systemelemente gegen- und untereinander,
• den Schutz der Systemumgebung (Außenwelt / Umwelt) vor einem Systemversagen mit Einwirkungen des Systems auf die Umgebung,
• den Schutz des gesamten Systems vor Einwirkungen der Systemumgebung (Außenwelt / Umwelt) auf das betrachtete System.

(Daraus folgt auch, dass alle Systembetrachtungen, -planungen, -entwicklungen, -konstruktionen, – organisationen, -realisierungen und -überwachungen diese drei Aspekte dauerhaft berücksichtigen müssen.)

Der Aufwand für Schutzmaßnahmen (bzw. für Abwehr- oder Verteidigungsmaßnahmen bei einer Sorge oder Bedrohung) hängt ab von der Bewertung oder Einschätzung oder dem Gefühl von Gefährdung, Grenzrisiko, Risiko, Restrisiko und zu erwartendem oder befürchtetem Schaden in Relation zum Wert des zu schützenden Systems oder Systemelements, soweit dies jeweils möglich ist.

All diese Aspekte sind bei Systemauswahl, -planung und -realisierung zu beachten und während der Lebenszeit des Systems zu überwachen und sicherzustellen; denn nur so kann ein Schutz „mit Sicherheit“ ungewünschte Veränderungen im und am System und in und an der Umgebung des Systems verhindern: Vor einer Höhle nützt der beste Sichtschutz gegen einen äußeren Feind nichts, wenn die Höhle zusammenbricht. Die ausgiebigste nachträgliche Diskussion von Daten- und Informationssicherheit nützt wenig, wenn die Software Lücken oder Fehler aufweist oder eine unpassende Architektur hat.

Ein vollständiger „Rundum-Sorglos-Schutz“ mit umfassender Sicherheit ohne Restrisiko ist als Illusion anzusehen. Das Bedürfnis nach möglichst großer Sicherheit im Innern eines Systems wie gegenüber der Außenwelt kann die Gestaltungs- und Bewegungsfreiheit eines Systems unerwünscht einschränken. Eine für ein System erforderliche Flexibilität der einzelnen Systemelemente, der Systemelemente untereinander oder des Gesamtsystems kann dadurch bis zur Starrheit verringert werden und damit eine bisher nicht vorhandene Gefährdung erst verursachen und ein an sich nicht beabsichtigtes Risiko erst herbeiführen.

Ein System und seine Umgebung können jeweils Teile sein der übergeordneten Bereiche

• Person (sowohl als Mensch allgemein oder als Individuum als auch als juristische Person) samt seinem materiellen und immateriellen Eigentum
• Umgebung und Natur jenseits des betrachteten Systems
• Gemeinschaft mitsamt ihren gesellschaftlichen, kulturellen, organisatorischen, wirtschaftlichen und staatlichen Einrichtungen und Aspekten
• Technik mitsamt allen Gegenständen, Anlagen, Ausrüstungen, Abläufen, Plänen und dem technischen Wissen.

Der zur angestrebten Sicherheit eines Systems erforderliche Schutz wird durch ein Sicherheitskonzept und durch Schutzmaßnahmen erreicht. Der Weg zu Festlegung, Organisation, Implementierung und Überprüfung dieser Schutzmaßnahmen ist in Bild 4a dargestellt. Im Detail bedeutet dieser Weg:

• Gefährdungen feststellen (oder zur Optimierung des Sicherheitskonzepts nach einem Schadensereignis Schädigung identifizieren) und spezifizieren hinsichtlich des Schutzobjekts X, der Gefährdung oder Schädigung Y, der Art der Gefahr f(X, Y) einer Wechselwirkung von X und Y bzw. des eingetretenen Schadensereignisses f(X, Y) nach einer solchen Wechselwirkung und des möglichen oder eingetretenen Schadens Z = f(X, Y);
• zu jeder festgestellten Gefährdung oder Schädigung Y das Risiko für X beurteilen (bestimmen oder schätzen) bzw. neu beurteilen;
• entsprechend der Risikokette (Bild 2) das Sicherheitskonzept festlegen mit akzeptiertem Grenzrisiko und den zu treffenden Maßnahmen zum Schutz von X hinsichtlich der Gestaltung von X und der vorgesehenen Prozeduren und dann die Schutzmaßnahmen organisieren, implementieren und überprüfen.

