Oracle bringt mehr Sicherheit in die Applikationsdaten

Der Softwarekonzern Oracle hat technische Standards für mehr Sicherheit geschaffen. Sie setzen dort an, wo Daten zwischen den einzelnen Anwendungen wandern und verarbeitet werden. Erste Zweifler melden Bedenken an.

Die Standards sollen geschäftsentscheidende und sensible Daten auch da schützen, wo sie bislang verletzbar waren, bei der Wanderung von einer Anwendung in die andere. Dies kommt beispielsweise dann zum Tragen, wenn ein Prozess ablaufen soll oder Daten aus einer Datenbankanwendung geholt werden, um sie für eine Rechnungsstellung zu bearbeiten.

Dafür wurde ‘Identity Governance Framework’ (IGF) geschaffen. Das ist ein technisches Hilfsmittel, mit dem Authentisierungs- und Sicherheitskontrollmechanismen direkt an die Daten angeknüpft werden können. So ausgerüstet sollen zum Beispiel Kreditkarteninformationen oder Sozialversicherungsdaten durch die Geschäftswelt geleitet werden. Amit Jasuja, Vice President Development, Security und Identity Management bei Oracle, betonte bei der Vorstellung am Mittwoch in den USA, dass sich genau hier geschäftsschädigende Szenarien abspielen könnten.

Diese entstehen ihm zufolge, weil solche Informationen in einem Unternehmen über viel zu viele Orte verteilt seien. Außerdem stellte er fest dass sich die Mitarbeiter, die mit den Identitäts-ausweisenden Daten umgehen, sich allzu selten über die Sensibilität der Informationen bewusst seien und daher grundlegende Sicherheitsfragen zu wenig Beachtung erhalten. Das IGF versetze aber nun Banken und andere Organisationen in die Lage, die Sicherheitsaspekte innerhalb der Verarbeitung in Anwendungen penibel zu überwachen.

Darüber hinaus sollen sie den Firmen erleichtern, sich an Compliance-Regeln wie Sarbanes Oxley oder europäische Richtlinien wie die European Data Protection Initiative zu halten. IGF ist eine Oracle-Entwicklung, für die der Konzern allerdings die Unterstützung von CA, Layer 7, Sun Microsystems, Ping Identity und Securent sowie Novell eingeholt hatte. Sie sollen bei der Entwicklung echter, praktikabler Industriespezifika helfen, die auf den Standards von Oracle aufsetzen und in Produkten eingesetzt werden.

Dies alles überzeugte Analysten wie Jonathan Penn von Forrester Research allerdings nur zu einem Teil. Er sagte gegenüber Cnet, dass die Standards lediglich für mehr Sichtbarkeit der Sicherheitsinformationen sorgen würden. Sonst nichts. Er sprach davon, dass sie zuviel Aufwand benötigten und wenige einbrächten. Es sei eine Application-to-Application-Architecture, die gegen den Missbrauch einer Anwendung für Customer Relationship Management beispielsweise nicht viel ausrichten könne.

Außerdem stimmt ihn nachdenklich, dass weitere Größen der Industrie sich noch nicht beteiligt haben: IBM, SAP und Microsoft glänzen derzeit durch Abwesenheit. Microsoft setzt auf die Liberty Alliance und eigene Standards, IBM hat sich mit dem Tivoli Privacy Manager Platz geschaffen und SAP ist möglicherweise zu sehr Konkurrent der Kalifornier, um sich mit Oracle ins Boot zu setzen.

Bob Blakley, Analyst bei der Burton Group, ist hingegen überzeugt, dass der Ansatz von Oracle in die richtige Richtung geht. Der Vorstoß fülle eine lange klaffende Lücke einheitlicher Standards innerhalb von Anwendungen. Doch vor einem Einbruch in die Datenwelt schütze dieser Ansatz nicht, sagte er. Bei den vielen Identity Management Lösungen draußen am Markt sei es aber bitte notwendig gewesen, hier zu standardisieren und die Lösungen damit wirklich durchgängig einsatzfähig zu machen. So gesehen komplettiere der Ansatz frühere Anstrengungen der Liberty Alliance oder des Gremiums OASIS, Identity Management industrieweit zu standardisieren.

Einstweilen hat Oracle aber schon zwei konkrete Vorschläge gemacht. ‘Client Attribute Requirement Markup Language (CARML) ist ein XML-basiertes Set an Definitionen, das vom Hersteller einer Anwendung eingebaut wird und die Nutzungsbedingungen der jeweiligen Anwendung beschreibt. ‘Attribute Authority Policy Markup Language’ (AAPML) bezeichnet eine Gruppe von Policy-Regeln, die die Nutzung Identity-bezogener Informationen näher bestimmen. Außerdem stellt Oracle eine Programmier-Schnittstelle für IGF-Aufgaben bereit. Die Standards sollen binnen 90 Tagen einem industrieweiten Standardisierungsgremium vorgelegt und dann frei verfügbar gemacht werden. Der Konzern plant IGF außerdem in die für 2008 geplante ‘Fusion’-Anwendungsreihe ein.