Sicherheit bei Web Services

Security-Anforderungen

Um geschäftskritische Anwendungen in komplexen und unübersichtlichen Umgebungen zu betreiben müssen bestimmte Sicherheits-Forderungen gewährleistet sein. Web Services sollten garantieren, dass die Integrität und Authentizität der ausgetauschten Informationen sowie die Vertraulichkeit und Verbindlichkeit von Transaktionen gegeben ist.

Für jeden Geschäftsprozess muss eindeutig feststellbar sein, wer sich dahinter verbirgt (Authentizität) und ob der Teilnehmer berechtigt ist, auf die Information zuzugreifen und diese zu verwenden (Autorisierung). Nutzer und Anbieter eines Web Services müssen ihre Identität also dem jeweiligen Kommunikationspartner nachweisen können und es müssen Mechanismen vorhanden sein, dass nur bestimmte Nutzer auf Web Services zugreifen können. Allerdings soll sich auch nicht jeder Teilnehmer gegenüber jedem anderen identifizieren müssen, sondern Zusicherungen über Identitäten müssen weitergereicht werden können.

Weiterhin dürfen Inhalte nicht manipuliert oder falsche Inhalte als echte präsentiert werden, die Integrität der Daten muss also garantiert sein. Und schließlich muss auch die Vertraulichkeit der übertragenen Daten gewährleistet werden, so dass ein Mitlesen der Daten durch Unbeteiligte unmöglich ist.

Sollzustand: Der Ablauf von Web Services Kommunikation und die zu erreichenden Sicherheitsziele. (Quelle: FH Fulda, FB Informatik)
Sollzustand: Der Ablauf von Web Services Kommunikation und die zu erreichenden Sicherheitsziele. (Quelle: FH Fulda, FB Informatik)

Ein zentraler Baustein bei Web Services sind zusätzlich Verbindlichkeit und Unabstreitbarkeit (Non-Repudiation):. Non-Repudiation bedeutet, dass kein an einer Transaktion Beteiligter diese im Nachhinein abstreiten kann. Sowohl Sender als auch Empfänger einer Nachricht müssen zweifelsfrei nachweisen können, dass erstens der Sender die Nachricht auch wirklich verschickt hat, und dass zweitens der Empfänger die gleiche Nachricht auch wirklich erhalten hat.