Joint Security Management (JSM) : Ein organisationsübergreifendes Konzept für Anwender und Anbieter

Von Eberhard von Faber, Bornheim, und Wolfgang Behnsen, Erlangen

IT macht sich breit: mehr Technologie, mehr Produkte, mehr Hersteller und komplizierte Lieferketten – aber auch mehr Anwendungsgebiete, mehr Applikationen, mehr IT-Services. Das Problem: Was sich ausdehnt, bekommt oft Lücken, auch Sicherheitslücken. Wer IT-Services ganz oder teilweise von einem spezialisierten IT-Dienstleister bezieht, hat außerdem vielleicht auch schon erfahren müssen, dass etablierte Lösungskonzepte des Sicherheitsmanagements zu eng auf die eigene Organisation bezogen sind und sich zunehmend als nicht mehr ausreichend erweisen.

Im Zeitalter von Cloud-Computing, IT-Diensten und industrieller IT-Produktion stehen sich Anwender und Anbieter als Marktteilnehmer gegenüber – sie haben unterschiedliche Interessen und sind doch aufeinander angewiesen. Eine verstärkte Arbeitsteilung ist ebenfalls Kennzeichen und Folge einer zunehmenden Industrialisierung der IT-Produktion. Diese Situation führt zu neuen Herausforderungen: Wie gelingt der Ausgleich zwischen Anforderungen und Lösungen? Wie findet man zusammen? Wie kommt man zu belastbaren Übereinkünften? Und wie führt man den Zusammenschluss erfolgreich durch alle Phasen der Geschäftsbeziehung und im IT-Betrieb? Kurz: Wie gelingt ein organisationsübergreifendes Sicherheitsmanagement?

Das „Joint Security Management“ (JSM) ist ein auf der – in der betrieblichen Praxis erprobten – Sicherheitsarchitektur ESARIS [1,2] basierender Ansatz, bei dem die Interaktion zwischen rechtlich verschiedenen Organisationen von vornherein im Mittelpunkt steht. Dahinter steckt die Einsicht, dass die heutige IT-Industrie sehr arbeitsteilig organisiert ist und dass mehrere Firmen und Institutionen ihren Beitrag leisten müssen, damit IT-Services adäquat abgesichert sind.

JSM beschreibt dazu nicht einfach das bekannte Sicherheitsmanagement unter Hinzufügung zweier weiterer, neuer Rollen, sondern baut es vielmehr entlang des Skeletts der industriellen, marktwirtschaftlichen Prozesse und der für moderne IT charakteristischen Wertschöpfungsketten neu auf.

Der vorliegende Beitrag erläutert im ersten Abschnitt die Grundstruktur des „Joint Security Management“ (JSM) und demonstriert danach, wie einzelne Aufgabenbereiche schrittweise gefüllt und verfeinert werden können. Dabei werden Aktivitäten im IT-Sicherheitsmanagement auf die Phasen der Geschäftsbeziehung zwischen Anwenderorganisation (Kunde) und IT-Dienstleister (Lieferant) verteilt. Eine weitere Aufgliederung erfolgt anhand der Abläufe und Aktivitäten im IT-Service-Management (ITSM) während der Entwicklung und Implementierung sowie zur Bereitstellung, zur Aufrechterhaltung und Verbesserung der IT-Services.

Das Verständnis der Service-und Liefermodelle der IT-Services einschließlich der Cloud sowie der Interessen und Geschäftsmodelle der Partner ermöglicht es dann, Einzelaufgaben einem Partner zuzuordnen beziehungsweise zu beschreiben, wie beide direkt zusammenarbeiten. Diese Aufgliederung lässt sich in einem Zeitschriftenbeitrag jedoch nur andeuten. Daher folgt im dritten Abschnitt ein Ausblick mit Hinweisen auf das jüngst in der Edition erschienene Buch der Autoren zu diesem Thema [3].

Die Autoren sind zwar im Großkundengeschäft zu Hause. Durch seine klare Struktur und Modularisierung lässt sich das JSM jedoch je nach Komplexität und Umfang der IT-Services an die spezifischen Bedürfnisse der jeweiligen Organisationen anpassen.

