Im IT-Umfeld beschreibt eine Unternehmens-Architektur das Zusammenspiel von IT und geschäftlichen Aktivitäten. Das Ziel der IT ist es die Geschäftsziele sicherzustellen.

Eine Unternehmens-Sicherheits-Architektur hat ebenfalls das Ziel mithilfe von Sicherheitsmaßnahmen die Geschäftsziele sicherzustellen, nicht die IT sicher zustellen. Das ist wichtig denn die Sicherheits-Architektur muss sich primär an den Vorgaben des Unternehmens ausrichten. IT hat andere Ziele wie „schnelle Reaktionszeiten“, „hohe Performance“ oder „günstige Lösungen“. Um diese Treiber geht es in einer Enterprise Sicherheits-Architektur jedoch nicht. Vielmehr geht es um eine strategische Ausrichtung des Unternehmens um Sicherheitsziele zu etablieren, Standards zu schaffen und durch Vereinfachung (durch Architektur-„Schablonen“) mit der immer höheren Geschwindigkeit von internen Veränderungsprozessen und äußeren Bedrohungen mitzuhalten.

Beim Aufbau einer Enterprise-(Sicherheits)-Architektur geht es nicht nur um die letzte industrielle Revolution (auch als Industrie 4.0 bezeichnet), um das Internet of Things, um Künstliche Intelligenz oder Cloud Computing. Es geht um das Übersetzen der Unternehmens-Vision und -Strategie in eine Enterprise-Sicherheits-Architektur.

Ein besseres Verständnis erhält man wenn man sich mit IT- bzw. Sicherheits-Architektur-Modellen beschäftigt. In diesem Artikel werden drei der wichtigsten kurz vor gestellt. Anschließend wird eine mögliche Integration in das Unternehmen beschrieben, und abschließend die wichtigsten Aspekte für eine erfolgreiche Integration zusammen gefasst.

ARCHITEKTUR-MODELLE

Zachman

In den Achtzigern war John Zachman mit dem Design von Informations-Architekturen für Unternehmen beschäftigt. In einem ersten Artikel beschrieb er dass der Begriff „Architektur“ für unterschiedliche Leute auch verschiedene Bedeutung hat. Daher unterschied Zachman zunächst die folgenden Rollen: der Planer, der Besitzer, der Designer, der Integrator, der Programmierer und der Anwender. Er trug diese Rollen in einer Matrix auf der vertikalen Achse ein und stellte dann Fragen über diese Rollen, die in der Matrix auf der Horizontalen dargestellt wurden. Diese Fragen konzentrierten sich auf die zu verarbeitenden Daten, auf Funktionen, das Netzwerk, die involvierten Personen, die Zeit sowie die Motivation. Das Ergebnis war ein Klassifizierungs-Schema welches keine Einschränkungen hinsichtlich einer Modellierungssprache machte. In weiteren Entwicklungsstadien abstrahierte man die Rollen noch weiter in folgende Perspektiven: Umgebungssicht, Unternehmenssicht, Logische Sicht, Physikalische Sicht, Entwicklersicht und Betriebssicht.

SABSA

Seit 1995 wird SABSA entwickelt und geht zurück auf ein Whitepaper von John Sharewood. Die Sherwood Applied Business Security Architecture beschreibt den Aufbau einer Sicherheit Architektur auf Basis von Geschäftsanforderungen und dem Risikoprofil des jeweiligen Unternehmens.

SABSA hat eine ähnliche Struktur wie das Zachman Modell und führt neben einem Lifecycle-Modell außerdem ein Profil mit sieben typischen Attributen ein.

Dazu zählen zum Beispiel Management Attribute, Technische Attribute oder Risikomanagement Attribute. Letzteres ist sicherlich der für den Aufbau einer Sicherheitsarchitektur interessanteste Aspekt. Hierunter zählen Anforderungen zum Zugriffsschutz, Rechenschaftspflicht, Prüfbarkeit, Nichtabstreitbarkeit oder Glaubwürdigkeit. Alle diese Attribute wurden aus Erfahrungen mit verschiedensten Industriebereichen und vielen verschiedenen Kunden zusammen getragen.

TOGAF

Auch The Open Group Architecture Framework (TOGAF) wird seit 1995 entwickelt und geht zurück auf eine Arbeit des Department of Defense (DoD) und einem Modell für Informationsmanagement. Die aktuelle Version beschreibt die vier Architektur-Säulen Business, Anwendung, Daten und Technik. Außerdem wird in einem zyklischen Planungsprozess (ADM, Architecture Development Method) beschrieben wie eine Unternehmens-Architektur aufgebaut werden kann um die Geschäfts- und Technologie-Ziele zu erreichen. Sie beschreibt den Planungsprozess durch acht kreisförmig angeordnete Bereiche deren Anforderungen im Zentrum alle diese Bereiche zusammen halten.

INTEGRATION IM UNTERNEHMEN

Zachman liefert ein Matrix-Modell zur Unterteilung in verschiedene Sichten einerseits (Betriebssicht, Logische Sicht oder Anwendungssicht) sowie Assets, Motivation, Prozesse, Personen, Technologie, Ort, Zeit andererseits.

SABSA liefert ein Klassizierungsschema (Taxonomie) nachdem Unternehmen sinnvoll aufgeteilt und untersucht werden können.

TOGAF beschreibt einen Prozess der zur Integration einer Architektur in ein Unternehmen eine gute Grundlage beschreibt.

