Web Service Technologien bieten Möglichkeiten Dienste zu beschreiben, zu lokalisieren und aufzurufen. Diese Technologien können das Fundament einer Service-orientierten Architektur darstellen und ermöglichen so die dynamische und nahtlose Integration und Komposition von verschiedenen Diensten – insbesondere über Unternehmensgrenzen hinaus. Dies erfordert aber auch die strenge Durchsetzung von Sicherheitsanforderungen, um Dienste vor unberechtigten Zugriff und Manipulation zu schützen. Jeder Dienst ist somit auf bestimmte Benutzerinformationen und die Verwendung spezifischer Sicherheitsmechanismen angewiesen.
Die WS-* Spezifikationen bieten hier reichhaltige Möglichkeiten, um Sicherheitsanforderungen umzusetzen und über Web Service Policies zu kommunizieren. Jedoch geht der Einsatz dieser Spezifikationen mit einer hohen Komplexität einher und erfordert den Einsatz von Sicherheitsexperten. Zudem erfolgt die Integration dieser Sicherheitsmechanismen zum Teil erst als Nachgedanke, was die Verwendbarkeit der Dienste stark einschränken kann.
Dieser Vortrag stellt daher einen Ansatz für Integration des Security Engineering in den Prozess des Service-based IT-Systems Engineering vor. Wir verfolgen dabei einen modellgetriebenen Ansatz, bei dem Sicherheitsanforderungen auf der abstrakten Ebene der Geschäftsprozessmodellierung integriert, auf ein domänenunabhängiges Sicherheitsmodell transformiert und auf konkrete Sicherheitspolicies abgebildet werden.
Um die richtigen Sicherheitsmechanismen und Verfahren zu integrieren und zu konfigurieren, werden Security Pattern verwendet, die Expertenwissen kapseln und die Vorbedingungen und Abhängigkeiten von Sicherheitskonzepten beschreiben. Diese Entwurfsmuster strukturieren vorhandene Protokolle und Lösungen und werden zur Entscheidungsfindung herangezogen.
