Was diese Definition nicht erwähnt, ist zum einen der Umstand, dass das Zusammenspiel der einzelnen Softwaremodule per definitionem unabhängig von der darunter laufenden Plattform möglich ist. Ein Großteil der Kommunikation findet mehr oder weniger automatisch zwischen verschiedenen Rechnern oder Anwendungen statt - im Gegensatz zum bisherigen Modell sind Menschen nur noch bei vergleichsweise wenigen Transaktionen direkt involviert. Hinzu kommt, dass sich ein Web-Service nahezu überall befinden kann, auch in einer Umgebung, deren Sicherheitsanforderungen unter Umständen nicht so hoch sind, wie es sich ein Unternehmen vielleicht wünschen würde. Hallam-Baker erklärt: „Im Grunde machen Web-Services nichts anderes als das, was Anwendungen immer getan haben: Sie rufen Subroutinen auf. Der Unterschied liegt darin, dass die Subroutinen heute wer weiß wo sind. Darin liegt die Herausforderung.“
Damit in einem derart komplexen und wenig übersichtlichen Umfeld geschäftskritische Abläufe abgebildet werden können, bedarf es eines hohen Maßes an Sicherheit. Die Integrität und die Authentizität übertragener Informationen sowie die Vertraulichkeit von Transaktionen müssen gewahrt bleiben, damit Inhalte nicht manipuliert oder falsche Inhalte als echte präsentiert werden. Außerdem ist es notwendig, die Identität und die Autorisierung der an einem Prozess teilnehmenden Einheiten zu überprüfen, aufgrund derer sie auf Informationen zugreifen oder Dienste nutzen können.
Einen wichtigen Baustein für die Sicherheit von Web-Services stellt zusätzlich das Thema Verbindlichkeit oder Unabstreitbarkeit (englisch Non-Repudiation) dar: Es muss sichergestellt werden, dass keiner der an einer Transaktion Beteiligten diese im Nachhinein abstreiten kann.
SSL nur eingeschränkt tauglich
Verschiedene Ansätze werden in diesem Zusammenhang diskutiert. Bei Transaktionen im Web-Umfeld kommt häufig das Protokoll Secure Sockets Layer (SSL) zum Einsatz, um HTTP-Übertragungen abzusichern. Banken setzen das Verfahren, das Authentifizierung und Verschlüsselung unterstützt, beispielsweise ein, um ihren Kunden den sicheren Online-Zugriff auf ihre Konten zu ermöglichen. Da HTTP auch Web-Services transportiert, würde es nahe liegen, hier ebenfalls SSL zu verwenden.
„Dazu ist SSL aber nur bedingt tauglich“, warnt Mark O’Neill, Chief Technology Officer beim Sicherheitsspezialisten Vordel. Da SSL den kompletten Datenstrom verschlüsselt, würden wichtige Routing-Informationen, die mit Hilfe des Simple Object Access Protocol (Soap) ebenfalls übertragen werden, nicht mehr ausgelesen werden. Außerdem ist SSL nur für Punkt-zu-Punkt-Verbindungen geeignet, ermöglicht kein Signieren der Informationen.