WS-Security: Die Web-Services-Security-Spezifikation wurde von IBM, Microsoft und Verisign ins Leben gerufen. Sun hat sich inzwischen dazugesellt. WS-Security ist ein Framework für die Sicherung von Soap-Nachrichten: Es beschreibt den Austausch signierter und verschlüsselter Nachrichten in einer Soap-Umgebung. Bei Oasis eingereicht. Die Spezifikation unterstützt mehrstufige Web-Services (Intermediaries).

XML for Access Control Lists (XACL): Versteckt gewisse Teile eines XML-Dokuments vor einem Benutzer oder legt sie offen. Anhand hinterlegter Rollen und Profile sind Teilzugriffe möglich.

Quelle: Forrester Research

Mehrstufige Web-Services

Schwierigkeiten bereiten darüber hinaus mehrstufige Web-Services. Um etwa eine Kreditkartenbuchung zu revidieren, dürfen dazwischenliegende Web-Services nur gewisse Informationen sehen, die beispielsweise für das Routing wichtig sind. Andere Daten wie Kreditkartennummer und Betrag darf nur die allerletzte Instanz erfahren. So ist nach Angaben von Ernst&Young-Mitarbeiter Weimer auch ein mehrstufiges Authentisierungs- beziehungsweise Verschlüsselungsverfahren vonnöten.

Die Vielfalt der Probleme und die hohe Zahl von Web-Services, die Unternehmen womöglich bald betreiben werden, lassen nur einen Schluss zu: In Zukunft werden ganzheitliche Sicherheitsansätze gefragt sein. Bisher hat es mehr schlecht als recht funktioniert, für jede Applikation eine eigene Sicherheitslösung zu entwickeln; in jeden einzelnen Web-Service spezielle Security-Features zu integrieren wird wohl nicht möglich sein.