APIs verbinden zahlreiche Webtechnologien: „as a Service“-Modelle, mobile Applikationen und das Internet der Dinge (IoT) setzen die Application Programming Interfaces vermehrt ein, um Dienste und Daten sowohl intern als auch extern bereitzustellen. Was aber tun, wenn die Zahl der APIs und das damit einhergehende Angriffsrisiko explosionsartig steigen?

Was ist API Security?

Unternehmen aller Art nutzen Application Programming Interfaces (API), um die Konnektivität und Kompatibilität von Webtechnologien zu verbessern. So definieren APIs als Backend-Rahmen, wie Daten von einem Host bereitgestellt und durch einen Client empfangen und verarbeitet werden. Sie ermöglichen es, Informationen aus anderen Softwarekomponenten zu gewinnen und in eigene Anwendungen zu integrieren.

Dabei bezieht sich die API Security auf die Sicherheit der Dienste und Daten, die über diese Schnittstellen genutzt und übertragen werden. Oder genauer ausgedrückt: Sie soll Angriffe auf APIs verhindern oder zumindest abschwächen. Dazu umfasst eine ganzheitliche API Security sowohl die eigenen Application Programming Interfaces als auch externe oder solche APIs, die indirekt verwendet werden.

Warum ist die Absicherung der Schnittstellen so wichtig?

Als verbindendes Element stellen APIs einen starken Haupttreiber der digitalen Transformation dar. Für geschäftskritische und kundenorientierte Anwendungen, Entwicklungsumgebungen und Dienste von Drittanbietern sind sie essentiell wichtig. Auch mit der steigenden Nutzung des IoT (Internet of Things) und Industrial IoT nimmt die Anzahl der vernetzten Geräte und damit die der genutzten APIs stetig zu. Die Vorteile liegen vor allem in der Vereinfachung von Komplexität:

  • Komplexe Software lässt sich durch APIs modularisieren und dadurch vereinfachen.
  • Durch die Auslagerung einzelner Programmmodule ergibt sich eine saubere Gesamtstruktur.
  • Modularer Programmcode und APIs machen die Software weniger fehleranfällig und leichter wartbar.
  • APIs bieten die Möglichkeit der Auslagerung von Programmierarbeiten.
  • Der Einsatz einer API bietet Entwicklern gebrauchsfertige Technologien für ihre Anwendungen und spart Zeit und Geld bei der Markteinführung.

APIs sind oft unzureichend abgesichert

Bei allen Vorteilen hat die Medaille auch eine Kehrseite: Die massenhaft genutzten Programmierschnittstellen legen heute mehr sensible Daten und Geschäftslogiken als je zuvor offen. Oft wird auch versäumt, angemessene Zugriffsberechtigungen festzulegen, weshalb via APIs viel zu häufig auf alle Daten innerhalb der Anwendungsumgebung zugegriffen werden kann.

Den Kriminellen ist das natürlich nicht entgangen und so sind APIs in den letzten Jahren zu einem der Hauptziele der Angriffsbemühungen geworden. Daher kommt es mehr denn je auf die Absicherung eben dieser Schnittstellen an.

Gartner sagt voraus: API-Sicherheitsrisiko steigt enorm!

Laut Gartner nimmt die Zahl der API-Anfragen und damit auch die Menge der übertragenen Daten exponentiell zu, weshalb auch das Risiko für Cyberangriffe dementsprechend steigt. Während der API-Missbrauch jetzt schon ein häufig genutzter Angriffsvektor ist, hat das Beratungsunternehmen für die Zukunft folgende Prognosen erarbeitet:

  • Bis 2025 werden weniger als 50 % der Unternehmens-APIs verwaltet, da das explosive Wachstum der APIs die Fähigkeiten der API-Verwaltungstools übersteigt.
  • Bis 2025 werden mehr als 50 % der Unternehmen die Datenabfragesprache GraphQL in der Produktion einsetzen, während es im Jahr 2021 noch weniger als 10 % waren.
  • Bis 2025 wird der Prozentsatz der in Anwendungen verwendeten Drittanbieter-APIs von weniger als 10 % im Jahr 2021 auf durchschnittlich 30 % steigen, was die Verwaltung von Abhängigkeiten erschwert.
  • Die Anfragen von Gartner-Kunden im Zusammenhang mit APIs, einschließlich API-Sicherheit und -Verwaltung, sind im Vergleich zum Vorjahr um 33 % gestiegen.

Was in Sachen API Security wichtig ist

APIs sind vor allem wegen ihrer erforderlichen Sichtbarkeit angreifbar, weshalb ihr und der Schutz der mit ihnen verbundenen Daten und Services enorm wichtig ist. Eine wirksame API Security muss deshalb dafür sorgen, dass nur berechtigte Identitäten darauf zugreifen können und sensible Unternehmensdaten vor unberechtigten Zugriffen geschützt sind.