Zu beachten ist, dass – entsprechend Bild 3 – das Schutzobjekt X sowohl das betrachtete System wie auch die Systemumgebung sein kann und entsprechend die Gefährdung oder Schädigung Y von der Systemumgebung bzw. vom System oder einem Systemelement ausgehen kann. So kann u. a. auch ein Systemverhalten, das an sich zur Systemfunktion gehört, ein für die Systemumgebung abträgliches Systemversagen sein. Soll das IT-Programm oder Konsumgut für drei Monate oder sieben Jahre bestehen, soll die Einrichtung oder Anlage für 30 oder 100 oder 1.000.000 Jahre Bestand haben, gegen Flugzeugabsturz gesichert sein oder nicht …

Um ein möglichst kleines Restrisiko zu erhalten, sollte bei der Beurteilung des Schutzkonzeptes, der Schutzmaßnahmen und der so zu erreichenden oder erreichten Sicherheit immer auch die Möglichkeit der unerwünschten Überwindung der geplanten Schutzmaßnahmen mit in Betracht gezogen werden. Der Weg zur Überwindung von Schutzmaßnahmen ist daher in Bild 4 mit aufgeführt (Bild 4b).

Zur Konkretisierung dieses Schutz- und Sicherheitsmodells sind in Bild 5 ein System mit seiner Systemumgebung sowie mit einigen Sicherungseinbauten und -prozeduren im System und weiteren beispielhaften Schutzmaßnahmen zum Schutz des Systems und der Systemumgebung gegeneinander dargestellt. Dieses Bild ist eine Detaillierung von Bild 3.

In Bild 5 bezeichnen im Einzelnen

- - - - - - - Betrachtetes System mit Sicherungen im System (aufgeführt sind Beispiele für Sicherheitsaspekte (größerer Font) und Beispiele für Sicherungen im System (kleinerer Font))

-. - . - . - . Schutz zwischen System und Systemumgebung (außerhalb: Schutz des Systems vor der Systemumgebung (mit Beispielen); innerhalb: Schutz der Systemumgebung vor dem System (mit Beispielen))

…………… Sicherheitsgrenzen und Schutzzonen im Systeminnern als (fiktive) Abgrenzung gegen einen „inneren Feind“ und Schutz gegen einen „inneren Feind“ – (die Beispiele hierfür sind unterstrichen)

_________ Grenze des Betrachtungsbereichs (eigentliche Systemgrenze) – kursiv aufgeführt sind verschiedene Arten eines Systems bzw. einer Systemumgebung.

Die eingetragenen – beispielhaften, nicht abschließend ausgewiesenen – Sicherheits- und Schutzbegriffe beziehen sich insbesondere auf industrielle und gesamtgesellschaftliche Aspekte. Ihre jeweilige Position ist dabei allerdings nur als angenähert anzusehen. Dabei erfordern sowohl der Schutz der Außenwelt vor dem System als auch der Schutz des Systems vor der Außenwelt einen erweiterten Blick auf die Systemgrenze. Innerhalb des Betrachtungsbereichs (der eigentlichen Systemgrenze) sind Schutzgrenzen und die sichtbare / konstruktive Systemgrenze (auf unterschiedliche Weise) unterbrochen gezeichnet, nicht nur um die einzelnen Grenzen zu unterscheiden, sondern auch weil die Abgrenzung zwischen den primären Systemelementen und den Schutzelementen des Systems schwierig sein kann und der Übergang vom Schutz innerhalb des Systems zum Schutz von System und Systemumgebung gegeneinander fließend sein kann. Einige Begriffe sind mehrfach eingetragen, da sie sowohl den Schutz der Systemumgebung gegen das System wie auch den Schutz des Systems gegen die Systemumgebung betreffen können oder auch Sicherungselement innerhalb des Systems sein können.

