Eine sichere Plattform schaffen

Die Umsetzung einer Sicherheitsstrategie in einen Plan, der in der Realität umgesetzt wird, ist nicht immer einfach. Das liegt auch daran, dass sich Mashups im Moment noch in einem sehr frühen Stadium befinden. Nichtsdestotrotz haben sich schon einige Best Practices herauskristallisiert:
– Erstellen Sie ein Regelwerk für ihr Unternehmen, in dem klar definiert wird, was bei der Erstellung und dem Einsatz von Mashups erlaubt und was verboten ist. Anschließend führen Sie einen Prozess ein, in dem die Mashups überprüft und bestätigt werden. Dieser Prozess sollte ebenso klar verständlich sein, gut kommuniziert und (hoffentlich) genauestens befolgt werden wie das Regelwerk. Stellen Sie sicher, dass das Sicherheitsteam mit der Mashup-Entwicklung vertraut ist und dass sie mit den Entwicklern zusammen an Richtlinien und Best Practices arbeiten, damit die Sicherheit im Fokus bleibt. Das Hauptmotiv ist dabei immer, den Bedarf an Sicherheit mit dem Bedarf an Innovation im Gleichgewicht zu halten.
– Gehen Sie bei der Sicherheit von Mashups genau so vor, wie Sie es auch bei einer anderen Anwendungssuite verfahren würden. Das bedeutet: Setzen sie auf bereits existierende Securityprozesse und -standards, die den Zugriff auf Informationen durch Benutzer-Interfaces, Daten und Services regeln. Typischerweise setzt man dazu Technologien ein, die schon vorhanden sind, beispielsweise Security-Subsysteme, die bereits Datenbanken, APIs und Benutzer-Interfaces bewachen. Zwar ist das nicht das Optimum, aber es ist der momentane Stand der Dinge und es funktioniert, wenn Sicherheitsprofis und Mashup-Entwickler lernen, wie man diese Sicherheitstechnologie richtig einsetzt und wie man saubere Richtlinien erstellt.
– Schaffen Sie eine ID-Management-Strategie für SOA und Mashups (die in Wirklichkeit nur Erweiterungen der SOA sind). Das heißt, errichten Sie ein ID-Management-Modell für die Architektur und wählen Sie dann die passende Sicherheits-Technologie und entwickeln einen Weg zur Implementierung. Normalerweise handelt es sich dabei um ein Langzeitprojekt, das gewissenhafter Planung bedarf um gleich beim ersten Versuch zu funktionieren.

Mühen würden belohnt werden Betrachtet man die Ausreifungszeit, die ID-Management benötigt, dann werden die meisten Unternehmen momentan wohl eher auf Richtlinien und vorhandene Technologien zurückgreifen, um die Sicherheit zu gewährleisten. Dabei würden die Mühen durchaus belohnt: Mashups stellen eine wertvolle neue Plattform zur Verfügung, mit der sich praktische und nützliche Anwendungen sehr schnell erstellen lassen. Ob mit oder ohne Zustimmung der IT – die Entwicklung immer ausgefeilterer Web-Anwendungen findet unter dem Radar auf jeden Fall statt. Eine sauber eingerichtete Mashup-Strategie schafft die Rahmenbedingungen dafür, diese Entwicklungen effektiv und sicher zu gestalten.

Hermann Bräuer ist Journalist aus Frankfurt am Main