Joint Security Management

organisationsübergreifendes Sicherheitsmanagementsystem

Das Joint Security Management (JSM) ist ein organisationsübergreifendes Sicherheitsmanagementsystem, das Anwenderorganisationen und IT-Dienstleister zusammenbringt[1] und bei dem die Interaktion zwischen rechtlich verschiedenen Organisationen von vornherein im Mittelpunkt steht.[2]

JSM soll der Tatsache Rechnung tragen, dass die heutige IT-Industrie sehr arbeitsteilig organisiert ist und dass mehrere Firmen und Institutionen ihren Beitrag leisten müssen, damit IT-Services adäquat abgesichert sind und Sicherheitsvorfälle behandelt werden. JSM baut das Sicherheitsmanagement organisationsübergreifend entlang der industriellen, marktwirtschaftlichen Prozesse und der für moderne IT charakteristischen Wertschöpfungsketten auf.[2]

Anwender und Anbieter (IT-Dienstleister) haben unterschiedliche Interessen und sind doch aufeinander angewiesen. Die verstärkte Arbeitsteilung ist Kennzeichen und Folge einer zunehmenden Industrialisierung der IT-Produktion. Mehrere Marktteilnehmer müssen ihren Beitrag für die adäquate Sicherheit der IT-Services leisten. Das nimmt die Anwender nicht aus. Diese Situation führt zu neuen Herausforderungen: Wie gelingt der Ausgleich zwischen Anforderungen und Lösungen? Wie findet man zusammen? Wie kommt man zu belastbaren Übereinkünften? Und wie führt man die Zusammenarbeit erfolgreich durch alle Phasen der Geschäftsbeziehung? Kurz: Wie gelingt ein organisationsübergreifendes Sicherheitsmanagement?

Zu den Abhängigkeiten gehört auch, dass die Anwenderorganisationen (Kunden der IT-Dienstleister) Sicherheitsrisiken ausgesetzt sind, die mit der Nutzung der IT-Services verbunden sind. Auch wenn die Anwenderorganisationen die Aufgabe, für IT-Sicherheit zu sorgen, per Vertrag fast vollständig auf den Anbieter übertragen haben, können sie die Sicherheitsrisiken nicht auf den Anbieter abwälzen. Das bringt die Anwenderorganisationen (trotz „Outsourcing“ in die Cloud) in eine aktive Rolle.

Größere Firmen und Institutionen nutzen ein Informationssicherheits-Managementsystem (ISMS) als Handlungs-, Steuerungs- und Managementrahmen, um angemessen mit der Informationssicherheit umgehen zu können. JSM beschreibt nicht einfach ein solches, meist nach ISO/IEC 27001 gestaltetes System und fügt diesem die Rolle des anderen Partners hinzu (IT-Dienstleister bzw. Anwenderorganisation). Vielmehr baut JSM das Sicherheitsmanagement entlang des Skeletts der industriellen, marktwirtschaftlichen Prozesse und der für moderne IT charakteristischen Wertschöpfungsketten neu auf.

Struktur

Bearbeiten

Der spezielle Ansatz und die wichtigsten Bestandteile des Joint Security Management können wie folgt zusammengefasst werden.

  • Arbeitsteilung in der IT-Industrie: Sie bestimmt die konkrete Zusammenarbeit im Joint Security Management und wird ihrerseits bestimmt durch a) den IT-Service selbst, b) dessen umfassend verstandenes Service-Modell und c) eventuelle Details vertraglicher Regelungen. Berücksichtigt werden also die technische Zusammensetzung der IT-Services ebenso wie die organisatorische Aufgliederung der zugehörigen Aktivitäten bei Planung, Umsetzung, Integration und im Betrieb.
  • Marktwirtschaftliche Realität: IT-Dienstleister und Anwenderorganisationen (Kunden) sind selbständig agierende, meist rechtlich unabhängige Marktteilnehmer mit jeweils eigenem Geschäftsauftrag. Um die organisationsübergreifende Zusammenarbeit zu ermöglichen und zu orchestrieren, müssen vier Aspekte detailliert ausgestaltet werden: a) Transparenz bzw. Art und Umfang auszutauschender Informationen, b) Schnittstellen und Interaktionen, c) Standardisierung sowie d) eine Managementarchitektur als Grundlage für die ersten drei.
  • Lebenszyklus: Die IT-Services selbst und auch die Geschäftsbeziehung zwischen IT-Dienstleister und Anwenderorganisationen (Kunden) durchläuft verschiedene Phasen. Auf der obersten Ebene werden neun Aufgabenbereiche definiert,[2] vier für die Vorbereitungsphase und fünf für die Betriebsphase.