Grundlagen und Struktur

Abbildung 1 veranschaulicht zunächst fünf Aspekte, die Ansatzpunkte beziehungsweise Grundlagen für das „Joint Security Management“ (JSM) bilden.

Marktwirtschaftliche Realität und Steuerungsmodell

Alle beteiligten Organisationen sind rechtlich unabhängige Marktteilnehmer mit jeweils eigenem Geschäftsauftrag und eigenen Schwerpunkten und Interessen. Das JSM basiert daher auf einem Steuerungsmodell, das die Basis für die organisationsübergreifende Zusammenarbeit bildet.

Aus den Aufträgen und Interessen werden vier Aspekte abgeleitet: Transparenz, Schnittstellen und Interaktion, Standardisierung sowie Architektur (Letztere als Grundlage für die ersten drei). Transparenz ist eine Forderung der Anwenderorganisation und bildet die Grundlage für ihr Risikomanagement und für die Compliance. Standardisierung ist die Grundlage für die Bereitstellung wettbewerbsfähiger IT-Services durch den Anbieter. Schnittstellen und Interaktionen müssen definiert und implementiert werden, um zwischen beiden Parteien und ihren Interessen zu vermitteln. Dies muss entlang des gesamten Lebenszyklus der Geschäftsbeziehung erfolgen.

Lebenszyklus der Geschäftsbeziehung der Partner und der IT-Services

In jeder Phase der Geschäftsbeziehung geht es um andere Themen oder Aspekte der IT-Sicherheit. Außerdem wandeln sich IT-Services von Konzepten und Spezifikationen über Plattformen und Komponenten bis hin zu fertigen Diensten gemäß den Anforderungen der Anwenderorganisation. Die Aspekte des Steuerungsmodells werden auf jede dieser Phasen angewendet und im Detail ausgestaltet. Auf der obersten Ebene definiert man dazu neun Aufgabenbereiche – vier für die Vorbereitungsphase und fünf für die Betriebsphase (siehe Abb. 2).

Dadurch bekommt das JSM in seinem Kern die Form eines Ypsilons (siehe Abb. 1): Die zunächst eher unabhängig agierenden Parteien (rechts und links getrennt) gehen nach dem Vertragsabschluss eine enge Partnerschaft ein – die Zeitachse der Geschäftsbeziehung verläuft im Ypsilon also von oben nach unten. Die neun angesprochenen Themen/ Aufgabenbereiche sind durch die farbigen Felder auf dem Ypsilon gekennzeichnet. Sie werden anschließend in Einzelaufgaben aufgefächert (vgl. Abb. 2), die sich aus den Notwendigkeiten des IT-Sicherheitsmanagements und der Arbeitsteilung im Kontext von Markt und industrieller IT-Produktion ergeben.

Arbeitsteilung

Das JSM berücksichtigt die Arbeitsteilung in der IT-Industrie: Dazu gehört die technische Zusammensetzung der IT-Services ebenso wie die organisatorische Aufgliederung der zugehörigen Aktivitäten bei Planung, Umsetzung, Integration und im Betrieb.

Die Methodik berücksichtigt also die Spezialisierung auf bestimmte Netze, Betriebssysteme oder zum Beispiel auf die sichere Durchführung von Änderungen oder die Behandlung von Sicherheitsvorfällen ebenso wie die Spezialisierung auf die Entwicklung von Methoden oder Komponenten, die Umsetzung von Anforderungen und die Bereitstellung von Komponenten sowie die Integration und natürlich den Betrieb komplexer IT-Systeme. Die Arbeitsteilung setzt sich bis ans Ende der Lieferkette fort: Denn die Anwenderorganisation wirkt an der Aufrechterhaltung der durch den IT-Dienstleister implementierten Sicherheit mit – oft übernimmt sie darüber hinaus komplexe Teilaufgaben.

Flexibilität

IT-Services werden heutzutage oft „auf Knopfdruck“ automatisch aus Bausteinen zusammengesetzt; das ermöglicht eine flexible Bereitstellung kundenindividueller IT-Services bei gleichzeitiger Standardisierung. Der für die Anwenderorganisation individualisierte IT-Service besteht aus Bausteinen, die im Service-Katalog beschrieben sind.

