Projektmeilenstein: Sicherheitsziele sichtbar machen

Warum messbare Sicherheit essenziell ist

Sicherheitsziele gelten in vielen regulierten Projekten – insbesondere in sicherheitskritischen Branchen wie Automotive, Luftfahrt, Bahn oder Medizintechnik – als zentrale Grundlage für ein systematisches Sicherheitsmanagement. Doch während funktionale Anforderungen meist klar und messbar definiert werden, bleibt Sicherheit oft abstrakt und schwer greifbar. Genau das ist gefährlich. Denn ohne sichtbare, überprüfbare Fortschritte im Projektverlauf entstehen Unsicherheiten – für Entwickler, Auditoren und vor allem für die Betreiber sicherheitsrelevanter Systeme.

Dieser Beitrag zeigt auf, warum die Sichtbarmachung von Sicherheitszielen so entscheidend ist, welche Methoden sich bewährt haben und wie Unternehmen die Umsetzung in der Praxis meistern – nachvollziehbar, überprüfbar und in Einklang mit internationalen Normen.

Was sind eigentlich Sicherheitsziele?

Sicherheitsziele beschreiben den angestrebten Zustand eines Systems im Hinblick auf die Vermeidung oder Minimierung von Risiken für Leben, Gesundheit oder Umwelt. Dabei geht es nicht um allgemeine Ziele wie “das System soll sicher sein”, sondern um konkret abgeleitete Anforderungen aus einer vorherigen Gefährdungs- und Risikoanalyse.

Beispiele:

  • “Das Bremssystem darf bei einem elektrischen Fehler nicht vollständig ausfallen.”
  • “Bei einem Softwareabsturz im Steuergerät darf die Notabschaltung stets ausgelöst werden.”
  • “Das System muss bei einem falschen Sensorwert eine Plausibilitätsprüfung durchführen.”

Solche Ziele bilden die Grundlage für alle weiteren Maßnahmen – von der Architektur über Tests bis hin zur Absicherung durch organisatorische Prozesse.

Warum bleiben Sicherheitsziele oft unsichtbar?

Es gibt mehrere Gründe, warum Sicherheitsziele in Projekten oft nicht explizit sichtbar gemacht oder gemessen werden:

  • Mangelnde Traceability: Ziele werden formuliert, aber nicht über den Lebenszyklus hinweg verfolgt.
  • Abstrakte Formulierung: Sicherheitsziele werden zu allgemein beschrieben, ohne Bezug zur Implementierung.
  • Keine Verknüpfung mit Meilensteinen: Sicherheit wird nicht aktiv in Projektpläne integriert.
  • Unzureichende Visualisierung: Fortschritte werden nicht über geeignete Dashboards oder KPIs dargestellt.

Die Folge: Sicherheit wird zur Blackbox – und das ist weder im Audit noch für die Projektleitung akzeptabel.

Normative Anforderungen an messbare Sicherheitsfortschritte

Viele Normen fordern explizit die Verfolgbarkeit und Bewertung von Sicherheitszielen im Projektkontext. Beispiele:

  • ISO 26262 (Automotive Safety):
    • Kapitel 4: Sicherheitsplanung als Bestandteil des Projektmanagements
    • Kapitel 9: Sicherheitsvalidierung erfordert eine Verknüpfung zu den ursprünglichen Sicherheitszielen
  • IEC 61508 (generische Funktionale Sicherheit):
    • Abschnitt 7: Sicherheitsanforderungen müssen dokumentiert, verifiziert und rückverfolgbar sein
  • EN 50126/50129 (Bahn):
    • Lebenszyklusorientiertes Vorgehen mit Sichtbarkeit der Sicherheitsnachweise in jeder Phase
  • ISO/IEC 27001 (Informationssicherheit):
    • Sicherheitsziele müssen mit konkreten Maßnahmen hinterlegt und regelmäßig überprüft werden

So werden Sicherheitsziele sichtbar gemacht – in fünf Schritten

1. Formulierung klarer, überprüfbarer Sicherheitsziele

Ein Sicherheitsziel muss präzise, technisch interpretierbar und testbar sein. Gute Beispiele verwenden Struktur und klare Referenzen:

  • “Das System muss beim Fehler X in Zustand Y übergehen (nach FMEA-ID #34).”
  • “Das Steuergerät darf im Fehlerfall A nicht mehr als B ms Verzögerung verursachen.”

