SABSA-Framework: Wie Sicherheit zur Unternehmensstrategie wird

Das SABSA-Framework macht Sicherheitsarchitektur business-tauglich. Erfahren Sie, wie Matrix, Lifecycle und Business Attributes zusammenwirken.

Inhalt

1. Was ist das SABSA-Framework?
2. Matrix: Layer & Leitfragen
3. Kernkonzepte: Lifecycle, Business Attributes & Risiken
4. Warum SABSA?
5. SABSA vs. andere Frameworks
6. Zertifizierung

Überblick: SABSA-Framework

• Sicherheitsarchitektur konsequent von Geschäftszielen aus denken, nicht von Technologie
• Mit der SABSA-Matrix Sicherheitsentscheidungen auf sechs Layern strukturieren und lückenlos begründen
• Business Attributes als gemeinsame Sprache zwischen Security, IT und Management nutzen
• Human Risk als zentrales Geschäftsrisiko identifizieren und mit der Human-Risk-Management-Platform von SoSafe messbar machen
• Mit dem SABSA-Lifecycle Sicherheitsarchitektur kontinuierlich an veränderte Unternehmensanforderungen anpassen

Sicherheitsarchitektur weiterdenken

Kein Framework passt auf alle. Hier finden Sie kompakte Übersichten zu etablierten Ansätzen für eine business-getriebene Sicherheitsarchitektur.

Weiterlesen

Glossary

ISO 27001:2022 kompakt: Anforderungen, Änderungen und Strategien für die Umsetzung

Weiterlesen

Glossary

CIS Controls: Priorisierung und Abwehrstrategien für moderne Sicherheitsarchitekturen

Weiterlesen

Glossary

NIST Cybersecurity Framework 2.0: Governance, Maturity und praktische Umsetzung

Weiterlesen

Glossary

COBIT-Framework im Detail: IT-Governance strategisch ausrichten

Weiterlesen

Glossary

Zachman-Framework: Aufbau, Matrix und praktischer Einsatz

Weiterlesen

Glossary

TOGAF-Framework: Enterprise Architecture strukturiert gestalten

Was ist das SABSA-Framework?

SABSA steht für Sherwood Applied Business Security Architecture. Das Framework liefert eine Methodik für Entwurf, Umsetzung und Management von Sicherheitsarchitekturen. Der entscheidende Unterschied zu vielen anderen Ansätzen: SABSA beginnt nicht mit Technologie, sondern mit Geschäftsanforderungen. SABSA versteht Sicherheit als Treiber des Unternehmens, nicht als nachgelagerte Kontrollfunktion.

Geschichte und das SABSA Institute

Das SABSA-Framework wurde 1995 von John Sherwood, Andrew Clark und David Lynas erstmals veröffentlicht. Heute pflegt das SABSA Institute das Framework als offenen Standard und treibt die Weiterentwicklung voran. Das Institut verantwortet das Zertifizierungsprogramm und bildet Sicherheitsarchitekten weltweit aus.

Der Business-first-Ansatz

SABSA folgt einem Top-down-Prinzip: Geschäftsziele definieren den Sicherheitsbedarf. Den übersetzt das Framework Layer für Layer bis in die technische Umsetzung. Für Unternehmen, die Sicherheit und Strategie verzahnen wollen, ist genau das der entscheidende Vorteil. Das macht Sicherheit greifbar, wo sie oft abstrakt bleibt: als nachvollziehbare Antwort auf konkrete Geschäftsanforderungen.

Die SABSA-Matrix: Layer und Leitfragen

Die SABSA-Matrix ist das strukturelle Kernstück des Frameworks. Sie kombiniert 6 Architekturschichten mit 6 Leitfragen und ergibt so 36 definierte Felder. Jedes Feld beantwortet eine konkrete Frage auf einer bestimmten Ebene der Unternehmensarchitektur. So entsteht eine Sicherheitsarchitektur, die jeden Baustein direkt auf eine Geschäftsanforderung zurückführt.

