ORKA – Organisatorische Kontrollarchitektur

Projektstruktur und Vorgehensweise

ORKA Themenbereiche Das Projekt ORKA gliedert sich thematisch in die fünf Bereiche CONTROL, SPEC, ENFORCE, VALID und ADMIN. Ziele und Schwerpunkte der einzelnen Themenbereiche sind wie folgt.

CONTROL – Organisatorische Kontrolle

Control Logo Der Themenbereich CONTROL ist den Themenbereichen SPEC, ENFORCE, VALID und ADMIN übergeordnet und erfüllt eine Querschnittsfunktion. Die erarbeiteten Ergebnisse dienen dazu, die anderen vier Themenbereiche des ORKA-Projekts inhaltlich zu koordinieren, um eine inhaltlich konsistente Durchführung zu gewährleisten.

So werden beispielsweise Fallstudien erstellt, deren Analysen unter anderem als Grundlagen für die Arbeitspakete aus den anderen Themenbereichen dienen. In weiteren Arbeitspakten erfolgt ein kontinuierlicher Abgleich zwischen den Resultaten des Gesatmprojektes. Ein anderer wichtiger Arbeitsschwerpunkt sind die Spezifikation, der Aufbau und Betrieb eines Integrationslabors, in dem die als Projektergebnisse erstellten Softwarekomponenten zusammengeführt, erforscht und evaluiert werden. Integraler Bestandteil ist dabei auch eine Sicherheitsanalyse.

Als übergeordneter Themenbereich arbeitet CONTROL wie folgt mit den anderen Themenbereichen zusammen:

SPEC: CONTROL liefert insbesondere die Ergebnisse aus den Fallstudien, die Anforderungen an die zu erstellende Spezifikationssprache aufzeigen. Während der Projektbearbeitung werden die Eigenschaften der entwickelten Spezifikationssprache später gegen die Anforderungen geprüft.
ENFORCE, VALID: Im Rahmen von CONTROL erfolgt eine Zuarbeit für ENFROCE und VALID in Form der Spezifikation und Implementierung der Anpasungen für eine Workflow-Engine zur Generierung des organisatorischen Kontextes. Die nachfolgend von ENFORCE und VALID erstellten Implementierungen werden durch CONTROL im Integrationslabor getestet.
ADMIN: Aus den von CONTROL bereitgestellten Fallstudien werden Anforderungen an die Administrierbarkeit von Policies abgeleitet.

SPEC – Spezifikation von rollenbasierten Sicherheitspolitiken

Spec Logo Der Themenbereich SPEC befasst sich mit der Spezifikation von Sicherheitsrichtlinien und insbesondere Zugriffskontroll-Richtlinien. Es werden zunächst nur Richtlinien betrachtet, denen das Modell für rollen-basierte Zugriffskontrolle zu Grunde liegt. Nachdem vorhandene Ansätze und Sprachen zur Richtlinienspezifikation untersucht und klassifiziert wurden, ist das Ziel von SPEC eine für ORKA geeignete Sprache zu entwickeln. Dabei muss entschieden werden, ob die Sprache völlig neu entworfen werden muss oder ob eine vorhandene Sprache als Grundlage dienen kann. Insbesondere unterstützen soll die Sprache

Pflichtentrennung,
dynamische Zugriffsbeschränkungen,
Delegation von Rechten,
Zugriffskontrolle in Geschäfts-Prozessen und eine
Rollen-Hierarchie.

Obwohl eine hohe Ausdrucksstärke angestrebt wird, soll die Möglichkeit der Anwendung von Methoden zur Validierung der Richtlinie ein zentraler Designaspekt in der Sprache sein. Schließlich soll eine Eingabeschnittstelle entwickelt werden, die es einem Administrator ermöglicht, komplexe Richtlinien benutzerfreundlich einzugeben, zu beherrschen und auf gewisse Eigenschaften hin zu prüfen.

ENFORCE – Durchsetzung und Integration

Enforce Logo Die Aktivitäten des Themenbereichs ENFORCE beginnen mit einer Analyse existierender Mechanismen zur Durchsetzung von Sicherheitspolitiken in integrierten Enterprise-Umgebungen. Ausgehend von den Geschäftsprozessen lassen sich Zugriffskontroll-Paradigmen wie beispielsweise Gewaltenteilung, Obligationen, Kardinalität, Delegation und Zurücknahme von Zugriffsrechten definieren.

Geschäftsprozesse sind aufgabengesteuert und werden in Computersystemen von Software-Applikationen realisiert. Hierzu müssen diese von einer Geschäftsprozessebene auf die Ebene der darunter liegenden Applikationen und Computersysteme transferiert werden. Dies muss derart geschehen, dass Zugriffskontrolle auf Ressourcen nicht ausschließlich auf Basis der Geschäftsprozess-Applikation realisiert wird, sondern in einer ganzheitlichen und mit der globalen Autorisierungskomponente abgestimmten Weise. Hierfür ist es notwendig, dass existierende Technologien zur Spezifikation und Durchsetzung von Sicherheitspolitiken in Enterprise-Umgebungen mit Zugriffskontroll-Politiken für Geschäftsprozesse umgehen können. Diese Sicherheitspolitiken haben die Charakteristik, dass sich während der Prozessdurchführung die Zuordnungen von Rollen, Gruppen und Benutzern dynamisch ändern und flexibel angepasst werden müssen. Viele existierende Mechanismen und Architekturen zur Durchsetzung von Sicherheitspolitiken kommen mit diesen sich schnell ändernden Zugriffsrechten nicht zurecht.

Der Themenbereich ENFORCE entwickelt eine durch Geschäftsprozesse gesteuerte Architektur zur Durchsetzung von Zugriffskontroll-Politiken in verteilten Systemen. Die Analyse existierender Zugriffskontroll-Mechanismen, wie beispielsweise in Betriebssystemen, Datenbanken und Java- oder .NET- Applikationen, liefert als Entscheidungsgrundlage Informationen darüber, welche Anforderungen der Geschäftsprozesse an den Zugriffskontroll-Mechanismus sich in diesen Systems leicht, gar nicht oder nur über Umwege realisieren lassen. Basierend auf dieser Analyse wird eine neue Architektur für die Durchsetzung von Sicherheitspolitiken für verteilte und heterogene Umgebungen entworfen und implementiert.

Diese Architektur befähigt Workflow-Management-Systeme, Zugriffskontrolle auf verschiedenen Ebenen zu realisieren, beginnend auf der Ebene der Geschäftsprozesse bis hinunter auf die Ebene der Applikationen und Systeme. Die Architektur unterstützt rasche dynamische Änderungen der Zugriffsrechten auf Basis einer eigenen Beschreibungssprache für Sicherheitspolitiken zur Realisierung von Kontrollprinzipien wie Delegation oder Gewaltenteilung. Die Architektur bietet verschiedene Werkzeuge für das Management von Sicherheitspolitiken, wie beispielsweise ein Analysewerkzeug zur Aufdeckung von Inkonsistenzen der Sicherheitspolitik-Beschreibungen, auf den verschiedenen Ebenen des Systems.

VALID – Validierung und Verifikation von Sicherheitspolitiken

Valid Logo Mit der zunehmenden Abbildung von sicherheitskritischen Geschäftsprozessen auf IT-Systeme wird auch das Berechtigungsmanagement immer komplexer. Dies kann zu Fehlern in der Definitionsphase von rollenbasierten Sicherheitspolitiken (RBAC policies) und mithin zu Sicherheitsproblemen führen. So können beispielsweise durch das Zusammenspiel von Authorization Constraints und Rollenhierarchien in den rollenbasierten Sicherheitspolitiken inkonsistente und in sich widersprüchliche Regeln festgelegt werden. Angenommen in einer Bank wird eine Regel definiert, bei der die Rolle "Kassenprüfer" alle Zugriffsrechte der Rolle "Kassierer" erbt. Wird nun aber zwischen den Rollen "Kassierer" und "Kassenprüfer" eine Aufgabentrennung (separation of duty) festgelegt, bei der keine Person die Rechte beider Rollen erhalten darf, so führt dies offensichtlich zu einem Widerspruch. Je komplexer die Sicherheitspolitik nun ist, desto schwerer sind die Zusammenhänge für einen Sicherheitsbeauftragten zu durchschauen. Eine rollenbasierte Sicherheitspolitik kann daher unerwartete und unerwünschte Konsequenzen nach sich ziehen.

Aus diesem Grunde werden Methoden für eine systematische und werkzeugunterstützte Analyse von rollenbasierten Sicherheitspolitiken benötigt. Insbesondere sollten die rollenbasierten Sicherheitspolitiken auf Korrektheit, Konsistenz und Vollständigkeit bezüglich der Anforderungen hin untersucht werden. Diese Analyse sollte bereits im Designprozess der Sicherheitspolitik (also vor der eigentlichen Implementierung) durchgeführt werden. Fehler in einer Politik sind später oftmals aufwendig zu korrigieren. Selbst bei korrekter Implementierung der Autorisierungsmechanismen kann kein korrektes System mehr erreicht werden, wenn bereits die Sicherheitspolitik fehlerhaft oder unvollständig ist.

Im Themenbereich VALID werden daher verschiedene auf formalen bzw. semi-formalen Methoden beruhende Werkzeuge darauf hin untersucht, inwieweit sie zur Analyse von rollenbasierten Sicherheitspolitiken eingesetzt werden können. In Frage kommen hier beispielsweise

Theorembeweiser zur deduktionsbasierten formalen Validation,
Modellprüfer,
Constraint-Analyzer,
UML-/OCL-Werkzeuge und
Graphtransformationswerkzeuge.

Es wird angestrebt, einen Werkzeugkasten zur Analyse von rollenbasierten Sicherheitspolitiken bereitzustellen. Ein Sicherheitsbeauftragter sollte dann das entsprechende Werkzeug in Abhängigkeit der Problemstellung auswählen können. Eine besondere Bedeutung kommt dabei einer benutzerfreundlichen Bedienungsschnittstelle zu.

ADMIN – Wartung von Sicherheitspolitiken

Admin Logo Der Themenbereich ADMIN beschäftigt sich im ORKA-Verbundprojekt mit der Administration von Sicherheitspolitiken, den sog. Policies, sowie der praktischen Anwendung der Policies auf Benutzer und Anwendungen. Neben der Durchsetzbarkeit und der Korrektheit von Policies ist die Wartbarkeit extrem wichtig. Im Rahmen von ORKA werden daher geeignete Benutzungsschnittstellen entwickelt, die es Administratoren erlauben, zu jedem Zeitpunkt die relevanten Information aus der Policy dargestellt zu bekommen und im jeweiligen Kontext Zugriff auf die notwendigen Operationen zu erhalten.

Bei Änderungen der Policy sollen Redundanzen und andere Fehlerquellen erkannt und vermieden werden (wie z.B. überflüssige, nicht mehr benötigte Berechtigungen). Bedingt durch die hierarchische Vererbung von Zugriffsrechten ist es darüber hinaus möglich, dass sich elementare Änderungen der Policy ungewollt und unbemerkt im gesamten System fortpflanzen. Auf Grund der Komplexität der Policy-Spezifikation ist dies für den Administrator eines Systems nicht überschaubar. ORKA entwickelt daher Konzepte und geeignete Benutzungsschnittstellen, um solche Fehlerquellen zu vermeiden.