SOA und Security

Fortify sieht Sicherheitslöcher in SOA-Frameworks

Wolfgang Herrmann ist Deputy Editorial Director der IDG-Publikationen COMPUTERWOCHE und CIO. Zuvor war er Chefredakteur der Schwesterpublikation TecChannel und stellvertretender Chefredakteur COMPUTERWOCHE. Zu seinen thematischen Schwerpunkten gehören Cloud Computing, Data Center, Virtualisierung und Big Data.
Der amerikanische Softwareanbieter Fortify warnt vor Sicherheitsrisiken beim Einsatz populärer SOA-Frameworks und hat auch gleich eine Lösung parat.

Die fünf am häufigsten eingesetzten Frameworks für Web-Services und den Aufbau einer Service-orientierten Architektur (SOA) können allesamt die IT-Sicherheit beeinträchtigen, behauptet Fortify. Das hätten eigene Studien ergeben. Fortify mit Hauptsitz im kalifornischen San Mateo nennt dabei explizit Apache Axis, Apache Axis 2, IBM WebSphere 6.1, Microsoft .NET Web Services Enhancements (WSE) 2.0 und Microsoft Windows Communication Foundation (WCF).

Zwar könnten die Frameworks an sich als sicher gelten, so das Unternehmen. Doch bestimmte Konfigurationen und Einsatzmuster öffneten die Tür für vielerlei Sicherheitsprobleme. Sie führten beispielsweise zu schwachen Authentifizierungs- und Verschlüsselungsmechanismen und machten die Systeme insgesamt anfälliger für Sicherheitsattacken (siehe auch: Zehn Gründe, warum SOA-Projekte schief gehen).

Diesen Risiken will Fortify mit einer erweiterten Version seiner Security-Software Fortify 360 begegnen. Den Herstellerangaben zufolge analysiert das Produkt einerseits Programmcode, um Schwachstellen aufzudecken. Andererseits könnten IT-Verantwortliche damit Anwendungen im laufenden Betrieb einem Sicherheits-Check unterziehen. "Bisher waren nur wenige Unternehmen in der Lage, SOA-spezifische Schwachstellen auf einfache Weise und automatisiert aufzuspüren", wirbt Fortify-Mitgründer Brian Chess für das Angebot.

Analysten und Berater warnen schon seit längerem davor, Sicherheitsaspekte in SOA-Projekten zu vernachlässigen (siehe auch: SOA-Initiativen schlampen bei der Sicherheit). Laut einer Studie von Kuppinger Cole und Ernst & Young etwa kommt in deutschen Unternehmen ein ganzheitlicher Sicherheitsansatz im Rahmen von SOA-Vorhaben häufig zu kurz.

Mehr zum Thema Service-orientierte Architekturen und Business-Process-Management finden Sie im CW-Experten-Blog SOA meets BPM. (wh)