M 4.473 Schutz vor Abhören von XML-Transportcontainern in einer SOA

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT, Benutzer

Wenn innerhalb einer serviceorientierten Architektur (SOA) vertrauliche Daten übertragen werden, müssen zu ihrem Schutz geeignete Verschlüsselungsmethoden eingesetzt werden. Diese verschlüsseln nach Bedarf entweder die gesamte Nachricht oder nur bestimmte Elemente, zum Beispiel mit XML-Encryption (XMLENC nach W3C).

Es ist sicherzustellen, dass die Art der eingesetzten Verschlüsselung (z. B. Verschlüsselung der ganzen Nachricht, eines Unterelements oder des Inhalts eines XML-Elements) auch dem gewünschten Vertraulichkeitsschutz entspricht.

Zudem ist darauf zu achten, dass generierte Nachrichten nur so viele Metainformationen wie nötig enthalten, sodass einem potenziellen Angreifer keine Angriffspunkte angeboten werden.

Prüffragen: