computerwoche.de

Archiv

Sicherheit im E-Commerce/Von der IT-Trutzburg zum virtuellen Marktplatz

Ohne E-Security kein E-Business

14.02.2003
Nach wie vor scheitern viele ehrgeizige E-Business-Projekte spätestens am Votum des Revisors. Halbherzig verwirklichte oder gar fehlende Sicherheitsrichtlinien und ein mitunter unprofessionelles Risiko-Management zeichnen dafür verantwortlich, dass dem Traum vom schnellen Time-to-Market das vorzeitige Aus des E-Engagements folgt. Von Alexander Deindl*

75 Prozent aller E-Business-Gebilde fallen früher oder später der Abrissbirne zum Opfer, warnt das Marktforschungsinstitut Gartner vor Implementierungen im Hauruckverfahren. In der Theorie gilt E-Business nach wie vor als schnell und billig.

Praktisch fehlt es solchen Vorhaben aber oft an dem Sicherheitskonzept und der Risikoanalyse, die von Beginn an nötig wäre. Die für derartige IT-Umgebungen typisch enge Verzahnung von Backend-Systemen etwa zum Enterprise Resource Planning mit Internet-Applikationen und Portalen auf Basis offener Standards macht die Sicherheitsanforderungen komplex.

Noch kniffliger gestaltet sich die Thematik, wenn zusätzlich Bestimmungen wie das Gesetz zur Kontrolle und Transparenz im Unternehmen (KonTRaG) und nicht zuletzt Datenschutzrichtlinien in die Überlegungen einbezogen werden müssen. So ist beispielsweise einerseits auf die korrekte Identifizierung autorisierter Benutzer, andererseits wiederum auf den Schutz der Privatsphäre zu achten. Eine aktuelle Erhebung des Beratungshauses Meta Group aus München bestätigt: Nur rund 59 Prozent der befragten Unternehmen, die bereits E-Business-Projekte planen oder betreiben, verfügen über eine IT-Sicherheitsorganisation, lediglich die Hälfte der Auskunftgeber stützen sich auf eine ausgearbeitete Security-Policy.

Risikoanalyse beugt Überraschungen vor

Zahlen und Fakten, die Sachar Paulus, Director Product Management Security beim Softwarehaus SAP aus Walldorf, nicht überraschen: "Eine clevere Risikoanalyse, gepaart mit einem ausgereiften Sicherheitskonzept bildet die Grundmauern einer jeden E-Business-Anwendung - ganz gleich, ob es sich dabei um Business-to-Consumer(B-to-C)- oder Business-to-Business(B-to-B)-Umgebungen handelt", empfiehlt der Sicherheitsexperte. Die gängige Praxis zeige allerdings, dass Unternehmen im Eifer des Wettbewerbsgefechts zwar auf die für den produktiven Geschäftsablauf relevanten Komponenten von Web-Architekturen Wert legten, sicherheitsspezifische Komponenten allerdings erst viel später mit in das Projekt eingeflochten würden, nachdem ein Revisor darauf gedrungen habe. Paulus: "Schlimmstenfalls scheitert das gesamte Projekt dann kurz vor dem Kickoff."

Bedeutungsvoller als alle technischen Planspiele über dieses oder jenes neue Sicherheits-Feature ist nach den Worten des Managers eine stringente Security-Politik während des gesamten E-Business-Projekts. Aktuelle Erhebungen diverser Analysten bestätigen diese Erfahrung: Mindestens 70 Prozent der nötigen Sicherungsmaßnahmen bei E-Business-Konzepten entfallen auf den organisatorischen Bereich. Technische Vorkehrungen machen nur 30 Prozent aus. "Essentiell ist zunächst, dass sämtliche zu implementierenden Prozesse zergliedert und eventuelle Risiken für jedes Segment eindeutig identifiziert werden können", erläutert Paulus. Nur mit Hilfe einer Risikoanalyse ließen sich Schäden für den virtuellen Shop, etwa die Bereitstellung von Inhalten oder die Bestellannahme rechtzeitig erkennen und entsprechende Gegenmaßnahmen einleiten.

