Bundesamt für Sicherheit in der Informationstechnik

Grundlagen sicherer SOA

Die Architektur moderner IT-Systeme orientiert sich immer stärker an den Geschäftsprozessen, die diese Systeme unterstützen bzw. abbilden. Aufgrund von Aspekten wie Modularität und Wiederverwendbarkeit ist es nicht sinnvoll, die dazu erforderlichen Applikations-Logiken monolithisch im jeweiligen Programm zu realisieren. Mit Service-orientierten Architekturen (SOA) soll stattdessen ein anderer Ansatz gewählt werden.

Die Idee hinter SOA ist folgende: Funktionalitäten und Aufgaben werden nicht wie bei herkömmlichen Systemen innerhalb einer einzelnen Anwendung, sondern als lose gekoppelte, unabhängige, austauschbare Dienste über standardisierte Schnittstellen von einem Service-Provider angeboten. Der Geschäftsprozess ergibt sich durch die Orchestrierung solcher Services (“Komposition von Diensten”). Bei Systemarchitekturen nach dem SOA-Konzept stehen nicht Softwarekomponenten, Protokolle, Standards oder technische Implementierungsdetails im Mittelpunkt. Vielmehr orientiert sich dieser Ansatz an den abzubildenden Geschäftsprozessen und deren fachlicher Details, die in Form von Diensten modelliert werden.

Die Sicherheitsanforderungen an SOA Infrastrukturen und den darin stattfindenden Geschäftstransaktionen über multiple Parteien zeichnen sich meist durch einen zumindest hohen Schutzbedarf aus und ergeben sich aus der Summe herkömmlicher Herausforderungen unter Berücksichtigung SOA-spezifischer Besonderheiten. Die Realisierung eines Geschäftsprozesses über eine Vielzahl lose gekoppelter Services erfordert beispielsweise mehr Authentisierungsvorgänge, eine jederzeit gewährleistete Vertraulichkeit sowie eine höhere Integrität als in einem monolithischen System. Ein Prozess-Design über Unternehmensgrenzen hinweg und zwischen quasi anonymen Teilnehmern verstärkt diese Sicherheitsanforderungen an Services und Lösungen. Dies betrifft neben der Problematik verteilter Strukturen, realisiert durch offene Formate, auch organisatorische Sicherheitsaspekte (z.B. Governance, Risk, Compliance).

Mit dieser Webseite informiert Sie das BSI über verschiedene Studien, Softwarekomponenten und weitere Angebote für die Umsetzung einer sicheren SOA.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK