BSI, HPI, Bearing Point

Neuer SOA-Sicherheitsleitfaden vorgelegt

26. Februar 2010
Christiane Pütter ist Journalistin aus München. Sie schreibt über IT, Business und Wissenschaft. Zu ihren Auftraggebern zählen neben CIO und Computerwoche mehrere Corporate-Publishing-Magazine, vor allem im Bereich Banken/Versicherungen.
Das Bundesamt für Informationstechnik (BSI) hat seinen SOA-Sicherheitsleitfaden vom Hasso-Plattner-Institut und dem Berater Bearing Point aktualisieren lassen. Denn wer mit einer Service-orientierten Architektur (SOA) arbeitet, braucht spezifische Sicherheitskonzepte dafür.

Wer IT-Systeme auf Basis einer Service-orientierten Architektur (SOA) entwirft, geht meist nur nach funktionalen Gesichtspunkten. Sicherheits-Aspekte finden zu wenig Beachtung. Diese These vertritt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Auf die Kritik folgen denn auch konkrete Vorschläge: Das BSI legt jetzt eine neue Version seines SOA-Sicherheitskompendiums vor. Der bisherige Leitfaden war vom Berater Bearing Point und dem Hasso-Plattner-Institut überarbeitet worden.

Interessierte können sich das 371-Seiten-Werk auf der Website des Bundesamtes kostenlos herunterladen. Laut BSI richtet es sich an Projektleiter, IT-Entscheider, IT-Architekten und Entwickler.

"Traditionelle Sicherheitsmechanismen sind nicht 1:1 auf IT-Architekturen übertragbar, die konsequent das Prinzip der Service-Orientierung verfolgen", schreiben die Autoren des Leitfadens. Neben der Sicherheit einzelner Service-Anfragen wie zum Beispiel bezüglich Vertraulichkeit oder Authentifizierung seien übergreifende Aspekte wie etwa Transaktionssicherheit wichtig. Das gelte insbesondere dann, wenn eine SOA nicht nur firmenintern genutzt wird, sondern auch von Externen.

Das BSI geht davon aus, dass immer mehr Unternehmen SOA umsetzen werden. Das wirke sich auf die Rolle der IT aus. Bisher seien die jeweiligen Anwendungen stark in den Fachabteilungen verankert. "Mit der Entwicklung von monolithischen Anwendungslandschaften hin zu einer Service-orientierten Architektur lässt sich vermuten, dass in Zukunft diese Aufgabenverteilung aufgebrochen wird", so die Autoren des Kompendiums. Sie prognostizieren, dass die Services künftig immer öfter zentral verwaltet werden, zum Beispiel durch firmeneigene IT-Dienstleistungszentren.