Webdienste gelten allgemein als nächste Stufe der Applikationsintegration und Zugang zu neuen Geschäftsmodellen sowie als beispiellose Möglichkeit der Vernetzung für Unternehmen. Sicherheitsbedenken und die Komplexität der Sicherheitsmechanismen für Webdienste werden jedoch dazu beitragen, dass deren Angebot in naher Zukunft überwiegend einfach und zurückhaltend ausfällt.
Das Marktforschungsinstitut Gartner empfiehlt Unternehmen, sich vor einem großflächigen Einsatz zunächst intensiv mit der zu Grunde liegenden Technologie vertraut zu machen. Best-Practice-Modelle raten Unternehmen für 2003 zu einer vorsichtigen Herangehensweise beim externen Einsatz von Webdiensten. Bevor sie das High-Value-Segment bedienen, sollten Firmen ihr Know-how weiterhin durch interne Ausbildung und Entwicklungsanstrengungen ausbauen und sich mit Webdienste-Standards und -technologien stärker vertraut machen. Durch diesen Ansatz kann sich der Markt für Webdienste-Sicherheits- und -Managementlösungen entwickeln, während sich Standards etablieren.
Dies hat zur Folge, dass die meisten Unternehmen ihre Webdienste-Initiativen 2003 zurückstellen oder zunächst durch interne Applikationsintegration Erfahrung mit der Technologie sammeln. Diese Firmen werden Webdienste erst 2004 oder später einsetzen, wenn Standards und Produkte ausgereift und Unternehmen im Umgang mit der Technologie besser vertraut sind. Außerdem bleiben, obwohl die größeren Anbieter gute Fortschritte bei Initiativen für Webdienste-Sicherheitsstandards machen, wichtige Trust-Fragen unbeantwortet und größtenteils unberücksichtigt. Dies wird die Einführung ebenfalls verlangsamen.
Basiskomponenten für sichere Webdienste
Bis jetzt zeigen sich die großen Anbieter und Wettbewerber auf dem Markt für Webdienste bei der Entwicklung von Sicherheitsstandards kooperationsbereit. Denn sie erkennen, dass Webdienste keine breite Akzeptanz erlangen werden ohne geeignete Mechanismen, die die Geheimhaltung, Vertraulichkeit und Integrität von Transaktionen gewährleisten. Es wird jedoch erwartet, dass die Auseinandersetzungen um Standards deutlich zunehmen, da die Aufmerksamkeit der Industrie sich dem Federated-Identity-Konzept (etwa der Liberty Alliance und Microsoft Passport) und komplexeren Erweiterungen der Web-Services-Security-Spezifikation zuwendet. Trotzdem werden die Basiskomponenten für sichere Webdienste verfügbar sein. Dazu zählen:
- Web Services Description Language zur Integrität
- Security Assertion Markup Language zur Authentifizierung und Autorisierung
- Secure Sockets Layer (SSL) zur Absicherung von Übertragungskanälen
- XML-Verschlüsselung zur granularen Steuerung der Vertraulichkeit
- Digitale XML-Signatur zur granularen Feststellung der Verbindlichkeit
Einige weitere Schlüsselstandards erreichen wahrscheinlich in naher Zukunft Release-Status, darunter:
- Web Services Security (einschließlich XML-Verschlüsselung und Digitale XML-Signatur)
- XML Key Management Specification
- Extensible Access Control Markup Language zur Authorisierung.
Komplexe, hochwertige Webdienstangebote werden indes die Ausnahme sein. Die brisanten Trust-Fragen, die der PKI-Industrie zugesetzt haben, verstellen die klare Sicht auf die Vorzüge von Webdiensten. Unternehmen, die die 1999 getätigten Ausgaben für den Einsatz der PKI nicht rechtfertigen konnten, werden wohl auch nicht in der Lage sein, vergleichbare Kosten für die Sicherheit komplexer Webdienstangebote 2003 zu erklären, besonders unter den derzeit herrschenden Marktbedingungen.
