Sicherheit bei Webservices

Sicherheitsanforderungen

Um geschäftskritische Anwendungen in komplexen und unübersichtlichen Umgebungen zu betreiben, müssen bestimmte Sicherheitsforderungen erfüllt sein. Webservices müssen gewährleisten, dass die Integrität und Authentizität der ausgetauschten Informationen sowie die Vertraulichkeit und Verbindlichkeit von Transaktionen gegeben ist.

Für jeden Geschäftsprozess muss eindeutig feststellbar sein, wer sich dahinter verbirgt (Authentizität) und ob der Teilnehmer berechtigt ist, auf die Information zuzugreifen und diese zu verwenden (Autorisierung). Nutzer und Anbieter eines Webservice weisen ihre Identität also gegenüber dem jeweiligen Kommunikationspartner nach, und bestimmte Mechanismen stellen sicher, dass nur zugelassene Nutzer auf Webservices zugreifen können. Allerdings soll sich auch nicht jeder Teilnehmer gegenüber jedem anderen identifizieren müssen - statt dessen werden Zusicherungen über Identitäten weitergereicht, eine Vertrauenskette wird aufgebaut.

Weiterhin dürfen Inhalte nicht manipulierbar sein, die Integrität der Daten muss also stets garantiert sein. Und schließlich soll die Vertraulichkeit der übertragenen Daten durch Verschlüsselung gewährleistet sein, so dass ein Mitlesen der Daten durch Unbeteiligte unmöglich ist.

Ein zentraler Baustein bei Webservices sind zusätzlich die Schlagwörter Verbindlichkeit und Unabstreitbarkeit (Non-Repudiation). Non-Repudiation bedeutet, dass keiner der an einer Transaktion Beteiligten diese im Nachhinein abstreiten kann. Sowohl Sender als auch Empfänger einer Nachricht müssen zweifelsfrei nachweisen können, dass erstens der Sender die Nachricht auch wirklich verschickt hat, und dass zweitens der Empfänger die gleiche Nachricht auch wirklich erhalten hat.