Die Ära von Cloud Computing und Web-Services wird auch die Dekade der Browser, prognostizieren Experten. Dabei scheint die Losung zu gelten: Es kann nur einen geben! Denn welcher CIO will sich bei Themen wie Testen, Definition der Sicherheitsanforderungen, Deployment, Management sowie Aktualisierungszyklen gleich mit mehreren Browsern herumschlagen? Um diesen Aufwand zu vermeiden, wird Unternehmen eine zentrale Browser-Strategie nahegelegt, die zwischen Anwenderkomfort, Sicherheit und Administrierbarkeit abwägt.
Ein Aspekt dabei dürfte auch sein, ob die Anbieter von Cloud-Applikationen selbst Empfehlungen aussprechen. Eine klare Meinung zum Frontend der Zukunft ist vom On-Demand-Pionier Salesforce.com zu hören. Peter Coffee, Director Platform Research bei Salesforce, stimmt einer zentralen Analystenthese uneingeschränkt zu: "Auch ich glaube, dass das, was wir heute Betriebssystem nennen, in naher Zukunft eine Plattform für Cloud-Anwendungen sein wird - ganz im Sinne des heutigen Chrome OS von Google. Der Unterschied zwischen einem Betriebssystem und einem Browser wird nur noch gradueller Art sein." Grundsätzlich versuche man bei Salesforce, das On-Demand-Angebot an praktisch alle verfügbaren Browser anzupassen. "Wir bieten eine Liste mit unterstützten Browsern an", so Coffee, der persönlich Chrome und Firefox favorisiert.
Offene Schnittstellen gefordert
Eine eindeutige Browser-Empfehlung gibt es nicht - auch nicht beim Firefox-Verfechter IBM. Kurt Rindle, Executive Consultant im Bereich Dynamic Infrastructure, sagt: "Wir sind hier anbieterneutral, favorisieren aber intern primär die Open-Source-Lösung Firefox und nutzen teilweise auch den Internet Explorer. Unseres Erachtens sollten alle Browser On-Demand-Angebote auf Basis offener und akzeptierter Schnittstellen unterstützen. Es gibt aber technische Unterschiede, die sich auch in der Quality of Service niederschlagen."
Diese Quality of Service ist auch für SAP entscheidend. Seit das Unternehmen im Jahr 2007 seine Web-basierende Mittelstandslösung Business ByDesign vorgestellt hat, verfolgt man eine offensive Cloud-Strategie. Geht es um den Browser, verweist Rainer Zinow, Senior Vice President On Demand Strategy bei SAP, auf ein differenziertes Vorgehen: "Zunächst muss man zwischen der Nutzung eines On-Demand-Angebots auf einem PC und einem mobilen Endgerät unterscheiden.
CW-Webcast
Die schlüsselfertige Wolke - Hochverfügbarkeit für Anwendungen jeder Größe
Eine anwendungszentrierte Cloud für die Zusammenstellung, Implementierung und Verwaltung von Anwendungen und ihrer unterstützenden Infrastruktur ist eine Herausforderung. Unternehmen und Anbieter von Managed Services möchten ihre Anwendungen schneller denn je implementiert haben. Viele andere Anforderungen wie Serverkonfiguration, Backup und Firewall müssen erfüllt werden. Mehr Erfahren Sie im internationalen, englischsprachigen Webcast von COMPUTERWOCHE, COMPUTERWORLD und Le Monde Informatique mit CA Technologies. >> Jetzt die Aufzeichnung der Live-Sendung vom 18. Oktober abrufen!
Brower-Standards für Laptop und PC
Für Laptops und PCs gibt es gewisse Brower-Standards. Hier orientieren wir uns daran, welche Browser unsere Kunden hauptsächlich verwenden. So legen wir fest, welche Browser unterstützt werden, sprechen allerdings selbst keine Empfehlungen aus. Die Lauffähigkeit der Applikationen, beispielsweise Business ByDesign, wird dann mit diesen Browsern getestet.
Darüber hinaus werden Einschränkungen, die beim Test entdeckt wurden, dokumentiert. Es kann also durchaus sein, dass bestimmte Szenarien für einen bestimmten Browser nicht empfohlen werden." Da es für mobile Endgeräte keine Browser-Standards gibt, hat SAP in diesem Bereich entschieden, Anwendungen wie Business ByDesign über dedizierte Apps zu bedienen.
Derzeit unterstützt SAP Microsofts Internet Explorer 7.x und 8.x sowie Mozilla Firefox 3.5 und 3.6 - für Mac-Nutzer ist es Safari 5.0 on Mac OS X Snow Leopard 10.6.5. "Natürlich können wir die Verwendung anderer Browser nicht ausschließen, allerdings sind diese dann nicht durch SAP getestet. Falls also beim Kunden Probleme auftreten sollten, muss zunächst geklärt werden, ob diese aufgrund des nicht unterstützten Browsers bestehen", so Zinow.
Probleme übernimmt der Support
Ähnliches ist vom SAP-Konkurrenten Oracle zu hören. Für das aktuelle CRM On Demand (CRMOD) R18 hat das Unternehmen den Internet Explorer 7 und 8 sowie Firefox 3.x zertifiziert. "Nach umfangreichen und erfolgreichen Tests halten wir diese Browser für sehr gut geeignet, den von unseren CRMOD-Diensten gestellten funktionalen und technischen Anforderungen unter anderem hinsichtlich der Sicherheit im vollen Umfang zu genügen", sagt Oracle-Sprecher Markus Pflugbeil.
Anwender mit den genannten Browsern sind auf der sicheren Seite. "Sollten dennoch Probleme auftreten, werden diese im Rahmen unserer Supportdienstleistungen kostenfrei behoben", so Pflugbeil weiter. Grundsätzlich sei auch die Nutzung anderer Browser wie Chrome oder Safari möglich, dies werde jedoch von Oracle in der Regel nicht überprüft, eventuell auftretende Probleme also auch nicht bearbeitet.
Sind sich die Hersteller bei der Auswahl der unterstützten Browser weitgehend einig, gibt es zum Thema Sicherheit unterschiedliche Meinungen. Microsoft-Managerin Dorothee Ritz bestätigt: "Der Trend zu Cloud Computing und Web-Services trägt zu einer Intensivierung der Browser-Nutzung im Unternehmen bei. Damit rückt der Browser zwangsläufig immer stärker in den Fokus der Sicherheitsbetrachtungen. Alte Versionen oder unvollständig gepatchte Browser erhöhen die Angreifbarkeit. Außerdem vervielfacht der parallele Einsatz verschiedener Browser die Angriffsfläche."
Diskussion um Sicherheit
SAP sieht daher die Anbieter von Browsern in der Pflicht. "Jeder moderne Browser muss den aktuellen Sicherheitsrichtlinien für die Internet-Nutzung genügen. Das sicherzustellen ist Aufgabe der Browser-Anbieter. SAP stellt hier keine zusätzlichen Sicherheitsanforderungen", erklärt SAP-Mann Zinow.
Verantwortung tragen aber durchaus auch die Hersteller beziehungsweise Anbieter von Anwendungen, die ebenso als On-Demand-Lösung zur Verfügung stehen. Hewlett-Packard beispielsweise verfolgt angesichts der jüngsten Einbrüche bei Sony und dem Ausfall der Amazon-Cloud die Strategie, die Apps selbst sicherer zu machen. Herkömmliche Abwehrmodelle wie Firewalls und andere am Netz ansetzende Sicherheitsmechanismen seien am Leis-tungslimit angekommen.
"Anwendungen müssen sicherer werden. Die Entwickler haben die Pflicht, Sicherheit genauso wichtig zu nehmen wie Funktionalität", bestätigt Arved Graf von Stackelberg, Country Manager Fortify bei HP. Das Problem stelle sich momentan vornehmlich in den USA, da dort die Cloud bereits viel stärker genutzt werde als hierzulande.
Die eigentliche Bedrohung lauert aber noch an anderer Stelle, wie Forscher des Fraunhofer SIT in Darmstadt und des Sys-tem Security Lab der TU Darmstadt herausfanden. Sie haben Dienste untersucht, die von Kunden der Amazon Web Services (AWS) veröffentlicht wurden.
Obwohl Amazon auf seinen Web-Seiten ausführliche Sicherheitsempfehlungen gibt, fanden die Forscher in mindestens einem Drittel der Fälle fehlerhafte Konfigurationen und sicherheitskritische Daten wie Passwörter, kryptografische Schlüssel und Zertifikate. Mit diesen Informationen können Angreifer etwa kriminelle virtuelle Infrastrukturen betreiben, Web-Dienste manipulieren oder Sicherheitsmechanismen wie Secure Shell (SSH) aushebeln.
"Das Problem liegt klar auf Kundenseite und nicht bei den Amazon Web Services", bilanziert Ahmad-Reza Sadeghi am Center for Advanced Security Research Darmstadt (CASED). "Wir gehen davon aus, dass auch Kunden anderer Cloud-Anbieter sich und andere durch ihre Unwissenheit und Nachlässigkeit gefährden."
Fazit:
Die Wahl des Browsers ist im Moment noch einfach: Konzerne wie IBM, SAP oder Oracle raten zur Nutzung der gängigen Produkte Firefox und Internet Explorer beziehungsweise Safari für Mac-Anwender. In drei Jahren werden die Karten jedoch neu gemischt, wenn der Standard HTML 5 endgültig verabschiedet wird. Er wird völlig neue Möglichkeiten der Nutzung eröffnen. (ue)