Allgemein steht der Begriff Informationssicherheit für Eigenschaften von informationsverarbeitenden und -lagernden Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität von Daten und Prozessen sicherstellen. Mögliche Angriffe, Industriespionage oder unbefugte Zugriffe auf vertrauliche Daten sollen verhindert werden. Informationssicherheit dient also dem Schutz vor Gefahren, der Vermeidung von Schäden und der Minimierung von Risiken.

Informationssicherheit und SOA – welche neuen Herausforderungen gibt es?

Welche Aspekte im Bereich Informationssicherheit verlangen im Kontext Service-orientierter Architekturen besondere Aufmerksamkeit?

Generell erfordert SOA keine gesonderten oder neuen Techniken bzw. Konzepte zur Sicherstellung von Informationssicherheit. Es liegt allerdings auf der Hand, dass Systeme und Architekturen, die auf offenen, weltweit gut bekannten Standards aufsetzen, ohne entsprechenden Schutz erheblich anfälliger für unbefugte Eingriffe sind als Systeme der Vergangenheit, welche nur von wenigen Experten weltweit verstanden werden. Diese sogenannte „Security by Obscurity“ ist also kein effektiver Schutz mehr für offene vernetzte Architekturen wie Internet oder SOA.

Bei der Einführung einer SOA muss man sich deshalb hundertprozentig auf die etablierten Sicherheitstechniken verlassen können. Bei der Überführung einer Anwendungslandschaft in eine SOA sollte daher eine Revision der Maßnahmen für die Informationssicherheit immer fester Bestandteil des Projektes sein.

Service-orientierte Architekturen sollen eine schnelle Anpassung der IT an sich verändernde Geschäftsprozesse ermöglichen. Diese Agilität bedeutet, dass auch die Sicherheitskonzepte flexibel gestaltet werden müssen. Derartige Herausforderungen ergeben sich beispielsweise durch die Einbindung von Partnern und Kunden in die eigenen Systeme eines Unternehmens. Dabei muss die Sicherheit jedoch immer beherrschbar und bezahlbar bleiben.

Das vorliegende Kapitel soll bei der Erarbeitung von geeigneten Lösungen und Security-Konzepten unterstützen. Die hier dargestellten Anregungen und Erfahrungen helfen bei der Analyse des Sicherheitsbedarfs und der Erarbeitung eines geeigneten Sicherheitsentwurfs. Darüber hinaus finden sich hier Anregungen, um gegebenenfalls in laufende SOA-Vorhaben korrigierend einzugreifen. Der Fokus dieses Leitfadens liegt auf SOA-spezifischen Security-Aspekten. Eine Beschäftigung mit allgemeinen Security-Aspekten ist in diesem Rahmen unerlässlich und muss selbstverständlich auch Bestandteil von SOA-Projekten sein.

Übersicht Artikel

Grundsätzliche Security-Ziele und Sicherheitsbedarfe

Geschäftsprozesse und deren Security-Anforderungen

Policy-Management

Risiko-Management in einer SOA-Welt

Security - Implementierungen

Wechselwirkung zwischen Performanz, Verfügbarkeit und Sicherheit