Suchen

BSI unterstützt serviceorientierte Architekturen Sicherheit kommt bei SOA-Projekten oft zu kurz

Redakteur: Gerald Viola

Im schlechtesten Fall scheitern wichtige und vielversprechende IT-Projekte an mangelndem Sicherheitsbewußtsein und einem fehlenden ganzheitlichen Konzept. Dies gilt auch für serviceorientierten Architekturen (SOA). Denn hier sind traditionelle Sicherheitsmechanismen nicht eins zu eins umsetzbar. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI): Neue Konzepte und Lösungen müssen entwickelt werden, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten in der SOA-Umgebung gewährleisten. Kein leichtes Unterfangen ...

Firmen zum Thema

SOA, aber sicher ... Das BSI gibt Tipps
SOA, aber sicher ... Das BSI gibt Tipps
( Archiv: Vogel Business Media )

Das aber von den Experten der Bonner Sicherheitsbehörde sehr gut unterstützt wird. Das BSI hat jetzt das SOA-Security-Kompendium 2.0 vorgelegt: „SOA ist einer der modernsten Trends der IT und aufgrund seiner geschäftsprozessnahen Ausrichtung insbesondere im Bereich des Managements sehr beliebt. Verhältnismäßig wenig Beachtung wird jedoch den Sicherheitsaspekten einer SOA geschenkt – insbesondere in den Bereichen, wo solche sicherheitsrelevanten Anforderungen auftreten, die in konventionellen IT-Systemen bislang nicht beachtet wurden oder dieser Form nicht relevant waren.

Schließlich befinden sich im Hintergrund von SOAs auch immer entsprechende Geschäftsprozesse, die durchaus kritisch und daher schutzbedürftig sein können. Neben der Sicherheit von einzelnen Service-Anfragen (bezüglich Vertraulichkeit, Authentifizierung, usw.) sind auch übergreifende Aspekte wie Transaktionssicherheit von Bedeutung. Insbesondere wenn eine serviceorientierte Architektur nicht nur innerhalb einer Organisation verwendet, sondern auch nach außen hin geöffnet wird, kommen zusätzliche Sicherheitsanforderungen hinzu.

Derzeit entworfene IT-Systeme auf Basis einer serviceorientierten Architektur werden zunächst meistens unter rein funktionalen Gesichtspunkten entworfen. Sicherheitsfunktionalität wird meist nachträglich und beschränkt für die einzelnen Komponenten entwickelt. Als Folge dessen wird zumeist ein ganzheitliches Sicherheitskonzept verfehlt und viele SOA-spezifische Sicherheitsanforderungen bleiben unerfüllt. Es fehlt sowohl an einem angemessenen Sicherheitsbewusstsein, einem ganzheitlichen Sicherheitskonzept als auch an Best-Practice-Ansätzen für die relativ neue IT-Architektur. Dieser Umstand ist oftmals sogar Ursache für das Scheitern großer und vielversprechender IT-Vorhaben.“

Nächste Seite: Auch für Experten eine wertvolle Quelle

(ID:2043890)