Was ist API Security? Warum ist Schnittstellen-Sicherheit so wichtig? Und mit welchen Best Practices lässt sie sich steigern?

Warum API Security mehr Aufmerksamkeit braucht

Für das Internet und moderne Webservices bilden Application Programming Interfaces (APIs)  das verbindende Fundament. Aber so wie Anwendungen, Netzwerke und Server angegriffen werden, können auch Application Programming Interfaces einer Reihe an Bedrohungen zum Opfer fallen.

Die Voraussage von Gartner, dass die Ausnutzung von API-Schwachstellen eine der größten Cyber-Bedrohungen für das Jahr 2022 sein würde, hat sich als richtig erwiesen: Im ersten Quartal 2022 gab es in puncto API-Exploits einen 286-prozentigen Anstieg zu verzeichnen, der sich im Laufe des Jahres nur noch fortsetzte.

APIs sind unverzichtbar – müssen aber entsprechend gesichert sein

Damit ist klar: In einer von Cloud- und Microservices geprägten Welt stellen APIs zwar einen Haupttreiber der digitalen Transformation dar – jedoch müssen wir auch die Sicherheit der Application Programming Interfaces verbessern, da auch sie anfällig für Angriffe sind.

Dabei rücken die Angreifer verstärkt von traditionellen „One-and-Done“-Attacken ab. Vielmehr werden heute Schwachstellen in der Geschäftslogik von APIs gesucht und ausgenutzt. Denn wenn eine API einzigartig ist, muss es auch die Angriffstaktik sein. So werden oft mehrere Tage, Wochen oder sogar Monate auf die API-Analyse verwendet, um dann unter dem Radar herkömmlicher Sicherheitstools anzugreifen. Aber fangen wir bei grundlegenden Fragen an.

Was sind APIs?

Unternehmen aller Art nutzen Application Programming Interfaces (API), um die Konnektivität und Kompatibilität von Webtechnologien zu verbessern. Dabei legen APIs fest, wie Daten von einem Host bereitgestellt und vom Client empfangen und verarbeitet werden. So erleichtern die Programmierschnittstellen das Abrufen von Informationen aus anderen Softwarekomponenten und deren Integration in eigene Anwendungen.

Was ist API Security?

API Security bezieht auf die Sicherheit der Dienste und Daten, die über die Programmierschnittstellen genutzt und übertragen werden. Dabei dienen verschiedene Maßnahmen wie etwa die Verschlüsselung oder Authentifizierung dazu, Angriffe auf APIs verhindern oder zumindest abzuschwächen. Dazu umfasst eine ganzheitliche API Security nicht nur die eigenen Application Programming Interfaces, sondern auch externe oder solche APIs, die indirekt verwendet werden.

Warum ist API-Sicherheit so wichtig?

Da kompromittierte, ungeschützte oder gehackte APIs eine Hauptursache für gravierende Datenverluste sind, ist die Bedeutung der API-Sicherheit kaum zu überschätzen. Denn bei ungenügend geschützten Schnittstellen besteht ein großes Risiko, dass heikle Informationen wie medizinische, finanzielle und persönliche Daten an die Öffentlichkeit gelangen.

Es ist jedoch zu beachten, dass nicht alle Daten gleichartig sind oder denselben Schutzlevel benötigen. Daher sollte die eigene API-Sicherheitsstrategie stets auf der Art der übertragenen Daten basieren. Deshalb ist es bei der Verknüpfung einer API mit einer Anwendung von Drittanbietern auch essenziell wichtig, zu verstehen, wie diese die Daten ins Internet zurücksendet.

REST API Security vs. SOAP API Security

In der Praxis werden vorwiegend zwei Arten von APIs unterschieden: REST (Representational State Transfer) und SOAP (Simple Object Access Protocol).

REST APIs bedienen sich des HTTP-Protokolls und unterstützen die TLS-Verschlüsselung (Transport Layer Security), um die übermittelten Daten zu sichern. Dabei gewährleistet TLS, dass die Daten zwischen den Systemen verschlüsselt übertragen werden und unverändert bleiben. Wenn also jemand versucht, Daten bei der Übertragung zu entwenden, kann er diese weder lesen noch abändern.

SOAP APIs verfügen hingegen über integrierte Sicherheitsprotokolle namens Web Services Security (WS-Security), die spezifische Regeln für Vertraulichkeit und Authentifizierung festlegen. Sie halten sich an die Standards internationaler Normierungsinstanzen wie OASIS (Organization for the Advancement of Structured Information Standards) und W3C (World Wide Web Consortium). Zur sicheren Authentifizierung und Autorisierung kommt oft eine Kombination aus XML-Verschlüsselung, XML-Signaturen und SAML-Tokens zum Einsatz.

Aufgrund ihrer umfassenden Sicherheitsvorkehrungen eignen sich SOAP APIs besonders für Organisationen, die mit hoch sensiblen Daten arbeiten. Allerdings erfordern sie auch einen höheren Verwaltungsaufwand.

