Fünf Sicherheitsstrategien für Mashups

Um ein Unternehmensmashup zum bestmöglichen Ergebnis zu führen, muss die Balance zwischen dem Wert des Mashups und dem Bedarf an Sicherheit gehalten werden. Es stehen mehrere Methoden zur Auswahl, die Sicherheit zu gewährleisten: Policy Level Security (PLS), Data Access Level Security (DALS), Service Access Level Security (SALS), Screen Access Level Security (SCALS) und Identitätsmanagement. Policy Level Security bezieht sich auf die einzuhaltenden Regeln während der Anwendungsentwicklung. Der Policy-Level-Ansatz befasst sich normalerweise nicht mit der darunterliegenden Technologie oder mit Sicherheitswerkzeugen und -anwendungen, sondern behandelt das Thema Sicherheit auf der Basis von Regeln, Governance, Verfahren und Training. Hier bestehen auch rechtliche Anforderungen, denn Gesetze wie der Sarbanes-Oxley-Act müssen befolgt werden. Um eine Richtlinie für die Sicherheit von Mashups erstellen zu können, müssen die möglichen Anwendungsfälle durchgespielt werden. Nur so lässt sich feststellen, wie die Informationen und die dahinter liegenden firmeneigenen Systeme am besten zu schützen sind. In den meisten Unternehmen gibt es bereits Richtlinien, die besagen, dass Daten außerhalb der Firewall nicht unverschlüsselt übermittelt werden dürfen, oder dass sämtliche Informationen, die in einem Mashup zur Verwendung kommen, der IT gemeldet werden müssen. In einigen Fällen sind Mashups komplett verboten. In der Tat war der Reflex vieler Unternehmen, keine Mashups zuzulassen, bevor die IT-Abteilung alle Risiken genau einschätzen konnte, die selbe Reaktion wie vor zirka zwölf Jahren, als das Internet anfänglich als Sicherheitsrisiko betrachtet wurde und der Zugriff darauf in vielen Unternehmen verboten war. Rückblickend betrachtet hatten die Bedenkenträger recht, aber genau wie der offensichtliche Nutzen des Internets die Sicherheitsbedenken überwog, wird auch der Nutzen von Mashups die Oberhand gewinnen, sobald vernünftige Sicherheitsvorkehrungen getroffen werden. Data Access Level Security kontrolliert den Zugriff auf die darunter liegenden Datenbanken und stellt dabei sicher, dass die in den Mashups verwendeten Informationen nicht gefährdet werden. Zwar greifen hier auch Regeln und Bestimmungen, doch es ist vorrangig eine Frage der Technologie, für den Schutz zu sorgen, oder Sicherheitsebenen zwischen den Daten und dem Mashup einzuziehen. DALS ist relativ traditionell und beinhaltet den Passwortschutz der Datenbank, der Tabellen und einzelner Datensätze. Das Mashup muss dazu berechtigt sein, die Daten aus der Datenbank zu benutzen, aber was es anschließend damit macht, entzieht sich dem Einfluss der DALS. Hier müssen wieder schriftliche Richtlinien zum Einsatz kommen. Service Access Level Security ist der DALS sehr ähnlich. Services können Teile einer ERP- oder CRM-Anwendung sein, oder sie sind im Rahmen einer SOA neu erstellt worden. Typischerweise greift man über Webservice-Protokolle auf Services zu. Sie können sowohl mit präsentations- als auch mit datenzentrierten Mashups kombiniert werden und müssen deshalb als Services behandelt werden, die Informationen und/oder Verhaltensweisen produzieren können. So oder so, sie müssen geschützt werden.