Kurzfristig werden Unternehmen Webdienste daher nur intern einsetzen oder abgespeckte externe Angebote in Betracht ziehen (vergleichbar mit den frühen Webauftritten von Firmen, die ihre Prospekte einfach 1:1 ins Internet übertragen hatten). Höherwertige Transaktionen, die auf Verbindungen mit bekannten Geschäftspartnern basieren, dürften für die meisten Unternehmen 2003 kaum in Betracht kommen (siehe Grafik oben).
Bis 2004 werden Web Services Security und XML Key Management Specification eine relativ komplette Basis für Sicherheitsstandards schaffen. Wenn diese grundlegenden Sicherheitsstandards definiert sind, kommen auch entsprechende Produkte für Webdienste auf den Markt. Größere Anbieter treten in den Markt ein oder kaufen kleinere Start-ups auf. Firmen, die planen, Webdienste auch extern anzubieten, werden daher erst 2004 aus einer Palette von vergleichsweise ausgereiften Sicherheitsprodukten auswählen können.
Unternehmen werden bis Ende 2003 aber dennoch in der Lage sein, sorgfältig geplante und entworfene Webdienste mit Perimeter-Mechanismen (statt integrierten Mechanismen) sicher anzubieten. Firmen und Abteilungen, die sich auf die Architektur von Webdiensten konzentrieren, finden eine gute Ausgangslage vor, um im Jahr 2003 die Basis für Architektur und Entwicklung zu schaffen.
Gefahren durch Webdienste
In dem Maße, wie Unternehmen sich mit einer Umgebung konfrontiert sehen, aus der Webdienste kaum noch wegzudenken sind, werden sie erkennen, dass externe Übertragungen über HTTP oder auch HTTPS potenziell gefährlich sind. Gartner etwa sagt voraus, dass Webdienste 70 Prozent der Angriffspfade wieder öffnen, die in den vergangenen zehn Jahren durch Firewalls geschlossen wurden.
In Unternehmen kommt hinzu, dass der HTTP- und HTTPS-Traffic stark zunimmt, wenn mehr Applikationen über XML und SOAP kommunizieren. Mit dem Release von Microsofts Dotnet-Server sowie kommenden Windows- und Office-Versionen, die Webdienste verstärkt nutzen, steigt dieser Trend. Bekannte Fehler in Protokollen von Webdiensten und darauf basierenden Produkten bedingen, dass sich Systemadministratoren zunehmend mit Management- und Überwachungssystemen, einschließlich Sicherheitssystemen, befassen müssen.
Bis 2005 werden Best-Practice-Konzepte daher fordern, dass nicht registrierter HTTP- und HTTPS-Traffic am Grenzbereich zum Unternehmen kontrolliert wird. Dies bedingt die Möglichkeit zur Prüfung auf Applikationsebene - insbesondere XML, SOAP und Webdienste - mit Technologien der Perimetersicherheit. Die meisten Sicherheitsmechanismen für Webdienste lassen sich Perimeter-basierend realisieren. Daher sollten Unternehmen Tools wie Sicherheits-Gateways, SSL-Konzentratoren und -Beschleuniger sowie SOAP/XML-Prüf-Hardware, die bei Leitungsgeschwindigkeit arbeitet, erproben. Durch eine strategische Planung können Unternehmen die Architekturklassen für Webdienste bestimmen, die für ihre Bedürfnisse am besten geeignet sind.
Fazit: Keep it simple
Einfachheit wird zunächst die vorherrschende Strategie für Webdienste sein. Denn die Technologie von Webdiensten und deren Sicherheitsmechanismen befinden sich noch im Anfangsstadium. Die Notwendigkeit für den Business-Einsatz von Webdiensten liegt zwar auf der Hand, doch die meisten Unternehmen werden diese zunächst nur zögernd einsetzen. Denn bei missionskritischen Anwendungen will man von neuen Technologien unabhängig sein, bis diese als verlässlich gelten. Außerdem erfordern komplexe Webdienste mit mehreren Teilnehmern erhebliche Ressourcen.
