Zugriffskontrollanforderungen von Geschäftsprozessen werden von der Fachseite oftmals nachrangig behandelt und zudem losgelöst, kaum formalisiert vom Modell des fachlichen Geschäftsprozesses erfasst. Bei der Implementierung von Zugriffskontrollpolicies kommt es daher zu einem fehleranfälligen und komplizierten Abstimmungsprozess zwischen Fach- und IT-Abteilung oder es entstehen Inkonsistenzen zwischen den spezifizierten Zugriffskontrollanforderungen und den implementierten Zugriffskontrollpolicies. Heiko Klarl zeigt, wie Fach- und IT-Seite bei der Absicherung von Geschäftsprozessen näher zusammengebracht werden und wie ein modellgetriebener Softwareentwicklungsprozess ermöglicht wird. Zugriffskontrollanforderungen werden dabei von den Domänenmodellen der Fachabteilung bis hin zu plattformspezifischen Zugriffskontrollpolicies abgebildet.