HMD 216, 37. Jahrgang, Dezember 2000

Security Management

Security Management - Basis der Nutzung des E-Business

Peter Artmann, Christian von Hammel, Karl Popp

Zusammenfassung

Unter den Schlagworten E- und M-Business werden die Systemlandschaften eines Unternehmens geöffnet und z.B. über das Internet oder Telefonnetze mit Nutzern und anderen Systemlandschaften verknüpft. Gleichzeitig werden neue Anwendungen und Dienstleistungen durch die Nutzung öffentlicher Netze auf der Basis neuer, komplexer Systemarchitekturen geschaffen. Dies stellt eine Herausforderung für die Absicherung solcher Systemlandschaften dar, da die Sicherheitsrisiken von bestehenden, geschlossenen Systemlandschaften durch weitere Sicherheitsrisiken der neuen Techniken wie z.B. Hackerangriffe, Fälschung von Nachrichten oder Denial-of- Service-Attacken erweitert werden. Das Management solcher Sicherheitsrisiken und deren Gegenmaßnahmen ist somit eine notwendige Voraussetzung zur Nutzung der Potenziale des E- und M-Business. Das Ziel ist letztlich die Absicherung geschäftlicher Transaktionen auf der Basis der Möglichkeiten der Infrastruktur- und Anwendungssicherheit. Um dieses Ziel zu erreichen, widmet sich die Aufgabe Security Management der Risikobetrachtung sowie der Planung, Realisierung und Kontrolle von Sicherheitsmaßnahmen im Rahmen der betrieblichen Unternehmensleitlinie für Sicherheit (Security Policy). In der Praxis stellt man sich dabei Herausforderungen wie Heterogenität der Systemlandschaften, Verteilung der sicherheitsrelevanten Informationen sowie konsistente und effiziente Administration von Sicherheitsinformationen. Für diese Aspekte des Security Managements werden Möglichkeiten und Grenzen von Lösungsansätzen aufgezeigt.

Inhaltsübersicht

  1. Motivation
  2. Sicherheitsanforderungen an Transaktionen
  3. Security-Management-Aufgaben
    1. Security Policy
    2. Überwachung
    3. Änderungsmanagement
    4. Planen und Umsetzen
    5. Administrieren
    6. Komplexität des Security Managements
  4. Lösungsansätze für die Sicherheitsprobleme
    1. Die Heterogenität bleibt
    2. Consolidated Security Administration auf Prozessebene
    3. Der virtuelle Security-Datenpool
    4. Verzeichnisdienste
    5. Direkte Synchronisierung versus Softwareagenten
    6. Rollenbasierte Administration als Königsweg
    7. Sicherheitsserver als dezentrale Schaltstellen
    8. Anwendungssicherheit
    9. Intelligente Helfer im Netz
    10. Software mit Hintergrund
  5. Literatur