ESARIS

Sammlung von Methoden, Verfahren, Praktiken, Standards und Arbeitshilfen für die Absicherung von IT-Services

ESARIS (Akronym von Enterprise Security Architecture for Reliable ICT Services) ist eine Sammlung von Methoden, Verfahren, Praktiken, Standards und Arbeitshilfen für die angemessene Absicherung von IT-Services.[1] ESARIS ist ein ganzheitlich strukturierter, architektonischer Ansatz[2] für größere IT-Dienstleister, der ihnen hilft, die Komplexität der Informationssicherheit zu bewältigen, Kunden zu informieren und zu bedienen sowie die interne und externe Lieferkette zu managen. ESARIS hilft bei der Organisation der IT-Sicherheit entlang der gesamten Lieferkette.[3]

Kurzprofil

Bearbeiten

ESARIS deckt alle Bereitstellungsprozesse vom Portfolio- und Service-Design über die Implementierung bis hin zu den verschiedenen Aspekten der Wartung, Überwachung und Verbesserung in der Betriebsphase ab. ESARIS geht von einem One-to-Many-Geschäftsmodell aus und umfasst alle Phasen der Geschäftsbeziehung zwischen dem IT-Dienstleister und den Anwenderorganisationen. Dabei baut ESARIS auf bestehenden Prozessen des IT-Service-Managements (ISO/IEC 20000 oder ITIL) auf, berücksichtigt zusätzlich interne Organisationsspezifika und konzentriert sich auf die technische Umsetzung der IT-Sicherheit und die Einhaltung sicherheitsrelevanter Standards, die nicht nur für den IT-Dienstleister, sondern vor allem auch für seine Kunden maßgebend sind.[1] ESARIS unterstützt die Kommunikation und Kooperation zwischen den Parteien und unterstreicht die Notwendigkeit von vertraglichen Vereinbarungen zur IT-Sicherheit.[4]

Die Sicherheitsarchitektur definiert und umfasst Elemente (z. B. die Methoden und Sicherheitsmaßnahmen), deren Beziehungen (z. B. Schnittstellen, Interaktionen und Abhängigkeiten) sowie eine Hierarchie und eine Taxonomie, die eine modulare Struktur und Ordnung bieten. Hierarchie und Taxonomie dienen der Strukturierung und Ordnung aller organisatorischen, technischen und prozeduralen Sicherheitsmaßnahmen[2] und der Sicherheitsstandards in Form von Richtlinien, Konzepten, Arbeitsanweisungen usw. Letztere unterstützen die Mitarbeiter bei der Gewährleistung des notwendigen Niveaus der IT-Service-Security.[1]

Geschichte und Zweck

Bearbeiten

ESARIS wurde maßgeblich von Eberhard von Faber im Auftrag von und für T-Systems sowie im Rahmen seiner Tätigkeit als Professor für IT-Sicherheit entwickelt. Die Entwicklung von ESARIS erfolgte zwischen 2010[5] und 2016[1] und wurde bis 2023 fortgesetzt.[6] Das Mandat für die Entwicklung wurde erteilt, um Antworten auf die folgenden Herausforderungen zu finden:

  • Die IT-Produktion ist durch ein hohes Maß an Arbeitsteilung und Prozessorientierung gekennzeichnet. Interne und externe Lieferketten sind komplex.[3]
  • IT-Service werden in großem Maßstab und auf industrialisierte Weise unter Verwendung von mandantenfähigen Plattformen produziert.
  • Anwenderorganisationen (Kunden) benötigen Informationen über die integrierten Sicherheitsmaßnahmen und das Sicherheitsniveau der IT-Services. Sie benötigen diese Informationen für ihr betriebliches Risikomanagement und zur Information und als Nachweise für Regulierungsbehörden, Wirtschaftsprüfer, Anteilseigner und andere Interessengruppen.
  • Die Kunden sind von Sicherheitsproblemen der von ihnen erworbenen und genutzten IT-Services direkt betroffen und müssen ihren Teil dazu beitragen, die Sicherheit der IT-Services zu gewährleisten.
  • IT-Sicherheit ist komplex und kostspielig und daher anfällig für Fehler. Ein systematischer Standardisierungsansatz ist erforderlich, um die Effizienz zu erhöhen (Kosten zu senken) und die Qualität zu verbessern.[2] Ein wichtiges Kriterium bei der Auswahl eines Dienstleisters ist die Qualität einschließlich der IT-Sicherheit.

