Geht es um neue Produkte, denken viele Hersteller erst viel zu spät an die Sicherheitsaspekte. Beispiel Web-Services: Mit großem Tamtam versuchen namhafte Hersteller ihre Kunden von den Segnungen dieser Technik zu überzeugen. Einerseits verlocken die Möglichkeiten, selbst betagte Bestandssysteme mit den Geschäftsapplikationen von Kunden und Lieferanten auf elegante Weise zu koppeln. Andererseits lehnt so mancher IT-Manager diese Konzepte wegen ihrer mangelnden Sicherheit dankend ab. Vielen geht die "Offenheit" der Web-Services-Standards zu weit. Ohne zusätzliche Vorkehrungen würde beispielsweise das Simple Object Access Protocol (Soap) Geschäftsinformationen im Klartext über das Netz versenden. Und da Soap nur den Postboten spielt, kann der Empfänger unter Umständen eine böse Überraschung erleben. Denn möglicherweise schickt ihm der Absender nicht etwa den ersehnten Auftrag, sondern versucht, unerkannt Daten auszuspähen. Genau genommen hängt diese Problematik aber nicht nur mit Soap, sondern auch mit der Transportschicht darunter - dem Hypertext Transfer Protocol (HTTP) - zusammen. Den ängstlichen Anwender schert dieses Detail hingegen wenig: Er wartet lieber ab, bis die Sicherheit von Web-Services gewährleistet ist - Umfragen belegen dies.

Reichlich spät besannen sich die Web-Services-Prediger darauf, Spezifikationen wie Soap um Schutzfunktionen zu erweitern. Allerdings trägt die Vielzahl der eiligst erarbeiteten Vorschläge nicht gerade zur Übersichtlichkeit bei. Es bleibt zu hoffen, dass aus Web-Services-(WS-)Security ein Standard entsteht, den alle Anbieter nicht nur mittragen, sondern auch in einheitlicher Form implementieren. Besser als Warten und Hoffen wäre freilich, wenn die Hersteller beim nächsten Technik-Hype endlich einmal von Anfang an die Sicherheitsbedürfnisse der Anwenderunternehmen berücksichtigen würden.