Die Windows Communication Foundation (WCF), auch bekannt unter dem früheren Codenamen Indigo, ist eine dienstorientierte Kommunikationsplattform für verteilte Anwendungen. Sie wurde als Kernbestandteil der neuen Microsoft-Anwendungsplattform ".NET 3.0" Ende 2006 fertig gestellt und führt unterschiedliche Kommunikationstechnologien standardisiert mit einer einheitlichen Programmierschnittstelle zusammen. Die WCF wurde ursprünglich für Microsoft Windows Vista entwickelt, ist aber auch für Windows XP und Windows Server 2003 verfügbar.
Sicherheit für verteilte Anwendungen
Das zuverlässige und sichere Zusammenspiel der verteilten service-orientierten Anwendungen erfordert entsprechende Sicherheitsvorkehrungen zum Beispiel bei der Verteilung von Lösungen auf Servern oder den Berechtigungskonzepten. Ausgehend von einer Bedrohungsmodellierung über die konkrete Implementierung einer Beispielanwendung bis hin zu spezifischen Fragen der Verteilung von Anwendungskomponenten auf Zielsystemen untersuchte das BSI die WCF-Sicherheitsfunktionen. In Zusammenarbeit mit der newtelligence AG (www.newtelligence.com), Korschenbroich, entwickelte das BSI Handlungsempfehlungen und eine beispielhafte praxisorientierte WCF-Anwendung zur sicheren Nutzung der WCF-Sicherheitsfunktionen sowie zur Umsetzung zusätzlich notwendiger Maßnahmen.
BSI im Dialog mit Microsoft
Entscheidend für die Qualität der erzielten Ergebnisse war die intensive Diskussion des BSI mit den WCF-Entwicklern bei Microsoft in Redmond, USA. Die Grundlage für die Zusammenarbeit bildete das "Technology Adoption Program" für WCF, dem das BSI 2005 beigetreten ist. Dadurch erhielt das BSI bereits in der Entwicklungsphase detaillierten Einblick in die WCF. Im Dialog mit den WCF-Entwicklern konnte ein wichtiger Beitrag zur Erhöhung der IT-Sicherheit von verteilten Anwendungen auf der .NET-Plattform erreicht werden.
Interessenten können per E-Mail-Anfrage an os-security@bsi.bund.de die Handlungsempfehlungen des BSI zum sicheren Einsatz der Windows Communication Foundation (WCF) beziehen. Die Empfehlungen umfassen neben den Hinweisen zu WCF-spezifischen Architekturen, zur sicheren Installation, Authentisierung und zur Anbindung von Datenbanken oder der Fehlerbehandlung in verteilten Systemen auch auch den Quellcode der beispielhaften WCF-Anwendung. Ansprechpartner für Presseanfragen ist Matthias Gärtner unter presse@bsi.bund.de.