All About Security
  • Aktuelle Sicherheitsartikeln als RSS Feed
  • All About Security auf Twitter
  • All About Security auf Xing
  • All About Security auf Google+
  • Unter4Ohren IT-Security Podcast auf YouTube

Identity- und Access-Management, Fachartikel

Sicherheitsanforderungen von Unternehmensarchitekturen mit SABSA umsetzen

Sicherheitsanforderungen von Unternehmensarchitekturen mit SABSA umsetzen

Dr. Silvia Knittl, IAM Solution Architect, accessec GmbH

Das Management von Unternehmensarchitekturen (Enterprise Architecture Management, EAM) spielt besonders in großen, dezentralen Organisationen eine wichtige Rolle. Umfassende Konzepte bilden dabei die geschäftlichen Tätigkeiten des Unternehmens und deren geeignete Unterstützung durch bedarfsgerechte IT-Lösungen ab. Insbesondere in Zeiten, wo sowohl extern als auch intern Angreifer Organisationen mittels Spionage oder Sabotage schaden, dürfen entsprechende Architekturkonzepte keine Sicherheitslücken zulassen. Vielmehr gilt es, die Anforderungen an die Sicherheit als integralen Bestanteil einer Unternehmensarchitektur zu berücksichtigen.

Hohes Gefahrenpotenzial durch unangepasste Sicherheitslösungen

Die aktuelle Bedrohungslage schärft in vielen Unternehmen das Bewusstsein für die Notwendigkeit einer umfassenden IT-Sicherheit. Folglich erhält die IT-Abteilung in der Regel den Auftrag, bestehende oder potenzielle Lücken zu schließen, um die Risiken durch Spionage und Sabotage zu vermeiden. Die IT-Mitarbeiter suchen dann erfahrungsgemäß nach der einen passenden Sicherheitslösung. Häufig führen jedoch umfassende Sicherheitsmechanismen dazu, dass sich die übrigen Mitarbeiter von der IT gegängelt fühlen bzw. das Gefühl haben, von der Arbeit abgehalten zu werden. Folglich entwickeln sie Umgehungslösungen für etablierte Sicherheitsmaßnahmen. Aus der Praxis sind etliche Beispiele bekannt: So werden etwa geheime und damit zu verschlüsselnde Dokumente einfach ausgedruckt und gefaxt - nur damit sich der Mitarbeiter nicht mit der Dokumentenverschlüsselung beschäftigen muss. Andere Mitarbeiter stellen das persönlich ausgehändigte Passwort dem Kollegen für Vertretungsfälle zur Verfügung, anstatt einen weiteren zusätzlichen Zugang zu beantragen. Die von der IT installierten Sicherheitslösungen erwirken somit das Gegenteil und führen zu einem höheren Risiko, wenn Mitarbeiter nicht die Gefahren ihres Handelns erkennen und die eingeführten Lösungen umgehen.

Die eigene Risikostruktur kennen

Jedes Unternehmen sollte sich mit seinen individuellen Sicherheitsanforderungen bzw. seiner Risikostruktur auseinanderzusetzen. Verschiedene Organisationen haben hierbei unterschiedliche Bedürfnisse. Betrachtet man beispielsweise eine Polizeiorganisation und eine Internetverkaufsplattform, so steht bei ersterer der Personenschutz auch der eigenen Mitarbeiter im Fokus während bei letzterer wahrscheinlich Compliance-Anforderungen hinsichtlich der Kreditkartennutzung wichtiger sind. Daher ist es unerlässlich, einen Plan der eigenen Unternehmensarchitektur zu haben und damit auch zu wissen, wie die IT zum Business respektive die IT-Sicherheitslösung zu den Sicherheitsanforderungen beitragen. Hierzu unterstützen die bekannten EAM-Rahmenwerke, wie etwa TOGAF (The Open Group Architecture Framework), die Unternehmensarchitekten durch die Bereitstellung von Architekturentwicklungsmethoden (TOGAF ADM) bei der Entwicklung von sogenannten Bebauungsplänen. Solche Frameworks sind naturgemäß generisch, um alle Arten von Organisationen abdecken zu können. Hinsichtlich der Sicherheitsanforderungen im Rahmen der Architekturentwicklung wird es in der Regel aber deutlich komplexer. Auf der Agenda steht etwa die Frage, wie diese Sicherheitsanforderungen strukturiert erhoben, zugeordnet und umgesetzt werden können.

