Bundesamt für Sicherheit in der Informationstechnik

M 4.473 Schutz vor Abhören von XML-Transportcontainern in einer SOA

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT, Benutzer

Wenn innerhalb einer serviceorientierten Architektur ( SOA ) vertrauliche Daten übertragen werden, müssen zu ihrem Schutz geeignete Verschlüsselungsmethoden eingesetzt werden. Diese verschlüsseln nach Bedarf entweder die gesamte Nachricht oder nur bestimmte Elemente, zum Beispiel mit XML -Encryption (XMLENC nach W3C).

Es ist sicherzustellen, dass die Art der eingesetzten Verschlüsselung ( z. B. Verschlüsselung der ganzen Nachricht, eines Unterelements oder des Inhalts eines XML -Elements) auch dem gewünschten Vertraulichkeitsschutz entspricht.

Zudem ist darauf zu achten, dass generierte Nachrichten nur so viele Metainformationen wie nötig enthalten, sodass einem potenziellen Angreifer keine Angriffspunkte angeboten werden.

Prüffragen:

  • Wird XML verschlüsselt?

  • Wird mit der verwendeten Verschlüsselung (ganze Nachricht oder bestimmte Elemente) der gewünschte Vertraulichkeitsschutz erreicht?

Stand: 15. EL Stand 2016