Architectural Alignment of Access Control Requirements Extracted from Business Processes

Geschäftsprozesse und IT-Systeme sind einer ständigen Evolution unterworfen und beeinflussen sich in hohem Maße gegenseitig. Dies führt zu der Herausforderung, Sicherheitsaspekte innerhalb von Geschäftsprozessen und Enterprise Application Architectures (EAAs) in Einklang zu bringen. Im Besonderen gilt dies für Zugriffskontrollanforderungen, welche sowohl in der IT-Sicherheit als auch im Datenschutz einen hohen Stellenwert haben. Die folgenden drei Ziele der Geschäftsebene verdeutlichen die Bedeutung von Zugriffskontrollanforderungen:
$ 1) $ Identifikation und Schutz von kritischen und schützenswerten Daten und Assets.
... mehr
$ 2) $ Einführung einer organisationsweiten IT-Sicherheit zum Schutz vor cyberkriminellen Attacken.
$ 3) $ Einhaltung der zunehmenden Flut an Gesetzen, welche die IT-Sicherheit und den Datenschutz betreffen.

Alle drei Ziele sind in einem hohen Maß mit Zugriffskontrollanforderungen auf Seiten der Geschäftsebene verbunden. Aufgrund der Fülle und Komplexität stellt die vollständige und korrekte Umsetzung dieser Zugriffskontrollanforderungen eine Herausforderung für die IT dar. Hierfür muss das Wissen von der Geschäftsebene hin zur IT übertragen werden. Die unterschiedlichen Terminologien innerhalb der Fachdomänen erschweren diesen Prozess. Zusätzlich beeinflussen die Größe von Unternehmen, die Komplexität von EAAs sowie die Verflechtung zwischen EAAs und Geschäftsprozessen die Fehleranfälligkeit im Entwurfsprozess von Zugriffsberechtigungen und EAAs. Dieser Zusammenhang führt zu einer Diskrepanz zwischen ihnen und den Geschäftsprozessen und wird durch den Umstand der immer wiederkehrenden Anpassungen aufgrund von Evolutionen der Geschäftsprozesse und IT-Systeme verstärkt.
Bisherige Arbeiten, die auf Erweiterungen von Modellierungssprachen setzen, fordern einen hohen Aufwand von Unternehmen, um vorhandene Modelle zu erweitern und die Erweiterungen zu pflegen. Andere Arbeiten setzen auf manuelle Prozesse. Diese erfordern viel Aufwand, skalieren nicht und sind bei komplexen Systemen fehleranfällig.
Ziel meiner Arbeit ist es, zu untersuchen, wie Zugriffskontrollanforderungen zwischen der Geschäftsebene und der IT mit möglichst geringem Mehraufwand für Unternehmen angeglichen werden können. Im Speziellen erforsche ich, wie Zugriffskontrollanforderungen der Geschäftsebene, extrahiert aus Geschäftsprozessen, automatisiert in Zugriffsberechtigungen für Systeme der rollenbasierten Zugriffskontrolle (RBAC) überführt werden können und wie die EAA zur Entwurfszeit auf die Einhaltung der extrahierten Zugriffskontrollanforderungen überprüft werden kann. Hierdurch werden Sicherheitsexperten beim Entwerfen von Zugriffsberechtigungen für RBAC Systeme unterstützt und die Komplexität verringert. Weiterhin werden Enterprise-Architekten in die Lage versetzt, die EAA zur Entwurfszeit auf Datenflüsse von Services zu untersuchen, welche gegen die geschäftsseitige Zugriffskontrollanforderungen verstoßen und diese Fehler zu beheben.

Die Kernbeiträge meiner Arbeit lassen sich wie folgt zusammenfassen:
$\textbf{I)}$ Ein Ansatz zur automatisierten Extraktion von geschäftsseitigen Zugriffskontrollanforderungen aus Geschäftsprozessen mit anschließender Generierung eines initialen Rollenmodells für RBAC.
$\textbf{II)}$ Ein Ansatz zum automatisierten Erstellen von architekturellen Datenfluss-Bedingungen aus Zugriffskontrollanforderungen zur Identifikation von verbotenen Datenflüssen in Services von IT-Systemen der EAA.
$\textbf{III)}$ Eine Prozessmodell für Unternehmen über die Einsatzmöglichkeiten der Ansätze innerhalb verschiedener Evolutionsszenarien.
$\textbf{IV)}$ Ein Modell zur Verknüpfung relevanter Elemente aus Geschäftsprozessen, RBAC und EAAs im Hinblick auf die Zugriffskontrolle. Dieses wird automatisiert durch die Ansätze erstellt und dient unter anderem zur Dokumentation von Entwurfsentscheidungen, zur Verbesserung des Verständnisses von Modellen aus anderen Domänen und zur Unterstützung des Enterprise-Architekten bei der Auflösung von Fehlern innerhalb der EAA.

