SOA Governance: Compliance-Nachweise in serviceorientierten Architekturen

Transkript

1 Gabriela Loosli SOA Governance: Compliance-Nachweise in serviceorientierten Architekturen Winter-Industries GmbH

2

3 Gabriela Loosli SOA Governance: Compliance-Nachweise in serviceorientierten Architekturen Inauguraldissertation zur Erlangung der Würde eines Doctor rerum oeconomicarum der Wirtschafts- und Sozialwissenschaftlichen Fakultät der Universität Bern Winter-Industries GmbH

4 Loosli, Gabriela: SOA Governance : Compliance-Nachweise in serviceorientierten Architekturen / Gabriela Loosli. Zugl.: Bern, Univ., Diss., 2012 ISBN Die Fakultät hat diese Arbeit am 15. November 2012 auf Antrag der beiden Gutachter Prof. Dr. Dr. h.c. Gerhard Knolmayer und Prof. Dr. Stephan Aier als Dissertation angenommen, ohne damit zu den darin ausgesprochenen Auffassungen Stellung nehmen zu wollen. Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar. Winter-Industries GmbH, Berlin 2013 Alle Rechte, auch das des auszugsweisen Nachdruckes, der auszugsweisen oder vollständigen Wiedergabe, der Speicherung in Datenverarbeitungsanlagen, auf Datenträgern oder im Internet und der Übersetzung, vorbehalten. Winter-Industries GmbH URL:

5 Danksagung Ich danke meiner Familie und meinen Freunden für ihre Unterstützung.

6

7 Inhaltsverzeichnis Die vorliegende Arbeit ist eine kumulative Dissertation, die aus den folgenden vier Beiträgen besteht: I II III IV IT Governance Knolmayer, G., Loosli, G.: IT Governance, in: Zaugg, R.J. (Hrsg.): Handbuch Kompetenzmanagement. Durch Kompetenz nachhaltig Werte schaffen, Bern, Stuttgart, Wien: Haupt Verlag 2006, S Determinanten zur Erfüllung von Compliance-Anforderungen in serviceorientierten Architekturen und ihre Berücksichtigung in SOA- Governance-Ansätzen Loosli, G.: Determinanten zur Erfüllung von Compliance-Anforderungen in serviceorientierten Architekturen und ihre Berücksichtigung in SOA- Governance-Ansätzen, Arbeitsbericht Nr. 240 des Instituts für Wirtschaftsinformatik der Universität Bern, Bern Dynamic Binding in a SOA and its Potential Implications on Compliance Verifications Loosli, G.: Dynamic Binding in a SOA and its Potential Implications on Compliance Verifications, in: Enterprise Modelling and Information Systems Architectures 4 (2009) 2, S IT-Governance bei Wiederverwendung von Services Loosli, G., Heim, D., Knolmayer, G.F.: IT-Governance bei Wiederverwendung von Services, in: Fischer, S., Maehle, E., Reischuk, R. (Hrsg.): INFORMATIK Im Focus das Leben, Proceedings der 39. Jahrestagung der Gesellschaft für Informatik (GI 2009), Lübeck, GI- Edition - Lecture Notes in Informatics (LNI), P-154, Bonn: Köllen 2009, S. 478 und S

