Wer IT-Systeme auf Basis einer Service-orientierten Architektur (SOA) entwirft, geht meist nur nach funktionalen Gesichtspunkten. Sicherheits-Aspekte finden zu wenig Beachtung. Diese These vertritt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Auf die Kritik folgen denn auch konkrete Vorschläge: Das BSI legt jetzt eine neue Version seines SOA-Sicherheitskompendiums vor. Der bisherige Leitfaden war vom Berater Bearing Point und dem Hasso-Plattner-Institut überarbeitet worden.
Interessierte können sich das 371-Seiten-Werk auf der Website des Bundesamtes kostenlos herunterladen. Laut BSI richtet es sich an Projektleiter, IT-Entscheider, IT-Architekten und Entwickler.
"Traditionelle Sicherheitsmechanismen sind nicht 1:1 auf IT-Architekturen übertragbar, die konsequent das Prinzip der Service-Orientierung verfolgen", schreiben die Autoren des Leitfadens. Neben der Sicherheit einzelner Service-Anfragen wie zum Beispiel bezüglich Vertraulichkeit oder Authentifizierung seien übergreifende Aspekte wie etwa Transaktionssicherheit wichtig. Das gelte insbesondere dann, wenn eine SOA nicht nur firmenintern genutzt wird, sondern auch von Externen.
Das BSI geht davon aus, dass immer mehr Unternehmen SOA umsetzen werden. Das wirke sich auf die Rolle der IT aus. Bisher seien die jeweiligen Anwendungen stark in den Fachabteilungen verankert. "Mit der Entwicklung von monolithischen Anwendungslandschaften hin zu einer Service-orientierten Architektur lässt sich vermuten, dass in Zukunft diese Aufgabenverteilung aufgebrochen wird", so die Autoren des Kompendiums. Sie prognostizieren, dass die Services künftig immer öfter zentral verwaltet werden, zum Beispiel durch firmeneigene IT-Dienstleistungszentren.
Das BSI will mehr Sicherheitsbewusstsein bei SOA schaffen. Das bezieht Compliance ein. Bereits bei der Planung einer Service-orientierten Architektur müssten regulatorische Anforderungen berücksichtigt werden.
SOA mit ITIL verknüpfen
Die Autoren des Kompendiums raten IT-Entscheidern, SOA mit Regelwerken wie der IT Infrastructure Library (ITIL) zu verknüpfen. Das könne Effizienz steigern und Synergieeffekte freisetzen. Allerdings räumen die Autoren ein, mit der Einführung einer SOA steige die Komplexität der ITIL-Disziplinen.