ARTIKEL

Was ist API-Sicherheit?

Beim Thema API-Sicherheit geht es um den Schutz von APIs mithilfe von Sicherheitsverfahren und -maßnahmen, die darauf abzielen, Sicherheits-bedrohungen und Angriffe zu vermindern und zu verhindern.

Im Zuge der digitalen Transformation verlassen sich Unternehmen zunehmend auf APIs. Dieses exponentielle Wachstum von APIs hat viele Systeme für Datenschutzverletzungen anfällig gemacht, vor allem weil die sensiblen Daten, die durch APIs verfügbar gemacht werden, für Hacker attraktiv sind. API-Sicherheit ist daher so wichtig wie eh und je, um Schwachstellen und Sicherheitsrisiken zu beseitigen.

Warum ist API-Sicherheit wichtig?

Unternehmen nutzen APIs, um Daten auszutauschen und Dienste zu verbinden, sowohl für Kunden als auch zur Straffung interner Prozesse. APIs sind eine Sammlung von Protokollen und Subroutinen, die es Anwendungen ermöglichen, miteinander zu kommunizieren und Informationen auszutauschen. Viele APIs bestehen aus Teilen, die als Funktionen oder Abläufe fungieren. Entwickler können APIs verwenden, damit ihre Anwendung auf andere Produkte und Systeme zugreifen kann, ohne sie wissen müssen, wie diese Produkte und Systeme implementiert sind. Anwendungsprogrammierschnittstellen (APIs) sind allgegenwärtig und ermöglichen die gemeinsame Nutzung von Webdiensten auf der ganzen Welt. Infolgedessen hat die API-Sicherheit für fast jedes Unternehmen höchste Priorität.

Viele APIs werden verwendet, um potenziell sensible Daten wie Finanz-, Gesundheits- und persönliche Informationen auszutauschen. Das hat zur Folge, dass eine defekte, gehackte oder ungeschützte API erheblichen Schaden anrichten kann.

Im Jahr 2021 prognostizierte Gartner, dass bis 2022 API-Angriffe der häufigste Angriffsvektor sein werden, der Datenverletzungen bei Webanwendungen von Unternehmen verursacht. Die wachsende Anzahl von APIs sowie der exponentielle Anstieg der API-Nutzung haben diese Vorhersage für Unternehmen noch relevanter gemacht.

API-Management war früher etwas, das nur die „Großen“ brauchten, aber jetzt ist der Bedarf an Sicherheitsrichtlinien, die von API-Gateways und anderen Tools durchgesetzt werden, eine universelle Notwendigkeit. Durch den Schutz der exponierten Schichten einer API mithilfe von API-Sicherheitslösungen und Best Practices für das API-Management können Sie Angriffe abwehren und Ihr Unternehmen, Ihre Kunden, Ihre Daten und Ihren Gewinn schützen. 

Best Practices für die API-Sicherheit

Es gibt keine Einheitslösung für die API-Sicherheit. Um eine geeignete API-Sicherheitslösung zu implementieren, müssen Sie Ihre APIs, die von Ihnen verwendeten Drittanbieter-APIs sowie die Funktionalität und den Wert, den Ihre APIs für Ihr Unternehmen haben, vollständig verstehen. API-Sicherheit erfordert Zeit und Ressourcen, um sicherzustellen, dass sie korrekt umgesetzt wird und dies auch in Zukunft der Fall ist. Es spielt keine Rolle, ob Ihre API öffentlich zugänglich ist, nur mit Partnern geteilt wird oder intern ist. Alle APIs müssen sicher gemanagt werden, um Ihre Daten und andere Ressourcen vor Angriffen zu schützen. Jeder in einem Unternehmen – vom Entwickler bis zum CEO – muss sich seiner Rolle bei der Sicherung von APIs bewusst sein, um sicherzustellen, dass Ihre API-Sicherheitsstrategie erfolgreich umgesetzt werden kann.

API-Sicherheit 101 

Schauen Sie sich die Videoserie „API Cybersecurity 101“ der Software AG an, um mehr über bewährte Verfahren für API-Sicherheit, Grundlagen der API-Sicherheit, die Funktionsweise der API-Sicherheit und darüber zu erfahren, wie Sie sich mit den notwendigen Tools ausstatten können, um Ihre API-Systeme vor Angriffen zu schützen.

