SOA hat den Anspruch, viele bestehende Probleme bei der Integration und Interaktion unterschiedlicher Teilsysteme zu lösen, was zumindest in Teilen auch in der Praxis umgesetzt wird. Sehr wenig Beachtung wird aber den Sicherheitsaspekten von SOA geschenkt. Das gilt vor allem für die Bereiche, in denen solche sicherheitsrelevanten Anforderungen auftreten, die in konventionellen IT-Systemen bislang nicht beachtet wurden oder in dieser Form nicht relevant waren.
Außer der Sicherheit von einzelnen Service-Anfragen wie nach der Vertraulichkeit oder Authentizität sind auch Aspekte wie Transaktions-Sicherheit von Bedeutung. Schließlich befinden sich im Hintergrund von SOAs auch immer entsprechende Geschäftsprozesse, die durchaus kritisch und daher schutzbedürftig sein können.
Zusätzliche Anforderungen an die Sicherheit kommen insbesondere hinzu, wenn eine SOA nicht nur innerhalb einer Institution verwendet, sondern auch nach außen hin geöffnet wird. Als Beispiel dafür nennt das BSI den Schutz gegen Denial-of-Service-Angriffe.
Hauptsache funktional
Derzeit entworfene IT-Systeme auf Basis einer SOA werden meist nur nach rein funktionalen Gesichtspunkten entworfen. Sicherheitsfunktionalität wird in der Regel erst nachträglich und beschränkt für die einzelnen Komponenten entwickelt. Die Folge ist, dass meistens ein ganzheitliches Sicherheitskonzept verfehlt wird und SOA-spezifische Sicherheitsanforderungen unerfüllt bleiben.
Was nach wie vor für die Technologie fehlt, sind ein angemessenes Sicherheitsbewusstsein, ein ganzheitliches Sicherheitskonzept und Best Practice-Ansätze. Dieser Umstand sorgt oftmals dafür, so das BSI, dass große und eigentlich vielversprechende IT-Vorhaben scheitern.
Kein Bewusstsein für Sicherheit
Damit IT-Systeme gemäß dem SOA-Paradigma in Behörden und anderen Institutionen unter Einhaltung der jeweiligen Sicherheitsanforderungen realisiert und betrieben werden können, sind zwei Dinge erforderlich: Es müssen ein angemessenes Sicherheitsbewusstsein geschaffen und geeignete Lösungsmöglichkeiten aufgezeigt werden. Ein konkreter Bedarf liegt vor allem bei Behörden des Bundes vor, da verschiedene Großprojekte auf SOA basieren.
Mit dem "SOA Security Kompendium" stellt das BSI Entwicklern, Architekten von IT-Systemen und Entscheidern Grundlagen und Handlungsrichtlinien bereit, um sichere SOAs zu realisieren. Neben einer Einführung in die verwendeten Technologien befasst sich der Leitfaden mit der Sicherheit von SOA und stellt Best Practice-Ansätze vor. Unter anderem wird ein Konzept für ein SOA Security Framework beschrieben.