Security-Kompendium des BSI

SOA macht Unternehmensnetze unsicher

19.12.2008
Von 
Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und von 2006 bis 2015 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.
Weitere Artikel des Autors
Service-orientierten Architekturen (SOA) umfassen meist kritische und daher besonders schutzbedürftige Geschäftsprozesse in Unternehmen. Sowohl für die Sicherheit einzelner Service-Anfragen in Bezug auf Vertraulichkeit, Authentizität oder Autorisierung als auch für die Sicherheit von Transaktionen müssen entsprechende Vorkehrungen getroffen werden.
Das BSI stellt im "SOA Security Kompendium" die wichtigsten Konzeptionen zur Absicherung einer SOA vor. Hier: Die Verläufe der Daten im Unternehmen. Quelle: BSI, 2008
Das BSI stellt im "SOA Security Kompendium" die wichtigsten Konzeptionen zur Absicherung einer SOA vor. Hier: Die Verläufe der Daten im Unternehmen. Quelle: BSI, 2008

Durch die Implementierung einer SOA öffnen Unternehmen ihre Prozesse sowie die dahinter liegende Geschäftslogik gegenüber Kunden und Partnern. Dabei beachten Unternehmen bisher kaum, dass von der Öffnung nach außen auch interne Geschäftsprozesse betroffen sind und die Sicherheitsanforderungen deutlich steigen.

In SOA-basierten IT-Landschaften sind neben der Sicherheit einzelner Service-Anfragen, etwa im Hinblick auf Vertraulichkeit und Authentizität, auch Aspekte wie Transaktions-Sicherheit von Bedeutung.

Neue Bedrohungspotenziale

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich mit der Sicherheit in SOA-basierten IT-Umgebungen auseinander gesetzt und stellt im "SOA-Security-Kompendium" die wichtigsten Konzeptionen und Technologien zur Absicherung Service-orientierter IT-Architekturen vor. Darüber hinaus zeigen die BSI-Experten, wie sich Sicherheit in einer SOA-Infrastruktur konkret umsetzen lässt.

Die Bedrohungspotenziale in einer SOA decken sich zwar teilweise mit denen konventioneller IT-Systeme. Der klassische Sicherheitsansatz, nur die Ränder des Informationssystems zu schützen, greift jedoch in Service-basierten IT-Landschaften zu kurz, da diese nicht klar definiert sind. Als SOA-spezifische Bedrohungspotenziale gelten Replay-Angriffe, XML-spezifische Angriffe, WSDL- und Service-Scanning, die Kompromittierung von Services, unberechtigte Service-Nutzung und Ausnutzung von Organisationsschwächen.

Zur Startseite