Service Oriented Architecture – Durch sie ist es möglich, Geschäftsprozesse zu automatisieren und dabei völlig flexibel auf unternehmensspezifische Veränderungen einzugehen. Hierfür müssen Unternehmen jedoch ihre bisher im Einsatz befindlichen Sicherheitsmechanismen anpassen und für Geschäftspartner
öffnen. So wird es möglich, durchgängige und automatisierte
Geschäftsprozesse abzubilden und damit die Vorteile der globalen Märkte mit Hilfe des neuen Architekturgedankens zu nutzen. Dies birgt neben den Chancen aber auch Risiken.
Unternehmen müssen sich dieser Gefahren bewusst werden und sie bewerten, nur so können entsprechende Maßnahmen zur Reduzierung des Risikos ermittelt werden. Hierfür ist ein strukturiertes und prozessorientiertes Vorgehen notwendig. Im von der Autorin beschriebenen Verfahren wird zu diesem Zweck zunächst der Schutzbedarf für den zu analysierenden Geschäftsprozess
ermittelt. Anschließend werden Risiken identifiziert und deren Risikohöhe mit Hilfe der Eintrittswahrscheinlichkeit und des Schadensausmaßes bestimmt.
Mittels dieser Werte kann eine Aussage über die Notwendigkeit der Risikominimierung gemacht werden, um effektive Kontrollmaßnahmen zu ermitteln, beginnend beim kritischsten Risiko.
Grundlegender Gedanke und Nutzen einer SOA ist die Wiederverwendbarkeit.
Dies trifft auch auf die Sicherheitsaspekte zu. Mithin demonstrierte
die Autorin das zuvor beschriebene Verfahren an zwei Geschäftsprozessen, so dass auf Basis der erhaltenen Kontrollen Sicherheitsservices bestimmt werden konnten. Diese enthalten sinnvolle Kombinationen von technischen und nicht-technischen Maßnahmen zur ganzheitlichen Absicherung von Geschäftsprozessen
und können immer wiederverwendet werden.
Schließlich wurden die Sicherheitsservices in die SAP-spezifische Lösung der SOA, die Enterprise SOA, übernommen. Zur sicheren Realisierung der Enterprise SOA beim Kunden müssen darüber hinaus weitere Aspekte berücksichtigt werden. Aus diesem Grund wurde beispielsweise aufgezeigt, wie interne Governance-Richtlinien einbezogen, gesetzliche Vorschriften eingehalten oder auch bisherige Sicherheitsmechanismen in die Enterprise SOA übertragen werden.
Inhaltsverzeichnis
1 Einleitung
1.1 Fragestellungen und Zielsetzung
1.2 Aufbau der Arbeit
1.3 Hinweise zur Arbeit
2 Forschungsgrundlagen
2.1 Definitionen
2.1.1 Schutzbedürfnisse
2.1.2 Risiko
2.1.3 Kontrolle
2.1.4 Sicherheitsservices
2.2 Von Web Services zur Service Orientierten Architektur
2.2.1 Web Services
2.2.2 Service Orientierte Architektur (SOA)
2.3 Standards bei Web Services
2.3.1 Grundstandards
2.3.2 Sicherheitsstandards
3 Risikoanalyse und -klassifizierung
3.1 Methoden zur Risikoanalyse und -klassifizierung
3.1.1 Bekannte Verfahren
3.1.2 Vorgehen im Kontext der Arbeit
3.2 Erstellen eines Risikokataloges für die Service Orientierte Architektur
3.2.1 Beispiel 1: Purchase to Pay
3.2.2 Beispiel 2: SEPA-Überweisung
4 Implementierung von Kontrollmaßnahmen
4.1 Methoden zur Bestimmung geeigneter Kontrollmaßnahmen
4.1.1 Bekannte Verfahren
4.1.2 Vorgehen im Kontext der Arbeit
4.2 Erstellen eines Kontrollkataloges zur Absicherung der Service Orientierten Architektur
