hi,

• Sicherungsmaßnahmen wie feste IP usw. außen vor

brauchst nicht, geht z.B. auch mit dyndns, man muss den Server nur finden.
Die (feste) IP hat nichts aber auch rein gar nichts mit Sicherheit zu tun!
(Es gibt eine Ausnahme bei z.B. htaccess, also dass nur eine bestimmte IP zugreifen darf, aber das ist ein wohl anderes Thema).

Siehe unten

• Maßnahmen wie VPN, SSH, ... auch nicht möglich

Warum ist ssh nicht möglich?

siehe unten und eine zeile tiefer

=> Es geht nur drum, wie mans verschlüsseln würde, nicht ob das so überhaupt sinnvoll ist

Wie würdet Ihr diese Anfrage und den Rückgabe-XML-String oder eben die Teile davon, sinnvoll verschlüsseln, so dass jemand der eventuell dazwischen hockt, es nicht entziffern kann.

Das ist der Sinn einer Verschlüsselung!
Desw. ist DE-Mail ja auch aus dem #neuland geborener Unsinn.

Auf HTTPS alleine vertrauen?

Ja, zB!

Ich persönliche Nutze zwischen den Servern ein VPN bzw. nutze die Tatsache, dass es VMs sind und somit mir keiner reinpfuschen kann.

Eine VM ist prinzipell genauso angreifbar!
Das einzige (aus der Praxis), was da etwas schützen kann, ist die Tatsache, dass man die Ports wohl per NAT u.ä. durchleiten muss also somit nur ausgewählte Ports öffnet.
Das kann und sollte man beim Host aber auch tun. Und zudem ist der Host ja angreifbar und damit auch die VM - Vorsicht!

Um alle Sicherungsmaßnahmen zu erläutern, wäre das hier eh zu viel. Es geht mit meiner Diskussionsanregung auch nur um wirklich die Verschlüsselung. Daher auch die Eingrenzung der Alternativen. Steht aber auch im Original-Posting schon drin!

Gruß Niklas