Secured by Definition
Der Ansatz Secured by Definition betrachtet IT-Sicherheit als eine Qualität, die systematisch hergestellt werden muss. Anstatt auf Anforderungen und Kontrollen setzt der Ansatz primär darauf, die Rahmenbedingungen für bessere IT-Sicherheit zu schaffen.
Dazu werden das IT-Sicherheitsmanagement (zum Beispiel nach ISO/IEC 27001) und das IT-Service-Management (zum Beispiel nach ISO/IEC 20000 bzw. ITIL) zusammengeführt, und die IT-Service-Security wird integraler Teil der Entwicklungs-, Bereitstellungs- und Betriebsprozesse der IT. Das bedeutet, dass die Entwicklung, Umsetzung, Kontrolle und Verbesserung aller Maßnahmen zur Absicherung von IT-Services, IT-Systemen und IT-Komponenten in die Entwicklungs-, Bereitstellungs- und Betriebsprozesse der IT entlang des gesamten Lebenszyklus integriert wird.[1] „Secured by Definition“ ist ein Grundelement der Sicherheitsarchitektur ESARIS.
Hintergrund
[Bearbeiten | Quelltext bearbeiten]Wenn IT-Sicherheit als eine Qualität betrachtet wird, sollten Erkenntnisse des Qualitätsmanagements genutzt werden, wie sie von William Edwards Deming und anderen beschrieben und ihren Niederschlag zum Beispiel im Total Quality Management (TQM) gefunden haben.
Eine der wichtigen Erkenntnisse des Qualitätsmanagements besteht darin, dass es zunächst darum geht, Ziele zu definieren und die Wirkungen von Handlungen und Rahmenbedingungen zu verstehen. Auf dieser Basis müssen anschließend die Rahmenbedingungen gezielt geändert werden, um eine bessere Qualität zu erreichen. Genau das sollte auch getan werden, wenn es um die Umsetzung der IT-Sicherheit geht.[1] Oft überwiegt in der IT-Sicherheit dagegen noch die Definition von Anforderungen und die Kontrolle der Ergebnisse (Audits und Monitoring). Der Ansatz „Secured by Definition“ geht entsprechend vor und konzentriert sich auf die Schaffung adäquater Rahmenbedingungen, die darin gesehen werden, die Maßnahmen für die IT-Sicherheit gegebenenfalls anzupassen und in die existierenden Prozesse für die Entwicklung, Bereitstellung und den Betrieb der IT zu integrieren.
Als Beispiel gilt die integrierte Rolle des Security Incident Managements, deren Funktionen direkt ins (Delivery) Incident Management einverleibt werden. So entsteht keine selbständige Security Incident Management-Einheit innerhalb der Betriebsorganisation, sondern ihre Aufgaben, Zuständigkeiten und Verantwortlichkeiten werden vollkommen vom Incident Management übernommen und von diesem getragen. Ähnlich handelt es sich um das Prinzip Härtung, das wiederum von vornherein Verantwortungs- und Zuständigkeitsbereich des Betriebs ist. Somit ist keine getrennte, für diese Funktion erstellte Abteilung innerhalb der Betriebsorganisation notwendig, und man kann darauf verzichten.
Man kann Ziel und Vorgehen besser verstehen, wenn kurz vom Thema IT-Sicherheit abgesehen und die Organisation der Herstellung von IT-Services bei größeren IT-Dienstleistern als solche betrachtet wird: Um Qualitätsprobleme bei der Bereitstellung von IT-Services zu lösen, wurde das IT-Service-Management (ITSM) erfunden und in Form von ITIL und später ISO/IEC 20000 standardisiert. Das ITSM definiert Aufgabenbereiche (in Form von Prozessen) und die darin nacheinander auszuführenden Tätigkeiten. Für die IT-Sicherheit von großtechnisch produzierten IT-Services wurde dergleichen nicht definiert. Prozesse eines Informationsmanagementsystems (ISMS, zum Beispiel nach ISO/IEC 27001) sind nicht ausreichend, denn sie sind nicht ausreichend IT-bezogen. Anstatt eine weitere, neue Prozesslandschaft für die IT-Sicherheit zu definieren, liegt es dann nahe, die existierenden ITSM-Prozesse zu verwenden, woraus sich unmittelbar der Ansatz „Secured by Definition“ ergibt.
