Today 528

Yesterday 1586

All 39775966

Tuesday, 14.01.2025
Transforming Government since 2001
Webservices und die integrierte Daten- und Prozessverarbeitung über Unternehmensgrenzen hinweg werfen die traditionellen Sicherheitskonzeptionen der IT-Branche über den Haufen. "Früher haben wir Security als eine Zusatzmaßnahme aufgefasst, getrennt von der eigentlichen Funktion eines Produkts", erklärte Sachar Paulus, Sicherheitsleiter von SAP auf einer Tagung der Friedrich-Ebert-Stiftung am Donnerstag in Berlin. Firewalls, Virtual Private Networks (VPNs) oder Smartcards seien eingesetzt worden, um Computersystem und Netzwerke vor Eindringlingen abzuschotten. Doch dieses Modell, bei dem Sicherheit immer eine Randangelegenheit blieb, funktioniere in der neuen IT-Landschaft nicht mehr. Das alte Paradigma "wird durch Webservices schon rein technologisch ad absurdum geführt", sagt Paulus. Es sei darauf angelegt, die Betriebssystembefehle über alle virtuellen "Brandmauern" hinweg auszuführen und greife damit tief in die bestehende Struktur der Datenverarbeitung ein. Anders sei dynamisches E-Business nicht zu realisieren. Mit dem Wandel der Informationstechnologie, den neben SAP auch andere Branchengrößen wie IBM, Microsoft oder Sun Microsystems als den nächsten großen Schritt hinein in die vernetzte Wirtschaft sehen, werde Sicherheit "zur Grundvoraussetzung".

Die IT-Architektur der Zukunft stellt sich Paulus so vor, dass "alle Benutzeraktivitäten zentral von einem Webportal geregelt werden". Eine Applikationsmaschine steuere darüber im Hintergrund einzelne Geschäftsprozesse wie die Verbuchung eines Belegs oder die Freigabe einer Warenauslieferung, die in separaten Webservice-Modulen abgebildet werde. "Auf welchem System die Abarbeitung stattfindet, weiß der Anwender nicht mehr", meint der Walldorfer Produktmanager. Föderationen wie die Liberty Alliance zur Online-Anmeldung von Nutzern und Sicherheitsstandards für Webservices würden gebraucht, um die Sicherheit der Applikationen und die Nachvollziehbarkeit der Prozesse zu gewährleisten. "Auch Regeln zum Einhalten von Datenschutzgesetzen, Verschlüsselung und Signaturfunktionen müssen den Produkten gleich beigegeben werden", erläuterte Paulus. Seine optimistische Prognose: "In zehn bis 15 Jahren haben wir auf Applikationsebene so viele Sicherheitsmechanismen implementiert, dass keine Firewalls mehr benötigt werden."

Microsoft arbeitet im Rahmen seiner lautstark beworbenen Initiative für "Trustworthy Computing" an ähnlichen Zielen, auch wenn in Redmond momentan noch stark am Sichermachen der bestehenden Programme gewerkelt wird. "Früher stand bei uns die Funktion im Vordergrund", gibt Gerold Hübner, Chief Security Officer bei Microsoft Deutschland, zu. Doch momentan finde ein "kultureller Veränderungsprozess" im Hause statt, durch den Qualität und Sicherheit wichtiger würden. Am Horizont sieht Hübner eine Zeit, in der "IT eine Infrastruktur wie der Airbus wird, der wir uns anvertrauen". Sicherheit, ist sich Hübner sicher, "muss so einfach wie das Schreiben mit der Textverarbeitung werden". Sie müsse auf Klick funktionieren und dürfe den Anwender nicht mit komplexen Vorgängen überfordern.

Doch nicht alle Beobachter sind überzeugt, dass der Featurismus Microsofts einfach durch das zentrale Feature Sicherheit überlagert wird und sich die schöne neue Welt der Webservices ohne Bedenken genießen lässt. Alexander Roßnagel, Rechtsprofessor in Kassel, schwebt angesichts zahlreicher Sicherheitslücken in Software eine "gerechtere Verteilung von Risiken und Verantwortung über eine klare Haftungsregulierung" vor. Dazu müsse man zwar nicht gleich ein "Riesengesetz" machen. Aber der Staat habe gewisse Schutzpflichten zu erfüllen.

Das Mindeste sei, dass über Auditprozesse und Zertifizierungen mehr Information für Wettbewerber und Anwender über die Sicherheit von Software auf den Markt komme. Ferner müsste ein Hersteller haften, wenn in der Firma "jemand einen Haken beim Programmieren vergessen hat oder ein Dokumentationsfehler vorliegt". Ein Schritt in Richtung verbesserten Risikomanagements sei auf gesetzlicher Basis ähnlich wie im Umweltrecht nötig. Nur so werde eine "klare Verantwortungszuweisung in Unternehmen und zwischen Firmen und Kunden" möglich.

Bisher schließen Softwarehersteller die Haftung für ihre Produkte aus. Risiko-Versicherungen bieten deutsche Konzerne nicht an. Das gelte für "proprietäre Entwicklungen genauso wie für quelloffene", betont Hübner. Seiner Meinung nach sind Fehler oft auf "schlichtes Versagen der Anwender und Administrationsfehler" zurückzuführen. Gleichzeitig gestand der Unterschleißheimer Security-Leiter aber Versäumnisse bei der Kommunikation von Sicherheitslücken ein. "Da haben wir wesentlich nachzulegen", erklärte Hübner. "Wir müssen die Kunden besser informieren, wo sie Patches bekommen". Paulus von SAP sieht ebenfalls "den Kunden essenziell selbst verantwortlich" für den Umgang mit der Software. Ein "Sicherheits-Controlling" fehle in den meisten Unternehmen nach

Quelle: Heise online

wie vor.

Go to top