2. Verknüpfung mit Work Items und Projektmeilensteinen

Sicherheitsziele sollten nicht nur in einer Excel-Liste existieren, sondern in das Projektmanagement integriert werden. Jeder Meilenstein sollte definieren:

  • Welche Sicherheitsziele bis dahin erfüllt, getestet oder validiert sein müssen
  • Welche Tests dafür vorgesehen sind (Unit, Integration, System)
  • Welche Dokumente als Nachweis dienen

3. Nutzung von Traceability-Tools

Moderne Application-Lifecycle-Management (ALM)-Systeme wie Polarion, IBM DOORS oder Codebeamer ermöglichen die Verknüpfung von Anforderungen, Sicherheitszielen, Tests und Nachweisen. Eine durchgängige Traceability ist nicht nur hilfreich für Audits, sondern auch für das Risikomanagement.

4. Visualisierung über Dashboards

Sicherheitsfortschritte lassen sich z. B. darstellen über:

  • Ziel-Erfüllungsquote pro Subsystem
  • Testabdeckung in Bezug auf Sicherheitsziele
  • Offene Risiken je Projektphase
  • Ampelstatus für Safety Critical Items (SCIs)

5. Verankerung im ISMS oder Safety-Managementsystem

Ob funktionale Sicherheit oder Informationssicherheit: Sicherheitsziele müssen ins Managementsystem eingebunden sein – mit KPIs, Verantwortlichkeiten und Reviewzyklen.

Typische Fehler bei der Sichtbarmachung von Sicherheitszielen

  1. Zu grobe Formulierungen: “Das System darf keine Gefährdung erzeugen” ist kein testbares Ziel.
  2. Trennung von Engineering und Safety: Sicherheit wird als “Nebenprodukt” behandelt.
  3. Keine Fortschrittskontrolle: Es wird nur am Projektende geprüft, ob Sicherheitsnachweise vorliegen.
  4. Ignorieren von Risiken während des Projekts: Neue Erkenntnisse oder Fehleranalysen führen nicht zur Anpassung der Sicherheitsziele.

Praxisbeispiel: Automotive-Entwicklung

Ein Tier-1-Zulieferer entwickelt ein neues Bremssystem mit ASIL-D-Anforderungen. Zu Beginn werden über eine HARA (Hazard Analysis and Risk Assessment) Sicherheitsziele abgeleitet. Diese werden in das ALM-System eingebunden, mit Architektur-Elementen verknüpft und durch Integrationstests abgesichert.

In jedem Projekt-Review werden folgende KPIs kontrolliert:

  • Sicherheitsziel-Fulfillment (Anzahl erfüllt vs. offen)
  • Coverage der Sicherheitsanforderungen durch Tests
  • Status der Sicherheitsvalidierung

Das Ergebnis: Eine durchgängige Dokumentation und klare Visualisierung ermöglichen eine ISO-26262-konforme Entwicklung – ohne Überraschungen im Audit.

Weitere Beispiele für projektübergreifende Sicherheitsmetriken

  • Anteil geschlossener Safety-Risiken pro Phase
  • Fehlerhäufigkeit bei Reviews von Safety-Dokumenten
  • Wiedereröffnungen von Sicherheitsanforderungen nach Tests
  • Abdeckung der Sicherheitsziele durch Maßnahmen (Maßnahmen-Matrix)
  • Review-Status kritischer Safety Functions

Integration von Sicherheit in agile Projekte

Auch in agilen Projekten lassen sich Sicherheitsziele sichtbar machen:

  • Jedes Sprint Planning enthält ein “Safety Objective”
  • Sicherheitsanforderungen werden als “Enabler Stories” oder “Acceptance Criteria” gepflegt
  • DoD (Definition of Done) wird um Sicherheitsprüfungen erweitert
  • Velocity Tracking enthält auch Safety-Metriken

Fazit: Sicherheit ist messbar – wenn man es zulässt

Sicherheitsziele sind kein Selbstzweck und keine reine Dokumentationspflicht. Richtig formuliert, integriert und überwacht, helfen sie nicht nur dabei, Projekte auditierbar zu machen – sie steigern auch die Qualität und Verlässlichkeit sicherheitsrelevanter Systeme.

Wer Sicherheit sichtbar macht, schafft Vertrauen, intern wie extern.

Adinger begleitet Unternehmen bei der operationalisierbaren Umsetzung ihrer Sicherheitsziele: normenkonform, messbar und wirtschaftlich sinnvoll.

Newsletter Anmeldung

Name
Datenschutz