Die meisten Firmen werden daher in naher Zukunft einfache Webdienste im Low-Value-Segment erwägen und dabei auf der Suche nach einfachen und kostengünstigen Sicherheitsmechanismen sein. Bis 2005 werden Kosten, Komplexität und mangelnde Erfahrung mit den erforderlichen Sicherheitsmechanismen 80 Prozent der externen Webdienst-Angebote auf einfache Punkt-zu-Punkt-Architekturen zurückführen, die nur durch SSL-Serverzertifikate gesichert sind. Empfehlung für 2003: Unternehmen, die bis jetzt noch keine PKI eingeführt haben, sollten dies auch in naher Zukunft nicht tun. Es sei denn, sie setzen dringend benötigte Applikationen ein, die Key-Management erfordern. Betriebe, die Sicherheitsplattformen für Webdienste kaufen, sollten darauf bestehen, dass sie die volle Leistung von Standard-SSL-Serverzertifikaten nutzen können - nicht nur zur Kanalverschlüsselung, sondern auch zur Zwei-Wege-Authentifizierung und digitalen Signatur von Transaktionen.
Firmen, die überlegen, Webdienste-Technologien auf breiter Front zu nutzen, sollten sich darauf einrichten, in Maßnahmen zur SSL-Beschleunigung und -Konzentration zu investieren. Generell empfehlen wir Unternehmen, die Webdienste-Technologie vorsichtig und überlegt einzuführen.
Ray Wagner/Frank Klinkenberg
Glossar
XML
Die Extensible Markup Language ist eine Metasprache zur Beschreibung strukturierter Daten. XML ist über Tags erweiterbar und auf vielen verschiedenen Plattformen darstellbar.
HTTP
HyperText Transport Protocol. Dient zur Übertragung von Webseiten zwischen Webserver und Browser.
HTTPS
HyperText Transport Protocol Secure. Dient zur sicheren Übertragung von Webseiten zwischen Webserver und Browser. Die Kommunikation erfolgt SSL-verschlüsselt über Port 443 statt Port 80 wie für herkömmliches HTTP.
SOAP
Simple Object Access Protocol: ein von Microsoft, DevelopMentor und Userland eingeführtes Format, das die Kommunikation von Anwendungen über internetbasierte Netze erlaubt.
SSL
Secure Sockets Layer. Von Netscape eingeführtes Protokoll zur Übermittlung von privaten Informationen. Verwendet ein Public-Key-Verfahren für die Verschlüsselung.tecChannel.de ist die Nummer eins der Online-Fachmedien in Deutschland (IVW 5/03).
tecCHANNEL-Compact "Linux-Server Komplettpaket"
tecChannel.de ist die Nummer eins der Online-Fachmedien in Deutschland (IVW 5/03). Auf www.tecChannel.de finden Sie mehr als 1000 Beiträge und über 12.000 News zu allen Themen der IT. Das kostenlose Online-Programm wird ergänzt durch das noch umfangreichere kostenpflichtige tecCHANNEL-Premium und die tecCHANNEL-Compact-Buchreihe.
Das neue tecCHANNEL-Compact "Linux-Server Komplettpaket" bietet Ihnen beispielsweise alle notwendigen Grundlagen und die Anleitung zum "SuSE Linux Office Server" auf der Buch-CD. Für weniger als 10 Euro erhalten Sie eine bewährte und stabile Server-Lösung - auch für Windows-Clients - für Ihr Intranet mit File-/Printserver, Online-Zugang, Firewall-/Spam-Schutz und Ihren Internet-Auftritt. Im Handel kostet das tecCHANNEL-Compact mit CD 9,90 Euro, bei Direktbestellung unter www.tecchannel.de/shop nur 8,90 Euro inklusive Versandkosten.