Quelloffene Software für Webservice-Sicherheit

»Nichts trägt mehr zur Sicherheit bei als eine offene Tür«, lautet ein chinesisches Sprichwort. Übertragen in die Informationstechnik im Allgemeinen und die digitale Ökonomie im Besonderen hieße das: Quelloffene Software ist der beste Sicherheitsgarant und das genaue Gegenteil eines Konzepts, das sein Heil in der Verwendung möglichst exotischer Protokolle und Mechanismen sucht: »Security by obscurity« ist letztlich kein zukunftsträchtiges  Sicherheitskonzept. Das gilt umso mehr, als nicht nur Standards im Bereich der digitalen Ökonomie immer mehr an Boden gewinnen (SOAP, XML und Konsorten versus CORBA, EDI und deren unzählige Varianten), sondern auch in reichem Maße quelloffene Software vorhanden ist, zumindest was die zentralen Komponenten betrifft, die für »klassische Webanwendungen« und auch Webservices benötigt werden. Das sind bekanntlich neben einem Betriebssystem und der Datenbank ein Anwendungsserver und ein Webserver. All dies gibt es als »Open-Source«, daneben aber auch speziellere Komponenten wie Servlet- und SOAP-Verarbeitungsmodule (Engines) oder Software-Hilfsmittel, mit denen sich Webanwendungen leichter bauen lassen.

Quelloffene Signatur- und SSO-Lösungen
Für nicht wenige ist die Verwendung von quelloffenen Komponenten in punkto Sicherheit schon ein Wert an sich: der Code liegt offen, Hintertüren können weitgehend ausgeschlossen werden. Und wenn ein Anwender Fehler in einem quelloffenen Programmpaket findet, können diese schnell beseitigt werden. Das Bugtracking ist meist öffentlich, so dass sich gut verfolgen lässt, ob und wie schnell gemeldete Fehler korrigiert werden. Außerdem lassen sich quelloffene Module rasch erweitern, wenn beispielsweise Algorithmen unsicher werden.
Natürlich sind auch Fälle vorstellbar, wo Fehler nicht gemeldet, sondern zum Schaden anderer ausgenutzt werden. Patrick Theobald vom Langener Systemintegrator usd.de empfiehlt deshalb, »darauf zu achten, dass das ins Auge gefasste quelloffene Produkt ausgereift ist und eine entsprechend große Community hat« und gibt für die Webservices, die jemand selber entwickelt, den Rat, »nur die Schnittstellen zu veröffentlichen und nicht die Implementierung«.
Die Leute um Patrick Theobald sind im Bereich Webanwendungen in erster Linie auf Java geeicht. Auf Java basiert beispielsweise das quelloffene Tool Axis, das im Rahmen der Apache Software Foundation lizenziert wird und das Framework und SOAP-Engine in einem ist. Axis und die Festlegungen von XML-Security (siehe auch Artikel »Webanwendungen ? ja aber sicher« Seite 18) bilden beispielsweise die Basis des Apache-Projekts WSS4J für (partielle) Verschlüsselungs- und digtale Signaturlösungen. Und mit OpenSAML lassen sich auf der Basis von Java- und C++-Bibliotheken »quelloffene SAML-Funktionen« bauen. SAML ist bekanntlich der Webservice-Standard in Sachen Universal-Passwort (Single-Sign-On).
 
Komfort-Produkte fehlen noch
All dies sind Hilfsmittel für IT-Sicherheit, keine fertigen Produkte. «Bezogen auf Sicherheitsprodukte gibt es leider derzeit keine Open-Source-Lösungen, die an Funktionsumfang, Betriebskomfort und Schutzwirkung kommerziellen Produkten gleichwertig sind«, diagnostiziert Stefan Strobel, Geschäftsführer des Heilbronner Sicherheitsspezialisten Cirosec, der sich unter anderem auf die Absicherung von Web-Applikationen, also die Kontrolle der Eingabeformate bei digitalen Geschäftsvorgängen, spezialisiert hat. Zwar gebe es auch auf diesem Feld beispielsweise mit ModSecurity ein quelloffenes Werkzeug für das Filtern von Webanfragen, doch reicht dieses laut Strobel bei weitem nicht  an das Niveau kommerzieller Web Application Firewalls heran (siehe Artikel »Webanwendungen ? ja aber sicher« Seite 18).