Hilfskonstrukt »Technischer Nutzer«

Der Durchgriff auf Backend-Systeme im Kontext von Webportalen findet heute immer noch sehr häufig über das Hilfskonstrukt »Technischer User« statt, also eine Art Sammelberechtigung. Solche Hilfskonstrukte sind gewiss nicht das, was man sich unter Sicherheit in serviceorientierten Architekturen (SOA), zu der Portale gehören, vorstellen muss. Durch die Anonymisierung des Nutzers lassen sich viele Schritte nicht einer bestimmten Identität zu?ordnen und damit letztlich nicht richtig nachvoll?ziehen. Nachweise von Verstößen und gesetzlich vorgeschriebene Vorgaben sind damit nicht zu erfüllen. »Das Problem ist technisch komplex, aber es ist lösbar, ohne dass der Nutzer damit belästigt wird«, sagt Dr. Bruno Quint, Geschäftsführer der Darmstädter Firma Corisecio, die sich auf Sicherheitsfragen und insbesondere auf SOA-Sicherheit spezialisiert hat. Die Corisecio-Lösung transformiert die session-?basierte HTTP-Kommunikation, in der die Erst-Authentisierung stattfindet, in die Protokollwelt der Webservices (SOAP, SAML 2.0 und XML-Encryption und XML-Signature). Auf SOAP-Ebene werden die Authentifizierungsdaten des jeweiligen Nutzers hin?zugefügt und mit SAML und XML wird dann die Kommunikation auf Message-Ebene abgesichert. »Neben der Gewährleistung von Integrität, Authentizität und Vertraulichkeit können auch Protokollwechsel realisiert und Berechtigungsprüfungen auf Benutzerebene durchgeführt werden«, sagt der Corisecio-Geschäftsführer.