Bei den meisten SOA-Initiativen kommt ein ganzheitlicher Sicherheitsansatz zu kurz. Das ergab eine Umfrage, die die Prüfungs- und Beratungsgesellschaft Ernst & Young und die Analystengruppe Kuppinger Cole unter deutschen CIOs vorgenommen haben. Demnach haben die hiesigen Unternehmen durch SOA durchaus verstanden, dass sich IT-Infrastruktur, Anwendungsentwicklung und Geschäftsprozesse zu einem Ganzen zusammenfügen müssen. Was allerdings die Absicherung von Anwendungen und Daten betrifft, dominiert laut Studie nach wie vor ein unzeitgemäßes Silo-Denken. Die Folge: Unternehmen setzten ihre Applikationen und Datenbanken, aus denen die Geschäftsprozesse gespeist werden, zunehmend der Gefahr unberechtigter Zugriffe aus.
IT-Governance noch Nebensache
Der Erhebung zufolge halten 44 Prozent der befragten IT-Manager IT-Governance - und mit ihr eine ganzheitlich organisierte IT-Sicherheit mit Auditing und Reporting als wesentlichen Bestandteil - für unwichtig. Entsprechend kann gerade einmal die Hälfte der interviewten Unternehmen auf ein IT-Risiko-Management verweisen - dieses sei in den meisten Fällen nur rudimentär ausgestaltet, da die entsprechenden generischen, firmenweit nutzbaren Software-Werkzeuge fehlten, so der Report.
Zwar setzen nach Angaben der CIOs 73 Prozent der Unternehmen auf SOA-basierende Anwendungen. Einem standardisierten Konzept, um das Potenzial von SOA unternehmensweit auszuschöpfen, folgen allerdings nur 14 Prozent. Eine SOA-Governance-Initiative hat erst ein Viertel der Unternehmen ergriffen, und nur 16 Prozent der Organisationen haben ein zu einer ganzheitlichen SOA passendes IT-Sicherheitskonzept etabliert und eine Risikoanalyse gestartet.
Auf eine - im Gros der Fälle allerdings noch unvollständige - Sicherheitsinfrastruktur setzt lediglich ein Drittel der Probanden. Immerhin 79 Prozent erachten allerdings eine End-to-End-Sicherheit, wie sie laut Studie passgenau zu durchgängigen Geschäftsprozessen nur über ein Identity- und Access-Management (IAM) zu realisieren ist, als wichtig.
SOA braucht IAM
Für Unternehmen reiche es nicht aus, ihre serviceorientierte Architektur voranzubringen: Wer IAM in seiner SOA vergesse, setze seine Geschäftsprozesse, Anwendungen und Daten großen Gefahren aus, mahnen die Studieninitiatoren. "Zusätzlich setzen die meisten Unternehmen mit der Vernachlässigung von Sicherheitskonzepten für SOA und dem Verzicht auf IAM die nachweisliche Erfüllung von Governance und Compliance aufs Spiel", warnt Matthias Bandemer, Manager, Advisory Services bei Ernst & Young. Der Grund: IAM integriere Auditing- und Reporting-Werkzeuge, mit deren Hilfe sich sämtliche Zugriffe, Datenveränderungen sowie Zugriffsversuche mitschneiden und auswerten ließen. Dies sei in einer verteilten SOA notwendiger denn je.
Für die erhebliche Diskrepanz zwischen Soll- und Ist-Zustand macht Kuppinger Cole auch die innerhalb der IT meist separaten Zuständigkeiten für SOA und Sicherheit verantwortlich. Dadurch komme ein Schulterschluss zwischen beiden Bereichen selten zustande, gibt Martin Kuppinger, Gründer der Analystengruppe, zu bedenken. "Noch schlimmer: Beide Bereiche arbeiteten in vielen Fällen sogar gegeneinander."
Silos aufbrechen
Aufgabe der CIOs sei demnach, die Silos - etwa mit Hilfe einer Matrix-Organisation - aufzubrechen: Die Verantwortlichen für IAM müssten SOA berücksichtigen, während in SOA-Projekte zwingend ein Sicherheitsarchitekt gehöre, der bereits in der Planungsphase für die erforderlichen Risikoanalysen und Sicherheitskonzepte sorge, so die Empfehlung der Experten.