SOA macht Unternehmensnetze unsicher

Die Bedrohungspotentiale in einer SOA decken sich zwar teilweise mit denen konventioneller IT-Systeme. Der klassische Sicherheitsansatz, nur die Ränder des Informationssystems zu schützen, greift jedoch in Service-basierten IT-Landschaften zu kurz, da diese nicht klar definiert sind. Als SOA-spezifische Bedrohungspotenziale gelten Replay-Angriffe, XML-spezifische Angriffe, WSDL- und Service-Scanning, die Kompromittierung von Services, unberechtigte Service-Nutzung und Ausnutzung von Organisationsschwächen.

Bei der Absicherung einer SOA sind zudem spezifische Besonderheiten, wie etwa die Problematik verteilter Strukturen sowie Administrations- und Beherrschbarkeitsaspekte, zu berücksichtigen. Geschäftsprozesse, die lose über Services gekoppelt sind, erfordern mehr Authentisierungsvorgänge, zudem muss die Vertraulichkeit und Integrität des Informationsaustausches jederzeit gewährleistet sein.

Als weitere sicherheitsrelevante Aspekte beim Aufbau einer SOA identifizieren die BSI-Experten die Themen Autorisierung, Verbindlichkeit, Verfügbarkeit und Ausfallsicherheit, Administrierbarkeit sowie Datenschutz und Audit.