„Ohne Sicherheit sind Web-Services eine Totgeburt“, urteilt Phillip Hallam-Baker, Principal Scientist beim Sicherheitsspezialisten Verisign. Der Experte sieht in Web-Services „den Traum unserer Generation zur Verwirklichung von reibungslosem E-Commerce“, weil sie eine Möglichkeit darstellen, Schnittstellen-Kosten zu reduzieren und den Zugriff auf Legacy-Systeme zu vereinfachen. Zudem hätten sie das Potenzial, Softwareentwicklungs- und Wartungskosten für die Anwender zu reduzieren.
So verlockend dies auch klingen mag, ohne ausreichende Sicherheitsmechanismen werden Anwender wohl nicht so ohne weiteres mitspielen, glauben die Analysten sowohl von Evans Data Corp. als auch der Hurwitz Group. Sie sehen in fehlender End-to-end-Security das größte Hindernis für die Akzeptanz von Web-Services in Unternehmen. Auch Mark Bauhaus, Vice President Java Web Services bei Sun Microsystems, räumt ein, das Thema Sicherheit sei derzeit noch eine „große Herausforderung“, die es zu meistern gelte.
Vielfältige Anforderungen
Die besonderen Sicherheitsanforderungen für Web-Services erklären sich durch den speziellen Charakter des dahinter stehenden Ansatzes. In einem White Paper definiert IBM Web-Services als „in sich abgeschlossene und selbstbeschreibende modulare Applikationen, die über das Internet veröffentlicht, lokalisiert und aufgerufen werden können. Sie führen Funktionen aus, die von einfachen Abfragen bis hin zu komplexen Geschäftsanwendungen reichen können.“