8 1 Problemstellung und Zielsetzung Von Unternehmen wird vermehrt Flexibilität in Bezug auf Anpassung an aktuelle Marktgegebenheiten erwartet. Dies betrifft auch die IT-Systeme, da immer mehr Geschäftsprozesse in ihnen automatisiert werden. Änderungen sollten demnach zeitnah in den IT-Systemen umgesetzt werden können. Serviceorientierte Architekturen (SOA), welche heute oftmals als Paradigma für die Gestaltung von Informationssystemen vorgeschlagen werden, geben Agilität als eines ihrer Ziele an. Ein weiterer Vorteil wird in der Wiederverwendbarkeit von Services gesehen. Fundamentales Element einer SOA sind Services. Diese sind Software-Einheiten verschiedener Granularität, welche zu komplexeren Services bis hin zu Applikationen aggregiert und in unterschiedlichen Anwendungsfällen wieder verwendet werden können. Als weitere Herausforderung sehen sich Unternehmen mit immer mehr Regeln konfrontiert, welche sie erfüllen müssen, also "compliant" zu ihnen sein. Die Einhaltung dieser Vorschriften wird kontrolliert. Diese Regeln betreffen die IT-Systeme ebenfalls. Einerseits gibt es Vorschriften, welche sich direkt auf sie beziehen (z. B. Datenschutzgesetz), andererseits sind es Regeln, welche die in den IT-Systemen implementierten oder von ihnen unterstützten Geschäftsprozesse erfüllen müssen. IT- Systeme können auch Unterstützung bieten bei der automatisierten Umsetzung und Kontrolle dieser Regeln. Aspekte der Compliance werden unter dem übergeordneten Begriff Governance in der Literatur betrachtet. Governance in serviceorientierten Architekturen wird aktuell als Herausforderung angesehen und unter dem Begriff SOA Governance diskutiert. Ziel dieser Arbeit ist es, einen umfassenden Überblick zu bieten, welchen Einfluss der Einsatz einer SOA auf Compliance-Nachweise besitzt. Es soll analysiert werden, welche Risiken dabei entstehen können und angegeben werden, mit welchen Lösungsansätzen diese Risiken reduziert und die Compliance-Anforderungen erfüllt werden können. 2

9 2 Zusammenhang der Beiträge In Abbildung 1 werden die vier Beiträge der Dissertation dick umrandet dargestellt. Der umfangreichste Beitrag 2 wird detaillierter dargestellt, um den Zusammenhang zwischen den einzelnen Abschnitten deutlich zu machen. Die Abbildung 1 dient zugleich dazu, den Zusammenhang der vier Beiträge grafisch darzustellen. Die detaillierte Berücksichtigung des Beitrags 2 erlaubt es aufzuzeigen, wo die Resultate des Beitrags 1 einfliessen und für welche Abschnitte sie relevant sind. Zudem wird daraus ersichtlich, worauf die eine spezielle SOA-Eigenschaft berücksichtigenden Beiträge 3 und 4 basieren. Die Pfeile der Abbildung 1 zeigen die Verwendung der Inhalte auf, die fett gedruckten den Zusammenhang der einzelnen Beiträge. Der dunkelgraue Längsbalken bildet das Hauptartefakt, die Gestaltungsprinzipien zur Umsetzung eines SOA-Governance- Ansatzes, ab, die hellgrauen Querbalken die unterstützenden Artefakte und die weissen Querbalken die theoretischen Grundlagen. SOA Governance leitet sich aus der IT Governance für serviceorientierte Architekturen und die IT Governance wiederum aus der Corporate Governance ab. Im Beitrag 1, IT Governance, wird der Begriff diskutiert und zum Begriff des IT-Managements abgegrenzt. Diese Abgrenzung wird für die nachfolgenden Arbeiten übernommen. Abbildung 1 zeigt, dass der Beitrag 1 im Abschnitt 3.2 des Beitrages 2 referenziert wird und die Basis für die dortige Begriffsdefinition von IT Governance und ihre Abgrenzung zum IT-Management bildet. Der Abschnitt 3.2 wiederum ist die Grundlage für die Einschränkung der Compliance-Anforderungen an IT-Architekturen (Abschnitt 3.5) auf solche, die nur für die IT Governance relevant sind. Die Compliance-Anforderungen und die Service- und SOA-Eigenschaften (Abschnitte 2.2 und 2.3) bilden die theoretischen Grundlagen für das Hauptartefakt, die Gestaltungsprinzipien zur Umsetzung eines SOA-Governance-Ansatzes (Kapitel 4 und Abschnitt 5.2; dunkelgrauer Längsbalken). Werden Gestaltungsprinzipien (Auswirkungen und daraus abgeleitete Handlungsvorschläge) aus der Literatur (z. B. aus bisherigen SOA-Governance- Ansätzen) extrahiert, so werden ebenfalls nur jene berücksichtigt, welche für die IT Governance relevant sind. 3