Für jeden dieser Aufgabenbereiche werden die genannten vier Aspekte analysiert und im Detail ausgestaltet. Für jeden Aufgabenbereich wird also beschrieben,

  • welche Art von Informationen ausgetauscht werden und wozu (Transparenz),
  • wie die Partner jeweils für sich handeln und wie sie interagieren (Schnittstellen und Interaktion) und
  • welche Maßnahmen zugrunde gelegt werden, um Qualität und Effizienz sicherzustellen (Standardisierung).

Eine Gesamtarchitektur und viele Strukturdetails erleichtern das Verständnis und die Anwendung des Joint Security Managements und erhöhen die Flexibilität durch durchgängige Modularisierung und eine Dokumentenhierarchie.

Geschichte

Bearbeiten

Das Joint Security Management wurde von Eberhard von Faber entwickelt und 2018 vorgestellt.[3] Es nutzt Ideen und Konzepte der Sicherheitsarchitektur ESARIS,[4] die größeren IT-Dienstleistern helfen soll, adäquat für die Sicherheit der bereitgestellten IT-Services zu sorgen und die IT-Sicherheitsanforderungen der Kunden (Anwenderorganisationen) in einem One-to-many-Geschäftsmodell zu erfüllen. Obwohl ESARIS a) die Belange der Kunden zu erfüllen als wichtigste Aufgabe definiert, b) die Notwendigkeit der Zusammenarbeit zwischen IT-Dienstleister und Anwenderorganisationen (Kunden) hervorhebt und c) übrigens sogar auch den Begriff Joint Security Management einführt, bleibt ESARIS zunächst ein Managementsystem für größere IT-Dienstleister.

Das Joint Security Management, wie es 2018 beschrieben wird,[2] richtet sich dagegen gleichermaßen an IT-Dienstleister und Anwenderorganisationen (Kunden). Die verwendete ESARIS Security Taxonomy (Ordnungs- und Organisationsschema), die dabei unterstützt, a) die Übersicht über technische Lösungen und prozessuale Aktivitäten zur Absicherung der IT zu gewinnen, b) Verantwortlichkeiten zuzuweisen und c) Tätigkeiten zu orchestrieren, bleibt jedoch unverändert und auf den IT-Dienstleister konzentriert.

Die Version der ESARIS-Sicherheitsarchitektur von 2023[5] integriert dagegen den mit dem Joint Security Management eingeführten gemeinsamen Lebenszyklus der Geschäftsbeziehung zwischen IT-Dienstleister und Anwenderorganisation in eine neu geschaffene „Taxonomie IT-Service-Security (Enterprise-level)“. Die Version des Joint Security Management von 2018[2] und die ESARIS-Version von 2023[5] können also als zwei Versionen des Joint Security Management angesehen werden.

Herausforderungen und Ziele

Bearbeiten

Vorbemerkung: Die IT- und IT-Sicherheitsanforderungen größerer Anwenderorganisationen unterscheiden sich oft beträchtlich. Die von ihnen zur Unterstützung spezifischer Geschäftsprozesse genutzten IT-Services sind meist komplex. Sie sind kundenspezifisch konfiguriert, weisen Spezifika hinsichtlich der Art ihrer Verwaltung (ITSM einschließlich IT-Sicherheit) auf und/oder besitzen kundenindividuelle Komponenten. Cloud-Speicher sind ein untypisches Beispiel für einen IT-Service.

Folgende Beobachtungen bzw. Herausforderungen liegen dem Joint Security Management zugrunde:

  • IT-Dienstleister und Anwenderorganisationen (Kunden) müssen in fast alle Phasen der Geschäftsbeziehung einschließlich der Bereitstellung bzw. Nutzung der IT-Services jeweils ihren Beitrag für die IT-Service-Security leisten. Der Beitrag des IT-Dienstleisters ist offensichtlich. Doch auch die Anwenderorganisationen müssen zum Beispiel ihre Anforderungen kommunizieren, die IT-Services sicher in ihre Geschäftsabläufe integrieren, Sicherheitsberichte analysieren, Risiken bewerten und behandeln, bei sie betreffenden Sicherheitsvorfällen aktiv werden, Änderungen initiieren bzw. begleiten,[6] die Erfüllung des Vertrages durchsetzen u.v.a.m.
  • Damit dies in abgestimmter Weise funktioniert, wird ein organisationsübergreifendes Sicherheitsmanagement benötigt. Ansätze wie das Shared Responsibility Model[7] sensibilisieren für das Thema und bringen eine Fülle von Beispielen. Sie schaffen aber keinen Rahmen für eine systematische Zusammenarbeit. Dazu müssten zum Beispiel Themen, Schnittstellen und Interaktionen definiert werden, wie es das Joint Security Management ausführlich bewerkstelligt. Das Shared Responsibility Model ist kein Managementsystem. Auch konzentriert es sich auf die Verantwortung für und die Pflege der Technik und lässt die Prozesse im IT-Service-Management einschließlich des Business Relationship Managements (nach ISO/IEC 20000) weitgehend außen vor.
  • Die Anwenderorganisationen müssen vom IT-Dienstleister kontinuierlich mit Informationen und Nachweisen versorgt werden, die sie in die Lage versetzen, a) die mit der Nutzung der IT-Services verbundenen Risiken zu bewerten, b) ein betriebliches Risikomanagement zu betreiben, c) die Einhaltung von Gesetzen, Normen, Vorschriften und dergleichen nachzuweisen und d) ihre Kunden sowie Wirtschaftsprüfer, Aktionäre und andere Interessengruppen informieren zu können.
  • Die Anwenderorganisationen müssen Einfluss nehmen können auf die Sicherheit der von ihnen genutzten IT-Services. Selbst bei unveränderlich erscheinenden, hoch standardisierten IT-Services besteht die Möglichkeit der Auswahl zwischen Anbietern und Angeboten. In den allermeisten Fällen handelt es sich bei IT-Services, die Firmen nutzen, aber nicht um „IT aus der Steckdose“, sondern um spezialisierte, komplexe Konfigurationen, die den jeweiligen Anforderungen fortlaufend angepasst werden.

Die heutige IT-Industrie ist sehr arbeitsteilig organisiert. Regelmäßig müssen mehrere Firmen und Institutionen ihren Beitrag leisten, um komplexe IT-Services adäquat abzusichern. Das Joint Security Management definiert ein organisationsübergreifendes Sicherheitsmanagement, das die Belange aller Beteiligten berücksichtigt, um dieses gemeinsame Ziel zu erreichen.

Ausblick

Bearbeiten

Bezüglich der handelnden Parteien wird ein einfaches Modell zugrunde gelegt mit der Anwenderorganisation bzw. dem Anwender als Konsumenten auf der einen Seite und dem IT-Dienstleister als dem Anbieter und Produzenten auf der anderen. Daneben gibt es noch Hersteller.

Oft beziehen Anwenderorganisationen ihre IT-Services jedoch von mehreren IT-Dienstleistern bzw. zwei oder sogar mehrere IT-Dienstleister sind an der Entwicklung und Bereitstellung eines IT-Services beteiligt. Dann muss das einfache Modell erweitert und abschnittsweise bilateral angewendet werden. Die Gesamtarchitektur des Joint Security Managements und ihre Strukturdetails schaffen den Rahmen dafür.

Bearbeiten

Referenzen

Bearbeiten
  1. Andrzej Debski: Rezension zum Buch Joint Security Management (JSM) – organisationsübergreifend handeln; Datenschutz und Datensicherheit (DuD) 42(6). Springer Vieweg, Wiesbaden Juni 2018, S. 400–402 (doi.org).
  2. a b c d e Eberhard von Faber, Wolfgang Behnsen: Joint Security Management: organisationsübergreifend handeln (Mehr Sicherheit im Zeitalter von Cloud-Computing, IT-Dienstleistungen und industrialisierter IT-Produktion). Springer Vieweg, Wiesbaden, pp:246, 60 Abbildungen 2018, ISBN 978-3-658-20833-2 (doi.org).
  3. Eberhard von Faber: Joint Security Management: ein organisationsübergreifendes Konzept für Anwender und Anbieter; Fachtagung der Gesellschaft für Informatik (GI SECMGT-Workshop), Frankfurt (Main), 13. April 2018 (PDF), abgerufen am 11. Oktober 2023
  4. Eberhard von Faber, Wolfgang Behnsen: Secure ICT Service Provisioning for Cloud, Mobile and Beyond (ESARIS: The Answer to the Demands of Industrialized IT Production Balancing Between Buyers and Providers). 2. Auflage. Springer Vieweg, Wiesbaden 2017, ISBN 978-3-658-16481-2 (englisch, doi.org).
  5. a b Eberhard von Faber: IT-Service-Security in Begriffen und Zusammenhängen, Managementmethoden und Rezepte für Anwender und IT-Dienstleister. Springer-Verlag, Wiesbaden, pp:143, 30 Abbildungen 2023, ISBN 978-3-658-41932-5 (doi.org).
  6. Ivo Keller, Friedrich Holl: Kriterien: Wie Security auch für Safety verantwortlich wird; in: Daten¬schutz und Datensicherheit – DuD, 43(7). Springer Fachmedien, Wiesbaden Juli 2019, S. 426–433 (doi.org).
  7. Cloud Security Alliance (CSA): Shared Responsibility Model Explained; 26.08.2020, abgerufen am 11. Oktober 2023