Gleichzeitig benötigt die Anwenderorganisation Informationen darüber, welche Sicherheitsmaßnahmen dabei implementiert sind. Deshalb ist eine durchgängige Modularisierung der Sicherheits-Dokumentationen nötig, die mit der Modularisierung der Beschreibungen im Service-Katalog korrespondiert.

Beherrschung der Komplexität

IT-Sicherheit braucht Struktur! Bei der Beschreibung der ersten vier Aspekte, Ansatzpunkte beziehungsweise Grundlagen für das JSM war von vielen Elementen, Dimensionen und Einzelteilen die Rede. In Wirklichkeit ist die Vielfalt natürlich viel größer, denn die Fülle der Informationstechnik und die Vielgestaltigkeit der IT-Sicherheit kommen noch hinzu.

Daher ist ein architektonischer Ansatz nötig: Alle Sicherheitsrichtlinien und -maßnahmen müssen hierarchisch geordnet und – zum Beispiel mithilfe der „ESARIS Security Taxonomy“ – thematisch geordnet werden. Weiterhin muss man (wie in ESARIS beschrieben) die Sicherheit systematisch in die Aktivitäten der Phasen „Planung“, „Umsetzung“, „Integration“ und „Betrieb“ integrieren.

Zwischenfazit

Die genannten fünf Aspekte bilden das JSM-Grundgerüst. Wie geht es weiter? In jedem der neun Themen/Arbeitsbereiche entlang des Ypsilons erfolgt, wie bereits kurz angemerkt, eine Auffächerung in Einzelaufgaben, die auch beschreiben, wie die Partner miteinander agieren, zusammenarbeiten und konkret interagieren. Dazu ist eine entsprechende Organisation und Kultur nötig.

Die Interaktion erfolgt entlang von Prozessen, die sich ebenso wie die Organisation im Zeitverlauf der Geschäftsbeziehung verändern. Für die Erledigung der Einzelaufgaben sind weiterhin jeweils Schnittstellen nötig, die ebenso wie Expertenprofile beziehungsweise Rollen definiert und implementiert werden müssen. Das JSM geht somit zwar weit über andere Ansätze für das Sicherheitsmanagement (bzw. ein ISMS) hinaus, setzt diese jedoch voraus!

JSM als Gebrauchsanweisung

Um die genannten neun Themen/Arbeitsbereiche zu definieren, werden die Interessen der Anwenderorganisation auf der einen und des IT-Dienstleisters auf der anderen Seite analysiert – Einzelaufgaben werden identifiziert und beschrieben. Abbildung 2 zeigt einige wichtige Aufgaben für die Anwenderorganisation (links in der Abb.) und den IT-Dienstleister (rechts) – dabei muss sich die Abbildung auf Beispiele beschränken und kann nur auf wichtige Punkte verweisen.

Natürlich bleibt das JSM dabei nicht stehen: Was zu Anfang noch mittelbar über den Markt vermittelt und relativ unabhängig vonstattengeht, vereinigt sich spätestens mit der Vertragsunterzeichnung zu einer unmittelbaren Zusammenarbeit.
Dabei werden die unterschiedlichen Interessen natürlich nicht einfach aufgelöst: Das JSM zeigt vielmehr Wege, sie in für beide Seiten vorteilhafte Bahnen zu lenken – denn nur dann lassen sich Cloud-Services oder IT-Outsourcing auch für die beteiligten Sicherheitsorganisationen zufriedenstellend gestalten.

Das JSM liefert daher im weiteren Verlauf eine Beschreibung gemeinsamer Vorhaben, Abläufe und Prozesse, wobei eine schrittweise Verfeinerung erfolgt:

• So wird zum Beispiel der Aufgabenbereich [nachsteuern], bei dem es um „Interaktion ermöglichen und unterstützen“ geht, zunächst in Form von Einzelaufgaben aufgespaltet.
• Dann wird festgestellt, dass deren Wahrnehmung das Verständnis von weiteren sechzehn Teilaufgaben und die Definition entsprechender Schnittstellen erfordert.
• Nach deren Definition identifiziert man beispielsweise die Durchführung von Änderungen (Changes) als besondere Herausforderung.
• Hierzu liefert die Sicherheitsarchitektur ESARIS ein Prozessmodell, welches das Schwachstellenmanagement (als Startpunkt der Sicherheitsmanagement-Aktivitäten) mit den Prozessen Vorfalls- (Incident), Änderungs- (Change) sowie Release-und Deployment- Management (mit dem eigentlichen Patchmanagement) verbindet. Letzteres kennt dabei sowohl einen normalen Ablauf als auch einen für dringende Fälle (Emergencies).
• Das JSM beschreibt in diesem Beispiel nun wiederum sehr ausführlich, welche Herausforderungen einerseits beim Schwachstellenmanagement als Startpunkt und anderseits bei der Softwareaktualisierung oder dem Patchprozess bestehen – und wie man diese durch konkrete Maßnahmen der IT-Sicherheit meistern kann.

