Ganzheitlicher Sicherheitsansatz

SOA-Initiativen schlampen bei Sicherheit

18.06.2008
Von Katharina Friedmann
Sicherheitsaspekte werden bei der praktischen Umsetzung einer serviceorientierten Architektur (SOA) in der deutschen Firmenlandschaft grob vernachlässigt. Zu diesem Schluss kommt eine Studie von Kuppinger Cole und Ernst & Young.

Bei den meisten SOA-Initiativen kommt ein ganzheitlicher Sicherheitsansatz zu kurz. Das ergab eine Umfrage, die die Prüfungs- und Beratungsgesellschaft Ernst & Young und die Analystengruppe Kuppinger Cole unter deutschen CIOs vorgenommen haben. Demnach haben die hiesigen Unternehmen durch SOA durchaus verstanden, dass sich IT-Infrastruktur, Anwendungsentwicklung und Geschäftsprozesse zu einem Ganzen zusammenfügen müssen. Was allerdings die Absicherung von Anwendungen und Daten betrifft, dominiert laut Studie nach wie vor ein unzeitgemäßes Silo-Denken. Die Folge: Unternehmen setzten ihre Applikationen und Datenbanken, aus denen die Geschäftsprozesse gespeist werden, zunehmend der Gefahr unberechtigter Zugriffe aus.

IT-Governance noch Nebensache

Der Erhebung zufolge halten 44 Prozent der befragten IT-Manager IT-Governance - und mit ihr eine ganzheitlich organisierte IT-Sicherheit mit Auditing und Reporting als wesentlichen Bestandteil - für unwichtig. Entsprechend kann gerade einmal die Hälfte der interviewten Unternehmen auf ein IT-Risiko-Management verweisen - dieses sei in den meisten Fällen nur rudimentär ausgestaltet, da die entsprechenden generischen, firmenweit nutzbaren Software-Werkzeuge fehlten, so der Report.

Zwar setzen nach Angaben der CIOs 73 Prozent der Unternehmen auf SOA-basierende Anwendungen. Einem standardisierten Konzept, um das Potenzial von SOA unternehmensweit auszuschöpfen, folgen allerdings nur 14 Prozent. Eine SOA-Governance-Initiative hat erst ein Viertel der Unternehmen ergriffen, und nur 16 Prozent der Organisationen haben ein zu einer ganzheitlichen SOA passendes IT-Sicherheitskonzept etabliert und eine Risikoanalyse gestartet.

Auf eine - im Gros der Fälle allerdings noch unvollständige - Sicherheitsinfrastruktur setzt lediglich ein Drittel der Probanden. Immerhin 79 Prozent erachten allerdings eine End-to-End-Sicherheit, wie sie laut Studie passgenau zu durchgängigen Geschäftsprozessen nur über ein Identity- und Access-Management (IAM) zu realisieren ist, als wichtig.