Die 6 Layer der SABSA-Matrix

Die sechs horizontalen Layer zeigen, auf welcher Abstraktionsebene eine Sicherheitsentscheidung getroffen wird:

1. Contextual: Die Geschäftsperspektive. Was will das Unternehmen schützen und warum?
2. Conceptual: Die strategische Sicherheitsperspektive. Welche Prinzipien leiten die Architektur?
3. Logical: Das logische Design. Welche Sicherheitsdienste und -funktionen werden benötigt?
4. Physical: Die physische Umsetzung. Welche Technologien und Produkte kommen zum Einsatz?
5. Component: Die Komponentenebene. Welche Systeme, Tools und Konfigurationen greifen ineinander?
6. Operational: Der laufende Betrieb. Wie hält die Organisation die Architektur im Alltag am Leben und von wem wird sie überwacht?

Die 6 Leitfragen

Diese 6 Fragen durchziehen jeden Layer der SABSA-Matrix von oben nach unten:

1. Was: Welche Assets, Daten oder Prozesse stehen im Mittelpunkt?
2. Warum: Welches Geschäftsziel oder Risiko ist der Auslöser?
3. Wie: Mit welchem Prozess oder welcher Methode wird das Ziel erreicht?
4. Wer: Welche Rollen und Verantwortlichkeiten sind beteiligt?
5. Wo: In welcher Umgebung oder Infrastruktur findet das statt?
6. Wann: Welche zeitlichen Abhängigkeiten und Abläufe sind relevant?

Ein SABSA-Beispiel aus der Praxis

Phishing-Angriffe auf Mitarbeitende, konkret durch eine vereinfachte Matrix des SABSA-Frameworks betrachtet:

SABSA sorgt dafür, dass Sicherheitsmaßnahmen immer auf ein Geschäftsziel zurückgeführt werden. Frameworks wie das Zachman-Framework nutzen eine ähnliche Matrixstruktur für Unternehmensarchitektur. SABSA überträgt dieses Prinzip konsequent auf den Sicherheitsbereich.

SABSA benennt das Risiko. SoSafe adressiert es.

Jetzt Demo anfordern

Unsere HRM-Platform übersetzt Human Risk aus Ihrer Sicherheitsarchitektur in konkrete Maßnahmen.

Kernkonzepte: Lifecycle, Business Attributes und Risiken

Die SABSA-Matrix zeigt die Struktur. Drei weitere Konzepte erklären, wie das SABSA-Framework in der Praxis funktioniert: der Lifecycle, die Business Attributes und das Prinzip der Traceability.

Das SABSA-Lifecycle-Modell

SABSA versteht Sicherheitsarchitektur als kontinuierlichen Prozess, nicht als einmaliges Projekt. Der Lifecycle gliedert sich in vier Phasen:

1. Strategy & Concept: Sicherheitsstrategie aus Geschäftszielen ableiten und Risiken identifizieren
2. Design: Sicherheitsarchitektur auf Basis der SABSA-Matrix entwickeln
3. Implement: Architekturentscheidungen in konkrete Lösungen übersetzen
4. Manage & Measure: Betrieb, Überwachung und kontinuierliche Verbesserung sicherstellen

Das Lifecycle-Modell trennt Strategie und Planung bewusst von der Designphase. So bleibt der Übergang von Geschäftsanforderungen zur technischen Umsetzung nachvollziehbar und steuerbar.

Business Attributes

Business Attributes sind definierte Eigenschaften, die eine Organisation von ihrer Sicherheitsarchitektur erwartet: zum Beispiel Vertraulichkeit, Verfügbarkeit, Compliance oder Zuverlässigkeit. Sie verbinden abstrakte Geschäftsziele mit konkreten Sicherheitsmaßnahmen. Die entscheidende Frage lautet nicht „Haben wir eine Firewall?“, sondern: „Welche Verfügbarkeitsanforderung hat die Organisation, und wie erfüllt die SABSA-Architektur diese Anforderung?“

Business Attributes werden im Business Attribute Profile (BAP) dokumentiert und machen Sicherheitsentscheidungen für alle Beteiligten nachvollziehbar.

