Anzeige

API

Vereinfachte IT-Architektur, leichtere Bereitstellung: APIs (Application Programming Interface) bringen zahlreiche Vorteile mit sich, sodass ihre Nutzung in den vergangenen Jahren deutlich zugenommen hat. 

Und ihnen steht noch eine große Zukunft bevor: In vielen KI-Anwendungen werden sie zum Einsatz kommen. Gleichzeitig steigt allerdings auch die Zahl der Cyberattacken auf Programmierschnittstellen stark an.

Denn oftmals sind APIs nicht ausreichend geschützt: Schwachstellen, die Hacker umgehend ausnutzen. Um APIs besser zu schützen, muss in einem ersten Schritt ihre Sichtbarkeit verbessert werden. Nur wenn Sicherheitsexperten und Entwickler einen genauen Überblick über alle APIs haben, können sie ein wirksames Sicherheitskonzept aufsetzen.

API-basierte Microservices-Architekturen lösen aufgrund ihrer einfacheren Bereitstellung immer häufiger klassische Website-Modelle ab. Denn mit ihrer Hilfe lassen sich leistungsstarke Web- und Mobileerlebnisse schaffen. Zudem können Backend-Daten und -Logik offengelegt werden, um neue und innovative Angebote zu kreieren. Laut einer Datenanalyse des Sicherheitsanbieters Akamai gingen im vergangenen Jahr 83 Prozent aller Zugriffe auf der Plattform des IT-Dienstleisters auf API-Traffic zurück. Die Auswertung ergab zudem, dass der API-bezogene Traffic jährlich um 30 Prozent gestiegen ist. Die Corona-Krise befeuert diese Entwicklung zusätzlich: Die Zahl der remote genutzten Geräte ist in den vergangenen Monaten deutlich gestiegen und damit auch die Anzahl der digitalen Schnittstellen. Der Schutz von APIs ist allerdings nicht überall in gleichem Maße erhöht worden, sodass sich eine neue Angriffsfläche für Cyberangriffe ergibt.

Microservices erhöhen Angriffsrisiko

Während Webanwendungen in der Vergangenheit normalerweise aus hunderten von statischen HTML-Seiten bestanden, kommen heutzutage einzelne Microservices zum Einsatz, die in Kombination das Anwendungserlebnis ausmachen. Damit diese Microservices miteinander und mit der Benutzerschnittstelle kommunizieren, werden APIs benötigt. Ein Beispiel: Die Website eines Einzelhandelsvertreters, die auch mobil abrufbar ist, verfügt über verschiedene Funktionen wie Nutzerkonto-Erstellung, Benutzeranmeldung, Passwortrücksetzung, Produktkatalog, personalisierte Empfehlung, Einkaufswagen und Kasse. Hinter all diesen Funktionen stehen Microservices – und APIs. Mit jedem weiteren Service vergrößert sich auch die Angriffsfläche für Hacker, da jeder Dienst und der damit verbundene Datenfluss separat attackiert werden kann.

Doch Schwachstellen entstehen nicht nur durch einen Mangel an Schutzmaßnahmen, sondern auch durch die fehlende Sichtbarkeit von APIs. Bevor sie die Schnittstellen überhaupt schützen können, müssen IT-Sicherheits- und Entwicklerteams erst einmal dokumentieren, wo und welche APIs existieren. Denn Hacker nutzen die Schnittstellen, um Daten abzugreifen, indem sie die bestehenden APIs attackieren. Deshalb ist ein Überblick über sämtliche API-Ressourcen bei der Entwicklung eines Sicherheitskonzepts essenziell.

