P23R: Sicherheitsarchitektur

Die Kernfunktionalität eines Prozess-Daten-Beschleunigers (P23R) ist die Generierung von Benachrichtigungen. Hierbei werden Unternehmensdaten anhand von zentral bereitgestellten Benachrichtigungsregeln ausgewertet, verdichtet, in eine strukturierte Form gebracht und an eine Verwaltung übermittelt. Die Hoheit über die verarbeiteten und erzeugten Daten sowie über den Kontrollfluss innerhalb des P23R liegt beim Unternehmen. Hierdurch ergibt sich insbesondere für Unternehmen mit einem hohen IT-Durchdringungsgrad die Anforderung nach einer möglichst nahtlosen Integrierbarkeit eines P23R in unternehmensinterne, IT-gestützte Abläufe. Für kleine Unternehmen und Unternehmen mit geringer IT-Durchdringung stellt der von einem P23R umgesetzte Schritt einer weitergehenden Prozesskette eine IT-technisch isolierte Aktion dar, die idealerweise über eine weitgehend in sich abgeschlossene IT-Anwendung abgedeckt werden sollte. Diese Spannbreite von zu unterstützenden Umsetzungsoptionen erfordert eine hochgradig modulare Architektur, bei der je nach Einsatzumgebung eines P23R einzelne Funktionalitäten entweder im Unternehmen oder in der geschlossenen Umgebung eines P23R angesiedelt sind. Darüber hinaus müssen externe Kommunikationsbeziehungen auf standardisierte Protokolle des eGovernment - insbesondere OSCI Transport 2.0 - abgebildet werden können. Diese Anforderungen gelten nicht nur für die Fachdienste des P23R, sondern gleichermaßen für die Sicherheitsarchitektur des P23R mit ihren Sicherheitsdiensten. Aus diesem Grund wird für den P23R eine Sicherheitsarchitektur spezifiziert, die eine - teilweise sogar dynamische - Verlagerung von Sicherheitsdiensten und Sicherheitsobjekten zwischen der IT-Infrastruktur eines Unternehmens und einem P23R erlaubt: BL Authentifizierungen von P23R-Nutzern können sowohl im Unternehmen als auch am P23R vorgenommen werden. Über OSCI 2.0 vermittelte Authentifizierungsnachweise können im P23R verarbeitet werden. BL Berechtigungsregeln können aus dem Berechtigungsmanagement eines Unternehmens übernommen oder als Konfiguration eines P23R gepflegt werden. BL Für die Auswertung von Berechtigungsregeln erforderliche Attribute (z. B. Rollen- und Gruppenzuordung von Nutzern) können ""on demand"" aus Verzeichnisdiensten oder anderen Systemen des Unternehmens abgefragt werden. Technisch wird diese Flexibilität durch die Nutzung der Standards SAML, XACML und WS-Trust unterstützt, die eine Kapselung von Sicherheitsfunktionalitäten in modularen, weitgehend voneinander entkoppelten Komponenten unterstützen. Dies erlaubt es z. B. auch, Sicherheitsmaßnahmen nicht nur am Perimeter des P23R anzulegen, sondern auch einzelne Funktionalitäten und Ressourcen innerhalb des P23R gezielt und gegen spezifische Bedrohungen zu sichern. Bestehende Arbeitsorganisationen und Verantwortlichkeiten in einem Unternehmen können so auf einen P23R abgebildet werden. Weitere Anforderungen an die Sicherheitsarchitektur des P23R ergeben sich aus der per se vernetzten Charakteristik eines P23R als Bestandteil einer verwaltungs- und unternehmensübergreifenden Prozesskette. Hierdurch müssen nicht nur unterschiedliche Kommunikationsbeziehungen in Bezug auf die Integrität und Vertraulichkeit der ausgetauschten Daten geschützt werden, sondern es müssen insbesondere auch unbekannte, erst über eine Benachrichtigungregel identifizierte Dienstschnittstellen sicher lokalisiert und authentifiziert werden können. Um die erforderliche Flexibilität und Dynamik zu erzielen, ohne dabei aufwändige, neue administrative Prozesse in Unternehmen und Verwaltungen zu fordern, publizieren alle Akteure im Umfeld eines P23R ihre Dienstadressen und Zertifikate über eine Trusted Service List (TSL). Derartige Listen können sowohl aus bestehenden Verzeichnissen und Systemkonfigurationen exportiert als auch recht einfach manuell gepflegt werden. Sie sind damit eine leichtgewichtige und dennoch für die meisten Szenarien ausreichende und insbesondere auch in dezentraler Verwaltung der einzelnen Akteure umsetzbare Alternative zur Online-Abfrage von Kommunikationsparametern und Zertifikaten aus zentralen Verzeichnisdiensten.