Wenn Dr. Jörg Kebbedies, Principal Beratung Sicherheitsarchitekturen bei secunet, eine Fortbildungsveranstaltung wie die Enterprise Architect Best Pratice Days besucht, dann hört er sehr genau zu: „Ich analysiere alle Präsentationen daraufhin, ob Unternehmen von Anfang an sicherheitsrelevante Aspekte in ihre IT-Architektur einbauen. Aber meist geht es nur um funktionale Aspekte, da liegt also ein riesiges Betätigungsfeld vor uns!“ Die deutsche secunet Security Networks AG entwickelt IT-Sicherheits-Architekturen und berät als Dienstleister zu den Einsatzmethoden und Werkzeugen wie Enterprise Architect. Dafür hat das Unternehmen ein eigenes Sicherheits-Profil für den Enterprise Architect erstellt und bietet darüber hinaus eine Erweiterung um Kryptographie an. „Unser Philosophie ist ganz klar: Die Schwachstellen in der IT-Architektur sind die Wurzel aller Sicherheitsprobleme in der IT! Wenn von Anfang an eine gute IT-Architektur gebaut wird, dann werden etwaige Bedrohungen vernachlässigbar“, so Kebbedies.
Peter Lieber, Gründer und Inhaber von SparxSystems CE und Sparx Services CE: „Das Thema der sicheren IT-Architekturen liegt uns ebenfalls sehr am Herzen. Im nächsten Release Enterprise Architect 15 wird zusätzlich zu der bereits vorhandenen Risk Taxonomy Modellierung auch ein eigenes Profil für Cyber Security Modellierung enthalten sein. Das Thema Security by Design gewinnt damit enorm an Bedeutung – nicht nur für Security Experten. Es freut uns sehr, dass secunet das große Potential von Enterprise Architect für sichere IT-Architekturen nutzt und zum Wohle seiner Kunden weiter ausbaut!“
Funktionalität und Sicherheit verbinden
Auch für secunet geht es bei der Projektarbeit mit Kunden in einem ersten Schritt um funktionale Aspekte, die in der UML-Sprache gut abbildbar sind. Dann folgt allerdings immer der zweite Schritt, der sich mit der sicherheitsorientierten Entwicklung im Enterprise Architect befasst. „Dafür haben wir ein eigenes MDG-Profil erstellt, natürlich konform zur Common Criteria. Damit wird im Modell sichtbar, wo etwaige Probleme auftreten können. Wir haben also in der IT-Architektur die funktionale Schicht um eine Security-Schicht erweitert“, erläutert Kebbedies. Die „Common Criteria for Information Technology Security Evaluation“ (kurz: Common Criteria) sind ein internationaler Standard zur Prüfung und Bewertung der Sicherheitseigenschaften von IT-Produkten.
Ziele nachvollziehbar umsetzen
Die zunächst in Enterprise Architect definierten Sicherheitsziele werden durch spezifische Sicherheits-Funktionen umgesetzt. Aus der anfänglichen Problemformulierung wird so automatisch die Lösungsbeschreibung: Sicherheit wird explizit gemacht und bewertbar und kann bei Bedarf auch ganz gezielt verbessert werden. „Bei der Nachvollziehbarkeit, wie die definierten Sicherheits-Ziele konkret umgesetzt wurden, stellt Enterprise Architect hervorragende Traceability-Eigenschaften zur Verfügung. Funktionen werden also direkt mit den Zielen verknüpft und gleichzeitig sind auch die Funktions- und die Sicherheits-Architektur im Modell verlinkt“, erläutert Kebbedies. So werden die beiden, zunächst abstrakten Ebenen verbunden und es ist etwa genau zu sehen, wir ein Autorisierungsprozess im Detail abläuft. Damit erhalten interne wie externe Sicherheits-Kontrolleure jederzeit einen detaillierten Einblick in die Vorgänge. Da sich IT-Architekturen laufend ändern, muss auch die Sicherheitskomponente immer mitgeführt werden. Auch dafür bietet das Modell eine hervorragende Grundlage, da es einfach zu erweitern und ergänzen ist.
Sicherheitspartnerschaft
Im Gespräch unterstreicht Kebbedies die seit 2004 bestehende Sicherheitspartnerschaft zwischen secunet und der Bundesrepublik Deutschland: „Wir sind vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert und auch dort wird unser modellbasierter Ansatz nun immer mehr genutzt.“ Der Markt für Lösungen im Bereich der IT-Sicherheit ist weltweit stark im Wachsen, da einerseits nun endlich gesetzliche Regelungen verbindlich werden und andererseits die Anziehungskraft für kriminelle Angriffe wächst. Europa positioniert sich dabei im Gegensatz zu anderen Ländern sehr klar als sicherheitsbewusster Markt. „Die Rahmenbedingungen in der EU für IT-Sicherheit sind sehr gut. Mit Enterprise Architect 15 werden wir einen großen Schritt in diesem Bereich machen und auch fortgeschrittene Anwender wie secunet noch besser unterstützen können“, schließt Lieber.
Über secunet Security Networks AG
Bei secunet konzentrieren sich mehr als 500 Experten auf Themen wie Kryptographie (SINA), E-Government, Business Security und Automotive Security mit dem Anspruch, dem Wettbewerb in Qualität und Technik immer einen Schritt voraus zu sein. Das Leistungsspektrum reicht von der Analyse über die Beratung, Konzeption, Entwicklung und Integration von Software- und Hardware-Lösungen bis hin zu Schulung und Support. Im Verhältnis mit seinen zahlreichen nationalen und internationalen Kunden setzt secunet auf langfristige partnerschaftliche Beziehungen. Die seit 2004 bestehende Sicherheitspartnerschaft mit der Bundesrepublik Deutschland unterstreicht dies eindrucksvoll.
www.secunet.com