Neuer SOA-Sicherheitsleitfaden vorgelegt

Wer IT-Systeme auf Basis einer Service-orientierten Architektur (SOA) entwirft, geht meist nur nach funktionalen Gesichtspunkten. Sicherheits-Aspekte finden zu wenig Beachtung. Diese These vertritt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Auf die Kritik folgen denn auch konkrete Vorschläge: Das BSI legt jetzt eine neue Version seines SOA-Sicherheitskompendiums vor. Der bisherige Leitfaden war vom Berater Bearing Point und dem Hasso-Plattner-Institut überarbeitet worden.

Interessierte können sich das 371-Seiten-Werk auf der Website des Bundesamtes kostenlos herunterladen. Laut BSI richtet es sich an Projektleiter, IT-Entscheider, IT-Architekten und Entwickler.

"Traditionelle Sicherheitsmechanismen sind nicht 1:1 auf IT-Architekturen übertragbar, die konsequent das Prinzip der Service-Orientierung verfolgen", schreiben die Autoren des Leitfadens. Neben der Sicherheit einzelner Service-Anfragen wie zum Beispiel bezüglich Vertraulichkeit oder Authentifizierung seien übergreifende Aspekte wie etwa Transaktionssicherheit wichtig. Das gelte insbesondere dann, wenn eine SOA nicht nur firmenintern genutzt wird, sondern auch von Externen.

Das BSI geht davon aus, dass immer mehr Unternehmen SOA umsetzen werden. Das wirke sich auf die Rolle der IT aus. Bisher seien die jeweiligen Anwendungen stark in den Fachabteilungen verankert. "Mit der Entwicklung von monolithischen Anwendungslandschaften hin zu einer Service-orientierten Architektur lässt sich vermuten, dass in Zukunft diese Aufgabenverteilung aufgebrochen wird", so die Autoren des Kompendiums. Sie prognostizieren, dass die Services künftig immer öfter zentral verwaltet werden, zum Beispiel durch firmeneigene IT-Dienstleistungszentren.