Network of Informatics Research in Governmental Business SOA-Tag 2007 Sicherheit und Beherrschbarkeit von SOA in Virtuellen Organisationen Mit Unterstützung des BMBF 28. Sep 2007 Prof. Dr. Rüdiger Grimm Daniel Pähler, Christoph Ringelstein, Felix Schwagereit Universität Koblenz-Landau http://www.uni-koblenz.de/fb4/ Inhalt Problemlage Ziel und Methode der Analyse Beispielszenarios Ergebnis der Analyse Fazit Grimm, 28. Sep 2007 SOA-Tag Koblenz 2/49 1
SOA Verteilte Dienste Zusammenführung durch standardisierte Schnittstellen zur Findung zur Nutzung Innerhalb einer Organisation Modularisierung unter einer Verantwortung Neue virtuelle Organisationen Modularisierung von Diensten Modularisierung von Verantwortung Grimm, 28. Sep 2007 SOA-Tag Koblenz Problemlage 5/49 Web-Services Dreieck Verzeichnis UDDI 1. veröffentlichen WSDL 3. Verweis auf Dienst WSDL 2. suchen SOAP Anbieter 4. Abfrage der Beschreibung SOAP 5. Nutzung Nutzer Nach Dostal et al., 2005, Web-Services-Dreieck, Abb. 3.1, S. 28 Grimm, 28. Sep 2007 SOA-Tag Koblenz Problemlage 7/49 2
Virtuelle Organisationen Zusammenschluss einzelner Unternehmen, aber: keine Zusammenlegung von Räumen, Personal,... keine eigenständige Rechtsform kann dynamisch entstehen und wieder zerfallen Grimm, 28. Sep 2007 SOA-Tag Koblenz Problemlage 10/49 Chancen Größeres Service-Angebot Rasche Anpassung an Anforderungen Übersichtliche Dienste-Cluster Transparenz durch einheitliche Datenformate durch einheitliche Kommunikationsschnittstellen durch einheitliche Nutzungsregeln und -dienste Grimm, 28. Sep 2007 SOA-Tag Koblenz Problemlage 11/49 3
Risiken Lawineneffekte Fehlerfortpflanzung Mehrfachrechnungen Sumpf-, bzw. Wüstensandeffekte Was geschieht wirklich? Wer weiß was zu welchem Zweck? Wer ist verantwortlich? Welche Dienstqualität? Zusammensetzung von Versprechen und Verpflichtungen? Grimm, 28. Sep 2007 SOA-Tag Koblenz Problemlage 12/49 Ziel und Methode Innovationen Möglichkeiten Herausforderungen Ökonomie: VO Recht: Datenschutz Technik: SOA Grimm, 28. Sep 2007 SOA-Tag Koblenz Ziel und Methode 16/49 4
Vorgehen 1. Rechtlicher und technischer Rahmen 2. Kriterien/Faktoren für eine beherrschbare SOA 3. Analyse von konkreten Anwendungsszenarien (5) 4. Ableitung von Gestaltungsvorschlägen (33) 5. Zusammenfassung zu Aufgabenbereichen (5) 6. Handlungsempfehlungen zur Umsetzung heute 7. Forschungsbedarf zur Nutzung des Innovationspotentials einer beherrschbaren SOA Grimm, 28. Sep 2007 SOA-Tag Koblenz Methode 17/49 Beherrschbarkeitsfaktoren im Überblick rechtlich Abstraktionsmechanismen Unterrichtung Auskunft Kontrollfähigkeit Kontrollmöglichkeit Zusicherungen Protokollierung technisch Grimm, 28. Sep 2007 SOA-Tag Koblenz Methode 19/49 5
Die fünf Szenarien 1. PotatoSystem: Basisszenario Datenschutz Virtuelle Güter 2. Hanival Fortgeschrittenes Szenario Datenschutz Netzservices 3. Amazon Mechanical Turk: Länderübergreifendes Datenschutzszenario Verantwortlichkeitsproblematik und Einbezug privater Endanbieter 4. PSB-Entwicklung: Basisszenario für Betriebs- und Geschäftsgeheimnisse Entwicklung von Produktionsstraßen 5. PSB-Wartung: Fortgeschrittenes Szenario für Betriebs- und Geschäftsgeheimnisse Wartung von Produktionsstraßen Grimm, 28. Sep 2007 SOA-Tag Koblenz Beispielszenarios 23/49 Struktur jedes Szenarios Akteure Beziehungen zwischen Akteuren vertraglich Interessenslagen Datenflüsse zwischen Akteuren Datenstrukturen Personenbezug Zugriffe SOA für dieses Szenario Grimm, 28. Sep 2007 SOA-Tag Koblenz Beispielszenarios 24/49 6