10 Beitrag 2 1 Problemstellung und Zielsetzung 2.1 Unternehmensarchitektur 2.2 und 2.3 Service- und SOA-Eigenschaften 2.4 SOA-Sichtweisen 2.5 Service-Klassifikation Gestaltungs- Beitrag IT-Governance/IT-Management-Abgrenzung prinzipien zur Umsetzung Beitrag Zuordnung SOA-Governance-Ansätze zu SOA-Sichtweisen 3.4 Risiko- und Kontrollkategorien eines SOA- Governance- Ansatzes Beitrag 4 Kapitel Compliance-Anforderungen an IT-Architekturen 5.1 Prüfebenen Abschnitt Vergleich SOA-Governance-Ansätze 6.2 Evaluation Abbildung 1: Zusammenhang der vier Beiträge. 4

11 Wie anhand der Abbildung 1 und der Erwähnung der unterstützenden Artefakte gesehen werden kann, ist der Beitrag 2, Determinanten zur Erfüllung von Compliance-Anforderungen in serviceorientierten Architekturen und ihre Berücksichtigung in SOA-Governance-Ansätzen, der umfangreichste und komplexeste Beitrag dieser Arbeit. Er bietet einen Gesamtüberblick über das Dissertationsthema, indem er möglichst vollständig und detailliert potenzielle Auswirkungen (positiv als Vorteil oder negativ als Risiko) nennt, die der Einsatz einer serviceorientierten Architektur auf die Compliance hat. Zudem werden Handlungsvorschläge zur Reduzierung dieser Risiken angegeben. Auswirkungen und Handlungsvorschläge bilden die wichtigsten Elemente des Hauptartefakts, der Gestaltungsprinzipien zur Umsetzung eines SOA-Governance-Ansatzes. Die Gestaltungsprinzipien zur SOA-Eigenschaft "Dynamische Suche und Bindung" werden in Beitrag 2 ausgeklammert und in die zwei Beiträge 3 und 4 ausgelagert. Der Beitrag 3, Dynamic Binding in a SOA and its Potential Implications on Compliance Verifications, enthält einen konzeptionellen Lösungsansatz. Beitrag 4, IT-Governance bei Wiederverwendung von Services, beschreibt die Umsetzung dieses Lösungsansatzes. In Beitrag 2 wird an den entsprechenden Stellen auf die Beiträge 3 und 4 verwiesen. Ein Grund für die Auslagerung ist, dass nicht nur bei der Anwendung dieser Eigenschaft (Dynamische Suche und Bindung), sondern insbesondere auch für Handlungsvorschläge semantische Konzepte benötigt werden. Neben Governance und SOA sind die semantischen Konzepte ein weiteres umfangreiches und äusserst komplexes Thema. Die Auslagerung hilft demnach, den Komplexitätsrahmen von Beitrag 2 nicht zu sprengen. Ein weiterer Grund für die Auslagerung dieser Eigenschaft in separate Beiträge besteht darin, dass dieses Thema eher informatiktechnisch ist und der Handlungsvorschlag aus Modellen und Umsetzungen besteht. Im Gegensatz dazu sind die Handlungsvorschläge aus Beitrag 2 grösstenteils auch für Nicht-Informatiker verständlich und in Form eines Leitfadens mit textlichen Beschreibungen aufgebaut. Bei semantischen Konzepten wäre eine solche Darstellungsform nicht möglich. 5

12 3 Inhalt der Beiträge Nachfolgend werden die vier Beiträge mit ihren wichtigsten Ergebnissen vorgestellt. 3.1 Beitrag 1 - IT Governance Dieser Beitrag befasst sich mit dem Begriffsverständnis von IT Governance und den daraus resultierenden Aufgaben. Was IT Governance genau umfasst, darüber gibt es in der Literatur unterschiedliche Auffassungen. Grundsätzlich können zwei Sichtweisen unterschieden werden: Eine eher aussengerichtete Sichtweise leitet den Begriff aus dem Konzept der Corporate Governance ab und sieht die IT Governance primär als Instrument zur Unterstützung der sich daraus ergebenden Anforderungen. Bei dieser Sichtweise gibt die IT Governance Rahmenbedingungen für das IT-Management vor. Conformance, nicht Performance steht im Mittelpunkt einer so definierten IT Governance. Eine eher innenbezogene orientierte Sichtweise der IT Governance beschäftigt sich mit der möglichst wirtschaftlichen Gestaltung von IT-Systemen und den damit verbundenen organisatorischen Strukturen und Prozessen. Bei dieser Sichtweise stehen die Entscheidungs-, Gestaltungs- und Umsetzungsprobleme im IT-Bereich im Vordergrund, die unter dem Begriff IT-Management in der Literatur bereits ausführlich erörtert wurden. Performance, nicht Conformance steht im Vordergrund dieser Sichtweise. In dieser Arbeit wird die erste, aussengerichtete Sichtweise vertreten, bei der IT Governance nur Aufgaben umfasst, welche aus der Corporate Governance für den IT-Bereich abgeleitet wurden. Damit grenzt sich IT Governance klar vom IT- Management ab. 6