Risiken und Traceability

Traceability ist eines der zentralen Prinzipien von SABSA. Es beschreibt die Fähigkeit, jede Sicherheitsmaßnahme direkt auf eine Geschäftsanforderung oder ein identifiziertes Risiko zurückzuführen. Das SABSA-Framework unterscheidet dabei zwei Richtungen:

• Vollständigkeit (Completeness): Jede Geschäftsanforderung an die Sicherheit findet eine Entsprechung in der Architektur, und das verbleibende Restrisiko ist für die Organisation akzeptabel.
• Rechtfertigung (Justification): Jedes operative oder technische Sicherheitselement lässt sich durch eine risikobewertete Geschäftsanforderung begründen.

Das schafft Transparenz, wo sie am meisten zählt: bei der strategischen Weiterentwicklung der Sicherheitsarchitektur und der Frage, welche Maßnahmen wirklich gebraucht werden.

Warum SABSA? Stärken und Einsatzfelder

Das SABSA-Framework verbindet Sicherheitsarchitektur und Unternehmensstrategie. Dieser Abschnitt zeigt, welche konkreten Stärken daraus entstehen und für welche Organisationen SABSA besonders gut passt.

Die wichtigsten Vorteile im Überblick

Die wichtigsten Vorteile des SABSA-Frameworks:

• Sicherheitsentscheidungen sind von Beginn an durch Geschäftsziele begründet
• Sicherheitsinvestitionen lassen sich transparent auf Geschäftsrisiken zurückführen
• Traceability stellt sicher, dass jede Maßnahme einen klaren Geschäftsbezug hat
• Der Lifecycle ermöglicht es, die Sicherheitsarchitektur kontinuierlich weiterzuentwickeln
• Business Attributes schaffen eine gemeinsame Sprache zwischen IT, Security und Management

SABSA im Einsatz: Wer profitiert?

SABSA adressiert unterschiedliche Perspektiven im Unternehmen. Die folgende Übersicht zeigt, welchen konkreten Nutzen die wichtigsten Rollen aus dem Framework ziehen:

Für welche Organisationen eignet sich SABSA?

SABSA ist branchenunabhängig und lässt sich auf jedes Geschäftsmodell zuschneiden. Besonders häufig eingesetzt wird das Framework in Organisationen mit komplexen IT-Landschaften: in regulierten Sektoren wie Finanzdienstleistungen, Energie oder Gesundheitswesen, aber auch in Behörden, Verteidigung und kritischen Infrastrukturen. Dort, wo Sicherheitsarchitektur und Compliance-Anforderungen eng verzahnt sein müssen, bietet das SABSA-Framework den nötigen Strukturrahmen.

Auch Organisationen, die mehrere Frameworks parallel einsetzen, profitieren von SABSA als übergeordnetem Integrationspunkt. In der Praxis wird es häufig mit ISO 27001, COBIT oder TOGAF kombiniert, um Governance- und Compliance-Anforderungen gemeinsam abzudecken.

SABSA im Vergleich mit anderen Frameworks

Das SABSA-Framework wird in der Praxis häufig mit anderen Sicherheits- und Architektur-Frameworks verglichen oder kombiniert. Die folgenden Abschnitte ordnen SABSA neutral ein und zeigen, wo die Ansätze sich ergänzen.

SABSA und TOGAF

TOGAF deckt Unternehmensarchitektur in der Breite ab. Sicherheit spielt dabei eine Nebenrolle. Genau hier setzt SABSA an: Es bringt die Sicherheitsperspektive gezielt in die TOGAF-Architektur ein und lässt sich als spezialisierter Layer integrieren. Die gemeinsame Basis ist ein ähnlicher Schichten-Ansatz. Die Integration stützt sich auf Risikomanagement, Anforderungsmanagement und die TOGAF Architecture Development Method (ADM).