Teile von ESARIS wurden von der Industrievereinigung Zero Outage Industry Standard übernommen und als Standard veröffentlicht.

Es gibt bereits einige Ansätze zur Systematisierung der mit der Erbringung von IT-Dienstleistungen verbundenen Tätigkeiten, z. B. TOGAF und ITIL oder ISO/IEC 20000. Auch für die IT-Sicherheit gibt es Architekturansätze, wie SABSA[7] und O-ESA.[8] Im Gegensatz zu diesen ist ESARIS weder eine einfache Vorlage noch ein Rahmenwerk oder eine Referenz für die Entwicklung einer Unternehmenssicherheitsarchitektur oder eines Programms. Mit seinen zahlreichen Methoden und Praktiken ist ESARIS eine gebrauchsfertige Architektur, die zur Organisation, Orchestrierung und Optimierung der Sicherheit von IT-Services innerhalb einer groß angelegten IT-Produktion eingesetzt wird.

Übersicht

Bearbeiten

IT-Infrastrukturen und -Anwendungen werden ständig mit alarmierender Wirksamkeit angegriffen, wobei sowohl die Anwenderunternehmen als auch Endverbraucher erhebliche Verluste erleiden. Für IT-Dienstleister müssen daher verstärkt in die Sicherheit der IT-Services investieren. Dies gilt insbesondere für jene IT-Dienstleister, die IT-Services gewerbsmäßig anbieten und ihren Kunden daher Qualität (einschließlich der IT-Sicherheit) und die Einhaltung von Service-Level-Agreements (SLA) und Gesetzen, Regularien, Industriestandards und dergleichen garantieren müssen. Diese Anbieter stehen vor der Herausforderung, die Anforderungen in exakte, für die Kunden überprüfbare Sicherheit umzusetzen. Dies bringt führende IT-Dienstleister in eine komplizierte und komplexe Situation. IT-Sicherheit erfordert nicht nur eine Reihe reaktiver Maßnahmen.[2] Vielmehr müssen die Anbieter die IT-Sicherheit von Anfang an einbeziehen und IT-Services effizient entwickeln und bereitstellen, was Standardisierung und Harmonisierung auch der IT-Sicherheit erfordert.

ESARIS passt die IT-Sicherheit an eine industrialisierte IT-Bereitstellung an. Es bietet einen standardisierten, harmonisierten und ganzheitlichen Ansatz zur Verbesserung der IT-Sicherheit, der die Beziehung zwischen dem IT-Dienstleister und seinen Kunden fördert und unterstützt. Das IT-Sicherheitsmanagement auf der Grundlage von ISO 27001 und das IT-Service-Management auf der Grundlage von ISO 20000 werden miteinander integriert. ESARIS dient auch als Sammlung aller Werkzeuge, die der Anbieter zur Sicherung seiner IT-Services nutzt.

Einige der wichtigsten, einzigartigen Aspekte von ESARIS sind seine Architektur und das Prinzip „Secured by Definition“.[9] ESARIS organisiert die Sicherheitsdokumentation hierarchisch geschichtet in fünf Ebenen. Die ESARIS Taxonomie besteht aus 31-40[6][10] Bereichen, die typischerweise insgesamt durch etwa 400 bis 500 Sicherheitsmaßnahmen detailliert werden. ESARIS ist durchgehend modular aufgebaut und kann dadurch in einzelnen Abschnitten aktualisiert werden. Die Modularität trägt dazu bei, ein hohes Maß an Standardisierung erreichen zu können und gleichzeitig die notwendige Flexibilität zu wahren. Sie reduziert auch den Aufwand für notwendige Aktualisierungen. Modularität unterstützt daher die Nachhaltigkeit. Die Taxonomie bietet einen einfachen Überblick und einen Bezugspunkt zu den unteren Ebenen der pyramidenartigen hierarchischen Struktur von ESARIS, in denen konkrete Maßnahmen und betriebliche Vorgaben zu finden sind.