Sicherheitsanforderungen – Business-aligned

Unstreitig ist, dass unpassende Sicherheitslösungen dazu führen, im Tagesgeschäft als Hindernis wahrgenommen zu werden. Darum müssen Unternehmen die Sicherheitslösungen an die Anforderungen ihres Business anpassen. Das aus der Praxis entstandene Rahmenwerk SABSA (Sherwood Applied Business Security Architecture) liefert hierzu eine praxisbewährte Möglichkeit. Unternehmen, die sich bereits an andere Rahmenwerke wie TOGAF oder auch ITIL orientieren, können SABSA nahtlos in diese integrieren, da es nicht den Anspruch verfolgt, solche Rahmenwerke zu ersetzen. Vielmehr liefert SABSA die nötigen Methoden, um Sicherheit als Business-Enabler zu etablieren. Es beinhaltet dafür u.a. eine Methode zum umfassenden und effektiven Ermitteln von Sicherheitsanforderungen in einer Organisation. Als Ausgangslage dienen die folgenden verschiedenen Ebenen einer Unternehmensarchitektur, wobei jede Ebene die Sichtweise eines bestimmten Players innerhalb der Organisation wiederspiegelt:



Der Sicherheitsarchitekt analysiert nun auf jeder Ebene die bestehenden Bedürfnisse aus einer anderen Sichtweise, indem er dazu die genannten Stakeholder interviewt. Folgende Schlüsselfragen helfen ihm dabei, ein möglichst vollständiges Bild zu erhalten:

-  Was möchten Sie auf dieser Ebene schützen? Welche Assets möchten Sie schützen?
-  Warum möchten Sie diese schützen? Was ist Ihre Motivation?
-  Wie möchten Sie dieses Schutzziel erreichen? Welche Prozesse sind dazu notwendig?
-  Wer ist in der Umsetzung involviert, d.h. welche Stellen, Rollen etc.?
-  Wo bzw. an welchem Ort oder Stelle soll diese Sicherheitsmaßnahme wirksam werden?
-  Zu welchem Zeitpunkt soll diese Sicherheitsmaßnahme wirksam werden?

Die Kontextebene hilft dabei, nicht am Anfang eines Projektes gleich zu einer Lösung zu springen sondern den Dingen die notwendige kontextuelle Einbettung zu geben. Die Konzeptebene betrachtet die Auswahl der logischen und physischen Komponenten, auf denen die spätere Lösung basiert.

Fazit

Die SABSA-Analyse sorgt dafür, dass die Erhebung der Anforderung für die konkreten Spezifikationen von Sicherheitslösungen besser an die jeweiligen Anwenderbedürfnisse angepasst und somit auch teure Fehlinvestitionen oder eine geringe Nutzerakzeptanz vermieden werden können. Häufig erliegen die Stakeholder dem Irrtum, dass die Technik die Sicherheit über alle Ebenen hinweg „schon irgendwie“ regeln wird, weshalb es oftmals schwierig ist, von der Unternehmensführung die notwendige Unterstützung zu bekommen. Das SABSA-Framework stärkt jedoch die Business-Analysten dahingehend, die notwendigen übergreifenden Fragen zu stellen und dadurch die Sicherheitsanforderungen klar zu formulieren und sie vollständig zuzuordnen.

Diesen Artikel empfehlen

Autor: Dr. Silvia Knittl

Studie: 67 Prozent der IT-Kosten allein für Wartung und Compliance

Die künftige Wettbewerbsfähigkeit der Banken hängt nach Meinung von 92 Prozent der Entscheider von Investitionen in effiziente IT-Infrastrukturen ab. Die Bezahlsysteme branchenfremder Marktplayer wie Apple Pay, Google Money oder Pay Pal gaben bereits ein erstes Signal, wie IT-Unternehmen den...

Gefährdung steigt – Schutz sinkt

Trotz der Öffentlichkeit, die das Thema IT- und Informationssicherheit erfährt und das Bewusstsein dafür schärfen soll, verbessert sich die Lage im Mittelstand nicht. Mehr noch: Der Mittelstand fühlt sich aktuell noch schlechter abgesichert als noch vor einem Jahr, wie die aktuelle...

End-to-End Cloud-Dienst für Webanwendungssicherheit

„Web Application Firewalls galten lange als zu komplex in der Einrichtung und Verwaltung, doch die heutigen Anbieter haben erheblich in die Produktentwicklung investiert, um die WAF-Funktionalitäten zu vereinfachen und zu automatisieren“, konstatiert Chris Rodriguez, leitender Branchenanalyst bei...

Rollende Sicherheitsrisiken

Angriffsvektoren auf moderne Fahrzeuge: Attacke! Generell lassen sich drei verschiedene Vektoren unterscheiden, die für einen Angriff auf Fahrzeuge geeignet sind: der direkte physische Zugriff, eine Attacke über eine der vielfältigen Remote-Schnittstellen und kombinierte Angriffe auf...

Physical Identity & Access Management: Build or Buy?

Ausgangslage prüfen und Projektziele festlegen Um die im Raum stehenden Fragen nachhaltig beantworten zu können, gilt es im ersten Schritt, das grundlegende Projektziel zu definieren. Dabei müssen auch Antworten auf folgende Fragestellungen einbezogen werden: Auf welche strategische Initiative...