13 3.2 Beitrag 2 - Determinanten zur Erfüllung von Compliance- Anforderungen in serviceorientierten Architekturen und ihre Berücksichtigung in SOA-Governance-Ansätzen Beitrag 2 bietet einen Gesamtüberblick über Compliance-Nachweise in serviceorientierten Architekturen. Die folgenden drei Forschungsfragen werden darin beantwortet: 1. Welche möglichen Auswirkungen (positiv als Vorteil oder negativ als Risiko) hat der Einsatz einer serviceorientierten Architektur auf die Compliance zu Vorgaben? Welche Handlungsvorschläge können daraus abgeleitet werden? Dabei wird auf die Prozess-Sicht fokussiert, was zur zweiten Forschungsfrage führt: 2. Welche Kontrollen sollen eher auf Prozessebene und/oder auf Ebene der in ihnen enthaltenen Services erfolgen? In zwei groben Vergleichen von SOA-Governance-Ansätzen, von denen der eine die akademische Literatur, der andere Angaben von Herstellerseite betrachtet, wurden Lücken sowie starke Fokussierungen auf einzelne Teilgebiete aufgezeigt. Diese beiden Aspekte werden in der dritten Forschungsfrage aufgegriffen: 3. Wie gross sind die Lücken der bisherigen SOA-Governance-Ansätze bei detaillierter Betrachtung ihrer Angaben? Sind verschiedene SOA-Sichtweisen der Grund für die in den Ansätzen teilweise unterschiedlich berücksichtigten Aspekte? In Anlehnung an Design Science Research werden in dieser Arbeit Artefakte erstellt. Hevner et al. 1 haben diesbezüglich sieben Richtlinien erarbeitet, die erfüllt werden. Als Vorgehensmodell wird jenes von Peffers et al. 2 gewählt, das spezifisch für Design Science Research entwickelt wurde. 1 Hevner, A.R., March, S.T., Park, J., Ram, S.: Design Science in Information Systems Research, in: MIS Quarterly 28 (2004) 1, S Peffers, K., Tuunanen, T., Rothenberger, M.A., Chatterjee, S.: A Design Science Research Methodology for Information Systems Research, in: Journal of Management Information Systems 24 (2008) 3, S

14 Die Forschungsfragen 1 und 2 werden mit dem Hauptartefakt, den Gestaltungsprinzipien zur Umsetzung eines SOA-Governance-Ansatzes, beantwortet. Die beiden wichtigsten Elemente dieser Gestaltungsprinzipien sind: Auswirkungen von Compliance-Anforderungen bei Anwendung einer SOA. Sie können in Ausnahmefällen von Vorteil sein, stellen aber zumeist Risiken dar. Handlungsvorschläge, die aus den Auswirkungen abgeleitet werden. Dies sind im Vergleich zu traditionellen Architekturen zusätzliche oder unterschiedliche Massnahmen, die ergriffen werden sollten, um die in den Auswirkungen definierten Risiken zu reduzieren und demnach die Vorschriften einzuhalten. Die Angaben für die Gestaltungsprinzipien stammen einerseits aus der Literatur, wobei bisherige SOA-Governance-Ansätze als Basis verwendet werden. Weiter werden anerkannte Frameworks, themenspezifische Literatur sowie Lösungsvorschläge und Angaben von Herstellern einbezogen. Andererseits wurden sie aus den Compliance-Anforderungen in Verbindung mit den SOA-Eigenschaften abgeleitet. Es werden nur Auswirkungen berücksichtigt, welche die IT Governance, nicht jedoch das IT-Management betreffen. Als Grundlage für diese Abgrenzung dient der Beitrag 1. Die aus den Auswirkungen abgeleiteten Handlungsvorschläge werden nicht aufgrund dieses Kriteriums eingeschränkt, da sie wegen ihrer Eigenschaft als Lösungen meist dem IT-Management-Bereich zuzuordnen sind. Jedoch sind nur solche Handlungsvorschläge angegeben, welche notwendig sind, um die Auswirkungen von IT-Governance-Risiken zu reduzieren. 8

