Service-orientierte Architekturen sollen einen Beitrag leisten, um flexibel auf sich verändernde Geschäftsprozesse antworten zu können. Die Komplexität der Lösungen und ihre multilateralen Vertrauensbeziehungen erschweren es in der Regel Sicherheitslösungen zu finden. Als Maßnahme des Risikomanagements ist daher das Erkennen anwendungsspezifischer Sicherheitsanforderungen und die Kenntnis Technologie bedingter Schwachstellen notwendig. Es ist dabei unerheblich, ob die Betrachtungen nun Teil einer Anforderungsanalyse sind, oder ob sie dazu dienen sollen, über das zu erstellende System und dessen Sicherheitseigenschaften zu kommunizieren. Je früher dies im F&E Prozess erfolgt, desto kostengünstiger und genauer auf die Anwendung abgestimmt kann die Berücksichtigung von Sicherheitsanforderungen erfolgen und die Möglichkeiten der genutzt Implementierungs-Technologie genutzt werden. Sicherheitsanforderungen ergeben sich jedoch nicht nur auf Grund der Funktionalität des Systems, seiner Verteilung oder der Eigenschaften einzelner Dienste, sondern auch aus datenschutzrechtlichen Anforderungen, dem möglichen Missbrauch und darüber hinaus natürlich auch aus dem Betrieb des Systems.
In dem Vortrag wird ein Vorschlag für eine systematische Strukturierung von Sicherheitsanforderungen von den Geschäftsprozessen bis zum Security Engineering zur Unterstützung der Entwicklung und des Betriebs von IT Systemen vorgestellt.