Vier API-Sicherheitsrisiken, die Sie kennen sollten

Ganz gleich, ob REST oder SOAP APIs genutzt werden – beide Schnittstellen sind durch Sicherheitsrisiken in ihrer Funktionalität bedroht. Hier sind einige der wichtigen API-Sicherheitsrisiken, auf die Sie achten sollten:

1. Injektionsangriffe

API-Injektionsangriffe erfolgen, wenn Angreifer schädliche Daten oder Befehle über eine API in eine Anwendung einschleusen, um diese zu kompromittieren. Beispiel Cross-Site Scripting (XSS): Wenn Daten zwischen Client und dem Server via API übertragen werden, können Angreifer schädlichen JavaScript-Code einschleusen, der dann im Browser eines Benutzers ausgeführt wird.

2. Fehlerhafte Authentifizierung

Da die Authentifizierung oftmals als Eingangspforte zu einer Anwendung dient, stellt sie auch für API-Angriffe ein attraktives Ziel dar. Wenn ein Authentifizierungsprozess also Mängel aufweist oder anfällig ist, ist es sehr wahrscheinlich, dass Angreifer diese Schwachstelle identifizieren und ausbeuten.

3. Fehlkonfigurierte Sicherheitseinstellungen

Wenn eine API nicht mit den richtigen Sicherheitseinstellungen konfiguriert ist, besteht ebenfalls ein großes Risiko, dass dies ausgenutzt wird. Regelmäßige Sicherheitsbewertungen und eine ordnungsgemäße Konfiguration aller Sicherheitseinstellungen können dieses Risiko mindern.

4. Unzureichende Verschlüsselung

Wenn die Datenübertragung zwischen der API und den Clients oder anderen Systemen nicht ausreichend verschlüsselt ist, können sensible Daten während der Übertragung abgefangen und eingesehen werden.

Was sind Best Practises für die API-Sicherheit?

Die konkreten Maßnahmen und Technologien für mehr API-Sicherheit können je nach spezifischem Anwendungsfall und technischem Kontext variieren. Wir empfehlen, sich auf bewährte Industriestandards und Best Practices wie der OWASP API-Security Top 10 zu beziehen, um ein hohes Maß an Sicherheit zu gewährleisten.

Schwachstellen identifizieren: Um eine API effektiv zu sichern, sollte man den gesamten Lebenszyklus betrachten: Die API sollte wie ein Software-Artefakt behandelt werden, das alle Phasen eines Softwareprodukts durchläuft – von der Planung über die Entwicklung, das Testen, das Staging und die Produktion.

Authentifizierung und Autorisierung: Durch Authentifizierung können nur legitime Personen auf eine API zugreifen. Die Autorisierung stellt hingegen sicher, dass nur die Personen auf bestimmte Teile der API zugreifen können, für die sie die entsprechenden Rechte haben.

TLS-Verschlüsselung: Der Verschlüsselungsmechanismus Transport Layer Security (TLS) ist wichtig, um die übertragenen Daten zwischen Client und Server zu schützen.

Ratenbegrenzung und Quotierung: Durch die Beschränkung der Anzahl der Anfragen, die ein Benutzer in einem bestimmten Zeitraum stellen kann, können Denial-of-Service-Angriffe (DoS) verhindert werden.

Eingabevalidierung: Um SQL-Injection, Cross-Site Scripting (XSS) und andere Injection-Angriffe zu verhindern, sollen die Eingaben stets auf ihre Richtigkeit validiert werden.

Fehlerbehandlung: Fehlermeldungen sollten nicht zu viele Details preisgeben, da sie sonst Informationen liefern könnten, die für böswillige Akteure nützlich sind.

Logging und Überwachung: Ein umfassendes Logging und Überwachungssystem kann helfen, Anomalien und potenzielle Sicherheitsvorfälle schnell zu identifizieren.

API Gateway: Ein API Gateway kann als zusätzliche Sicherheitsschicht dienen und viele der oben genannten Sicherheitsaspekte verwalten.

Sicherheitstests und Codeüberprüfungen: Regelmäßige Sicherheitstests und Codeüberprüfungen sind entscheidend, um Sicherheitslücken zu identifizieren und zu beheben.

OAuth und OpenID Connect: Diese Standards für die Token-basierte Authentifizierung und Autorisierung sollten in den meisten API-Sicherheitsarchitekturen zum Einsatz kommen.

API Security ist Schlüsselfaktor für moderne Sicherheit

Sie sehen: Die Anzahl der API-Anfragen sowie das Volumen der darüber übermittelten Daten hat in den letzten Jahren exponentiell zugenommen – parallel dazu steigt auch das Risiko durch Malware-Attacken und Hacks.

So wird die Schnittstellen-Absicherung zu einer Schlüsselkomponente der eigenen Anwendungssicherheit. Neben dem Einsatz geeigneter Maßnahmen sollten Sie Ihre APIs aber auch regelmäßig testen, um Schwachstellen zu identifizieren und die API-Sicherheit zu steigern.

Apropos Sicherheit: In eigener Sache möchten wir noch auf den ECSM (European Cyber Security Month) hinweisen, der im Oktober stattfindet und den wir mit unserem Experten-Know-how begleitet haben.