15 Weitere Elemente der Gestaltungsprinzipien bilden die folgenden Zuordnungen: Um die Beziehung der SOA-spezifischen Compliance-Auswirkungen aufzuzeigen, wurden für jede Auswirkung Referenzen zu den ihr entsprechenden SOA-Eigenschaften und den Compliance-Anforderungen erstellt. Jede Compliance-Anforderung wird zudem einem COBIT-Subprozess zugeordnet. COBIT ist ein ursprünglich aus dem Wirtschaftsprüfungsbereich entstandenes, mittlerweile weithin anerkanntes Framework zur Gestaltung der IT-Prozesse. Diese Zuordnung zu COBIT kann für Unternehmen bei der Anwendung des Hauptartefakts, der Gestaltungsprinzipien zur Umsetzung eines SOA-Governance-Ansatzes, hilfreich sein: Eine Unternehmung muss die für sie bedeutsamen Auswirkungen eines SOA-Einsatzes finden können. Dazu kann das Unternehmen die relevanten COBIT-Subprozesse bestimmen und somit die bedeutsamen Auswirkungen aus Compliance-Sicht. Weiter wird das Unternehmen nur Auswirkungen betrachten, welche von ihm implementierte SOA-Eigenschaften betreffen. Die Schnittmenge gibt die von dem Unternehmen zu berücksichtigenden Auswirkungen. Um die SOA-Governance-Ansätze im Detail zu vergleichen, wird bei jedem Gestaltungsprinzip angegeben, ob und in welchen SOA-Governance-Ansätzen die Auswirkung und/oder der Handlungsvorschlag erwähnt werden. Mit der Prüfebene wird angegeben, welche Kontrollen auf Prozess- und/oder Service-Ebene durchzuführen sind. Dieses Element betrifft die Forschungsfrage 2. Weiter wird angegeben, ob die Auswirkung einen Vorteil gegenüber traditionellen Architekturen oder ein Risiko darstellt. 9

16 Für das soeben beschriebene Hauptartefakt sind die folgenden unterstützenden Artefakte notwendig: SOA-Sichtweisen (als Grundlage für alle Zuordnungen, u. a. für die Beantwortung der Forschungsfrage 3). Service-Klassifikation (als Grundlage für die Prüfebenen). Compliance-Anforderungen an IT-Architekturen: Als Grundlage wird COBIT verwendet. Da COBIT zuwenig detailliert beschriebene Anforderungen enthält, wurden Ergänzungen aus den Frameworks ITIL und ISO/IEC sowie weiterer Literatur vorgenommen. Die Anforderungen wurden gemäss Beitrag 1 auf für die IT Governance relevanten Aspekte eingegrenzt und anhand des Unternehmensarchitektur-Frameworks TOGAF (und seinem Mapping zu COBIT) auf für die IT-Architektur relevanten Gesichtspunkte beschränkt. In dieser Detailliertheit und in dieser Abgrenzung (IT Governance und IT-Architekturen) liegen bisher keine Zusammenstellungen von Compliance-Anforderungen vor. Prüfebenen (für die Beantwortung der Forschungsfrage 2). Vergleich der SOA-Governance-Ansätze (für die Auswertung, u. a. für die Beantwortung der Forschungsfrage 3 und für die Evaluation der in dieser Arbeit vorgeschlagenen Gestaltungsprinzipien mithilfe der Methode des "Informed Argument"). 10

