Anzeige

API

Vereinfachte IT-Architektur, leichtere Bereitstellung: APIs (Application Programming Interface) bringen zahlreiche Vorteile mit sich, sodass ihre Nutzung in den vergangenen Jahren deutlich zugenommen hat. 

Und ihnen steht noch eine große Zukunft bevor: In vielen KI-Anwendungen werden sie zum Einsatz kommen. Gleichzeitig steigt allerdings auch die Zahl der Cyberattacken auf Programmierschnittstellen stark an.

Denn oftmals sind APIs nicht ausreichend geschützt: Schwachstellen, die Hacker umgehend ausnutzen. Um APIs besser zu schützen, muss in einem ersten Schritt ihre Sichtbarkeit verbessert werden. Nur wenn Sicherheitsexperten und Entwickler einen genauen Überblick über alle APIs haben, können sie ein wirksames Sicherheitskonzept aufsetzen.

API-basierte Microservices-Architekturen lösen aufgrund ihrer einfacheren Bereitstellung immer häufiger klassische Website-Modelle ab. Denn mit ihrer Hilfe lassen sich leistungsstarke Web- und Mobileerlebnisse schaffen. Zudem können Backend-Daten und -Logik offengelegt werden, um neue und innovative Angebote zu kreieren. Laut einer Datenanalyse des Sicherheitsanbieters Akamai gingen im vergangenen Jahr 83 Prozent aller Zugriffe auf der Plattform des IT-Dienstleisters auf API-Traffic zurück. Die Auswertung ergab zudem, dass der API-bezogene Traffic jährlich um 30 Prozent gestiegen ist. Die Corona-Krise befeuert diese Entwicklung zusätzlich: Die Zahl der remote genutzten Geräte ist in den vergangenen Monaten deutlich gestiegen und damit auch die Anzahl der digitalen Schnittstellen. Der Schutz von APIs ist allerdings nicht überall in gleichem Maße erhöht worden, sodass sich eine neue Angriffsfläche für Cyberangriffe ergibt.

Microservices erhöhen Angriffsrisiko

Während Webanwendungen in der Vergangenheit normalerweise aus hunderten von statischen HTML-Seiten bestanden, kommen heutzutage einzelne Microservices zum Einsatz, die in Kombination das Anwendungserlebnis ausmachen. Damit diese Microservices miteinander und mit der Benutzerschnittstelle kommunizieren, werden APIs benötigt. Ein Beispiel: Die Website eines Einzelhandelsvertreters, die auch mobil abrufbar ist, verfügt über verschiedene Funktionen wie Nutzerkonto-Erstellung, Benutzeranmeldung, Passwortrücksetzung, Produktkatalog, personalisierte Empfehlung, Einkaufswagen und Kasse. Hinter all diesen Funktionen stehen Microservices – und APIs. Mit jedem weiteren Service vergrößert sich auch die Angriffsfläche für Hacker, da jeder Dienst und der damit verbundene Datenfluss separat attackiert werden kann.

Doch Schwachstellen entstehen nicht nur durch einen Mangel an Schutzmaßnahmen, sondern auch durch die fehlende Sichtbarkeit von APIs. Bevor sie die Schnittstellen überhaupt schützen können, müssen IT-Sicherheits- und Entwicklerteams erst einmal dokumentieren, wo und welche APIs existieren. Denn Hacker nutzen die Schnittstellen, um Daten abzugreifen, indem sie die bestehenden APIs attackieren. Deshalb ist ein Überblick über sämtliche API-Ressourcen bei der Entwicklung eines Sicherheitskonzepts essenziell.

