Foto: Gartner
Web-2.0-Technologien wie Ajax, Mashups führen zu neuen Formen des Informations-Austauschs. Über Wikis, Blogs, virtuelle Projekt- und Collaboration-Räume sowie Video-Konferenzen lässt sich Mitarbeiterwissen noch besser nutzen und deren Produktivität merklich steigern.
Einsatz von Web 2.0 nimmt zu
Mithilfe von Web-2.0-Technologien können Geschäftsanwendungen deutlich benutzerfreundlicher gestaltet werden. Zum Beispiel erhalten Anwender auf diese Weise individuell und flexibel anpassbare Oberflächen, die sich an ihren individuellen Erfordernissen orientieren. Hinzu kommt eine verstärkte Nutzung von Web Services für den Aufbau service-orientierter Architekturen (SOA).
Laut einer Umfrage der Marktforscher unter 1.500 CIOs weltweit planen die Hälfte der Befragten, im Jahr 2008 erstmals in das Web 2.0 zu investieren. Zudem können selbst ungeübte Anwender nun einfache Web-Anwendungen rasch aufbauen und nutzen.
Öffnung birgt Risiken
Allerdings birgt eine verstärkte Nutzung von Web-Technologien und damit die "Öffnung" der Unternehmens-IT auch potenzielle Sicherheitsrisiken. Das beeinflusst auch Fragen der IT-Sicherheit nachhaltig. Hierfür sind im Wesentlichen drei Aspekte verantwortlich.
Foto: Gartner
Erstens: Wurde früher die Anwendungsentwicklung von der IT-Abteilung betrieben, erlauben Web-2.0-Technologien, dass heute Anwender mithilfe von Mashups RSS-Feeds und iFrames einfache Web-Anwendungen aufbauen können.
Zweitens: Anwendern stehen im Internet potenziell gefährliche Technologien jederzeit zur Verfügung. Es gibt vielfältige Test-Werkzeuge, die helfen Anwendungs-Logik zu verstehen und um Lizenzen zu umgehen.
Drittens: Die Methoden für die Entwicklung von Web-Applikationen sind oft wenig sicher, denn Inhalte und Anwendungen werden beliebig im Internet zusammengesucht und lediglich neu zusammengesetzt. Das Problem: Oft verwenden Angestellte bedenkenlos und missbräuchlich Inhalte oder Bausteine von Applikationen für die ihr Unternehmen Lizenzpreise bezahlt.
Verweigerung ist nutzlos
Generell können sich Unternehmen dem Einsatz von Web 2.0 aber nicht verweigern, so die Analysten, denn damit würden künftige Geschäfts- und Umsatzpotenziale fahrlässig preisgegeben. Sie sollten deshalb taktische und strategische Schritte unternehmen, die mit Web 2.0 einhergehenden geschäftlichen Chancen wahrzunehmen.
Um die sichere Nutzung von Web-2.0-Technologien zu garantieren, ist es nötig, Sicherheits-Initiativen und -Prozesse deutlich auszubauen wie Gartner-Vize-Präsident John Pescatore erklärt. Dazu müssten deutlich erweiterte Schwachstellen-Definitionen und Verwundbarkeits-Analysen her.
Richtlinien einhalten
Eine wichtige Voraussetzung ist, zu erkennen, dass Anwendungsentwicklung, Infrastruktur-Betrieb sowie Sicherheit durch Web 2.0 auf unvorhergesehene Weise beeinflusst werden können. Das schließt die missbräuchliche Verwendung von Inhalten durch Nutzer im Unternehmen ebenso ein wie Angriffe von außen.
Durch die Einhaltung bestimmter Richtlinien lasse sich eine weitgehend sichere Nutzung der neuen Technologien garantieren. Zum Beispiel müsse für jede Änderung an Anwendungen, Browsern und Datenbanken eine Bestätigung angefordert und diese jederzeit nachverfolgbar und dokumentiert sein.
Ein weiterer wichtiger Schritt ist die Entwicklung von Prozess-Richtlinien für die Identifizierung von Schwachstellen in Web-2.0-Anwendungen. Beispielsweise lassen sich durch Service-Level-Vereinbarungen mit Content- und Service-Dienstleistern, die Mashups und Collaborative-Software wie Groupware-Anwendungen liefern, Sicherheits-Risiken verringern.
Zudem muss jedes Stück Software aus dem Open-Source-Bereich durch Sicherheits- und IP-Zertifikate validiert sein. Außerdem dürfen keine Anwendungen akzeptiert werden, die externe Dienstleister auf Basis von Open Source entwickelt und nicht auf Schwachstellen überprüft haben. Nicht zuletzt ist ein Ausbau der statischen und dynamischen Sicherheitstests für web-basierte Geschäfts-Anwendungen erforderlich - und zwar mithilfe von Technologien, die Web-2.0-Sprachen wie Java Skript oder PHP "verstehen". Auch müssten Anwendungen auf nicht genehmigten Quellcode hin untersucht werden.
Vier Möglichkeiten, um Risiken zu minimieren
Um die Risiken von Web-2.0-Technologien, die im Unternehmen eingesetzt werden, soweit wie möglich zu minimieren, raten die Analysten den geschäftlichen Nutzen sowie Risiken gegeneinander abzugleichen. Daraus lassen sich Toleranz-Schwellen für deren Einsatz entwickeln.
Dabei gibt es vier Möglichkeiten. Die vollständige Blockade von Web 2.0 im Unternehmen, die Geringschätzung, die davon ausgeht, dass dieser Trend Prozesse nicht beeinflusst, die begrenzte Aufnahme in genau vordefinierten Szenarien sowie die begeisterte Annahme. In diesem Fall behandelt die IT-Organisation Web-2.0-Technologien genau wie jedes andere Software-Produkt, das sie für interne Kunden entwickelt, testet und ausliefert.
Welche Möglichkeit die IT-Abteilung wahrnimmt, hängt davon ab, wie sie den zu erwartenden geschäftlichen Nutzen mit den Sicherheitsanforderungen in Einklang bringen kann.
Die Analysten des Marktforschers haben ihre Gedanken zum Einsatz von Web-2.0-Technologien in den zwei Untersuchungsberichten "The Creative and Insecure World of Web 2.0" und "Optimal Security Approaches for the Secure Use of Consumer IT" veröffentlicht.