4.2.1 Ermitteln von Kontrollmaßnahmen
4.2.2 Ermitteln von Sicherheitsservices
4.2.3 Bewerten der Sicherheitsservices
5 Paradigma: Enterprise SOA
5.1 Aufbau und Funktionsweise
5.1.1 Entwicklung
5.1.2 SAP NetWeaver
5.1.3 Enterprise SOA
5.2 Sicherheitsbetrachtung
5.3 Prozessorchestrierung mit Enterprise SOA
5.3.1 SAP NetWeaver Composition Environment
5.3.2 Prozess orchestrieren
5.3.3 Zuweisung der Sicherheitsservices
5.4 Enterprise SOA-Sicherheit in der Beratungspraxis
5.4.1 Rechtliche Sicherheitsaspekte für die IT
5.4.2 Vorgehensweise im Projekt
6 Fazit
Zielsetzung und Themen der Arbeit
Das Hauptziel dieser Arbeit ist es, mögliche Schwachstellen einer Service Oriented Architecture (SOA) zu identifizieren, daraus resultierende Sicherheitsrisiken aufzuzeigen und prozessorientierte Kontrollmaßnahmen sowie Sicherheitsservices zur Risikominimierung zu entwickeln. Die Arbeit verfolgt dabei die Forschungsfrage, wie eine ganzheitliche Absicherung von Geschäftsprozessen innerhalb einer (Enterprise) SOA in der Beratungspraxis realisiert werden kann.
- Grundlagen von Web Services und Service Oriented Architecture (SOA)
- Strukturierte Risikoanalyse und -klassifizierung im SOA-Kontext
- Entwicklung von Risikokatalogen anhand von Fallbeispielen (Purchase to Pay & SEPA-Überweisung)
- Implementierung von technischen und organisatorischen Kontrollmaßnahmen
- Übertragung der Erkenntnisse auf das SAP-Paradigma Enterprise SOA unter Berücksichtigung rechtlicher Rahmenbedingungen
Auszug aus dem Buch
3.2.1 Beispiel 1: Purchase to Pay
Zunächst soll die Durchführung der Risikoanalyse an dem Geschäftsprozess zur Bestellung und Bezahlung von Waren (Purchase to pay) durchgeführt werden. Folgende Schritte sind dabei notwendig:
1. Zulieferer auswählen
2. Bestellung anlegen
3. Wareneingang buchen
4. Rechnungseingang buchen
5. Bezahlung
Neben der Betrachtung des Gesamtprozesses ist es vor allem notwendig, jeden einzelnen Schritt zu analysieren. Durch dieses Vorgehen werden viele Risiken deutlich, welche sich erst aus der Nutzung von IT in äußerst komplexen Geschäftsabläufen ergeben. Exemplarisch soll dies am ersten Teilprozessschritt „Zulieferer auswählen“ demonstriert werden. Angenommen, in dem Unternehmen ist eine SOA realisiert, an die ein Marktplatz mit mehreren Zulieferern über verschiedene Web Services angeschlossen ist (z.B. Elemica, ein Netzwerk für die globale chemische Industrie [vgl. Elemica]). In dem Auswahlprozess gibt der Anwender, der einen Zulieferer aussuchen will, über ein GUI bestimmte Bedingungen ein. Dies sind Angaben über die gewünschte Bestellung, wie die Menge, die Qualität, besondere Eigenschaften, usw. Zusätzlich nennt er die Wunschkonditionen, wie den Preis, welchen er maximal zu zahlen bereit wäre. Diese werden für die automatisierte Aushandlung benötigt, sind aber für die Zulieferer nicht sichtbar. Nun werden alle Daten als Ausschreibung abgeschickt und ein Prozess, bestehend aus mehreren Services, wird angestoßen.
Zusammenfassung der Kapitel
1 Einleitung: Einführung in die Thematik der SOA als moderne IT-Architektur und Definition der Forschungsfragen zur Sicherheit innerhalb dieser Umgebung.