Transparenz offenbart Schwachstellen

In einem ersten Schritt sollten IT-Experten ermitteln, welche APIs in der IT-Umgebung vorhanden sind, welche Funktionen sie haben und wie ihr Traffic-Profil aussieht. Sinnvoll ist der Einsatz eines Tools, das automatisch und kontinuierlich bei der Erkennung und bei der Profilierung von API-Endpunkten sowie deren Traffic-Profile unterstützt. Da APIs von verschiedenen Angriffstypen wie DDoS, SQL-Injection oder Credential Stuffing betroffen sind, ist ein umfassendes Monitoring besonders wichtig. Diese Transparenz innerhalb der IT-Infrastruktur hilft Entwicklungs- und Sicherheitsteams, mögliche Angriffspunkte schnell zu identifizieren und Schutzmaßnahmen zu aktivieren.

Unternehmen sollten den Einsatz solcher Transparenz-Lösungen in Erwägung ziehen, wenn sie Antworten auf folgende Fragen suchen:

1. Werden sensible Transaktionsendpunkte wie Anmeldung, Passwortzurücksetzung, Zahlung genutzt, die anfällig für den Missbrauch von Berechtigungsnachweisen sind oder andere Schwachstellen aufweisen?

2. Welche verwendeten IT-Umgebungen wie Dev, UAT, QA sowie interne API-Endpunkte sind mit dem Internet verknüpft?

3. Welche API-Endpunkte sind besonders häufig Ziel von schadhaften Akteuren und müssen daher priorisiert geschützt werden?

4. Welche API-Endpunkte erhalten die meisten Fehlerantworten und liefern dadurch Hinweise auf falsch konfigurierte API-Clients oder Brute-Forcebeziehungsweise Credential-Stuffing-Angriffe?

5. Werden Unternehmens-Web-/ Mobile-Endpunkte von Clients aufgerufen, bei denen es sich weder um einen Browser noch um eine mobiles Gerät handelt? 

Elmar Witte, Senior Product Marketing Manaager Security
Elmar Witte
Senior Product Marketing Manaager Security, Akamai

Artikel zu diesem Thema

Datenanalyse
Nov 12, 2020

Daten spielen seit COVID-19 eine wichtigere Rolle in Unternehmen

Als Reaktion auf die COVID-19-Pandemie setzen Unternehmen zunehmend auf Datenanalysen, um…
Cyber Security
Nov 06, 2020

Die Cybersicherheit neu überdenken

Mit Blick auf die aktuelle Situation hat das vielbekannte Kredo „Hoffe das Beste, plane…
Stonehenge
Okt 19, 2020

Der „tanzende Monolith“ ergänzt die moderne Microservices-Architektur

Microservices rangieren zurzeit weit oben in der Gunst der Software-Entwickler. Aber sie…

Weitere Artikel

Asset Management

Wie Sicherheitsteams nicht sichtbare Assets aufdecken können

Fünf Fragen und Antworten wie Sicherheitsteams nicht sichtbare Assets aufdecken können, beantwortet von Todd Carroll, CISO/VP CyberOperations bei CybelAngel.
Microsoft Exchange

Stellen Sie kritische Systeme niemals ungeschützt ins Internet!

Die Angriffswelle auf Microsoft Exchange Server ist der zweite Security Super-GAU nach dem SolarWinds-Hack. Zehntausende Systeme in Deutschland sind davon betroffen und wurden vermutlich schon kompromittiert. Ein Kommentar von Wolfgang Kurz, CEO bei indevis.
Microsoft Exchange

Microsoft Exchange - Neue Sicherheitslücken entdeckt und geschlossen

Am Dienstag - Patch Tuesday gab es wieder einige kritische Updates für Microsoft Exchange. Ebenso wie bei Hafnium raten Experten dringend zur Installation der Patches. Anders als bei Hafnium kam die Warnung jedoch von der amerikanischen NSA.
Log-In

Deutsche haben Angst vor dem Vergessen ihrer Log-Ins

LastPass veröffentlicht die Ergebnisse einer neuen Umfrage zum Passwortverhalten der Deutschen. Die Studie zeigt, dass die Deutschen noch immer große Angst davor haben, ihre Anmeldedaten zu vergessen und den Zugriff auf Webkonten, Onlineshops oder…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.