Der – anders als in Bild 3 – im Innern des sichtbaren / konstruktiven Systems zusätzlich ausgewiesene Bereich ist einerseits als Teil des Systems, andererseits als nicht zum System gehörend anzusehen. Dieser Bereich steht für eine im System an sich nicht eingeplante Gefährdung oder Bedrohung des Rests des Systems oder einer sicheren Funktion des Systems. Er kann z. B. stehen für ein eingebautes, aber unbeabsichtigtes Fehlverhalten des Systems oder – wie hier mit Unterstreichung spezifiziert – durch einen Teil des Systems, der eine Schädigung des Systems aus dem System heraus beabsichtigt oder beabsichtigen soll („innerer Feind“, Missbrauch, Sabotage, Terror …). Dabei ist allerdings zu bedenken, dass eine solche Darstellung einer Gefahr von innen, eines Feindes im Innern oder im Rücken besonders von autoritären Organisationen und Strukturen benutzt wird, um abzulenken von eigenen Absichten, die den Interessen der anderen Teile des Systems zuwiderlaufen, und um gegenüber diesem „äußeren“ Teil des Systems oder gegenüber dem gesamten restlichen System mehr oder weniger einschränkende oder gar repressive Schutzmaßnahmen anwenden zu können, die an sich gegenüber Einwirkungen von außerhalb des Systems vorgesehen sind oder waren.

Ergänzende Erläuterungen zu bisherigen Formulierungen in „Kernmodelle – Beschreibung und Beispiele“ sind im Folgenden kursiv geschrieben.

Abwehr: Aktive Minderung einer Gefahr oder Versuche hierzu (primäre Abwehrmechanismen = Vermeidung durch Separation von Gefährdung und Schutzobjekt; sekundäre Abwehrmechanismen = Abwendung durch Begrenzung, Reduktion oder Ausschaltung einer schädigenden Wechselwirkung).

Aspekt: Darstellung einer Teilmenge von Eigenschaften eines Gegenstandes oder Systems, die für ein Beschreibungs- oder Einsatzgebiet mit seinen Modellen eine besondere oder alleinige Relevanz haben.

Bedrohung: Ernstliche Inaussichtstellung einer Schädigung durch aktives Handeln oder Schaffen von Fakten.

Entität: gedankliche oder physische Einheit, die individuell verwaltet und deren Lebenszyklus verfolgt wird.

Ereignis: (Kurz-, mittel- oder langfristige) Veränderung am Zustand oder der Funktion eines Systems oder einer Systemumgebung.

Gefahr: eine Möglichkeit, dass ein Schadensereignis eintreten kann.

Gefährdung: Potenzielle Schadensquelle.

Gefahrenquelle: Ein potentieller oder tatsächlicher Ursprung für eine unerwünschte (unfreiwillige und nachteilige) Wechselwirkung eines betrachteten Systems mit seiner Systemumgebung oder innerhalb dieses Systems.

Grenzrisiko: Risiko, das als vertretbar angesehen oder bewusst oder unbewusst akzeptiert wird. Diese Grenze mag für unterschiedliche Betrachter verschieden sein. Restrisiko: Risiko, das verbleibt, nachdem Schutzmaßnahmen getroffen wurden.

Risiko: Produkt aus Eintrittswahrscheinlichkeit und Auswirkung eines unerwünschten Ereignisses.

Risikobeurteilung: Das gesamte Verfahren zur Risikominderung von der Risikoanalyse über die Risikoeinschätzung bis zur Risikobewertung (vgl.)

Schaden: Eine unerwünschte (unfreiwillige und nachteilige) Veränderung des Zustands oder einer oder mehrerer Funktionen eines Systems oder der Systemumgebung, auch Veränderung einer oder mehrerer vorhandener, aber nicht genutzter Funktionalitäten eines oder mehrerer Systemelemente.

Schadensereignis: Ein Ereignis, das zu einem Schaden führt.

Schadensquelle: Eine bei einer Risikobeurteilung berücksichtigte Gefahrenquelle.

Schädigung: Herbeiführung eines Schadensereignisses (eine tatsächliche Schadensquelle).

Schadensanalyse: (Versuch der) Feststellung (Einschätzung oder Bewertung) von Ursache, Umfang oder Ausmaß und ggf. Häufigkeit eines Schadens.

