Bei den meisten SOA-Initiativen kommt ein ganzheitlicher Sicherheitsansatz zu kurz. Das ergab eine Umfrage, die die Prüfungs- und Beratungsgesellschaft Ernst & Young und die Analystengruppe Kuppinger Cole unter deutschen CIOs vorgenommen haben. Demnach haben die hiesigen Unternehmen durch SOA durchaus verstanden, dass sich IT-Infrastruktur, Anwendungsentwicklung und Geschäftsprozesse zu einem Ganzen zusammenfügen müssen. Was allerdings die Absicherung von Anwendungen und Daten betrifft, dominiert laut Studie nach wie vor ein unzeitgemäßes Silo-Denken. Die Folge: Unternehmen setzten ihre Applikationen und Datenbanken, aus denen die Geschäftsprozesse gespeist werden, zunehmend der Gefahr unberechtigter Zugriffe aus.
IT-Governance noch Nebensache
Der Erhebung zufolge halten 44 Prozent der befragten IT-Manager IT-Governance - und mit ihr eine ganzheitlich organisierte IT-Sicherheit mit Auditing und Reporting als wesentlichen Bestandteil - für unwichtig. Entsprechend kann gerade einmal die Hälfte der interviewten Unternehmen auf ein IT-Risiko-Management verweisen - dieses sei in den meisten Fällen nur rudimentär ausgestaltet, da die entsprechenden generischen, firmenweit nutzbaren Software-Werkzeuge fehlten, so der Report.
Zwar setzen nach Angaben der CIOs 73 Prozent der Unternehmen auf SOA-basierende Anwendungen. Einem standardisierten Konzept, um das Potenzial von SOA unternehmensweit auszuschöpfen, folgen allerdings nur 14 Prozent. Eine SOA-Governance-Initiative hat erst ein Viertel der Unternehmen ergriffen, und nur 16 Prozent der Organisationen haben ein zu einer ganzheitlichen SOA passendes IT-Sicherheitskonzept etabliert und eine Risikoanalyse gestartet.
Auf eine - im Gros der Fälle allerdings noch unvollständige - Sicherheitsinfrastruktur setzt lediglich ein Drittel der Probanden. Immerhin 79 Prozent erachten allerdings eine End-to-End-Sicherheit, wie sie laut Studie passgenau zu durchgängigen Geschäftsprozessen nur über ein Identity- und Access-Management (IAM) zu realisieren ist, als wichtig.