Webdienste gelten allgemein als nächste Stufe der Applikationsintegration und Zugang zu neuen Geschäftsmodellen sowie als beispiellose Vernetzungsmöglichkeit für Unternehmen. Sicherheitsbedenken und die Komplexität der Sicherheitsmechanismen für Webdienste werden jedoch dazu beitragen, dass deren Angebot in naher Zukunft überwiegend einfach und zurückhaltend ausfällt.
Das Marktforschungsinstitut Gartner empfiehlt Unternehmen, sich vor einem großflächigen Einsatz zunächst intensiv mit der zu Grunde liegenden Technologie vertraut zu machen. Best-Practice-Modelle raten Unternehmen für 2003 zu einer vorsichtigen Herangehensweise beim externen Einsatz von Webdiensten. Bevor sie das High-Value-Segment bedienen, sollten Firmen ihr Know-how weiterhin durch interne Ausbildung und Entwicklungsanstrengungen ausbauen und sich mit Webdienste-Standards und -technologien stärker vertraut machen. Durch diesen Ansatz kann sich der Markt für Webdienste-Sicherheits- und -Managementlösungen entwickeln, während sich Standards etablieren.
Dies hat zur Folge, dass die meisten Unternehmen ihre Webdienste-Initiativen 2003 zurückstellen oder zunächst durch interne Applikationsintegration Erfahrung mit der Technologie sammeln. Diese Firmen werden Webdienste erst 2004 oder später einsetzen, wenn Standards und Produkte ausgereift und Unternehmen im Umgang mit der Technologie vertrauter sind. Außerdem bleiben, obwohl die größeren Anbieter gute Fortschritte bei Initiativen für Webdienste-Sicherheitsstandards machen, wichtige Trust-Fragen unbeantwortet und größtenteils unberücksichtigt. Dies wird die Einführung ebenfalls verlangsamen.
Basiskomponenten für sichere Webdienste
Bis jetzt zeigen sich die großen Anbieter und Wettbewerber auf dem Markt für Webdienste bei der Entwicklung von Sicherheitsstandards kooperationsbereit. Denn sie erkennen, dass Webdienste keine breite Akzeptanz erlangen werden, ohne geeignete Mechanismen, die die Geheimhaltung, Vertraulichkeit und Integrität von Transaktionen gewährleisten. Es wird jedoch erwartet, dass die Auseinandersetzungen um Standards deutlich zunehmen, da die Aufmerksamkeit der Industrie sich dem Federated-Identity-Konzept (etwa der Liberty Alliance und Microsoft Passport) und komplexeren Erweiterungen der Web-Services-Security-Spezifikation zuwendet. Trotzdem werden die Basiskomponenten für sichere Webdienste verfügbar sein. Dazu zählen:
Web Services Description Language zur Integrität
Security Assertion Markup Language zur Authentifizierung und Authorisierung
Secure Sockets Layer (SSL) zur Absicherung von Übertragungskanälen
XML-Verschlüsselung zur granularen Steuerung der Vertraulichkeit
Digitale XML-Signatur zur granularen Feststellung der Verbindlichkeit
Einige weitere Schlüsselstandards erreichen wahrscheinlich in naher Zukunft Release-Status, darunter:
Web Services Security (einschließlich XML-Verschlüsselung und Digitale XML-Signatur)
XML Key Management Specification zur Schlüsselverwaltung
Extensible Access Control Markup Language zur Authorisierung
Entwicklungen für komplexe Dienste
Komplexe, hochwertige Webdienstangebote werden indes die Ausnahme sein. Die brisanten Trust-Fragen, die der PKI-Industrie zugesetzt haben, verstellen die klare Sicht auf die Vorzüge von Webdiensten. Unternehmen, die die 1999 getätigten Ausgaben für den Einsatz der PKI nicht rechtfertigen konnten, werden wohl auch nicht in der Lage sein, vergleichbare Kosten für die Sicherheit komplexer Webdienstangebote 2003 zu erklären, besonders unter den momentan herrschenden Marktbedingungen.