Schutzmaßnahme: Eine Tätigkeit oder das Ergebnis einer Tätigkeit, die dem Schutz eines Schutzobjekts dient. (Eine Schutzmaßnahme trägt damit nicht zur Funktion eines Systems bei, sondern mindert „nur“ ein Risiko für das System oder die Systemumgebung; die Grenze zu einer sicheren Konstruktion, einer sicheren Organisation oder einer sicheren Prozedur kann im Einzelfall aber fließend sein.)

Schutzobjekt: System, das auf eine Gefährdung hin betrachtet wird, oder Systemumgebung, dessen Gefährdung durch das betrachtete System geprüft wird.

Sicherung: Systemelement oder Prozedur, das oder die als Schutzmaßnahme eine unerwünschte Zustands- oder Funktionsänderung des Systems verhindern oder begrenzen soll (einschließlich „Sicherungen“ oder „Sichern“ im engen Sinne).

Sicherheitsaspekt: Darstellung einer Teilmenge von Eigenschaften der Sicherheit eines Systems (vgl. Aspekt); gegebener oder erforderlicher Beitrag zur Sicherheit eines Systems.

Sicherheitskonzept: Ein Konzept zu Auslegung und Funktion eines Systems, das Nutzung und Nutzungsende eines Systems sicher für das System und für die Systemumgebung gewährleisten soll.

Sorge: Ein begründetes oder unbegründetes Gefühl einer Gefährdung für ein System, für das „Sorge getragen“ wird.

System: Menge miteinander in Beziehung stehender Elemente, die in einem bestimmten Zusammenhang als Ganzes gesehen und als von ihrer Umgebung abgegrenzt betrachtet werden. Ein System kann sein eine Person, ein Gegenstand, eine Maschine, eine Anlage, das Eigentum einer Person, eine Gemeinschaft, Kultur und Wirtschaft, eine Organisation, Gesellschaft, ein Staat, Ausrüstung, Ablauf, Pläne, Wissen, Sachverhalte, (ein Teil oder Teile der) Natur, eine Gruppe hiervon oder eine Verbindung mit- und untereinander.

Systemelement: Entität als Teil eines Systems.

Systemumgebung: Alles, was nicht dem betrachteten System zugeordnet ist, aber mit diesem wechselwirken kann (z. B. Fahrbahn in Bezug auf ein Auto, wenn nur das Auto als System betrachtet wird). Das System kann um Teile der Systemumgebung erweitert werden, um so ein größeres System zu ergeben. Das ursprüngliche System ist dann ein Subsystem des neuen Systems.

Verlässlichkeit: Wirksamkeit der Funktionen eines Systems unter anforderungsgemäßen Bedingungen über die Zeit (d. h. aus Nutzersicht; vor allem benutzt in Bezug auf Personen und ihre erlebten Funktionen).

Zuverlässigkeit: Wirksamkeit eines Systems (einschließlich seiner Sicherungen und sonstigen Schutzmaßnahmen) unter anforderungsgemäßen Bedingungen über die Zeit.

R1 Als Voraussetzung für ein sicheres System sind Stabilität, zuverlässige Funktionsfähigkeit und Nachhaltigkeit des Systems bei Planung und Realisierung eines Systems sicherzustellen, über die gesamte Lebenszeit des Systems zu überwachen und durch entsprechende Nutzung, Wartung, Instandhaltung und Optimierung zu gewährleisten.

R2 Der Schutz der Systemelemente gegen- und untereinander ist bei der Systemauslegung und -realisierung als Teil der Stabilität und Funktionsfähigkeit des Systems zu berücksichtigen.

R3 Beim Schutz zwischen System und seiner Außenwelt / Umgebung / Umwelt sind zwei weitere Richtungen zu berücksichtigen:

• der Schutz der Außenwelt (Umgebung / Umwelt) vor einer unerwünschten Systemwirkung oder einem Systemversagen mit Einwirkungen des Systems auf die Umgebung.
• der Schutz des gesamten Systems vor Einwirkungen der Außenwelt (Umgebung / Umwelt) auf das betrachtete System.

