Sicherheit von Webservices

Service orientierte Architekturen (SOA) entwickeln sich zur vorherrschenden Methode der Software-Entwicklung im Internet. Diese Service-orientierte-Architekturen sind ein erster, wichtiger Schritt in Richtung des Internet der nächsten Generation. Das Semantic Web oder Web 2.0 wurde von Tim Berners-Lee, einem der Gründer und Vordenker des Internet, vorgeschlagen. Es kombiniert einzelne Dienste zu komplexen Anwendungen. Die Dienste werden von Dritten bereitgestellt und über standardisierte Schnittstellen einfach in eigene Anwendungen integriert.

Eine bekannte Realisierung von SOA sind Webservices. Webservices sind heute schon intensiv im Einsatz; so erlauben etwa Amazon, Google und eBay den Zugriff auf ihre Datenbanken via Webservices. Es gibt viele Anwendungen, die auf diese Weise die einzelnen Informationsquellen kombinieren und somit einen Mehrwert bieten.

Durch die räumliche Verteilung von Anwendung ist die Sicherheit bei Service-orientierten Architekturen ein wichtiges und spannendes Thema. In komplexen Anwendungen könnten externe Dienste plötzlich die Zusammenarbeit verweigern oder verfälschte Daten liefern. Dritte sind in der Lage, die Kommunikation zu beobachten und Rückschlüsse auf die Anwendung zu ziehen. Die meisten Firewalls lassen die Webservice-Aufrufe einfach passieren. Wie kann man eine Prüfung von Webservice-Nachrichten auf inhaltlicher Ebene erreichen? Welche Auswirkung hat die Sicherheitslücken in einem externen Webservice auf meine eigene Anwendung?

Der CAST-Workshop "Sicherheit von Webservices" am 18. Mai 2006 wird sich dieses Themas annehmen. Er wird Service-orientierte Architekturen und Webservices erklären und die Sicherheitsprobleme aufzeigen. Es werden existierende Lösungen für Sicherheitsfragen präsentiert und diskutiert. Experten aus der Wissenschaft schildern die verbleibenden Risiken und skizzieren Lösungsansätze. Es referieren sachkundige Experten aus Industrie und Wissenschaft. Der Workshop richtet sich gleichermaßen an Endanwender, Fachleute und Entscheidungsträger, welche die Sicherheit bei der Anwendungsentwicklung hinterfragen möchten.