Kritik des BSI

SOA - praktisch aber unsicher

04. Februar 2008
Von Alexander Galdy
Entwickler von Service-orientierten Architekturen (SOA) achten zu wenig auf Sicherheit, kritisiert das Bundesamt für Sicherheit in der Informationstechnik. In ihrem "SOA Security Kompendium" stellt die Behörde die wichtigsten Konzepte und Technologien für eine sichere SOA-Infrastruktur vor.

SOA hat den Anspruch, viele bestehende Probleme bei der Integration und Interaktion unterschiedlicher Teilsysteme zu lösen, was zumindest in Teilen auch in der Praxis umgesetzt wird. Sehr wenig Beachtung wird aber den Sicherheitsaspekten von SOA geschenkt. Das gilt vor allem für die Bereiche, in denen solche sicherheitsrelevanten Anforderungen auftreten, die in konventionellen IT-Systemen bislang nicht beachtet wurden oder in dieser Form nicht relevant waren.

Außer der Sicherheit von einzelnen Service-Anfragen wie nach der Vertraulichkeit oder Authentizität sind auch Aspekte wie Transaktions-Sicherheit von Bedeutung. Schließlich befinden sich im Hintergrund von SOAs auch immer entsprechende Geschäftsprozesse, die durchaus kritisch und daher schutzbedürftig sein können.

Zusätzliche Anforderungen an die Sicherheit kommen insbesondere hinzu, wenn eine SOA nicht nur innerhalb einer Institution verwendet, sondern auch nach außen hin geöffnet wird. Als Beispiel dafür nennt das BSI den Schutz gegen Denial-of-Service-Angriffe.

Hauptsache funktional

Derzeit entworfene IT-Systeme auf Basis einer SOA werden meist nur nach rein funktionalen Gesichtspunkten entworfen. Sicherheitsfunktionalität wird in der Regel erst nachträglich und beschränkt für die einzelnen Komponenten entwickelt. Die Folge ist, dass meistens ein ganzheitliches Sicherheitskonzept verfehlt wird und SOA-spezifische Sicherheitsanforderungen unerfüllt bleiben.