Kurzfristig werden Unternehmen Webdienste daher nur intern einsetzen oder abgespeckte externe Angebote in Betracht ziehen (vergleichbar mit den frühen Webauftritten von Firmen, die ihre Prospekte einfach 1:1 ins Internet übertragen hatten). Höherwertige Transaktionen, die auf Verbindungen mit bekannten Geschäftspartnern basieren, dürften für die meisten Unternehmen 2003 kaum in Betracht kommen.
Bis 2004 werden Web Services Security und XML Key Management Specification eine relativ komplette Basis für Sicherheitsstandards schaffen. Wenn diese grundlegenden Sicherheitsstandards definiert sind, kommen auch entsprechende Produkte für Webdienste auf den Markt. Größere Anbieter treten in den Markt ein oder kaufen kleinere Start-ups auf. Firmen, die planen, Webdienste auch extern anzubieten, werden daher erst 2004 aus einer Palette von vergleichsweise ausgereiften Sicherheitsprodukten auswählen können.
Unternehmen werden bis Ende 2003 aber dennoch in der Lage sein, sorgfältig geplante und entworfene Webdienste mit Perimeter-Mechanismen (statt integrierten Mechanismen) sicher anzubieten. Firmen und Abteilungen, die sich auf die Architektur von Webdiensten konzentrieren, finden eine gute Ausgangslage vor, um im Jahr 2003 die Basis für Architektur und Entwicklung zu schaffen.
Interne Entwickler als Motor für Webdienste
Webdienste sind eine äußerst attraktive Möglichkeit für Entwickler, die sich mit Problemen der Applikationsintegration und Kommunikation beschäftigen. Sie sind auch mächtige Werkzeuge, mit denen sich neue Geschäftsmodelle entwickeln lassen, die die innerbetriebliche Koordination verbessern.
Wie bei jedem mächtigen und vielseitigen Tool (etwa dem Internet oder PCs), werden Entwickler die Möglichkeiten dieser Technologie erkennen und Webdienste rasch dazu benutzen, um taktische Probleme zu lösen und Strategien zu implementieren - oft jedoch, ohne sich ausreichend um Sicherheits- oder Effizienzfragen zu kümmern. Hinzu kommt, dass der Großteil neuer Unternehmens-Software wahrscheinlich mit Schnittstellen für Webdienste ausgestattet ist, so dass das IT-Management und die Security-Abteilung Mühe haben werden, die Nutzung von Webdiensten in ihren Organisationen zu steuern.
Unternehmen, die sich mit den Möglichkeiten von Webdiensten beschäftigen und deren Einsatz konservativ planen, dürften entdecken, dass interne Abteilungen, die praktische Lösungen für bestimmte Probleme des operativen Betriebs wollen, diese Dienste bereits einsetzen. Viele dieser "Quick-and-Dirty-Lösungen" werden jedoch gravierende Sicherheitslücken aufweisen oder Sicherheitsbedenken ignorieren. Man kann davon ausgehen, dass bis zum zweiten Halbjahr 2004 etwa 40 Prozent der Global-2000-Unternehmen ungenehmigte, undokumentierte und nicht überwachte externe Webdienste-Verbindungen unterhalten.
Jedes Unternehmen, das den Einsatz von Webdiensten für die Applikationsintegration und neue Anwendungen plant, sollte sich daher mit dieser Technologie auseinander setzen und Richtlinien zur Überwachung und Kontrolle der internen und externen Nutzung erstellen.
Gefahren durch Webdienste
In dem Maße wie Unternehmen sich mit einer Umgebung konfrontiert sehen, in der Webdienste kaum noch wegzudenken sind, werden sie erkennen, dass externe Übertragungen über HTTP oder auch HTTPS potenziell gefährlich sind. Gartner etwa sagt voraus, dass Webdienste 70 Prozent der Angriffspfade wieder öffnen, die in den letzten zehn Jahren durch Firewalls geschlossen wurden. Denn Webdienste können herkömmliche Schutzmaßnahmen in Unternehmen umgehen, beliebige Schadfunktionen enthalten und mit fast jeder Ressource im Unternehmen interagieren. Zum Unternehmensschutz wird es ein gewisses Maß an Kontrolle der Übertragungen auf Applikationsebene geben müssen.