So schützen Sie Ihre APIs

Es gibt eine Reihe von Tools, mit denen Sie Ihr System bestmöglich vor einem Angriff durch API-Eindringlinge schützen können.

API-Gateway

Das API-Gateway ist das Herzstück Ihrer API-Sicherheit. Mit dem Gateway können Sie Ihre APIs ganz einfach erstellen, pflegen, überwachen und sichern. Ein API-Gateway bietet Schutz vor einer Vielzahl von Angriffen und kann API-Überwachung, Protokollierung und API-Ratenbegrenzung bereitstellen. API-Gateways können den Datenverkehr auf der Grundlage von IP-Adressen und anderen Daten einschränken, die Validierung von Sicherheitstoken übernehmen und vieles mehr.

Web Application Firewalls

Eine Web Application Firewall (WAF) steht zwischen dem öffentlichen Datenverkehr und Ihrem API-Gateway oder Ihrer Anwendung. WAFs können zusätzlichen Schutz gegen Bots bieten, indem sie bösartige Bots erkennen, Angriffssignaturen identifizieren und zusätzliche IP-Informationen liefern. Eine WAF ist nützlich, weil sie schädlichen Datenverkehr blockieren kann, bevor er überhaupt Ihr Gateway erreicht.

Sicherheitsanwendungen

Eigenständige Sicherheitsprodukte unterstützen eine Vielzahl von Funktionen, die in verschiedene Kategorien unterteilt sind, wie z. B. Echtzeitschutz, Scannen von statischem Code und Sicherheitslücken, Überprüfung der Build-Time und Security Fuzzing.

Sicherheit im Code

Sicherheitscode ist eine Form der Sicherheit, die intern in der API oder den Anwendungen selbst implementiert ist. Die Ressourcen, die erforderlich sind, um sicherzustellen, dass alle Sicherheitsmaßnahmen ordnungsgemäß in Ihrem API-Code implementiert sind, können jedoch nur schwer konsistent für Ihr gesamtes API-Portfolio angewendet werden.

Integration in API-Sicherheitsprodukte von Drittanbietern 

Wie bereits erwähnt, lassen sich API-Gateways gut in alle anderen Komponenten der API-Sicherheit integrieren und arbeiten gut mit ihnen zusammen, z.B. WAFs und eigenständige API-Sicherheitsprodukte. Bei der Analyse Ihres API-Ökosystems dürfen Sie die API-Integrationen und die APIs von Drittanbietern nicht vergessen, für die Sie Anwendungsintegrationen schaffen werden. Wenn diese Drittanbieter-APIs oder die Integrationen selbst nicht sicher sind, könnten Ihre Daten, internen Systeme und APIs gefährdet sein.

Die API-Sicherheitsprodukte, die die Sicherheit ihres API-Gateways ergänzen, werden oft in Kategorien eingeteilt, die auf „Shift Left, Shield Right“ basieren.

"Shift Left"

„Shift Left“ bedeutet, dass Sie Ihren Sicherheitsschwerpunkt auf den Beginn des API-Lebenszyklus-Prozesses verlagern und ihn in das Design und die Entwicklung einer API integrieren. Dieser Ansatz trägt dazu bei, die API in jeder Phase ihres Lebenszyklus bis hin zu ihrer Stilllegung zu schützen.

"Shield Right" 

„Shield Right“ bedeutet, dass Sie Ihre APIs auch während der Laufzeit und darüber hinaus schützen müssen. Auf diese Weise können Sie unbekannte Angriffe mit einer Kombination aus KI/ML und definierten Algorithmen und Richtlinien abwehren.

Herausforderungen bei der API-Sicherheit

Laut einer Gartner-Umfrage unter CIOs und technischen Führungskräften stehen Cyber- und Informationssicherheit ganz oben auf der Liste der geplanten Investitionen im Jahr 2022. Dies ist nicht überraschend, da Geschäftsführer den Druck spüren, Budget und Ressourcen in Cybersicherheit zu stecken, um ihre APIs, Daten, Kunden und den Ruf ihrer Unternehmens zu schützen.