Hanival-Szenario Hanival bringt zusammen: Privatkunden von Internetnutzung Wiederverkäufer von Internetnutzung Tchibo, Rheinzeitung, Netzbetreiber Telecom, Vodafone, Web-Hosting, E-Mail, Ressourcen Strato, 1und1, Domainregistrierung Denic Zahlungsdienstleister Bankeinzug, Paypal Grimm, 28. Sep 2007 SOA-Tag Koblenz Szenario: Hanival 28/49 Reg. Ha-WSp IZA ZDL LSA Bank Beziehungen V 6 5 V 7 V 8 Hanival V 3 V 4 Wiederverkäufer 2 V 1 Endkunde Grimm, 28. Sep 2007 SOA-Tag Koblenz Szenario: Hanival 29/49 7
Reg. Ha-WSp IZA ZDL LSA Bank Datenfluss 3 4 5 6 Hanival 2 Kundendaten: Kontaktdaten Kundenwünsche Kontodaten Wiederverkäufer 1 Endkunde Grimm, 28. Sep 2007 SOA-Tag Koblenz Szenario: Hanival 30/49 Szenario Amazon Mechanical Turk Vertragsbeziehungen SW-Kunde 1 Zettasoft 2 AMT-Arbeiter 4 Von Kempelen 3 Amazon Mechanical Turk Grimm, 28. Sep 2007 SOA-Tag Koblenz Szenario: AMT 33/49 8
Szenario Amazon Mechanical Turk Datenfluss Support- Anfrage SW-Kunde Zettasoft Antwort von Kempelen Amazon Mechanical Turk Datenflüsse Sprache d. Kunden Englisch Support-Anfrage Antwort auf Anfrage AMT-Arbeiter Grimm, Uni Koblenz SOA in Virtuellen Organisationen Szenario: AMT 34/49 Vier aussichtsreiche Faktoren 1. Zusicherungen von Dienstequalität und Datenschutzkonformität 2. Unterrichtung vor einem Dienst auf der Basis von Zusicherungen 3. Protokollierung der Erbringung von Diensten und der Erhebung und Verarbeitung von Daten 4. Auskunft zu jeder Zeit auf der Basis gegebener Zusicherungen und protokollierter Ereignisse Grimm, 28. Sep 2007 SOA-Tag Koblenz Ergebnisse 42/49 9
Aufgabenbereiche: Verallgemeinerungen Zusicherungen für Datenschutzpolicys Service-Level-Agreements Quality-of-Service Dienstleistungsverträge Protokolle Forensik für die IT-Revision Auskunft für Kunden und Betroffene Grimm, 28. Sep 2007 SOA-Tag Koblenz Ergebnisse 43/49 Aufgabenbereiche: Verknüpfung Zusicherung und Protokollierung Überprüfung von Zusicherungen für Kunden und Betroffene Überprüfung von Zusicherungen und gesetzeskonformem Verhalten durch unabhängiges Audit Zusammensetzung von Zusicherungen Schlussfolgerungen: Gültigkeit Verbindlichkeit des Gesamtdienstes Nutzungskompetenz Von der technischen Möglichkeit zur praktischen Fähigkeit Abstraktion Schlussfolgerungen: Verstehen Grimm, 28. Sep 2007 SOA-Tag Koblenz Ergebnisse 44/49 10
Handlungsempfehlungen 1. Prinzipien des Datenschutzes lernen Kundenorientierung Verantwortlichkeiten festlegen 2. Datensparsamkeit verbessern Datenanalyse Datentrennung Prozessverschlankung 3. Standards übernehmen P3P statt Freihand Auskunftsfunktionen über SOAP 4. Dokumentation der Ereignisse mit Personenbezug Zugriffsschutz gegen Unbefugte Zugang für Betroffene Grimm, 28. Sep 2007 SOA-Tag Koblenz Fazit 46/49 Handlungsempfehlungen 5. Funktionsangebot P3P-Unterrichtung Protokollierung der Ereignisse Auskunft als Web-Service Vergleich Zusicherungen (Unterrichtung) mit Ereignissen (Protokoll) und mit ihrer Kommunikation (Auskunft) Grimm, 28. Sep 2007 SOA-Tag Koblenz Fazit 47/49 11
Forschungsbedarf Sprachentwicklung: Beschreibung von Daten, Restriktionen und Zusicherungen normativ ausgerichtet: wer hat was gemacht wer ist zu was verpflichtet Sprachnutzung: Schlussfolgerungen aus verteilten Aussagen Zurechnungen von einzelnen und zusammengesetzten Aufgaben Werkzeuge, z.b. Sticky Logs Relevanz: Anwendungsintegration, z.b. E-Commerce, E-Government konkrete Ontologien Referenz-API: Lösungsansätze für eine beherrschbare SOA verteilte Komponenten und SOA-Middleware Grimm, 28. Sep 2007 SOA-Tag Koblenz Fazit 48/49 Innovation 1. Technische Innovation Klarere Aufgabenorganisation Bessere Vernetzung Bessere Kundenkommunikation 2. Ökonomische Innovation Virtuelle Organisationen Neue Geschäftsmodelle 3. Compliance Innovation Auditing Basel II 4. Beherrschbarkeit durch Privatkunden Kundenvertrauen Grimm, 28. Sep 2007 SOA-Tag Koblenz Fazit 49/49 12