Mehr Transparenz

Besserer API-Schutz für Unternehmen

Vereinfachte IT-Architektur, leichtere Bereitstellung: APIs (Application Programming Interface) bringen zahlreiche Vorteile mit sich, sodass ihre Nutzung in den vergangenen Jahren deutlich zugenommen hat. 

Und ihnen steht noch eine große Zukunft bevor: In vielen KI-Anwendungen werden sie zum Einsatz kommen. Gleichzeitig steigt allerdings auch die Zahl der Cyberattacken auf Programmierschnittstellen stark an.

Anzeige

Denn oftmals sind APIs nicht ausreichend geschützt: Schwachstellen, die Hacker umgehend ausnutzen. Um APIs besser zu schützen, muss in einem ersten Schritt ihre Sichtbarkeit verbessert werden. Nur wenn Sicherheitsexperten und Entwickler einen genauen Überblick über alle APIs haben, können sie ein wirksames Sicherheitskonzept aufsetzen.

API-basierte Microservices-Architekturen lösen aufgrund ihrer einfacheren Bereitstellung immer häufiger klassische Website-Modelle ab. Denn mit ihrer Hilfe lassen sich leistungsstarke Web- und Mobileerlebnisse schaffen. Zudem können Backend-Daten und -Logik offengelegt werden, um neue und innovative Angebote zu kreieren. Laut einer Datenanalyse des Sicherheitsanbieters Akamai gingen im vergangenen Jahr 83 Prozent aller Zugriffe auf der Plattform des IT-Dienstleisters auf API-Traffic zurück. Die Auswertung ergab zudem, dass der API-bezogene Traffic jährlich um 30 Prozent gestiegen ist. Die Corona-Krise befeuert diese Entwicklung zusätzlich: Die Zahl der remote genutzten Geräte ist in den vergangenen Monaten deutlich gestiegen und damit auch die Anzahl der digitalen Schnittstellen. Der Schutz von APIs ist allerdings nicht überall in gleichem Maße erhöht worden, sodass sich eine neue Angriffsfläche für Cyberangriffe ergibt.

Microservices erhöhen Angriffsrisiko

Während Webanwendungen in der Vergangenheit normalerweise aus hunderten von statischen HTML-Seiten bestanden, kommen heutzutage einzelne Microservices zum Einsatz, die in Kombination das Anwendungserlebnis ausmachen. Damit diese Microservices miteinander und mit der Benutzerschnittstelle kommunizieren, werden APIs benötigt. Ein Beispiel: Die Website eines Einzelhandelsvertreters, die auch mobil abrufbar ist, verfügt über verschiedene Funktionen wie Nutzerkonto-Erstellung, Benutzeranmeldung, Passwortrücksetzung, Produktkatalog, personalisierte Empfehlung, Einkaufswagen und Kasse. Hinter all diesen Funktionen stehen Microservices – und APIs. Mit jedem weiteren Service vergrößert sich auch die Angriffsfläche für Hacker, da jeder Dienst und der damit verbundene Datenfluss separat attackiert werden kann.

Doch Schwachstellen entstehen nicht nur durch einen Mangel an Schutzmaßnahmen, sondern auch durch die fehlende Sichtbarkeit von APIs. Bevor sie die Schnittstellen überhaupt schützen können, müssen IT-Sicherheits- und Entwicklerteams erst einmal dokumentieren, wo und welche APIs existieren. Denn Hacker nutzen die Schnittstellen, um Daten abzugreifen, indem sie die bestehenden APIs attackieren. Deshalb ist ein Überblick über sämtliche API-Ressourcen bei der Entwicklung eines Sicherheitskonzepts essenziell.

Transparenz offenbart Schwachstellen

In einem ersten Schritt sollten IT-Experten ermitteln, welche APIs in der IT-Umgebung vorhanden sind, welche Funktionen sie haben und wie ihr Traffic-Profil aussieht. Sinnvoll ist der Einsatz eines Tools, das automatisch und kontinuierlich bei der Erkennung und bei der Profilierung von API-Endpunkten sowie deren Traffic-Profile unterstützt. Da APIs von verschiedenen Angriffstypen wie DDoS, SQL-Injection oder Credential Stuffing betroffen sind, ist ein umfassendes Monitoring besonders wichtig. Diese Transparenz innerhalb der IT-Infrastruktur hilft Entwicklungs- und Sicherheitsteams, mögliche Angriffspunkte schnell zu identifizieren und Schutzmaßnahmen zu aktivieren.

Unternehmen sollten den Einsatz solcher Transparenz-Lösungen in Erwägung ziehen, wenn sie Antworten auf folgende Fragen suchen:

1. Werden sensible Transaktionsendpunkte wie Anmeldung, Passwortzurücksetzung, Zahlung genutzt, die anfällig für den Missbrauch von Berechtigungsnachweisen sind oder andere Schwachstellen aufweisen?

2. Welche verwendeten IT-Umgebungen wie Dev, UAT, QA sowie interne API-Endpunkte sind mit dem Internet verknüpft?

3. Welche API-Endpunkte sind besonders häufig Ziel von schadhaften Akteuren und müssen daher priorisiert geschützt werden?

4. Welche API-Endpunkte erhalten die meisten Fehlerantworten und liefern dadurch Hinweise auf falsch konfigurierte API-Clients oder Brute-Forcebeziehungsweise Credential-Stuffing-Angriffe?

5. Werden Unternehmens-Web-/ Mobile-Endpunkte von Clients aufgerufen, bei denen es sich weder um einen Browser noch um eine mobiles Gerät handelt? 

Elmar Witte

Akamai -

Senior Product Marketing Manaager Security

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.