Da API-Sicherheit ein bewegliches Ziel ist, ist es wichtig zu wissen, dass das Produkt oder die Produkte, die Sie verwenden, auf dem neuesten Stand bleiben, um Ihre APIs vor den neuesten Schwachstellen zu schützen. Für viele Unternehmensleiter ist es eine Herausforderung, ihre APIs zu schützen, da diese so allgegenwärtig sind. Ein Blick auf die OWASP Top-Ten der API-Sicherheitsschwachstellen kann Ihnen dabei helfen, eine optimale API-Sicherheitsstrategie zu formulieren.

Was sind die OWASP-Top-Ten?

OWASP, das Open Web Application Security Project, ist eine internationale Non-Profit-Organisation, die sich der Sicherheit von Webanwendungen widmet. Am bekanntesten ist die Organisation wahrscheinlich für ihre wiederkehrende Top-10-Liste der Web-Schwachstellen. Aber zusätzlich zu ihren Listen von Web-Schwachstellen hat die Organisation auch eine Top-10-Liste für API-Sicherheit herausgebracht. Diese Top-10-Schwachstellen werden im Folgenden beschrieben, einschließlich der Möglichkeiten zum Schutz Ihrer APIs vor diesen. Dies sind wichtige Faktoren, die bei der Entwicklung einer API-Sicherheitsstrategie für Ihr Unternehmen zu berücksichtigen sind.

API1:2019 Fehlerhafte Autorisierung auf Objektebene

Wenn ein Angreifer die ID in einem API-Aufruf durch eine andere ID ersetzt und so Zugriff auf Daten erhält, wird dies als Broken Object Level Authorization (BOLA, Fehlerhafte Autorisierung auf Objektebene) bezeichnet. Ein Beispiel hierfür ist das Ersetzen von /api/bank/account/123 durch /api/bank/account/124. Alle Ressourcen müssen Berechtigungsprüfungen durchführen, bevor sie Zugriff gewähren. Die Verwendung eines API-Gateways kann eine hochgradig granulare Zugriffskontrolle bieten, die notwendig ist, um Probleme bei der Zugriffskontrolle zu vermeiden.

API2:2019 Fehlerhafte Benutzerauthentifizierung

Bei APIs, die keine sichere Authentifizierung verwenden, besteht die Gefahr, dass Angreifer ihr System mit diesem Exploit kompromittieren. Ein API-Gateway bietet zahlreiche Authentifizierungsverfahren, mit denen Sie das Risiko für Ihre APIs mindern können.

  • OpenID
  • Kerberos 
  • OAUTH 
  • JWT 
  • SAML 
  • Ausgehende Authentifizierung für Transport und Nachrichten
  • Benutzerdefinierte Assertionen
API3:2019 Übermäßige Datenpreisgabe

Häufig veröffentlicht eine API mehr Daten, als über den UI-Client angezeigt werden. Es ist wichtig, die Daten, die über die API veröffentlicht werden, zu bereinigen und zu filtern, da sie mit anderen Methoden eingesehen werden können. Ein API-Gateway kann Datenumwandlungs- und Datenmaskierungsfunktionen auf Ihre APIs anwenden.

API4:2019 Ressourcenmangel & Ratenbegrenzung 

Ohne angemessene Beschränkungen des Ressourcenzugriffs kann ein Angreifer Ihr API-System leicht überlasten. Mit Funktionen wie Ratenbegrenzung, Drosselung und anderen Richtlinien zum Schutz vor Bedrohungen in einem API-Gateway können Sie DoS-Versuche blockieren, große Nutzlasten begrenzen, SQL-Injektion verhindern, den Datenverkehr überwachen und andere Angriffe auf Ihre APIs und andere Ressourcen stoppen.

API5:2019 Fehlerhafte Autorisierung auf Funktionsebene 

Ähnlich wie bei BOLA (Broken Object Level Authorization) müssen API-Endpunkte, die für Verwaltungszwecke verwendet werden, sichere Autorisierungsrichtlinien verwenden. Beispielsweise kann es sein, dass ein Angreifer einen Admin-Endpunkt errät, und eine API kann sich nicht darauf verlassen, dass ein Client die Autorisierung implementiert. Die Sicherung von Admin-Endpunkten und -Ressourcen mit einer API-Verwaltungslösung schützt Ihre API-Ressourcen vor diesem Exploit.

