Applikationssicherheit
Es vergeht heutzutage kaum eine Woche, in welcher die Presse nicht über neue Unzulänglichkeiten in der Sicherheit von Softwaresystemen im Allgemeinen und von Internet Applikationen im Speziellen informiert. Seien dies Meldungen über einen neuen Virus, über bekannt gewordene Phishing Attacken oder entdeckte Sicherheitslöcher in Betriebssystemen. Mit der wachsenden Publizität steigt auch die Sensibilität für Sicherheitsaspekte.
Viele Gefahrenquellen sind aber immer noch unbeachtet in heutigen komplexen Systemen. Ein bisher sehr vernachlässigtes Gefahrenpotenzial besteht in den Applikationen und ihren Daten selbst. Jede Form von Datenzugriffen, auch durch authentisierte Benutzer, stellt eine Herausforderung an das Sicherheitssystem dar. Bestehende Technologiestandards wie J2EE und .NET bieten für sichere Applikationen nur unzureichende Mechanismen an.
Dem Datenschutz muss immer eine besondere Beachtung geschenkt werden, wenn ein Computersystem sensitive Informationen verwaltet, in welchem nicht alle Benutzer die gleichen Anforderungen im Umgang mit Daten haben. Als Beispiel sei ein Flugreservationssystem genannt, in welchem ein Reisebüro für seine Kunden Reservationen vornehmen und annulieren kann. Das Bodenpersonal eines Flughafens, welches für das Boarding zuständig ist, muss jedoch berechtigt sein, für seine zuständigen Flüge eine Liste aller Passagiere erstellen zu können. Ohne den notwendigen applikatorischen Massnahmen ist es für einen Reisebüromitarbeiter eine kleine Hürde, Kundendaten fremder Reisebüros einzusehen oder gar zu verändern.
Datenschutzanforderungen wie in diesem Beispiel werden als Zugriffsregeln bezeichnet. Systeme zur Datenverarbeitung bestehen aus einer Vielzahl von solchen Regeln. Sie berücksichtigen die verschiedenen Rollen der Benutzer und die unterschiedlichen Zugriffsarten. Die Umsetzung solcher Regeln kann programmatisch oder deklarativ erfolgen. Letzteres bietet grosse Vorteile, denn damit ist nicht nur der Anwendungsentwickler von dieser heiklen Aufgabe entlastet, sondern Anpassungen sind sehr flexibel realisierbar, die Verwaltung erfolgt zentral und der Zugang für Kontroll- und Auditzwecke ist jederzeit gewährleistet.
Inventage bietet mit der Security Engine eine flexible Komponente für die Realisierung der Applikationssicherheit mit den oben erwähnten Eigenschaften an.
