Bundesamt für Sicherheit in der Informationstechnik

Studien / Publikationen

Mit diesen Veröffentlichungen gibt das BSI Hilfsmittel zu unterschiedlichen Fragestellungen hinsichtlich der Sicherheit Service-orientierter Architekturen.

SOA Security Kompendium

Mit dem SOA Security Kompendium stellt das BSI eine Studie zur Sicherheit in Service-orientierten Architekturen (SOA) zur Verfügung. Hierdurch werden Entwicklern, Architekten von IT-Systemen und Entscheidern fundierte Grundlagen und Handlungsrichtlinien bereitgestellt, um eine sichere SOA zu realisieren. Da es sich bei SOA um ein neues Architekturparadigma handelt, wird hierdurch der Sicherheit kritischer Geschäftsprozesse in Behörden und Unternehmen Vorschub geleistet.

Nachdem Anfang 2008 die erste Version des SOA Security Kompendiums durch das BSI veröffentlicht wurde, erfolgte - getrieben durch die zahlreichen positiven Rückmeldungen - eine Fortschreibung zur Version 2.0, welche seit Anfang 2010 verfügbar ist. Das Kompendium wird fortlaufend erweitert und um neue Themenbereiche ergänzt. Themenvorschläge, Anregungen, etc. richten Sie bitte an Kontakt.

Dokumente zum SOA Security Kompendium

SOA Security Kompendium Version 2.0 (PDF, 7MB, Datei ist barrierefrei⁄barrierearm)

Management Summary SOA Security Kompendium 2.0 (PDF, 200KB, Datei ist barrierefrei⁄barrierearm)

Sicherheitskomponenten für konsolidierte DLZ-IT

Dieser Artikel gibt einen Überblick über die im Rahmen des IT-Investitionsprogramms durchgeführten Projekte im Kontext SOA Security, die insbesondere zur Unterstützung des Vorhabens DLZ-IT des Bundes initiiert wurden.
Sicherheitsspezifische Basisfunktionalitäten für konsolidierte DLZ-IT (PDF, 260KB, Datei ist barrierefrei⁄barrierearm)

Protection Level Agreements

Mit Protection Level Agreements (PLAs) wird das Konzept der Service Level Agreements (SLAs) um wichtige sicherheitsspezifische Aspekte erweitert. Neben den konkreten Inhalten eines PLA befasst sich die vorliegende Studie mit den relevanten Grundlagen, dem Bezug zu ITILv3 und dem Management von PLAs.
Darüber hinaus wird ein Ausblick auf eine mögliche automatisierte Verarbeitung im Kontext von Web Services gegeben.
Protection Level Agreements (PDF, 2MB, Datei ist barrierefrei⁄barrierearm)

Xml Spoofing Resistant Electronic Signature (XSpRES)

XML Signature ist einer der zentralen Standards bei der sicheren Kommunikation im Kontext von Web Services und Service-orientierten Architekturen (SOA). Allerdings wurden in der Vergangenheit Schwächen sowohl in der Spezifikation als auch in den Implementierungen dieses Standards aufgefunden. Darunter zählt der sogenannte XML Signature Wrapping (XSW) Angriff zu den gravierendsten Gefährdungen, da dieser das Fälschen von Signaturen erlaubt. Das BSI hat mit XSpRES eine Lösung für diese Problematik entwickelt, welche die Vorzüge und die Flexibilität des existierenden Standards beibehält und gleichzeitig gegen sämtliche bekannten XSW-Schwachstellen abgesichert ist. Die Referenzimplementierung von XSpRES ist unter freier Lizenz verfügbar.
Xml Spoofing Resistant Electronic Signature (XSpRESS) (PDF, 452KB, Datei ist barrierefrei⁄barrierearm)
Link zur Referenzimplementierung XSpRESS