Abgrenzung
[Bearbeiten | Quelltext bearbeiten]Es gibt eine Reihe von Sicherheitsprinzipien.[2] Die bekanntesten sind die von Saltzer und Schroeder schon 1973-1975 definierten Design-Prinzipien.[3] Einer von vier der im „Security Development Lifecycle (SDL)“ von Microsoft definierten Prinzipien ist „Secure by Design“, das fordert, dass Software so konzipiert, entwickelt und implementiert sein soll, dass sie sich selbst schützt sowie die Daten, die sie verarbeitet.[2] Meist wird davon abweichend von „Security by Design“ gesprochen, was meist so verstanden wird, dass die Sicherheit bereits ganz am Anfang des Entwicklungsprozesses Teil der Anforderungen sein muss.[2] Heute ist dies nicht mehr ausreichend, weil die Bereitstellungsprozesse sehr vielschichtig sind und die Aktivitäten in der Betriebsphase eine ebenso wichtige Rolle spielen.[2]
ISO/IEC 27013[4] enthält Leitlinien für die integrierte bzw. gemeinsame Umsetzung von ISO/IEC 27001 (Sicherheit) und ISO/IEC 20000-1 (ITSM). Im Wesentlichen werden Gemeinsamkeiten und Unterschiede analysiert. Eine Nutzung der IT-Service-Management-Prozesse für die Sicherstellung der IT-Sicherheit (wie bei „Secured by Definition“) wird nicht beschrieben und ist wohl auch nicht Ziel des Standards.[1]
Geschichte
[Bearbeiten | Quelltext bearbeiten]Der Ansatz „Secured by Definition“ ist integraler Bestandteil der Sicherheitsarchitektur ESARIS und wurde zuerst in einer Buchveröffentlichung 2017[5] auch derart bezeichnet. Die Begründung mit Rückführung auf Prinzipien aus dem Qualitätsmanagement erfolgte jedoch erst 2019.[6] „Secured by Definition“ ist ein praxisbewährtes Verfahren, das fester Bestandteil des Geschäftsmodells zum Beispiel von T-Systems ist. Es wurde bei T-Systems ab 2011/2012 schrittweise eingeführt und wird im nationalen und internationalen Geschäft mit Großkunden erfolgreich genutzt.
Ein zentraler Bestandteil der Sicherheitsarchitektur ESARIS ist die ESARIS Security Taxonomy, die 2010 entwickelt und 2012 erstmals der Öffentlichkeit vorgestellt wurde.[7] Sie besteht grob gesagt aus zwei Hälften: einem Teil mit verschiedenen technologischen Komponenten und einem zweiten Teil mit zahlreichen Prozessen bzw. Bereichen, in denen Lebenszyklusaspekte und Praktiken zur Herstellung, Aufrechterhaltung und Überwachung der IT-Sicherheit zu finden sind. Die ESARIS Security Taxonomy enthält die Prozesse und Praktiken für die Entwicklung, Bereitstellung und den Betrieb der IT, also vorzugsweise jene für das IT-Service-Management (ITSM) wie sie in ISO/IEC 20000 bzw. ITIL beschrieben sind. Die Standardprozesse der IT werden, dem Ansatz „Secured by Definition“ entsprechend, um Verfahren für die IT-Sicherheit ergänzt. Nur wenige Bereiche werden zusätzlich für sicherheitsspezifische Prozesse definiert.
Einzelnachweise
[Bearbeiten | Quelltext bearbeiten]- ↑ a b c Eberhard von Faber: IT-Service-Security in Begriffen und Zusammenhängen, Managementmethoden und Rezepte für Anwender und IT-Dienstleister. Springer-Verlag, Wiesbaden, pp:143, 60 Abbildungen 2023, ISBN 978-3-658-41932-5 (doi.org).
- ↑ a b c d Eberhard von Faber: IT und IT-Sicherheit in Begriffen und Zusammenhängen, Thematisch sortiertes Lexikon mit alphabetischem Register zum Nachschlagen. Springer Vieweg, Wiesbaden, pp:289, 64 Abbildungen 2021, ISBN 978-3-658-33430-7 (doi.org).
- ↑ Saltzer und Schroeder: The Protection of Information in Computer Systems; Fourth ACM Symposium on Operating System Principles (October 1973), Revised version in Communications of the ACM 17, 7 (July 1974); revised April 17, 1975
- ↑ ISO/IEC 27013 – Information security, cybersecurity and privacy protection – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
- ↑ Eberhard von Faber, Wolfgang Behnsen: Secure ICT Service Provisioning for Cloud, Mobile and Beyond (ESARIS: The Answer to the Demands of Industrialized IT Production Balancing Between Buyers and Providers). 2. Auflage. Springer Vieweg, Wiesbaden 2017, ISBN 978-3-658-16481-2 (englisch, doi.org).
- ↑ Eberhard von Faber: Methoden: „Secured by definition“ und die Umsetzung von Prinzipien aus dem Qualitätsmanagement, Durchgängige IT-Sicherheit durch Integration in die IT-Produktionsprozesse; in: Datenschutz und Datensicherheit - DuD, 43(7), Juli 2019, Springer Fachmedien, Wiesbaden 2019, ISSN 1614-0702, pp 410-417; https://doi.org/10.1007/s11623-019-1136-0 (SharedIt: https://rdcu.be/bGy3r)
- ↑ Eberhard von Faber, Wolfgang Behnsen: A Systematic Holistic Approach for Providers to Deliver Secure ICT Services; in: ISSE 2012 Securing Electronic Business Processes, Highlights of the Information Security Solutions Europe, ISSE 2012. Springer Vieweg, Wiesbaden 2012, ISBN 978-3-658-00332-6, S. 80–88 (englisch, doi.org). Von der Programmkommittee angenommen und Vortrag gehalten am ISSE 2012: https://www.teletrust.de/veranstaltungen/isse/isse-2012/