Anzeige

API

Vereinfachte IT-Architektur, leichtere Bereitstellung: APIs (Application Programming Interface) bringen zahlreiche Vorteile mit sich, sodass ihre Nutzung in den vergangenen Jahren deutlich zugenommen hat. 

Und ihnen steht noch eine große Zukunft bevor: In vielen KI-Anwendungen werden sie zum Einsatz kommen. Gleichzeitig steigt allerdings auch die Zahl der Cyberattacken auf Programmierschnittstellen stark an.

Denn oftmals sind APIs nicht ausreichend geschützt: Schwachstellen, die Hacker umgehend ausnutzen. Um APIs besser zu schützen, muss in einem ersten Schritt ihre Sichtbarkeit verbessert werden. Nur wenn Sicherheitsexperten und Entwickler einen genauen Überblick über alle APIs haben, können sie ein wirksames Sicherheitskonzept aufsetzen.

API-basierte Microservices-Architekturen lösen aufgrund ihrer einfacheren Bereitstellung immer häufiger klassische Website-Modelle ab. Denn mit ihrer Hilfe lassen sich leistungsstarke Web- und Mobileerlebnisse schaffen. Zudem können Backend-Daten und -Logik offengelegt werden, um neue und innovative Angebote zu kreieren. Laut einer Datenanalyse des Sicherheitsanbieters Akamai gingen im vergangenen Jahr 83 Prozent aller Zugriffe auf der Plattform des IT-Dienstleisters auf API-Traffic zurück. Die Auswertung ergab zudem, dass der API-bezogene Traffic jährlich um 30 Prozent gestiegen ist. Die Corona-Krise befeuert diese Entwicklung zusätzlich: Die Zahl der remote genutzten Geräte ist in den vergangenen Monaten deutlich gestiegen und damit auch die Anzahl der digitalen Schnittstellen. Der Schutz von APIs ist allerdings nicht überall in gleichem Maße erhöht worden, sodass sich eine neue Angriffsfläche für Cyberangriffe ergibt.

Microservices erhöhen Angriffsrisiko

Während Webanwendungen in der Vergangenheit normalerweise aus hunderten von statischen HTML-Seiten bestanden, kommen heutzutage einzelne Microservices zum Einsatz, die in Kombination das Anwendungserlebnis ausmachen. Damit diese Microservices miteinander und mit der Benutzerschnittstelle kommunizieren, werden APIs benötigt. Ein Beispiel: Die Website eines Einzelhandelsvertreters, die auch mobil abrufbar ist, verfügt über verschiedene Funktionen wie Nutzerkonto-Erstellung, Benutzeranmeldung, Passwortrücksetzung, Produktkatalog, personalisierte Empfehlung, Einkaufswagen und Kasse. Hinter all diesen Funktionen stehen Microservices – und APIs. Mit jedem weiteren Service vergrößert sich auch die Angriffsfläche für Hacker, da jeder Dienst und der damit verbundene Datenfluss separat attackiert werden kann.

Doch Schwachstellen entstehen nicht nur durch einen Mangel an Schutzmaßnahmen, sondern auch durch die fehlende Sichtbarkeit von APIs. Bevor sie die Schnittstellen überhaupt schützen können, müssen IT-Sicherheits- und Entwicklerteams erst einmal dokumentieren, wo und welche APIs existieren. Denn Hacker nutzen die Schnittstellen, um Daten abzugreifen, indem sie die bestehenden APIs attackieren. Deshalb ist ein Überblick über sämtliche API-Ressourcen bei der Entwicklung eines Sicherheitskonzepts essenziell.

Transparenz offenbart Schwachstellen

In einem ersten Schritt sollten IT-Experten ermitteln, welche APIs in der IT-Umgebung vorhanden sind, welche Funktionen sie haben und wie ihr Traffic-Profil aussieht. Sinnvoll ist der Einsatz eines Tools, das automatisch und kontinuierlich bei der Erkennung und bei der Profilierung von API-Endpunkten sowie deren Traffic-Profile unterstützt. Da APIs von verschiedenen Angriffstypen wie DDoS, SQL-Injection oder Credential Stuffing betroffen sind, ist ein umfassendes Monitoring besonders wichtig. Diese Transparenz innerhalb der IT-Infrastruktur hilft Entwicklungs- und Sicherheitsteams, mögliche Angriffspunkte schnell zu identifizieren und Schutzmaßnahmen zu aktivieren.

Unternehmen sollten den Einsatz solcher Transparenz-Lösungen in Erwägung ziehen, wenn sie Antworten auf folgende Fragen suchen:

1. Werden sensible Transaktionsendpunkte wie Anmeldung, Passwortzurücksetzung, Zahlung genutzt, die anfällig für den Missbrauch von Berechtigungsnachweisen sind oder andere Schwachstellen aufweisen?

2. Welche verwendeten IT-Umgebungen wie Dev, UAT, QA sowie interne API-Endpunkte sind mit dem Internet verknüpft?

3. Welche API-Endpunkte sind besonders häufig Ziel von schadhaften Akteuren und müssen daher priorisiert geschützt werden?

4. Welche API-Endpunkte erhalten die meisten Fehlerantworten und liefern dadurch Hinweise auf falsch konfigurierte API-Clients oder Brute-Forcebeziehungsweise Credential-Stuffing-Angriffe?

5. Werden Unternehmens-Web-/ Mobile-Endpunkte von Clients aufgerufen, bei denen es sich weder um einen Browser noch um eine mobiles Gerät handelt? 

Elmar Witte, Senior Product Marketing Manaager Security
Elmar Witte
Senior Product Marketing Manaager Security, Akamai

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Datenanalyse
Nov 12, 2020

Daten spielen seit COVID-19 eine wichtigere Rolle in Unternehmen

Als Reaktion auf die COVID-19-Pandemie setzen Unternehmen zunehmend auf Datenanalysen, um…
Cyber Security
Nov 06, 2020

Die Cybersicherheit neu überdenken

Mit Blick auf die aktuelle Situation hat das vielbekannte Kredo „Hoffe das Beste, plane…
Stonehenge
Okt 19, 2020

Der „tanzende Monolith“ ergänzt die moderne Microservices-Architektur

Microservices rangieren zurzeit weit oben in der Gunst der Software-Entwickler. Aber sie…

Weitere Artikel

Kommunikation

Sprachprobleme in der Cyber Security

IT-Sicherheit ist nicht zuletzt eine Frage der verständlichen Kommunikation. Und hier gibt es Nachholbedarf. Dies zeigt eine Sonderauswertung der 513 Antworten deutscher Teilnehmer der Bitdefender-Studie „10 in 10“ .
Cybersicherheit

Cyberabwehr: Ressourcen-Engpässe blockieren Cybersicherheit

Qualifizierte Fachleute für Cybersicherheit sind gefragt und in vielen Unternehmen Mangelware. Dieser Fachkräftemangel kann eine größere Bedrohung darstellen als die Kriminellen, die Daten und Geld von den Unternehmen stehlen und damit der Reputation schaden.…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!