Sicherheitsservices für Service Oriented Architecture (SOA) am Fallbeispiel Enterprise SOA

Inhaltsverzeichnis

1 Einleitung

1.1 Fragestellungen und Zielsetzung

1.2 Aufbau der Arbeit

1.3 Hinweise zur Arbeit

2 Forschungsgrundlagen

2.1 Definitionen

2.1.1 Schutzbedürfnisse

2.1.2 Risiko

2.1.3 Kontrolle

2.1.4 Sicherheitsservices

2.2 Von Web Services zur Service Orientierten Architektur

2.2.1 Web Services

2.2.2 Service Orientierte Architektur (SOA)

2.3 Standards bei Web Services

2.3.1 Grundstandards

2.3.2 Sicherheitsstandards

3 Risikoanalyse und -klassifizierung

3.1 Methoden zur Risikoanalyse und -klassifizierung

3.1.1 Bekannte Verfahren

3.1.2 Vorgehen im Kontext der Arbeit

3.2 Erstellen eines Risikokataloges für die Service Orientierte Architektur

3.2.1 Beispiel 1: Purchase to Pay

3.2.2 Beispiel 2: SEPA-Überweisung

4 Implementierung von Kontrollmaßnahmen

4.1 Methoden zur Bestimmung geeigneter Kontrollmaßnahmen

4.1.1 Bekannte Verfahren

4.1.2 Vorgehen im Kontext der Arbeit

4.2 Erstellen eines Kontrollkataloges zur Absicherung der Service Orientierten Architektur

4.2.1 Ermitteln von Kontrollmaßnahmen

4.2.2 Ermitteln von Sicherheitsservices

4.2.3 Bewerten der Sicherheitsservices

5 Paradigma: Enterprise SOA

5.1 Aufbau und Funktionsweise

5.1.1 Entwicklung

5.1.2 SAP NetWeaver

5.1.3 Enterprise SOA

5.2 Sicherheitsbetrachtung

5.3 Prozessorchestrierung mit Enterprise SOA

5.3.1 SAP NetWeaver Composition Environment

5.3.2 Prozess orchestrieren

5.3.3 Zuweisung der Sicherheitsservices

5.4 Enterprise SOA-Sicherheit in der Beratungspraxis

5.4.1 Rechtliche Sicherheitsaspekte für die IT

5.4.2 Vorgehensweise im Projekt

6 Fazit

Zielsetzung und Themen der Arbeit

Das Hauptziel dieser Arbeit ist es, mögliche Schwachstellen einer Service Oriented Architecture (SOA) zu identifizieren, daraus resultierende Sicherheitsrisiken aufzuzeigen und prozessorientierte Kontrollmaßnahmen sowie Sicherheitsservices zur Risikominimierung zu entwickeln. Die Arbeit verfolgt dabei die Forschungsfrage, wie eine ganzheitliche Absicherung von Geschäftsprozessen innerhalb einer (Enterprise) SOA in der Beratungspraxis realisiert werden kann.

• Grundlagen von Web Services und Service Oriented Architecture (SOA)
• Strukturierte Risikoanalyse und -klassifizierung im SOA-Kontext
• Entwicklung von Risikokatalogen anhand von Fallbeispielen (Purchase to Pay & SEPA-Überweisung)
• Implementierung von technischen und organisatorischen Kontrollmaßnahmen
• Übertragung der Erkenntnisse auf das SAP-Paradigma Enterprise SOA unter Berücksichtigung rechtlicher Rahmenbedingungen

Auszug aus dem Buch

Zusammenfassung der Kapitel

1 Einleitung: Einführung in die Thematik der SOA als moderne IT-Architektur und Definition der Forschungsfragen zur Sicherheit innerhalb dieser Umgebung.

2 Forschungsgrundlagen: Definition zentraler Sicherheitsbegriffe wie Schutzbedürfnis, Risiko und Kontrolle sowie Erläuterung der Grundlagen von Web Services und SOA.

3 Risikoanalyse und -klassifizierung: Vorstellung einer strukturierten Methode zur Identifizierung und Bewertung von Risiken anhand von zwei konkreten Geschäftsprozessen.

4 Implementierung von Kontrollmaßnahmen: Herleitung und Zuordnung geeigneter Kontrollmaßnahmen und Sicherheitsservices zur Risikominderung sowie anschließende Restrisikobetrachtung.

5 Paradigma: Enterprise SOA: Anwendung der erarbeiteten Konzepte auf die spezifische SAP-Implementierung Enterprise SOA unter Einbeziehung regulatorischer Anforderungen.

6 Fazit: Zusammenfassende Bewertung der Möglichkeiten und Grenzen der automatisierten Absicherung von SOA-Prozessen sowie Ausblick auf die Rolle menschlicher Expertise.

Schlüsselwörter

Service Oriented Architecture, SOA, Enterprise SOA, IT-Sicherheit, Risikomanagement, Risikoanalyse, Kontrollmaßnahmen, Sicherheitsservices, Web Services, SAP NetWeaver, Geschäftsprozess, Verschlüsselung, Signatur, Governance, Compliance

Häufig gestellte Fragen

Worum geht es in dieser Arbeit grundsätzlich?

Die Arbeit befasst sich mit der Absicherung von Service Oriented Architectures (SOA), indem sie Sicherheitsrisiken in Geschäftsprozessen analysiert und entsprechende Kontrollmaßnahmen sowie Sicherheitsservices ableitet.

Was sind die zentralen Themenfelder?

Die Schwerpunkte liegen auf den Grundlagen von Web Services, der systematischen Risikoanalyse und -klassifizierung sowie der praktischen Implementierung von Sicherheitskonzepten in einer Enterprise SOA-Umgebung.

Was ist das primäre Ziel der Arbeit?

Das primäre Ziel ist es, eine methodische Herangehensweise zu schaffen, mit der IT-Security-Berater Schwachstellen einer SOA identifizieren und passgenaue Sicherheitsmechanismen für den Kunden implementieren können.

Welche wissenschaftliche Methode wird verwendet?

Die Autorin nutzt ein prozessorientiertes Verfahren zur Risikoanalyse, das Schutzbedarfe ermittelt, Risiken kategorisiert, durch qualitative Ansätze bewertet und diese schließlich durch die Zuweisung von Sicherheitsservices adressiert.

Was wird im Hauptteil behandelt?

Der Hauptteil gliedert sich in die methodische Risikoanalyse (Kapitel 3) und die darauf aufbauende Implementierung von Kontrollmaßnahmen (Kapitel 4), wobei jeweils konkrete Fallbeispiele aus der Praxis herangezogen werden.

Welche Schlüsselwörter charakterisieren die Arbeit?

Zu den wichtigsten Begriffen zählen Enterprise SOA, Risikoanalyse, Sicherheitsservices, Geschäftsprozess-Sicherheit, Kontrollkatalog und SAP NetWeaver.

Wie wird das Risiko in dieser Arbeit definiert?

Ein Risiko wird als ein Ereignis mit einer bestimmten Eintrittswahrscheinlichkeit und einem bestimmten Schadensausmaß definiert, welches die Schutzbedürfnisse einer SOA gefährden kann.

Warum ist die Unterscheidung zwischen Risiko und Bedrohung wichtig?

Die Bedrohung ist das potenzielle Ereignis selbst, während das Risiko die Kombination aus der Eintrittswahrscheinlichkeit dieses Ereignisses und dem daraus resultierenden Schadensausmaß darstellt, was eine priorisierte Maßnahmenplanung ermöglicht.