API6:2019 Massenzuweisung 

In dem Bemühen, Daten von Clients umzuwandeln und zu binden, kann sich manchmal eine Schwachstelle bei Massenzuweisungen einschleichen. Dies geschieht, wenn eine API Daten vom Client erlaubt, Eigenschaften zu speichern, für die der Benutzer keine Berechtigung zur Aktualisierung haben sollte. Eine bewährte Methode zur Vermeidung dieses Problems besteht darin, nur Positivlisten anstelle von Negativlisten zu verwenden. Eine Möglichkeit, Ihre API und Daten besser vor dieser Gefahr zu schützen, ist es, die Eigenschaften, deren Aktualisierung zulässig ist, mithilfe der Richtliniendurchsetzung in der API-Managementlösung genau festzulegen.

API7:2019 Fehlerhafte Sicherheitskonfiguration 

Eine fehlerhafte Sicherheitskonfiguration ist wahrscheinlich eines der häufigsten Probleme, die zu Sicherheitslücken führen. Auch wenn menschliches Versagen schwer zu verhindern ist, kann ein API-Gateway einen Teil dieser Verantwortung auf gemeinsam genutzte und globale Sicherheitsrichtliniendefinitionen verlagern, die auf große Sammlungen von APIs angewendet werden können – und so dieses Sicherheitsproblem vermeiden.

API8:2019 Code-Injektion 

API-Angriffe können in Form von Schadcode erfolgen, mit dem ein Client versucht, eine API zur Auftragsausführung zu verleiten. APIs müssen oft unbekannte Daten interpretieren, und eine Schwachstelle kann ausgenutzt werden, wenn die API diesen Code blindlings ausführt. Es ist wichtig, dem API-Client niemals zu vertrauen, auch nicht den internen Nutzern. Durch die Definition von Datentypen in Schemata und die Validierung aller Anfragen mithilfe von Bedrohungsschutzrichtlinien, die von Ihrem API-Gateway definiert werden, können Sie SQL-Injektionsangriffe und andere Angriffsarten verhindern.

API9:2019 Unsachgemäßes Asset-Management 

Produktions-APIs sind nicht der einzige Oberflächenbereich, den Sie schützen müssen. Es gibt mehrere Arten von APIs, die Sie möglicherweise ausführen und die einem Angreifer Zugang zu wertvollen Daten auf Ihrem System verschaffen könnten. Einige davon kennen Sie wahrscheinlich sehr gut:

  • Öffentliche APIs (oder externe APIs)
  • Interne APIs
  • Partner-APIs
  • APIs von Drittanbietern
  • Zusammengesetzte APIs

Einige der anderen Arten von APIs sind Ihnen vielleicht weniger vertraut:

  • Beta-APIs: Nicht-Produktionsversionen von APIs wie Alpha, Beta, Testing, Staging und andere. Da diese Versionen nicht öffentlich sind, müssen sie möglicherweise noch nicht über sichere Schnittstellen verfügen. Das bedeutet aber nicht, dass auf sie nicht zugegriffen werden kann.
  • Shadow APIs: Interne oder öffentliche APIs, die Sie erstellt haben und verwenden, aber versuchen, aus dem Blickfeld zu halten. Für Hacker ist nichts jemals „aus dem Blickfeld“. Sie können sogar davon ausgehen, dass sie sich bereits innerhalb Ihrer Firewall befinden und auf eine Gelegenheit warten, um in Ihre Systeme und Daten einzubrechen.
  • Zombie APIs: APIs, die zwar funktionieren und verwendet werden, aber nicht aktualisiert wurden und wahrscheinlich veraltete Sicherheitsfunktionen verwenden. Jüngste Sicherheitslücken in log4j verdeutlichen das Risiko von nicht gewartetem Code und die Auswirkungen, die er haben kann
  • Frankenstein APIs: Inoffizielle APIs, die zusammengehackt wurden, um Systeme zu scrapen, die keine echten APIs bereitstellen. Das Zusammenhacken von Lösungen, bei denen der wesentliche Schritt der Implementierung angemessener Sicherheit übersprungen wird, gefährdet Ihre Lösungen und potenziell Ihr Unternehmen.
API10:2019 Unzureichende Protokollierung und Überwachung 

Die meisten Studien zu Sicherheitsverletzungen zeigen, dass es mehr als 200 Tage dauert, bis eine Sicherheitsverletzung entdeckt wird, wobei diese in der Regel von externen Parteien und nicht durch interne Prozesse oder durch Überwachung entdeckt wird. Ohne angemessene Protokollierung und Überwachung können Angriffe auf Ihre APIs und Daten unbemerkt bleiben. Durch die Implementierung von Richtlinien zur Überwachung des Datenverkehrs über Ihr API-Gateway können Sie die Leistungsbedingungen während der Laufzeit überwachen, Grenzwerte für Dienstaufrufe durchsetzen und Warnungen senden, wenn die Bedingungen verletzt werden. Stellen Sie gegebenenfalls auch sicher, dass Ihre Protokolle von sensiblen Informationen bereinigt und so formatiert werden, dass andere Protokollierungs- und API-Sicherheits-Tools sie nutzen und verarbeiten können.

Verbessern Sie Ihre API-Sicherheit noch heute

Als einer der weltweit führenden Anbieter von API-Management- und Integrationslösungen weiß die Software AG, wie wichtig die Implementierung einer hochwertigen API-Sicherheitsstrategie ist.

Software AG webMethods bietet eine API-Sicherheitslösung, die in andere API-Sicherheitsprodukte integriert werden kann, um die Cybersecurity-Strategie Ihres Unternehmens zu unterstützen. Der ganzheitliche Ansatz für das API-Management, den webMethods bietet, macht es zur idealen API-Sicherheitslösung, unabhängig davon, welche anderen Produkte Sie einsetzen.

Die API-Sicherheitslösung der Software AG 

Eine effektive API-Sicherheitslösung beginnt mit einem richtig konfigurierten API-Gateway. Die API-Managementplattform von webMethods bietet eine robuste Lösung für die sichere Verwaltung Ihres API-Portfolios dank:

  • Verwendung der Ratenbegrenzung zum Schutz von API-Ressourcen
  • Definieren der Zugriffskontrolle über APIs durch die Verwendung von Gateway-Richtlinien
  • Überwachung Ihrer APIs mit umfassender Analytik, Durchsetzung der Autorisierung durch OAuth und andere Methoden
  • Schutz vor DDoS- und anderen Angriffen
  • Sicherstellung von Datenschutz und Integrität durch moderne Verschlüsselungsstandards

Erfahren Sie hier mehr darüber, wie die Software AG Ihre APIs und Integrationen schützt. Mehr über API-Sicherheit erfahren Sie auch in unserer Videoserie auf YouTube.

                Der nächste Schritt
            

BLOG
Zehn wichtige API-Integrationstrends für 2022
Erfahren Sie, warum APIs die Welt im Sturm erobern und auf welche wichtigen Trends Sie im Jahr 2022 und darüber hinaus achten müssen, wenn sie sich weiterentwickeln.
API Management
Erfahren Sie mehr über webMethods API-Management
Finden Sie in The Forrester Wave™: API Management Solutions, Q3 2022 eine Plattform, die Ihren Anforderungen entspricht
Auszeichnungen
Vergleich von API-Management-Lösungen
Wir hören nie auf zu erfinden, damit wir gemeinsam das Leben in einer wirklich vernetzten Welt verbessern.

                Ähnliche Blogbeiträge
            

BLOG
Sie halten Ihre APIs für sicher?
Erfahren Sie, was API-Sicherheit ist und wie Sie Systeme vor Angriffen von API-Hackern und Eindringlingen schützen.
BLOG
Schützen Sie Ihre APIs vor Angreifern
Warum sind APIs gefährdet? Die Partnerschaft der Software AG mit Salt Security ist ein Beispiel dafür, wie wir uns mit dem wachsenden Problem der API-Sicherheit befassen.
BLOG
Was tun Sie für die API-Sicherheit?
Lesen Sie, wie die Software AG eine API-Sicherheitslösung anbietet, die mit anderen API-Sicherheitsprodukten integriert werden kann, um Ihre Cybersicherheitsstrategie zu unterstützen.
BLOG
API-Sicherheitslektionen von Sherlock Holmes
Meistern Sie Ihre eigene API-Sicherheit anhand von drei Prinzipien und bewährten Verfahren.
ICS JPG PDF WRD XLS