R4 Bei Planung, Realisierung und Nutzung eines Systems ist jede Gefährdung dem Risiko ihres Eintretens und ihrer Auswirkungen entsprechend zu berücksichtigen – sei sie aktuell bestehend oder zukünftig zu erwarten oder zu befürchten –, und durch ein Sicherheitskonzept und entsprechende angemessene Schutzmaßnahmen ist das gesamte Risiko unter das vereinbarte Grenzrisiko zu drücken.

R5 Das Sicherheitskonzept ist regelmäßig entsprechend den gültigen Normen, Richtlinien oder sonstigen Vorschriften (falls solche nicht vorliegen mindestens nach jedem Schadensereignis) zu überprüfen und zu optimieren.

R6 Würden Sicherheitskonzepte und Schutzmaßnahmen die vom Nutzer erwartete oder gewünschte Flexibilität und Freiheit des Systems und seiner Teile beeinträchtigen, sind sie vor Umsetzung oder Installation offenzulegen und zwischen den beteiligten Parteien abzustimmen.

R7 Sicherheit und Schutz können spezifiziert werden als Sicherheit für oder von oder als Schutz von etwas (z. B. Recht, Gesundheit, Kinder, Arten, Tiere, Information) oder als Sicherheit vor einer bzw. Schutz gegen eine Gefahr (z. B. Krankheit, Angriff, Hochwasser, Erdbeben, Insolvenz, Abhören) oder wo oder wann Sicherheit oder Schutz erwartet werden (z. B. Verkehr, Alter) oder wie oder wodurch Sicherheit oder Schutz gewährleistet sein sollen (z. B. Zuverlässigkeit, Verlässlichkeit, Stabilität, Nachhaltigkeit, Bürgschaft, Sicherstellung, Gewährleistung, Schütz, Sicherung, Wartung und Instandhaltung).

1. Guide 51 (TECHNISCHE REGEL, ISO/IEC Guide 51:2014-04, Beuth-Verlag, Berlin); dort: Sicherheit ist Freiheit von unvertretbaren Risiken
2. DIN SPEC 40912 „Kernmodelle – Beschreibung und Beispiele“, Oktober 2014
3. DIN EN ISO 12100:2010 (Sicherheit von Maschinen)
4. DIN EN ISO 12100 Sicherheit von Maschinen – Allgemeine Gestaltungsleitsätze – Risikobeurteilung und Risikominderung (ISO 12100:2010); Deutsche Fassung EN ISO 12100:2010 – Teil 8
5. Internationales Elektrotechnisches Wörterbuch: DKE-IEV 351-57-01 „Gefährdung“ oder 903-01-03 „Gefährdung“; s. auch TECHNISCHE REGEL, ISO/IEC Guide 51:2014-04, Beuth-Verlag, Berlin
6. DIN SPEC 40912 „Kernmodelle – Beschreibung und Beispiele“, Oktober 2014
7. DIN SPEC 40912 „Kernmodelle – Beschreibung und Beispiele“, Oktober 2014
8. DIN SPEC 40912 „Kernmodelle – Beschreibung und Beispiele“, Oktober 2014
9. DIN SPEC 40912 „Kernmodelle – Beschreibung und Beispiele“, Oktober 2014
10. Internationales Elektrotechnisches Wörterbuch: DKE-IEV 351-57-01 „Gefährdung“ oder 903-01-03 „Gefährdung“; s. auch TECHNISCHE REGEL, ISO/IEC Guide 51:2014-04, Beuth-Verlag, Berlin
11. DIN EN ISO 12100 Sicherheit von Maschinen - Allgemeine Gestaltungsleitsätze - Risikobeurteilung und Risikominderung (ISO 12100:2010); Deutsche Fassung EN ISO 12100:2010 – Teil 8
12. DIN EN ISO 12100:2010 (Sicherheit von Maschinen)
13. Zitiert in: DIN SPEC 40912 „Kernmodelle – Beschreibung und Beispiele“, Oktober 2014; Quelle: DIN IEC 60050-351
14. DIN SPEC 40912 „Kernmodelle – Beschreibung und Beispiele“, Oktober 2014