Ausblick

Man kann längst nicht alle Details des „Joint Security Management“ (JSM) in einem Fachartikel zusammenfassen – daher muss für vertiefende Erkenntnisse auf das kürzlich erschienene Buch [3] verwiesen werden. Es zeigt, wie Anwender und Anbieter organisationsübergreifend kompetent zusammenarbeiten, um sicherzustellen, dass die mit der Nutzung von IT verbundenen Geschäftsrisiken beherrschbar bleiben. Diese Beschreibung liefert ein durchgängiges Konzept und eine konkrete, direkt umsetzbare Gebrauchsanweisung – also nicht nur das „Was?“, sondern auch das „Wie?“.

Natürlich sind die Anforderungen von Anwenderorganisationen sehr verschieden, weil sich auch ihre Geschäftsmodelle und die Anwendungsszenarien für IT-Services unterscheiden. Deshalb wird sich auch die konkrete JSM-Implementierung hier und dort sicherlich im Detail unterscheiden. Es bleibt also noch Handlungsbedarf und -spielraum für die Sicherheitsverantwortlichen in Unternehmen und Institutionen aller Größen – aber das JSM liefert die Blaupause für ein bisher wohl völlig unterschätztes und unzureichend bearbeitetes Thema.

Dass bei alldem nicht ein beteiligte Partei, sondern das gemeinsame Sicherheitsziel im Vordergrund steht, möge abschließend die Zusammenfassung des Chief-Information-Security-Officers (CISO) eines Dax30-Unternehmens unterstreichen, der das JSM-Buch [3] schon vor seinem Erscheinen durcharbeiten konnte und so freundlich war, es mit einem Geleitwort zu versehen: „… Im Buch liegt das Epizentrum des Interesses und der Darstellung nicht auf der Seite des IT-Dienstleisters oder der Anwenderorganisation, sondern genau in der Mitte, dort, wo beide Parteien aufeinandertreffen (Schnittstellen, Interaktionen). Diese Perspektive macht das Buch innovativ und interessant. … Es wäre erfreulich, wenn dieses Buch … seinen Weg in die faszinierende Welt der modernen, praktischen IT-Sicherheit sowohl bei IT-Dienstleistern als auch bei IT-Anwenderorganisationen finden würde. Gemeinsam werden wir sicherer und stärker!“

Prof. Eberhard von Faber ist Chief Security Advisor, IT Division, bei T-Systems und Professor für IT-Sicherheit an der Technischen Hochschule Brandenburg. Wolfang Behnsen war zuletzt Senior Security Manager bei T-Systems.

Literatur

[1] Eberhard von Faber, Wolfgang Behnsen, ESARIS: Integration von Sicherheit in die industrielle ICT-Produktion, Eine „Real-World“- Architektur und wie Anwenderunternehmen davon profitieren, 2013# 3, S. 52

[2] Eberhard von Faber, Wolfgang Behnsen, Secure ICT Service Provisioning for Cloud, Mobile and Beyond, ESARIS: The Answer to the Demands of Industrialized IT Production Balancing Between Buyers and Providers, Springer Vieweg, Edition , 2. akt. und erw. Auflage, März 2017, ISBN 978-3-658- 16481-2, www.springer.com/de/book/9783658164812

[3] Eberhard von Faber, Wolfgang Behnsen, Joint Security Management: organisationsübergreifend handeln, Mehr Sicherheit im Zeitalter von Cloud-Computing, IT-Dienstleistungen und industrialisierter IT-Produktion, Springer Vieweg, Edition , März 2018, ISBN 978- 3-658-20833-2, www.springer.com/de/book/9783658208332