2 Forschungsgrundlagen: Definition zentraler Sicherheitsbegriffe wie Schutzbedürfnis, Risiko und Kontrolle sowie Erläuterung der Grundlagen von Web Services und SOA.
3 Risikoanalyse und -klassifizierung: Vorstellung einer strukturierten Methode zur Identifizierung und Bewertung von Risiken anhand von zwei konkreten Geschäftsprozessen.
4 Implementierung von Kontrollmaßnahmen: Herleitung und Zuordnung geeigneter Kontrollmaßnahmen und Sicherheitsservices zur Risikominderung sowie anschließende Restrisikobetrachtung.
5 Paradigma: Enterprise SOA: Anwendung der erarbeiteten Konzepte auf die spezifische SAP-Implementierung Enterprise SOA unter Einbeziehung regulatorischer Anforderungen.
6 Fazit: Zusammenfassende Bewertung der Möglichkeiten und Grenzen der automatisierten Absicherung von SOA-Prozessen sowie Ausblick auf die Rolle menschlicher Expertise.
Schlüsselwörter
Service Oriented Architecture, SOA, Enterprise SOA, IT-Sicherheit, Risikomanagement, Risikoanalyse, Kontrollmaßnahmen, Sicherheitsservices, Web Services, SAP NetWeaver, Geschäftsprozess, Verschlüsselung, Signatur, Governance, Compliance
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit befasst sich mit der Absicherung von Service Oriented Architectures (SOA), indem sie Sicherheitsrisiken in Geschäftsprozessen analysiert und entsprechende Kontrollmaßnahmen sowie Sicherheitsservices ableitet.
Was sind die zentralen Themenfelder?
Die Schwerpunkte liegen auf den Grundlagen von Web Services, der systematischen Risikoanalyse und -klassifizierung sowie der praktischen Implementierung von Sicherheitskonzepten in einer Enterprise SOA-Umgebung.
Was ist das primäre Ziel der Arbeit?
Das primäre Ziel ist es, eine methodische Herangehensweise zu schaffen, mit der IT-Security-Berater Schwachstellen einer SOA identifizieren und passgenaue Sicherheitsmechanismen für den Kunden implementieren können.
Welche wissenschaftliche Methode wird verwendet?
Die Autorin nutzt ein prozessorientiertes Verfahren zur Risikoanalyse, das Schutzbedarfe ermittelt, Risiken kategorisiert, durch qualitative Ansätze bewertet und diese schließlich durch die Zuweisung von Sicherheitsservices adressiert.
Was wird im Hauptteil behandelt?
Der Hauptteil gliedert sich in die methodische Risikoanalyse (Kapitel 3) und die darauf aufbauende Implementierung von Kontrollmaßnahmen (Kapitel 4), wobei jeweils konkrete Fallbeispiele aus der Praxis herangezogen werden.
Welche Schlüsselwörter charakterisieren die Arbeit?
Zu den wichtigsten Begriffen zählen Enterprise SOA, Risikoanalyse, Sicherheitsservices, Geschäftsprozess-Sicherheit, Kontrollkatalog und SAP NetWeaver.
Wie wird das Risiko in dieser Arbeit definiert?
Ein Risiko wird als ein Ereignis mit einer bestimmten Eintrittswahrscheinlichkeit und einem bestimmten Schadensausmaß definiert, welches die Schutzbedürfnisse einer SOA gefährden kann.
Warum ist die Unterscheidung zwischen Risiko und Bedrohung wichtig?
Die Bedrohung ist das potenzielle Ereignis selbst, während das Risiko die Kombination aus der Eintrittswahrscheinlichkeit dieses Ereignisses und dem daraus resultierenden Schadensausmaß darstellt, was eine priorisierte Maßnahmenplanung ermöglicht.
- Arbeit zitieren
- Miriam Hamel (Autor:in), 2007, Sicherheitsservices für Service Oriented Architecture (SOA) am Fallbeispiel Enterprise SOA, München, GRIN Verlag, https://www.grin.com/document/182364
