Web-Services sind nicht sicher genug

29.08.2002
Von Sabine Ranft

Bei der Sicherung von Web-Services handelt es sich um ein besonders komplexes Problem. Diese bestehen nämlich aus drei oder vier Schichten, die geschützt werden müssen. Ein Hacker hat somit mehr Wahlmöglichkeiten, wo er angreifen will, und der Anwender muss mehr Verteidigungsaufwand betreiben als bei anderen Anwendungen.

Unterschiede zu üblichen Architekturen

Im Vergleich mit herkömmlichen verteilten Architekturen sind einige wichtige Unterschiede zu berücksichtigen. So konzentrieren sich die Sicherheitsinfrastrukturen großer Firmen heute meist auf die Interaktion zwischen Mensch und Maschine. Im Gegensatz dazu geht es bei Web-Services in der Regel um eine Interaktion zwischen Applikationen, so dass sich der Nachweis der Identität (Authentisierung) anders gestalten muss - besonders wenn Web-Services zwischen zwei Systemen mit unterschiedlichem Authentisierungsverfahren verwendet werden.

Außerdem sitzen bisherige verteilte Systeme meist hinter einer Firewall. Für Web-Services gewinnt Verschlüsselung an Bedeutung, wenn sie diese Grenze überschreiten. Weiterhin verschlimmert sich das Problem von Schuldzuweisungen im Fehlerfall: Wenn verschiedene Teilnehmer einen Web-Service nutzen, wer kann dann sagen, warum genau eine Transaktion misslungen ist und wer die Verantwortung dafür übernimmt, den Schaden zu beheben?

Die größten Sicherheitsbedenken gibt es dort, wo Web-Services eine Firewall durchdringen. Der HTTP-Verkehr, also auch die über HTTP transportierten Web-Services, werden normalerweise über den Port 80 einer Firewall übertragen. Dieser Zugang entpuppt sich als problematisch: Er ist zwar sehr einfach, doch ohne Verschlüsselung kann jeder mitlesen, mit Verschlüsselung dagegen gehen die Daten ungefiltert durch die Firewall.