Web-Services sind nicht sicher genug

29.08.2002
Von Sabine Ranft

Während sich die Produkte von Array und Baltimore dem Problemfeld Authentisierung und Autorisierung widmen, sollen die Security Appliances „SG800“ von Blue Coat Systems den Port 80 absichern. Sie bieten die Möglichkeit, auch Inhalte zu analysieren. Nach Angaben von Clive Lutley, Area Manager für Deutschland, Österreich und die Schweiz bei Blue Coat Systems, können die Geräte Port-80-Datenverkehr von bestimmten Websites für ausgewählte Nutzer zulassen. Die durchgelassenen Daten werden auf Viren überprüft, der Rest gelangt erst gar nicht ins Netz.

Über die Qualität der Standards gehen die Meinungen auseinander. Während Befürworter WS Security attestieren, es decke die wichtigsten Bereiche ab, bemängeln Kritiker das Fehlen einiger an sich bekannter Sicherheitsaspekte. Die Vorschläge bezögen sich auf Einzelprobleme, ließen aber offen, wie sich das nachher alles zusammenfügen lassen solle, heißt es. Zum Beispiel gebe es Überlappungen zwischen dem Verschlüsselungsstandard XML Encryption und der XML Key Management Specification (XKMS). Solange an den Spezifikationen noch gearbeitet wird, besteht immerhin die Hoffnung, dass berechtigte Kritik in das Ergebnis einfließt.

Hinter den Kulissen geht das Tauziehen jedoch weiter. Eigentlich genießen die geplanten Standards eine hohe Akzeptanz. So wollen nach Angaben von Baltimore-Manager Vekemans 80 bis 90 Prozent der Hersteller den Interoperabilitätsstandard SAML verwenden, den er als „Esperanto für Web-Services“ bezeichnet. Allerdings könnte Microsoft, ein nicht unbedeutender Abweichler, den Erfolg des Standards behindern. Die Redmonder wollen nur Teile von SAML 1.0 unterstützen. Mit diesem halbherzigen Bekenntnis ist derzeit noch unklar, wie (und ob) Microsofts Implementierung von SAML mit den Produkten anderer Hersteller zusammenarbeitet. Bleibt zu hoffen, dass sich der Softwarehersteller bald eines Besseren besinnt und die Durchsetzung offener Standards nicht weiter blockiert.