VPNs mit hohen Wachstumsraten

Für Gesprächsstoff sorgte auf der Konferenz außerdem das von Microsoft propagierte Konzept der Web-Services, das gerade im Hinblick auf Sicherheit noch Fragen aufwirft. Jamie Lewis, CEO der Burton Group, kritisiert etwa, das derzeit definierte Modell der Web-Services biete keine eigenen Sicherheitsfunktionen. Chris Christiansen, Program Director Internet Security bei IDC, stimmt dem zu. Es sei nur eine Frage der Zeit, bis Web-Services zum Ziel von Angriffen durch Viren oder anderen bösartigen Code werden, glaubt er.

Hersteller wie Verisign versuchen, diesem Defizit abzuhelfen. Das Unternehmen stellte auf der Konferenz seine Pläne für Web-Services vor. Diese sieht unter anderem die Entwicklung von Lösungen vor, die Authentifizierung und Transaktionssicherheit zwischen einzelnen Anwendungen ermöglichen sollen. IBM, Microsoft, Oracle, Iplanet und Webmethods haben bereits zugestimmt, Verisigns "Trust-Services"-Framework zu unterstützen.

Microsoft seinerseits sucht ebenfalls nach Konzepten, um Web-Services sicher zu machen. Einen Weg sieht das Unternehmen in einer Ergänzung für seinen "Internet Security and Acceleration (ISA) Server 2000", die es auf der RSA Conference zeigte. Die Software funktioniert wie ein Filter, der verdächtige Requests abweist. Auf diese Weise soll das Plugin Web-Service-Transaktionen vor potenziellen XML-basierenden Angriffen schützen. Ein Sample des Codes kann von den Microsoft-Seiten kostenlos aus dem Internet geladen werden, dort finden sich auch ausführliche Informationen zur Funktionsweise.

Wie sicher sind Web-Services?

Zur Absicherung von Web-Services könnten nach Meinung einiger Experten in Zukunft aber auch Public-Key-Infrastructure-(PKI-) Systeme zum Einsatz kommen. Es handelt sich dabei um einen umfassenden Ansatz, bei dem mittels digitaler Zertifikate Anwender identifiziert werden. Außerdem dient es dazu, die Kommunikation oder Dateien und Dokumente zu verschlüsseln und digital zu signieren. Basis des Verfahrens ist die asymmetrische Verschlüsselung über öffentliche und private Chiffrierschlüssel. Um das Thema PKI war es in letzter Zeit etwas stiller geworden. Nach Ansicht von Victor Wheatman, Analyst der Gartner Group, ist es nicht tot, hat jedoch eine grundlegende Änderung erfahren.