17 Insgesamt konnten 93 Auswirkungen von Compliance-Nachweisen beim Einsatz einer SOA identifiziert werden. Damit wurde versucht, einen möglichst vollständigen Gesamtüberblick zu geben. Dafür sprechen folgende Gründe: Keiner der bisherigen SOA-Governance-Ansätze enthält auch nur annähernd alle Gestaltungsprinzipien und könnte demnach als Ersatz für das in dieser Arbeit erstellte Artefakt angesehen werden. Das Maximum liegt bei 32 Gestaltungsprinzipien, obwohl teilweise seitenmässig sehr umfangreiche Ansätze vorliegen. Ein möglicher Grund für diese vergleichsweise kleine Zahl an Gestaltungsprinzipien ist, dass ein hoher Anteil dem IT-Management zuzuordnen ist. 28 der 93 Gestaltungsprinzipien wurden in keinem der bisherigen SOA- Governance-Ansätze erwähnt. Die für die Compliance wichtigen Themen wie "Sicherheit", "Testen" und "Transaktionen" werden in den SOA-Governance- Ansätzen kaum angesprochen. Auch der in einer SOA wichtige "Bezug externer Services" wird nur in zwei Ansätzen detailliert betrachtet, die "Daten" nur in einem Ansatz. Zudem sind die Ansätze auf einzelne, unterschiedliche Themengebiete fokussiert: 2/3 der Gestaltungsprinzipien werden insgesamt von bisherigen Ansätzen abgedeckt. Der am meisten Gestaltungsprinzipien formulierende Ansatz deckt jedoch nur 1/3 der hier vorgestellten Prinzipien ab. Viele SOA-Governance-Ansätze, speziell die umfangmässig kleineren, geben lediglich Elemente an, die für SOA Governance berücksichtigt werden sollten, jedoch nicht ihre SOA-spezifischen Auswirkungen. Damit steht das "was" im Vordergrund, jedoch nicht aber das "wie". Die in diesem Beitrag vorgestellten Gestaltungsprinzipien geben konkrete und detaillierte Auswirkungen und jeweils Handlungsvorschläge an, aus denen hervorgehen sollte, wie die Risiken des SOA-Einsatzes zu reduzieren sind. 11

18 Die Verbindung zu COBIT ist durch Angabe einer Compliance-Anforderungs- Nummer bei jedem Gestaltungsprinzip vorhanden. Nur bei einem der bisherigen SOA-Governance-Ansätze wird eine solche Zuordnung vorgenommen, allerdings nur auf Hauptprozessebene. Eine Verbindung zu den SOA-Eigenschaften wird in keinem der bisherigen Ansätze systematisch vorgenommen. Die Bestimmung und Betrachtung von SOA-Prüfebenen (welche Service-Klassen eignen sich eher für welche Kontrollen) ist ebenfalls neu. Mithilfe des detaillierten Vergleichs und einer anschliessenden Auswertung konnten die oben beschriebenen Lücken bisheriger Ansätze aufgezeigt werden. Zudem konnte bestätigt werden, dass eine unterschiedliche SOA-Sichtweise der Grund für die in den Ansätzen teilweise unterschiedlich betrachteten Aspekte ist. Die Forschungsfrage 3 wird hiermit beantwortet. 12