Das Prinzip „Secured by definition“ bedeutet, dass bestehende Prozesse (ITSM nach ISO 20000 bzw. ITIL) um Aktivitäten zur IT-Sicherheit ergänzt werden. ESARIS sieht vor, dass alle prozessualen bzw. aktivitätsbezogenen Sicherheitsmaßnahmen Bestandteil des Lebenszyklus der IT-Bereitstellung, der zugehörigen Prozessschritte im ITSM, der dort jeweils eingesetzten Werkzeuge und der Anweisungen für das IT-Personal werden. Damit werden alle Phasen des erweiterten Lebenszyklus (Vertrieb, Angebotsmanagement, Vertragsabschluss, Migration, Erstbereitstellung und Betrieb) direkt abgedeckt.

Bearbeiten

Referenzen

Bearbeiten
  1. a b c d Eberhard von Faber, Wolfgang Behnsen: Secure ICT Service Provisioning for Cloud, Mobile and Beyond (ESARIS: The Answer to the Demands of Industrialized IT Production Balancing Between Buyers and Providers). 2. Auflage. Springer Vieweg, Wiesbaden 2017, ISBN 978-3-658-16481-2 (englisch, doi.org).
  2. a b c d Pavle Dakic, Vladimir Todorovic, Biljana Petrovic: Investment reasons for using standards compliance in autonomous vehicles; in: Babak Taheri, Aleksandar Damnjanovic, Milija Bogavac (eds.): Economic and Social Development, Proceedings of the 75th International Scientific Conference on Economic and Social Development, Belgrad, 02-03 Dezember, 2021, Seiten: 219–228, PDF
  3. a b Damm, F., Fischer, HP. Lieferkette: Wie Cyber-Security von adäquater Zusammenarbeit abhängt; Datenschutz und Datensicherheit 43, 418–425 (2019), DOI:10.1007/s11623-019-1137-z
  4. Eric Frére, Alexander Zureck, Katharina Röhrig: Industry 4.0 in Germany - The Obstacles Regarding Smart Production in the Manufacturing Industry. 31. Juli 2018, S. 38 (englisch, ssrn.com).
  5. Eberhard von Faber, Wolfgang Behnsen: A Systematic Holistic Approach for Providers to Deliver Secure ICT Services; in: ISSE 2012 Securing Electronic Business Processes, Highlights of the Information Security Solutions Europe, ISSE 2012. Springer Vieweg, Wiesbaden 2012, ISBN 978-3-658-00332-6, S. 80–88 (englisch, doi.org). Vom Programmkommittee angenommen und Vortrag gehalten am ISSE 2012: ISSE 2012 - TeleTrusT - Bundesverband IT-Sicherheit e.V. / IT Security Association Germany
  6. a b Eberhard von Faber: IT-Service-Security in Begriffen und Zusammenhängen, Managementmethoden und Rezepte für Anwender und IT-Dienstleister. Springer-Verlag, Wiesbaden 2023, ISBN 978-3-658-41932-5.
  7. John Sherwood, Andrew Clark, David Lynas: Enterprise Security Architecture, A Business-Driven Approach. CRC Press, Roca Baton 2015, ISBN 978-1-57820-318-5 (englisch).
  8. The Open Group: Open Enterprise Security Architecture (O-ESA), A Framework and Template for Policy-Driven Security. Van Haren Publishing, Zaltbommel 2011, ISBN 978-90-8753-672-5 (englisch).
  9. Eberhard von Faber: Methoden: „Secured by definition“ und die Umsetzung von Prinzipien aus dem Qualitätsmanagement, Durchgängige IT-Sicherheit durch Integration in die IT-Produktionsprozesse; in: Datenschutz und Datensicherheit - DuD, 43(7), Juli 2019, Springer Fachmedien, Wiesbaden 2019, ISSN 1614-0702, pp 410–417; DOI:10.1007/s11623-019-1136-0 (SharedIt: Methoden: ,,Secured by definition‘‘ und die Umsetzung von Prinzipien aus dem Qualitätsmanagement)
  10. Eberhard von Faber: Taxonomy for Systematic IT Service Security Along the Entire Supply Chain; November 2022, 25 pages, Taxonomy for Systematic IT Service Security Along the Entire Supply Chain - Zero Outage