Der Einsatz Service-orientierter Architekturen (SOA) zur Öffnung und Kopplung von IT- und Informationssystemen birgt Sicherheitsrisiken, die oft nicht durch die klassischen Sicherheitsrichtlinien abgedeckt sind. Zwar bietet der Einsatz von SOA-Firewalls gewisse Hilfen, aber damit lassen sich nicht alle Risiken zufriedenstellend beseitigen. Die Unternehmen müssen daher schon in der Architektur für Sicherheit sorgen. Mit „nachgeschobenen” Lösungen zur Erkennung und Behebung von Sicherheitsrisiken kann oft nur ein sehr unzureichendes Sicherheitsniveau erreicht werden.
Neben Sicherheitsaspekten bei der Aktivierung einzelner Services, wie z.B. Vertraulichkeit, Authentizität und Integrität, sind auch Aspekte wie Transaktionssicherheit für das Zusammenspiel von Services von Bedeutung. Hinzu kommen noch spezielle Sicherheitsanforderungen, wenn eine SOA nicht nur in einer Institution eingesetzt sondern auch nach außen geöffnet wird. Als Beispiele dafür seien der Schutz gegen Denial-of-Service-Angriffe und die Nachweisbarkeit von Transaktionen gegenüber Dritten genannt.
Da SOAs in den Unternehmen vorrangig unter funktionalen Gesichtspunkten entwickelt werden, werden Sicherheitsherausforderungen und -lösungen häufig „nachgeschoben”. Dadurch werden einerseits meist nur einzelne Komponenten gesichert und andererseits auch keine Domänen-übergreifenden Sicherheitsrichtlinien definiert und harmonisiert. Dadurch können Konfliktsituationen bzw. Sicherheitsrisiken entstehen, die sich in der ganzen Architektur fortpflanzen können. Es fehlen dann auch meist ganzheitliche Sicherheitskonzepte und viele SOA-spezifische Sicherheitsanforderungen bleiben unerfüllt.
Die für die Entwicklung von SOAs verantwortlichen Fach- und Führungskräfte müssen deshalb einerseits ein grundsätzliches Sicherheitsbewusstsein haben und andererseits die technischen Lösungsmöglichkeiten beherrschen, die geeignet sind, um die Sicherheit kritischer Geschäftsprozesse zu gewährleisten.
Den Teilnehmenden werden fundierte Grundlagen und Handlungsrichtlinien vermittelt, die sie zur Realisierung sicherer SOAs benötigen. An praxisnahen Beispiel- und Bedrohungs-szenarien werden sie die potentiellen Auswirkungen auf Geschäftsprozesse und das Geschäftsergebnis einschätzen lernen. Sie werden eine Methodik zur Sicherheitsanalyse von einzelnen Services und ganzer SOAs kennen lernen und ausgewählte Best-Practice-Ansätze sowie ein sog. „SOA Security Framework” und deren Tauglichkeit für die Realisierung sichere SOAs bewerten können. Sie werden dann etwas detaillierter ausgewählte Themen wie Identitäts- und Zugangsmanagement, die Industriestandards SAML-Norm 2.0, Protokolle zum Austausch von Security Informationen sowie regelbasierte Ansätze (am Beispiel von iRODS) kennen lernen. An Beispielen werden sie Best-Practice-Lösungen für ein ganzheitliches SOA-Sicherheitskonzept, Restrisiken, und die Erkennung und Behandlung von Sicherheitsvorfällen studieren.