Sisyphusarbeit Sicherheit

Erst nach Abschluss dieses Was-wäre-wenn-Szenarios dürften technische Überlegungen über die zu verwendenden Sicherungsmethoden folgen. Viererlei gilt es dabei zu schützen: die Integrität der Daten, um eine Manipulation seitens Dritter zu verhindern; die Authentizität, mit der sich der externe Benutzer zweifelsfrei identifizieren lasse; die Vertraulichkeit der Daten, die sicherstellen soll, dass die "richtigen" Personen adressiert werden; das heißt, die Verfügbarkeit der Informationen sowie die benötigten Daten müssen permanent zugänglich sein. Umfangreiche Aufgaben, die Paulus zufolge rein technisch gesehen mehr erfordern als übliche Sicherheitskomponenten wie Firewall, Virenscanner, Virtual Private Networks (VPN) oder Intrusion-Detection-Systeme.

Sicherheit in SAP-Umgebungen

Denn bevor teils wildfremden Benutzern der Zugriff auf sensible Informationen in internen Systemen gestattet werden dürfe, müssten zunächst detaillierte Berechtigungsregeln erstellt werden. Damit dieses Procedere, das beispielsweise die SAP als "User & Role Management" bezeichnet, Sinn habe, müssten die Anwender eindeutig zu identifizieren sein. Softwareprodukte wie "Mysap CRM" oder "Mysap SRM" enthalten hierzu integrierte Authentifizierungsmechanismen. Als Standardverfahren hat sich unter anderem das Einloggen via Benutzername und Kennwort durchgesetzt. Zudem lassen sich externe Anmeldeprozeduren einbinden. Die Infrastrukturplattform "Netweaver" (vormals "Mysap Technology") bietet hierzu mit "Pluggable Authentification Service" eine Schnittstelle. Zusätzliche Sicherheit schafft die zertifikatsgestützte Anmeldung mit Hilfe des etablierten Verschlüsselungs- und Authentifizierungsprotokolls Secure Sockets Layer (SSL), mit dem sich die sichere Kommunikation zwischen Browsern und Server realisieren lässt. Dieses skalierbare Verfahren kann sowohl für den Zugriff innerhalb des Unternehmens als auch für den von außen eingesetzt werden. Die SAP-eigenen Protokolle Diag und Remote Function Call lassen sich über Secure Network Communications absichern. Grundlage ist hier die Schnittstelle "Generic Security Services".

Da häufig auch andere angeschlossene Systeme eine Authentifizierung desselben Benutzers erfordern, haben einige Hersteller, darunter Netegrity, IBM, Computer Associates und RSA Security Single-Sign-on-Verfahren entwickelt. Auch die SAP hat solche Funktionen in Netweaver integriert. Dieses Verfahren ermöglicht es, Anmeldetickets zu generieren, die Informationen über den authentifizierten Benutzer enthalten. Der ausstellende Server signiert den digitalen Ausweis des Anwenders. Anmeldetickets werden beim Aufrufen eines Dienstes an das entsprechende System übermittelt, wobei egal ist, ob es sich um eine SAP-Software oder das Produkt eines Drittherstellers handelt.

Um diese etwas komplizierte Vorgehensweise zu vereinfachen, wollen die Walldorfer Programmierer künftig einen neuartigen Verwaltungsdienst einrichten, der es erlaubt, Benutzer und ihre Berechtigungsdaten zentral zu administrieren. Die Rollen der Anwender sind dabei hauptsächlich aktivitätsbezogen und enthalten keine expliziten Berechtigungen mehr, sind also in dieser Hinsicht SAP-unabhängig. Eine technische Option für den Verwaltungsdienst ist das standardisierte Zugriffsprotokoll Lightweight Directory Access Protokoll (LDAP), eine vereinfachte Variante des mächtigen Standards X.500 DAP. (fn)

*Alexander Deindl ist freier Journalist in München.

Zugriff auf SAP-Systeme

Auf welche Weise ein externer Anwender Zugriff auf die ERP-Umgebung erhält, hängt von der gewünschten Funktionstiefe des Online-Dienstes ab. So würde ein SAP-Anwenderunternehmen jeden Internet-Benutzer als R/3-Benutzer anlegen, falls eine starke personenbezogene Protokollierung im ERP-System gewünscht ist. Sollen sich die Nutzer über einen anonymen oder teilanonymisierten Zugang einloggen können, genügt eine Authentifizierung im vorgeschalteten Portal. Im nachgelagerten ERP-System reicht dann ein generisches Kundenkonto (beispielsweise "Internet-Kunde") aus.

Langfristig plant SAP, in diesen Fällen ganz auf das Anlegen zusätzlicher User im Backend zu verzichten. Die für Requests erforderlichen Authentifikationen und Autorisierungen sollen dann in der Form eines "Passierscheins" vom Portal mitgeschickt werden. Dieses Verfahren stützt sich auf die Spezifikation "WS-Security".