TAXONOMIE – RISIKOMANAGEMENT IST WICHTIG

Die Aspekte aus dem SABSA Klassifizierungsschema Risikomanagement sind besonders wichtig wenn es um den Aufbau von Sicherheits-Architektur in einem Unternehmen geht. Sie stellen die Erfolgskriterien für den Aufbau einer Sicherheitsarchitektur im Unternehmen dar.

Matrix

Die Zachman Matrix ist das Entwicklungsmodell welches die Reihenfolge zur Schaffung einer Unternehmens-Architektur vorgibt. Gemeinsam mit dem Integrationsprozess aus TOGAF bildet sich der Pfad durch die Matrix. Das Anforderungsmanagement beginnt mit der Entwicklung von Geschäftsentscheidungen welche das „Was“ im Rahmen einer Umgebungsanalyse darstellen (Vision). Die Unternehmensziele stellen die Grundlage dar („Warum“; Geschäftsziele). Daraus leitet sich das Unternehmensprofil und die Risikostrategie ab (als Konzeptuelle Architektur). In einer logischen Darstellung werden dann Prozesse und Datenflüsse zu einer Service Architektur zusammen gestellt („Wie“). Davon leitet sich die notwendige Technologiewahl ab.

Lifecycle

Die TOGAF Architecture Development Method (ADM) stellt den zyklischen Planungsprozess dar und beschreibt den Lebenszyklus von Strategie und Planung über Design, dann Implementation bis zu Management und Überwachung.

Diese Bereiche aus dem ADM enthalten unter anderem diese sicherheitsrelevante Elemente:

• Vorarbeit (Sicherheits Prinzipien)
• Vision (Sicherheitsstakeholder wie Security Officer, Risk Manager, Compliance Manager)
• Geschäftsarchitektur (Risikomodell, Security Policies)
• IT-Anwendungen (Security Services Katalog)
• Technologie-Architektur (Security Standards und Implementierungs-Richtlinien)
• Integrations-Steuerung (Security Audit, Awareness)
• Veränderungs-Management (Risk-Managemenet)

Capability Model – Messung von Fortschritt

Der Erfolg bzw. der Reifegrad kann ebenfalls durch Nutzung eines Frameworks gemessen werden.  Dazu bedient man sich des Capability Maturity Modells (CMM) der Carnegie-Mellon-Universität in Pittsburgh. Es wurde ursprünglich entwickelt um die ständig anwachsende Menge von IT-Systemen und der damit verbundenen steigenden Fehlerrate Herr zu werden. Die Reife (Maturität) wird in fünf Stufen gemessen von „nicht dokumentiert und chaotisch“ (1) , „wiederholbar jedoch reaktiv“ (2), „über „dokumentiert, wiederholbar und standardisiert“ (3), „verwaltet, überwacht und gemessen“ (4) bis „automatisiert, getestet, optimierend und unternehmensweit“ (5). Ziel ist es nicht bis zur höchsten Reife zu kommen denn das ist nur für einige Prozesse im Unternehmen sinnvoll. Wichtig ist es ein eigenes Anforderungsprofil zu bestimmen welches je Unternehmensbereich erreicht werden sollte.

ZUSAMMENFASSUNG

Die Kenntnis von Architekturmodellen hilft auf jeden Fall wenn es um das Strukturieren von Geschäftsanforderungen und anschließendes Planen und Integrieren eines Modells in das Unternehmen geht. Viel Erfahrung aus unterschiedlichen Industriezweigen ist in diese Modelle eingeflossen und es ist sinnvoll diese weiter zu nutzen. SABSA teilt Unternehmen in mehrere Schichten auf sodass Sicherheitsmaßnahmen mithilfe des dort beschriebenen Klassifizierungsschemas beschrieben werden können. Zachman hilft die richtigen Fragen zur Beschreibung der Geschäftsanforderungen, die beteiligten Personen, Zeiten oder Ort für jede betrachtete Schicht im Unternehmen zu beantworten bzw. zu definieren.

Ein Sicherheitsstandard wie ISO27001 beschreibt welche Sicherheitsmaßnahmen typischerweise installiert werden sollten. Im Bereich Access-Management-Programm werden Maßnahmen gefordert wie die Einführung von Verzeichnisdiensten, Passwortmanagement und Protokollierung.

Ein Architekturstandard wie SABSA nähert sich den Maßnahmen über verschiedenen Perspektiven. Die Kontext-Sicht konzentriert den Anwender seine Geschäftsrisiken zu identifizieren, die Konzept-Sicht fragt welche Ziele erreicht werden sollen und die Logische Sicht hilft zu erkennen das ein Access-Management System eingeführt werden sollte – liefert damit das „Was genau“. Die Anwendung eines Architekturstandards verbindet also die Sicherheitsmaßnahmen mit den Geschäftszielen. Kosten für Maßnahmen können direkt gerechtfertigt werden. Das „Wie genau“ wird in einem Sicherheitsstandard beschrieben.

Enterprise Security-Architecture Modelle spannen den Rahmen um das komplette Unternehmen durch einen eher theoretischen und akademischen Ansatz. Wer gerne mit einen Top-Down Ansatz von der Geschäfts-Schicht bis zur Komponenten-Schicht arbeitet, wird mit SABSA gut arbeiten können. Ergänzend lassen sich Sicherheitsstandards hinzuziehen, sodass sich aus dem Architekturmodell konkrete Handlungsanweisungen bzw. Implementierungsmaßnahmen erstellen lassen.