Die IT-Architektur der Zukunft stellt sich Paulus so vor, dass "alle Benutzeraktivitäten zentral von einem Webportal geregelt werden". Eine Applikationsmaschine steuere darüber im Hintergrund einzelne Geschäftsprozesse wie die Verbuchung eines Belegs oder die Freigabe einer Warenauslieferung, die in separaten Webservice-Modulen abgebildet werde. "Auf welchem System die Abarbeitung stattfindet, weiß der Anwender nicht mehr", meint der Walldorfer Produktmanager. Föderationen wie die Liberty Alliance zur Online-Anmeldung von Nutzern und Sicherheitsstandards für Webservices würden gebraucht, um die Sicherheit der Applikationen und die Nachvollziehbarkeit der Prozesse zu gewährleisten. "Auch Regeln zum Einhalten von Datenschutzgesetzen, Verschlüsselung und Signaturfunktionen müssen den Produkten gleich beigegeben werden", erläuterte Paulus. Seine optimistische Prognose: "In zehn bis 15 Jahren haben wir auf Applikationsebene so viele Sicherheitsmechanismen implementiert, dass keine Firewalls mehr benötigt werden."
Microsoft arbeitet im Rahmen seiner lautstark beworbenen Initiative für "Trustworthy Computing" an ähnlichen Zielen, auch wenn in Redmond momentan noch stark am Sichermachen der bestehenden Programme gewerkelt wird. "Früher stand bei uns die Funktion im Vordergrund", gibt Gerold Hübner, Chief Security Officer bei Microsoft Deutschland, zu. Doch momentan finde ein "kultureller Veränderungsprozess" im Hause statt, durch den Qualität und Sicherheit wichtiger würden. Am Horizont sieht Hübner eine Zeit, in der "IT eine Infrastruktur wie der Airbus wird, der wir uns anvertrauen". Sicherheit, ist sich Hübner sicher, "muss so einfach wie das Schreiben mit der Textverarbeitung werden". Sie müsse auf Klick funktionieren und dürfe den Anwender nicht mit komplexen Vorgängen überfordern.
Doch nicht alle Beobachter sind überzeugt, dass der Featurismus Microsofts einfach durch das zentrale Feature Sicherheit überlagert wird und sich die schöne neue Welt der Webservices ohne Bedenken genießen lässt. Alexander Roßnagel, Rechtsprofessor in Kassel, schwebt angesichts zahlreicher Sicherheitslücken in Software eine "gerechtere Verteilung von Risiken und Verantwortung über eine klare Haftungsregulierung" vor. Dazu müsse man zwar nicht gleich ein "Riesengesetz" machen. Aber der Staat habe gewisse Schutzpflichten zu erfüllen.
Das Mindeste sei, dass über Auditprozesse und Zertifizierungen mehr Information für Wettbewerber und Anwender über die Sicherheit von Software auf den Markt komme. Ferner müsste ein Hersteller haften, wenn in der Firma "jemand einen Haken beim Programmieren vergessen hat oder ein Dokumentationsfehler vorliegt". Ein Schritt in Richtung verbesserten Risikomanagements sei auf gesetzlicher Basis ähnlich wie im Umweltrecht nötig. Nur so werde eine "klare Verantwortungszuweisung in Unternehmen und zwischen Firmen und Kunden" möglich.
Bisher schließen Softwarehersteller die Haftung für ihre Produkte aus. Risiko-Versicherungen bieten deutsche Konzerne nicht an. Das gelte für "proprietäre Entwicklungen genauso wie für quelloffene", betont Hübner. Seiner Meinung nach sind Fehler oft auf "schlichtes Versagen der Anwender und Administrationsfehler" zurückzuführen. Gleichzeitig gestand der Unterschleißheimer Security-Leiter aber Versäumnisse bei der Kommunikation von Sicherheitslücken ein. "Da haben wir wesentlich nachzulegen", erklärte Hübner. "Wir müssen die Kunden besser informieren, wo sie Patches bekommen". Paulus von SAP sieht ebenfalls "den Kunden essenziell selbst verantwortlich" für den Umgang mit der Software. Ein "Sicherheits-Controlling" fehle in den meisten Unternehmen nach
Quelle: Heise online
wie vor.