INSIEME - Model Driven Security für Web Services

Im Bereich der unternehmensweiten und unternehmensübergreifenden Integration von Geschäftsprozessen werden für die nächsten Jahre große Zuwachsraten prognostiziert. Die Voraussetzungen hierfür wurde durch die Entwicklung von Standards und Sprachen rund um die Web Services Technologie geschaffen. Mögliche Anwendungen betreffen alle Branchen und ermöglichen neue Wege der Kooperation zwischen Geschäftspartnern. Einer der kritischen Faktoren für die Beherrschbarkeit der neuen Technologie ist jedoch die Zugriffssicherheit. Unternehmen oder Organisationen werden ihre Systeme nur dann kooperieren lassen, wenn ein hohes Maß an Sicherheit gewährleistet ist. Dies beinhaltet die Vertraulichkeit und Integrität der Daten, die Nicht-Abstreitbarkeit durchgeführter Aktionen, die Autorisierung von Akteuren, sowie die Verfügbarkeit von Diensten. Auf dem heutigen Stand der Entwicklung können die meisten Sicherheitsziele technisch erfüllt werden, sei es durch Sicherheitsprotokolle mit Anwendung kryptographischer Verfahren oder durch Formate, die standardisiert sind bzw. kurz vor der Standardisierung stehen. Die Anwendung dieser Verfahren erfolgt jedoch noch auf sehr niedriger, implementierungsabhängiger Ebene. Die Nachteile sind offensichtlich - die Implementierung erfordert hochspezialisiertes Expertenwissen, was impliziert, dass der Umsetzung sicherheitskritischer Workflows heute noch enge Grenzen gesetzt sind. Zudem sind die entwickelten Lösungen in vielen Fällen nicht an die Bedürfnisse der Kunden angepasst. Vor diesem Hintergrund beschäftigt sich das Projekt INSIEME mit der systematischen Entwicklung und Umsetzung sicherheitskritischer, systemübergreifender Workflows auf der Basis von Web Services. Ziel des Projekts ist die Entwicklung einer Umgebung, in der Sicherheitseigenschaften wie Vertraulichkeit, Integrität, Nicht-Abstreitbarkeit und Authorisierung auf fachlicher Ebene umgesetzt werden können. Unser Model Driven Security Ansatz beinhaltet eine ausgereifte Referenzarchitektur im Kontext von Web Services und Web Service Orchestration sowie eine Modellierungsumgebung zur Konfiguration von Sicherheitskomponenten auf Basis fachlicher Security Patterns.