Das große Problem der Sicherheitsexperten: Vertrauen in Webservices?

Gibt es etwas, was die Industrie tun könnte, außer einfach dazusitzen und zu erwarten, dass die Absolventen von Microsofts Trainingslager zu sicherem Code die brillante Lösung bringen?

Die Teilnehmer an dieser Diskussion hatten einige Vorschläge:

• „Wir müssen realistischere und normalere Ausdrücke für die Dinge verwenden“, sagte MacDonald. Die Differenzierung von Würmern und Viren und die Verwendung von zu viel Technik-Jargon hielten den Fortschritt auf.

• „Wir müssen uns auf die wahren Kriminellen konzentrieren – nicht auf die Hacker, sondern auf die Leute, die Erpressung ausüben. Wir konzentrieren uns zu sehr auf die Vandalen“, so Schneier.

• „Die Aufmerksamkeit und das Verständnis auf der obersten Führungsebene muss sich ändern“, sagte Noonan. Obgleich ein Wandel bereits eingesetzt habe und CEOs heute eher verantwortlich erklärt werden, liege noch ein langer Weg vor uns.

• „Jeder muss seinen Anteil dazugeben: Wenn Sie das nächste Mal Software kaufen, schnappen Sie sich den Verkäufer und fragen Sie, was in die Software eingebaut ist“, so ein weiterer Vorschlag von MacDonald.

Der faszinierendste Vorschlag war allerdings, dass der wahre Retter in den Webservices stecken könnte – die die Diskussionsteilnehmer nur am Rande erörterten. Webservices werden einen paradigmatischen Wandel in der Software markieren, eine Gelegenheit, die Programmierer und Hersteller gleichermaßen nutzen könnten, um die Sicherheitsproblematik von Grund auf neu zu überdenken.

„Die Sicherheit ist bereit für einen so einschneidenden Wandel“, sagte Noonan.

Die Diskussionsteilnehmer brachten die Idee auf, dass die von Webservices ermöglichte Kommunikation zwischen den Maschinen tief greifende Veränderungen in Bezug auf die Sicherheit erzwingen wird – vor allem, wenn sie ein ‚globales‘ Niveau erreicht und sich auf Computer ausdehnt, die sich nicht mehr in derselben Organisation befinden, sondern hinter der Firewall.

„Stellen Sie sich das vor: Man kann ein Programm schreiben, dass an jeder Transaktion ein paar Dollar mitverdient. Das ist die wahre Gefahr der Webservices. Es wird ein Insider-Job sein“, so Noonan.

In der Folge diskutierten die Teilnehmer die Frage, ob Webservices gestartet werden, bevor oder nachdem die Sicherheitsprobleme gelöst worden sind. Nach einer Studie von Evans Data Corp. gaben 98 Prozent der IT-Manager an, bis 2004 Webservices-fähige Anwendungen entwickeln zu wollen. Nach einer anderen Studie von BEA Systems sagten aber 48 Prozent dieser Unternehmen auch, dass ungelöste Sicherheitsprobleme sie davon abhalten würden, Webservices anzunehmen.

Während die meisten Teilnehmer darin übereinstimmten, dass Sicherheitsprobleme die Annahme dieser Technologie tatsächlich aufhalten würden, sagten MacDonald und Schneier voraus, dass die Webservices unbeachtet der empfundenen Risiken gestartet würden.

Und aus der Menge an unautorisiertem SOAP-Traffic, der bereits jetzt durch die Unternehmensnetzwerke läuft, lässt sich schließen, dass sie damit richtig liegen könnten. Die Unternehmen müssen in Bezug auf Webservices auf die Bremse treten und sich ganz genau überlegen, wie man sie sicher halten kann – anderenfalls könnten wir in ein paar Jahren tatsächlich von den Absolventen von Microsofts Schule für Webservices-Sicherheit abhängig sein.