Glaubt man einer aktuellen Studie der Experton Group, so stehen Sicherheitsaspekte für SOA-Verantwortliche ganz oben auf der Prioritätenliste. Insbesondere das Thema Datenschutz, aber auch Zugriffskonzepte, Authentifzierung und der Schutz gegen Ausfälle liegen IT-Managern demnach am Herzen. Sicherheitsfragen messen die Unternehmen sowohl hinsichtlich der grundsätzlichen Gestaltung einer Service-orientierten Architektur als auch beim Entwickeln der Services selbst eine hohe Bedeutung bei, kommentieren die Analysten. In den einschlägigen Marketing-Aussagen der IT-Branche spielen solche Überlegungen bestenfalls eine Nebenrolle. Dass SOA-Projekte mit einem umfassenden Sicherheitskonzept tendenziell noch komplexer werden, passt nicht so recht zu den Versprechen von der schönen neuen Servicewelt, die ja eigentlich vieles einfacher, mindestens aber flexibler und schneller machen soll.
Experten empfehlen , bei SOA-Implementierungen die Security-Aspekte von Anfang an in alle Projektphasen einzubeziehen. Damit lasse sich der häufige Fehler vermeiden, dass Security erst nachträglich einer fast oder ganz fertigen Lösung aufgesetzt wird. Eine derartige Vorgehensweise berge Risiken: es könne sich herausstellen, dass eine Designänderung erforderlich wird, um Sicherheitslücken zu schließen. Oft werde darauf aus Zeitgründen verzichtet oder aber die Lösung nicht ausreichend getestet. So entständen nicht nur unsichere Systeme sondern auch zusätzliche Kosten.
Die angemahnte ganzheitliche Sicht auf die SOA verursacht indes zusätzlichen Aufwand: So sollten Projektveantwortliche beispielsweise schon im Vorfeld eine Grundsatzentscheidung darüber treffen, welche Security-Funktionen ihrerseits als Services der Infrastruktur realisiert werden sollen. Wegen der systemimmanenten Heterogenität einer SOA entstehen weitere Anforderungen; beispielsweise müssen Identitäten umgewandelt und Vertrauensbeziehungen definiert werden. Der “Dschungel der Security-Standards” (link!) macht das Leben der Projektleiter dabei nicht leichter. Im Gegenteil: Ebenso wie in anderen Bereichen der ohnehin schon umfangreichen Web-Services-Standards sind auch viele Security-Spezifikation noch im Fluss. Die großen (und kleineren) SOA-Protagonisten könnten vor diesem Hintergrund durchaus mehr Aufklärungsarbeit leisten.
Mehr zum Thema Sicherheit im Security-Expertenrat der COMPUTERWOCHE.
Beiträge (Atom)
Bei SOA scheint es sich ja um eine wahre “Patch-Work-Familie” zu handeln. Doch wie schon bei anderen Themen (z.B. Governance) ist dies nicht das alleinige Problem der “SOA Familie”. Alle aufgeführten Argumente und Expertenaussagen teile ich zu 100%! Ich muss jedoch sagen, dass dies alles nicht neu und schon gar nicht eindeutig SOA zurechenbar ist. Sicher ergeben sich durch den Ansatz, wie richtig beschrieben veränderte und erweiterte Problemstellungen beim Thema Security. Das Problem sehe ich jedoch in der Tatsache, dass IT Security oft generell als 5. Rad am Wagen behandelt wird. Obwohl es auf den Charts der Verantwortlichen in der Priorität immer ganz oben steht - wer will schon mit diesem Thema in die negativen Schlagzeilen - ist die Realität in den Unternehmen weit vom Anspruch entfernt. In den meisten Unternehmen fehlt eine Security-Strategie, die aus einem Guss ist, gänzlich. Für viele Firmen wird es deshalb in den nächsten Jahren ein böses Erwachen unabhängig davon geben ob SOA bei ihnen eine Rolle spielt oder nicht. Wenn Regelwerke zum operationalen Risiko, wie z.B. in Basel II, zu ziehen beginnen, ist es vorbei mit den Lippenbekenntnissen, dann muss der Securitystatus offengelegt werden.