Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Sicherheit im E-Commerce/Kommentar

Sicherheit kommt später

14.02.2003
Frank Niemann Redakteur CW

Geht es um neue Produkte, denken viele Hersteller erst viel zu spät an die Sicherheitsaspekte. Beispiel Web-Services: Mit großem Tamtam versuchen namhafte Hersteller ihre Kunden von den Segnungen dieser Technik zu überzeugen. Einerseits verlocken die Möglichkeiten, selbst betagte Bestandssysteme mit den Geschäftsapplikationen von Kunden und Lieferanten auf elegante Weise zu koppeln. Andererseits lehnt so mancher IT-Manager diese Konzepte wegen ihrer mangelnden Sicherheit dankend ab. Vielen geht die "Offenheit" der Web-Services-Standards zu weit. Ohne zusätzliche Vorkehrungen würde beispielsweise das Simple Object Access Protocol (Soap) Geschäftsinformationen im Klartext über das Netz versenden. Und da Soap nur den Postboten spielt, kann der Empfänger unter Umständen eine böse Überraschung erleben. Denn möglicherweise schickt ihm der Absender nicht etwa den ersehnten Auftrag, sondern versucht, unerkannt Daten auszuspähen. Genau genommen hängt diese Problematik aber nicht nur mit Soap, sondern auch mit der Transportschicht darunter - dem Hypertext Transfer Protocol (HTTP) - zusammen. Den ängstlichen Anwender schert dieses Detail hingegen wenig: Er wartet lieber ab, bis die Sicherheit von Web-Services gewährleistet ist - Umfragen belegen dies.

Reichlich spät besannen sich die Web-Services-Prediger darauf, Spezifikationen wie Soap um Schutzfunktionen zu erweitern. Allerdings trägt die Vielzahl der eiligst erarbeiteten Vorschläge nicht gerade zur Übersichtlichkeit bei. Es bleibt zu hoffen, dass aus Web-Services-(WS-)Security ein Standard entsteht, den alle Anbieter nicht nur mittragen, sondern auch in einheitlicher Form implementieren. Besser als Warten und Hoffen wäre freilich, wenn die Hersteller beim nächsten Technik-Hype endlich einmal von Anfang an die Sicherheitsbedürfnisse der Anwenderunternehmen berücksichtigen würden.