In Unternehmen kommt hinzu, dass der HTTP- und HTTPS-Traffic überdurchschnittlich zunimmt, wenn mehr Applikationen über XML und SOAP kommunizieren. Mit dem Release von Microsofts .NET-Server und kommenden Windows- und Office-Versionen, die Webdienste verstärkt nutzen, steigt dieser Trend. Bekannte Fehler in Protokollen von Webdiensten und darauf basierenden Produkten bedingen, dass sich Systemadministratoren zunehmend mit Management- und Überwachungssystemen, einschließlich Sicherheitssystemen, befassen müssen. Bis 2005 werden Best-Practice-Konzepte daher fordern, dass nicht registrierter HTTP- und HTTPS-Traffic am Grenzbereich zum Unternehmen kontrolliert wird. Dies bedingt die Möglichkeit zur Prüfung auf Applikationsebene - insbesondere XML, SOAP und Webdienste - mit Technologien der Perimetersicherheit.
Die meisten Sicherheitsmechanismen für Webdienste lassen sich Perimeter-basiert realisieren. Daher sollten Unternehmen Tools wie Sicherheits-Gateways, SSL-Konzentratoren und -Beschleuniger sowie SOAP/XML-Prüf-Hardware, die bei Leitungsgeschwindigkeit arbeitet, erproben. Durch eine strategische Planung können Unternehmen die Architekturklassen für Webdienste bestimmen, die für ihre Bedürfnisse am besten geeignet sind.
Fazit: Keep it simple
Einfachheit wird zunächst die vorherrschende Strategie für Webdienste sein. Denn die Technologie von Webdiensten und deren Sicherheitsmechanismen befinden sich noch im Anfangsstadium. Die Notwendigkeit für den Business-Einsatz von Webdiensten liegt zwar auf der Hand, doch die meisten Unternehmen werden diese zunächst nur zögernd einsetzen. Denn bei missionskritischen Anwendungen will man von neuen Technologien unabhängig sein, bis diese als verlässlich gelten. Außerdem erfordern komplexe Webdienste mit mehreren Teilnehmern (wie derzeit vorgeschlagen) erhebliche Ressourcen für Sicherheitsmaßnahmen, inklusive PKI.
Die meisten Firmen werden daher in naher Zukunft einfache Webdienste im Low-Value-Segment erwägen und dabei auf der Suche nach einfachen und kostengünstigen Sicherheitsmechanismen sein. Die meisten Webdienste-Angebote - selbst wenn sie als einfach gelten - werden es erfordern, dass der Service Provider auch für die Verbindungsbereitstellung Endkunden-Support bietet.
Bis 2005 werden Kosten, Komplexität und mangelnde Erfahrung mit den erforderlichen Sicherheitsmechanismen 80 Prozent der externen Webdienst-Angebote auf einfache Punkt-zu-Punkt-Architekturen zurückführen, die nur durch SSL-Serverzertifikate gesichert sind.
Empfehlung für 2003: Unternehmen, die bis jetzt noch keine PKI eingeführt haben, sollten dies auch in naher Zukunft nicht tun. Es sei denn, sie setzen dringend benötigte Applikationen ein, die Key-Management erfordern. Betriebe, die Sicherheitsplattformen für Webdienste kaufen, sollten darauf bestehen, dass sie die volle Leistung von Standard-SSL-Serverzertifikaten nutzen können - nicht nur zur Kanalverschlüsselung, sondern auch zur Zwei-Wege-Authentifizierung und digitalen Signatur von Transaktionen.
Firmen, die überlegen, Webdienste-Technologien auf breiter Front zu nutzen, sollten sich darauf einrichten, in Maßnahmen zur SSL-Beschleunigung und -Konzentration zu investieren. Generell empfehlen wir Unternehmen, die Webdienste-Technologie vorsichtig und überlegt einzuführen. (Thomas Rieske/fkh)
Anmerkung: Dieser Beitrag erschien im Original in unserer US-Schwesterpublikation CSO. Es handelt sich dabei um die Analyse einer Studie von Gartner zum Thema "Webservices und Sicherheit im Jahr 2003".