Sicherheitsanforderungen beeinflussen die Architektur komplexer Softwaresysteme in ähnlicher Weise wie andere nichtfunktionale Anforderungen. Sowohl das Security Engineering als auch das Software Engineering stellen Methoden zur Behandlung solcher Anforderungen bereit. Die Verzahnung der Methoden beider Gebiete ist jedoch noch ungenügend gelöst. Im Vortrag wird ein methodisches Vorgehen vorgestellt, das aktuelle Methoden der Software-Architekturentwicklung weiterentwickelt, um etablierte Ansätze des Security Engineering zu integrieren. Dabei wird eine explizite Zuordnung zwischen nichtfunktionalen Anforderungen, den Prinzipien des Security Engineering und der Schritte der Entwicklung einer Sicherheitsarchitektur hergestellt. Das Vorgehen führt zur Entwicklung eines schlanken, wohldefinierten, anwendungsspezifischen Sicherheitskerns. Das Vorgehen wird an Beispielen aus der Entwicklung eines verteilten Enterprise Resource Planning (ERP) Systems erläutert, das auf Webservices basiert und Prozesse des Outsourcing beispielsweise in der Automobilindustrie unterstützt.