Bei der praktischen Umsetzung einer ganzheitlichen SOA (Service-orientierten Architektur) kommt ein ebenso ganzheitlicher Sicherheitsansatz in den meisten Unternehmen zu kurz. Für die Unternehmen reicht es nicht aus, ihre service-orientiere Architektur voranzubringen. Wenn sie dabei Identity- und Access-Management (IAM) in ihrer SOA vergessen, werden sie ihre Geschäftsprozesse, Anwendungen und Daten hohen Gefahren aussetzen, so die Studie.

Im Rahmen der Erhebung wurden deutschlandweit Chief Information Officers (CIOs) befragt. Ihnen kommt an der Nahtstelle zwischen IT und optimierten Geschäftsprozessen eine wichtige Vermittlerfunktion zu. Demnach haben die hiesigen Unternehmen durch SOA durchaus verstanden, dass sich IT-Infrastruktur, Anwendungsentwicklung und Geschäftsprozesse zu einem Ganzen zusammenfügen müssen. Bei der Absicherung von Anwendungen und Daten herrsche aber weiterhin eine unzeitgemäße Silo-Denkweise vor. Applikationen und Datenbasen, aus denen die Geschäftsprozesse gespeist werden, drohten so immer stärker von unberechtigten Zugreifern attackiert zu werden. „Zusätzlich setzen die meisten Unternehmen mit der Vernachlässigung von Sicherheitskonzepten für SOA und dem Verzicht auf ein wirksames Identity- und Access-Management in ihrer SOA die nachweisliche Erfüllung von Governance und Compliance aufs Spiel", warnt Matthias Bandemer, Manager, Advisory Services bei Ernst & Young. Der Grund: IAM integriert Auditing- und Reporting-Werkzeuge. Über sie können sämtliche Zugriffe, Datenveränderungen sowie Zugriffsversuche mitgeschnitten und ausgewertet werden - in einer verteilten SOA notwendiger denn je.