Transparenz offenbart Schwachstellen

In einem ersten Schritt sollten IT-Experten ermitteln, welche APIs in der IT-Umgebung vorhanden sind, welche Funktionen sie haben und wie ihr Traffic-Profil aussieht. Sinnvoll ist der Einsatz eines Tools, das automatisch und kontinuierlich bei der Erkennung und bei der Profilierung von API-Endpunkten sowie deren Traffic-Profile unterstützt. Da APIs von verschiedenen Angriffstypen wie DDoS, SQL-Injection oder Credential Stuffing betroffen sind, ist ein umfassendes Monitoring besonders wichtig. Diese Transparenz innerhalb der IT-Infrastruktur hilft Entwicklungs- und Sicherheitsteams, mögliche Angriffspunkte schnell zu identifizieren und Schutzmaßnahmen zu aktivieren.

Unternehmen sollten den Einsatz solcher Transparenz-Lösungen in Erwägung ziehen, wenn sie Antworten auf folgende Fragen suchen:

1. Werden sensible Transaktionsendpunkte wie Anmeldung, Passwortzurücksetzung, Zahlung genutzt, die anfällig für den Missbrauch von Berechtigungsnachweisen sind oder andere Schwachstellen aufweisen?

2. Welche verwendeten IT-Umgebungen wie Dev, UAT, QA sowie interne API-Endpunkte sind mit dem Internet verknüpft?

3. Welche API-Endpunkte sind besonders häufig Ziel von schadhaften Akteuren und müssen daher priorisiert geschützt werden?

4. Welche API-Endpunkte erhalten die meisten Fehlerantworten und liefern dadurch Hinweise auf falsch konfigurierte API-Clients oder Brute-Forcebeziehungsweise Credential-Stuffing-Angriffe?

5. Werden Unternehmens-Web-/ Mobile-Endpunkte von Clients aufgerufen, bei denen es sich weder um einen Browser noch um eine mobiles Gerät handelt? 

Elmar Witte, Senior Product Marketing Manaager Security
Elmar Witte
Senior Product Marketing Manaager Security, Akamai

Artikel zu diesem Thema

Datenanalyse
Nov 12, 2020

Daten spielen seit COVID-19 eine wichtigere Rolle in Unternehmen

Als Reaktion auf die COVID-19-Pandemie setzen Unternehmen zunehmend auf Datenanalysen, um…
Cyber Security
Nov 06, 2020

Die Cybersicherheit neu überdenken

Mit Blick auf die aktuelle Situation hat das vielbekannte Kredo „Hoffe das Beste, plane…
Stonehenge
Okt 19, 2020

Der „tanzende Monolith“ ergänzt die moderne Microservices-Architektur

Microservices rangieren zurzeit weit oben in der Gunst der Software-Entwickler. Aber sie…

Weitere Artikel

Cyber Security

Wenige Branchen fühlen sich Herausforderungen der IT-Sicherheit gewachsen

Mit der zunehmenden Vernetzung und Digitalisierung wächst das Bedrohungspotenzial von Cyberattacken erheblich und das Risiko von Datenverlust und Datenmanipulation ist hoch. Wenige Branchen fühlen sich im Bereich IT-Sicherheit gut vorbereitet.
Cyber Security

So schützt sich die deutsche Wirtschaft gegen Diebstahl und Spionage

Diebstahl, Spionage und Sabotage können jedes Unternehmen treffen und zu einer existenziellen Gefahr werden. Doch nur die Hälfte der Betriebe im Land verfügt über geregelte Abläufe und Sofort-Maßnahmen, also ein Notfallmanagement, für den Ernstfall.
Cyber Security

3 aktuelle Faktoren, die die IT-Security beeinflussen

Der Oktober steht ganz im Zeichen der Cybersecurity, um Nutzer daran zu erinnern, im Internet vorsichtig mit ihren Daten umzugehen. Nie war diese Warnung so nötig wie heute – immer mehr Menschen nutzen immer mehr digitale Dienste.
Laptop

Fast jeder zweite in Deutschland ist online unsicher unterwegs

Die neue Bitdefender-Studie 2021 Bitdefender Global Report: Cybersecurity and Online Behaviors beleuchtet das Sicherheitsverhalten von Verbrauchern in elf Ländern, darunter auch Deutschland. Auch wenn deutsche Verbraucher im Vergleich zu den Befragten in…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.