Die Anwendbarkeit der Ansätze wurden in zwei Fallstudien untersucht. Die erste Studie ist eine Real-Welt-Studie, entstanden durch eine Kooperation mit einer staatlichen Kunsthalle, welche ihre IT-Systeme überarbeitet. Eine weitere Fallstudie wurde auf Basis von Common Component Modeling Example (CoCoME) durchgeführt. CoCoME ist eine durch die Wissenschaftsgemeinde entwickelte Fallstudie einer realistischen Großmarkt-Handelskette, welche speziell für die Erforschung von Software-Modellierung entwickelt wurde und um Evolutinsszenarien ergänzt wurde. Aufgrund verschiedener gesetzlicher Regularien an die IT-Sicherheit und den Datenschutz sowie dem Fluss von sensiblen Daten eignen sich beide Fallstudien für die Untersuchung von Zugriffskontrollanforderungen. Beide Fallstudien wurden anhand der Goal Question Metric-Methode durchgeführt. Es wurden Validierungsziele definiert. Aus diesen wurden systematisch wissenschaftliche Fragen abgleitet, für welche anschließend Metriken aufgestellt wurden, um sie zu untersuchen. Die folgenden Aspekte wurden untersucht:
$\bullet$ Qualität der generierten Zugriffsberechtigungen.
$\bullet$ Qualität der Identifikation von fehlerhaften Datenflüssen in Services der EAA.
$\bullet$ Vollständigkeit und Korrektheit des generierten Modells zur Nachverfolgbarkeit von Zugriffskontrollanforderungen über Modelle hinweg.
$\bullet$ Eignung der Ansätze in Evolutionsszenarien von Geschäftsprozessen und EAAs.

Am Ende dieser Arbeit wird ein Ausblick gegeben, wie sich die vorgestellten Ansätze dieser Arbeit erweitern lassen. Dabei wird unter anderem darauf eingegangen, wie das Modell zur Verknüpfung relevanter Elemente aus Geschäftsprozessen, RBAC und EAAs im Hinblick auf die Zugriffskontrolle, um Elemente aus weiteren Modellen der IT und der Geschäftsebene, erweitert werden kann. Weiterhin wird erörtert wie die Ansätze der Arbeit mit zusätzlichen Eingabeinformationen angereichert werden können und wie die extrahierten Zugriffskontrollanforderungen in weiteren Domänenmodellen der IT und der Geschäftsebene eingesetzt werden können.

Business processes and information systems evolve constantly over time and affect each other in non-trivial ways. Therefore, aligning security requirements between business processes and enterprise application architectures (EAAs) is a challenging task. This is especially true for access control requirements (ACRs) that are of great significance in IT security and privacy. The following three goals of the business level of an organization illustrate their importance:
$ 1) $ Identifying and protecting critical assets and sensitive data.
$ 2) $ Establishing appropriate organization-wide IT security and privacy strategies.
... mehr
$ 3) $ Complying with the rising amount of security and privacy laws.

ACRs are crucial to achieve these goals. However, the implementation of these goals requires knowledge to be transferred from the business level to the IT level. The size and complexity of organizations make a complete and correct implementation of ACRs a challenge for the IT level. The different terminologies within both domains additionally complicate this process. Furthermore, the size of organizations, the complexity of EAAs and the interconnection between EAAs and business processes affect the error rate during the design phase of ACRs and EAAs negatively. These interrelationships lead to misalignments between EAA, access permissions and business processes and they increase over time as adjustments are required due to evolutionary change of business processes and information systems.

Previous work relies heavily on extensions of business process and architecture modeling languages. This imposes serious effort for organizations to extend existing standard models and maintain these extensions over time. Other approaches rely on manual processes to solve the aforementioned problems. Such approaches require a lot of effort, do not scale, and are error-prone for complex systems.

The aim of this thesis is to research how ACRs can be aligned between the business level and IT level with minimal additional effort for organizations. Specifically, this thesis explores how business level ACRs can be extracted from business processes to be automatically transferred into access permissions for role-based access control (RBAC) and how the EAA can be analyzed for violations of these business level ACRs. These proposed approaches will assist security experts during the design of access permissions for RBAC and reduce complexity of this engineering process. They will also enable enterprise architects to inspect the EAA at design time for data flows that violate business level ACRs and help the enterprise architects in resolving the identified violations.

The main contributions of this thesis can be summarized as follows:
$\textbf{I)}$ An approach to automatically extract business level ACRs from business processes with a subsequent transformation into an initial role model for RBAC.
$\textbf{II)}$ An approach to automatically generate architectural data flow constraints from ACRs to identify data flows of services in EAAs that violate the ACRs.
$\textbf{III)}$ A high-level process for organization on how to use these approaches within different evolution scenarios.
$\textbf{IV)}$ A model for mapping relevant elements from business processes, RBAC, and EAAs with respect to ACRs together. This model is created automatically by the approaches and is used, among other things, to document design decisions, improve the mutual understanding of domain models and assist the enterprise architect in resolving errors within the EAA.

Within the scope of this thesis two case studies are conducted to validate the approaches and proposed contributions. The first case study is a real-world case study, resulting from a cooperation with a national art gallery that revises its information systems. Another case study is based on the Common Component Modeling Example (CoCoME). CoCoME is a case study of a realistic supermarket chain developed by the scientific community. It was developed to research software evolution and has several evolution scenarios extended by various research groups. Both case studies are suitable for researching ACRs as they are affected by substantial number of legal regulations pertaining IT security as well as data protection and have a multitude of sensitive data flows. For each case study a goal question metric (GQM) model is developed to systematically validate the contributions of this thesis. Therefore, validation goals are defined. Scientific questions are methodically derived from the validation goals. Afterwards, for each scientific question appropriate metrics are specified in order to investigate the scientific questions. The following aspects are examined throughout the case studies:
$\bullet$ Quality of generated access permissions.
$\bullet$ Quality of identified data flows in services of the EAA that violate ACRs.
$\bullet$ Completeness and correctness of the generated model for the traceability of ACRs across business and IT models.
$\bullet$ Applicability of approaches in evolution scenarios of business processes and EAAs.

At the end of this thesis I elaborate on the future work with regard to the approaches of this thesis. This encompasses how the model for mapping relevant elements from business processes, RBAC, and EAAs with respect to ACRs can be enriched with elements from other models of the business level and IT level, how the approaches of this thesis can benefit from additional input information and how other domain models can profit from the extracted information about business level ACRs.