SABSA und Zachman

Das Zachman-Framework denkt in Matrizen, SABSA auch. Der Unterschied liegt im Fokus: Zachman beschreibt Unternehmensarchitektur in ihrer ganzen Breite. Das SABSA-Framework zieht denselben Matrixgedanken konsequent in den Sicherheitsbereich und geht dort methodisch deutlich tiefer.

SABSA und NIST CSF

Das NIST Cybersecurity Framework und SABSA teilen den Risikofokus. Den Ansatz teilen sie nicht. NIST CSF ordnet Sicherheit in Kategorien und Reifegrade ein. SABSA fragt, wie die Architektur dahinter aussehen muss. Wer NIST CSF operativ umsetzen will, findet in SABSA das methodische Rückgrat dafür.

SABSA und ISO 27001

ISO 27001 definiert als Managementsystem-Standard, was Organisationen in der Informationssicherheit erreichen müssen. Die Frage, wie die Sicherheitsarchitektur dafür aufgebaut wird, beantwortet der Standard nicht. SABSA schließt diese Lücke auf der Architekturebene und macht ISO 27001 damit methodisch vollständiger.

Tabelle: SABSA im Vergleich

SABSA-Zertifizierung: Stufen, Nutzen und Einstieg

Die SABSA-Zertifizierung richtet sich an Security Architects, die das SABSA-Framework nicht nur kennen, sondern methodisch anwenden wollen. Das Programm des SABSA Institute ist kompetenzbasiert: Im Mittelpunkt steht die praktische Anwendung, nicht das Auswendiglernen von Konzepten.

Die Zertifizierungsstufen im Überblick

Die SABSA-Certification gliedert sich in drei aufeinander aufbauende Stufen:

1. SABSA Chartered Foundation (SCF): Der Einstieg. Zwei Module vermitteln die Kernkonzepte, Layer und Methoden des Frameworks: F1 (Security Strategy & Planning) und F2 (Security Service Management). Jedes Modul schließt mit 48 Multiple-Choice-Fragen in 60 Minuten ab; die Bestehensgrenze liegt bei 75 Prozent. Die SCF-Zertifizierung hat kein Ablaufdatum und erfordert keine CPE-Nachweise.
2. SABSA Chartered Practitioner (SCP): Wer die Foundation abgeschlossen hat, wählt einen von fünf Karrierepfaden und bearbeitet das zugehörige Advanced-Modul (A1–A5). Das Assessment umfasst fünf Fragen; zu beantworten sind zwei davon. Die Frist dafür beträgt vier Wochen. Zwei SABSA Masters bewerten die Einreichung unabhängig. Bestehensgrenze: 75 Prozent.
3. SABSA Chartered Master (SCM): Die höchste Stufe. Neben dem SCP und einem zweiten Advanced-Modul ist eine Master Thesis mit eigener SABSA-Anwendung aus der Praxis gefordert.

Was bringt die Zertifizierung dem Sicherheitsteam?

Wer die SABSA-Zertifizierung abschließt, beherrscht eine Methodik, die technisches Wissen mit strategischem Denken verbindet. Zertifizierte Fachkräfte entwerfen SABSA-Sicherheitsarchitekturen, die direkt auf Geschäftszielen aufbauen. Für Organisationen entsteht daraus eine fundiertere Grundlage für Investitionsentscheidungen und mehr Transparenz gegenüber dem Management.

Die Kosten hängen vom Schulungsanbieter, Format und Standort ab. Aktuelle Informationen finden Sie direkt beim SABSA Institute.

Human Risk. Jetzt im Griff.

Jetzt Demo anfordern

Von der SABSA-Architektur zur operativen Umsetzung mit der SoSafe HRM-Platform.