Webservices

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen

Ein Webservice stellt Funktionen über das Netzwerk bereit – etwa per REST oder SOAP. Der Kurzartikel erläutert Grundlagen & Sicherheitsaspekte

Was ist ein Webservice?

Ein Webservice (Webdienst) ist eine standardisierte Schnittstelle zur Bereitstellung von Funktionen oder Daten über ein Netzwerk – typischerweise das Internet oder ein internes Unternehmensnetz. Webservices ermöglichen die maschinenlesbare Kommunikation zwischen verteilten Systemen, unabhängig von deren zugrunde liegenden Technologien oder Programmiersprachen.

Grundprinzip und Abgrenzung

Ein Webservice stellt klar definierte Funktionen oder Datenzugriffe über eine technische Schnittstelle zur Verfügung, die von anderen Systemen genutzt werden kann. Diese Schnittstelle basiert in der Regel auf offenen Protokollen und Standards, insbesondere HTTP(S), und verwendet häufig formalisierte Datenformate wie XML oder JSON.

Webservices unterscheiden sich von klassischen Webseiten dadurch, dass sie nicht für den Menschen, sondern für andere Anwendungen oder Dienste bestimmt sind. Es handelt sich also nicht um Benutzungsoberflächen, sondern um Programmierschnittstellen (APIs), die typischerweise automatisiert angesprochen werden.

Typen von Webservices

Im technischen Kontext unterscheidet man verschiedene Architekturen von Webservices:

  • SOAP (Simple Object Access Protocol) Ein standardisierter, XML-basierter Webservice-Typ mit formaler Schnittstellenbeschreibung (WSDL) und definierter Fehlerbehandlung. SOAP wird v. a. in unternehmenskritischen Systemen mit hohem Integrationsbedarf verwendet.
  • REST (Representational State Transfer) Eine Architektur, die lose Standards wie HTTP-Methoden (GET, POST, PUT, DELETE) nutzt und typischerweise JSON als Datenformat einsetzt. RESTful Webservices sind leichtgewichtig, einfach zu implementieren und in modernen Webanwendungen weit verbreitet.
  • GraphQL, gRPC und weitere Neue Ansätze wie GraphQL ermöglichen flexible Abfragen strukturierter Daten, während gRPC auf Protobuf basiert und für hochperformante, binär codierte Dienste verwendet wird. Beide kommen insbesondere bei Microservices-Architekturen zum Einsatz.

Typische Einsatzszenarien

Webservices kommen in verschiedensten IT-Landschaften zum Einsatz:

  • Integration zwischen internen IT-Systemen (z. B. ERP ↔ CRM)
  • Schnittstellen zu Partnern und Lieferanten (EDI-Nachfolge, offene APIs)
  • Bereitstellung von Datenportalen (z. B. Geodaten, Finanzdaten)
  • Mobile Apps und Webanwendungen, die im Hintergrund Dienste ansprechen
  • Plattformdienste im Rahmen von Cloud-Architekturen oder IoT-Umgebungen

Relevanz für Informationssicherheit und Datenschutz

Webservices sind regelmäßig Schnittstellen zu kritischen Daten oder Funktionen. In der Praxis werden über Webservices oft personenbezogene oder unternehmenskritische Informationen verarbeitet. Dies führt zu erhöhten Anforderungen in Bezug auf:

  • Vertraulichkeit (z. B. durch Transportverschlüsselung)
  • Integrität (z. B. durch Signaturen, sichere Protokolle)
  • Authentifizierung und Autorisierung (z. B. OAuth 2.0, API-Keys, Zertifikate)
  • Verfügbarkeit (z. B. durch Schutz vor DoS-Angriffen, Lastverteilung)
  • Protokollierung und Nachvollziehbarkeit (z. B. für Sicherheitsvorfälle oder DSGVO-Auskunft)

Sicherheitslücken in Webservices, etwa durch unsichere Programmierung oder mangelhafte Zugriffskontrollen, gehören zu den häufigsten Ursachen für Datenschutzverletzungen und Sicherheitsvorfälle in modernen IT-Umgebungen.

Regulatorische Einordnung

Bei der Entwicklung und dem Betrieb von Webservices sind neben technischen auch rechtliche und regulatorische Anforderungen zu berücksichtigen:

  • DSGVO / BDSG: Verarbeitung personenbezogener Daten nur mit klarer Zweckbindung, Schutzmaßnahmen und Nachvollziehbarkeit.
  • ISO/IEC 27001: Risikoorientierter Umgang mit Schnittstellen, sichere Entwicklung und Betrieb, insbesondere bei exponierten Diensten.
  • BSI IT-Grundschutz: Konkrete Anforderungen an Webserver, Webanwendungen und sichere Schnittstellen.
  • KRITIS / NIS2: Bei Systemen mit erheblicher Relevanz für das Gemeinwohl gelten verschärfte Anforderungen, u. a. an Incident Response, Betriebssicherheit und Zulieferer.
Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=Webservices&oldid=1754