19 3.3 Beitrag 3 - Dynamic Binding in a SOA and its Potential Implications on Compliance Verifications Dieser Beitrag und der nachfolgende Beitrag 4 befassen sich im Detail mit einer SOA-Eigenschaft, der Bindung zur Laufzeit, welche die geforderte Flexibilität bestmöglich unterstützt, jedoch viele Risiken birgt. Diese dynamische Suche und Bindung von Services kann verschiedene Ausprägungsformen aufweisen: Bindung anhand des Namens (Binding by name) Bindung anhand Bedingungen oder Eigenschaften (Binding by constraints or properties) o Geschlossene Suche ("Zwischenform") o Offene Suche. Diese Ausprägungsformen wurden im Detail beschrieben und analysiert. Für jede Form wurden die möglichen Auswirkungen bezüglich Compliance zu Regulierungen sowie Handlungsvorschläge aufgezeigt. Dabei wurde berücksichtigt, dass in einer SOA Services wieder verwendet werden können und sollen. Es wurden nicht nur die Auswirkungen der Wiederverwendung von bestehenden Services in neuen Prozessen untersucht, sondern auch die umgekehrte Betrachtungsweise, die Auswirkungen von neu im Repository verfügbaren Services auf bestehende Prozesse. Anhand eines Anwendungsfalls wurde dies verdeutlicht. Es zeigte sich, dass bei der Bindung anhand des Namens sowie der geschlossenen Suche die bisherigen Change-Management-Ansätze, welche auf der Überprüfung aller Services und Applikationen vor Produktivsetzung basieren, sowie entsprechende Dokumentationen genügen. Bei Anwendung der weitreichendsten Form, der offenen Suche, besteht jedoch die Gefahr, dass aufgrund von Änderungen des Service-Bestands im Repository zur Laufzeit automatisch nicht konforme Services gewählt werden. Nicht konform bedeutet in diesem Zusammenhang, dass nicht alle erforderlichen Regulierungen erkannt und demnach nicht alle erfüllt werden. Bei Wiederverwendung von Services in einem anderen Kontext müssen u. U. zusätzliche Regulierungen erfüllt werden. 13

20 Bisherige, teilweise komplexe Lösungsansätze lösen dieses Problem nicht. Ein Grund dafür ist, dass sie jeweils Unvollständigkeiten für diesen Fall aufweisen. Daher wurde in diesem Beitrag ein Lösungsansatz auf Basis semantischer Konzepte entwickelt, der die Auswahl nicht konformer Services verhindern soll. Dazu wird eine Ontologie benötigt und die Services müssen mit semantischen Beschreibungssprachen umgesetzt werden. Bei Semantic Web Services wird die Bedeutung (Semantik; was leistet der Service und was bedeutet der Parameter) anstelle eines Textfeldes strukturiert in zusätzliche einzelne Beschreibungselemente aufgeteilt. Für Semantic Web Services gibt es standardisierte Beschreibungssprachen wie beispielsweise WSMO. Eine Ontologie beseitigt Missverständnisse bezüglich des Inhalts dieser zusätzlichen Beschreibungselemente. Sie ist eine formale Beschreibung von Begriffen und ihren Beziehungen. Zudem kann sie Aussagen enthalten, die logische Schlussfolgerungen ermöglichen. Semantische Beschreibungssprachen können Referenzen zu Ontologien herstellen. In diesem Beitrag werden sowohl die anfragenden Prozesse, welche Eingabedaten in einem spezifischen Kontext enthalten, als auch die angebotenen Web Services, die jeweils zu bestimmten Vorschriften compliant sind, mit diesen Angaben semantisch beschrieben und beziehen sich auf dieselbe Ontologie, in der die Zuordnung vom Kontext zu den Vorschriften vorgenommen wird. Diese erste Lösung wird erweitert, indem beim Kontext neben den Eingabedaten zusätzlich Attribute über die Unternehmensart hinzugefügt werden. Diese sind ebenfalls relevant für die zu erfüllenden Regulierungen. Zudem werden für die Regulierungen das u. U. zugrunde liegende Framework und die Prüfstandards angegeben. 14

21 3.4 Beitrag 4 - IT-Governance bei Wiederverwendung von Services Der Beitrag 3 wurde in diesem Beitrag weiterentwickelt. Anhand eines Anwendungsfalls wird gezeigt, wie der konzeptionelle Lösungsansatz des Beitrags 3 mit zwei ausgewählten semantischen Beschreibungssprachen umgesetzt werden kann und welche Unterschiede dabei bestehen. Die beiden semantischen Beschreibungssprachen WSMO und OWL-S wurden systematisch, aufgrund eines im Beitrag vorgenommenen Vergleichs, ausgewählt. Es konnten die folgenden Unterschiede festgestellt werden: In OWL-S sind Aussagen und ihre Verknüpfungen für logische Schlussfolgerungen einfacher zu definieren. In WSMO sind Spezialisierungen und die Implementierung ihrer Funktionalität einfacher umzusetzen. 15

22 Winter-Industries GmbH