So sollten Unternehmen und Organisationen ihre APIs kontinuierlich schützen und härten – und zwar von der Beseitigung von API-Schwachstellen während der Build-Phase über die automatische Erkennung neuer und geänderter APIs bis hin zur Identifizierung und Unterbindung von Angriffen während der Laufzeit. Dazu müssen sie den Schutz für REST, GraphQL, SOAP und andere API-Typen über den gesamten Lebenszyklus sicherstellen.

Dabei haben sich die Angriffsmethoden geändert: Wenn früher traditionelle „One-and-Done“-Angriffe wie SQL Injection (SQLi) und Cross-Site-Scripting (XSS) im Fokus standen, verwenden Angreifer heute Tage, Wochen oder sogar Monate darauf, um APIs für bevorstehende Angriffe zu analysieren. Moderne Sicherheitslösungen nutzen daher Big Data im Cloud-Maßstab und KI/ML-Algorithmen, um alle APIs und exponierten sensiblen Daten automatisch zu erkennen, Angreifer zu identifizieren und zu blockieren.

Best Practices für mehr API-Sicherheit

Wirksame API Security beginnt mit einem umfassenden Verständnis für die Sicherheitsrisiken. Beantworten Sie daher folgende Fragen: Wie viele APIs haben wir? Welche APIs geben sensible Daten preis? Und sind die APIs angreifbar? Auf Basis Ihrer Erkenntnisse können Sie dann geigenete Maßnahmen treffen:

Alle APIs sicher verwalten: Investieren Sie in die Erkennung, Katalogisierung und Validierung Ihrer APIs und verwenden Sie einen adaptiven Governance-Ansatz, um eine breite Palette von Anwendungsfällen und API-Typen zu verwalten.

API-Sicherheitslage verbessern: Entwickeln Sie eine API-Sicherheitsstrategie, Sicherheitstests und Zugriffskontrollen auf der Basis von modernen Ansätzen und bewährten Anbieterlösungen.

Schwachstellen identifizieren: Halten Sie Betriebssysteme, Netzwerke, Treiber und API-Komponenten auf dem neuesten Stand. Behalten Sie auch den Überblick darüber, wie alles zusammen funktioniert und identifizieren Sie Schwachstellen, die Ihre APIs anfällig machen könnten.

Tokens einsetzen: Erstellen Sie vertrauenswürdige Nutzeridentitäten, indem Sie ihnen Tokens zuweisen und so den Zugriff auf APIs, Services und Ressourcen kontrollieren.

Verschlüsselung und Signaturen nutzen: Indem Sie Ihre Daten mit Protokollen wie TLS (Transport Layer Security) verschlüsseln und Signaturen nutzen, stellen Sie sicher, dass nur autorisierte User Daten entschlüsseln und modifizieren können.

Quotas und Throttling einsetzen: Konfigurieren Sie Quotas für die Anzahl der Aufrufe Ihrer APIs und überwachen Sie die Nutzung. Eine ungewöhnliche hohe Zahl an Aufrufen kann auf einen Missbrauch hinweisen. Mit zusätzlichen Throttling-Regeln (Drosselung) könne Sie APIs vor Spikes und Denial-of-Service-Attacken schützen.

API Gateway oder Protection Plattform einsetzen: API Gateways oder Protection Plattformen agieren als primäres Kontrollorgan im API-Datenverkehr. Sie ermöglichen nicht nur die Authentifizierung von Daten, sondern auch die Kontrolle und Nutzungsanalyse Ihrer APIs. Dabei können moderne Lösungen APIs bereits während der Erstellungsphase testen und in der Laufzeit Erkenntnisse gewinnen, um APIs zu härten.

Zero-Trust-Access nutzen: Das Zero-Trust-Sicherheitsmodell geht davon aus, dass jeglicher Datenverkehr nicht vertrauenswürdig ist ­– und zwar unabhängig davon, ob er über ihre APIs von innerhalb oder außerhalb eines Netzes kommt. Bevor der Datenverkehr also in oder durch das Netz fließen kann, müssen die Rechte des Benutzers oder jeweiligen Geräts vollständig authentifiziert sein.

Schnittstellen-Sicherheit ist wichtiger denn je

Klar: Mehr denn je sind APIs notwendig, damit Geschäftsprozesse die Agilität und Geschwindigkeit erhalten, die für Ihren Unternehmenserfolg erforderlich sind. Klarer denn je ist aber auch, dass APIs angesichts ihrer enorm steigenden Anzahl entsprechend verwaltet und abgesichert werden müssen, um kostspielige Sicherheitsvorfälle zu vermeiden.

Sie möchten mehr über API Security und moderne Sicherheitslösungen erfahren, die Ihre Schnittstellen-Sicherheit verbessern können? Dann zögern Sie nicht, mich jederzeit zu kontaktieren!

Ben Kröger | Technische Leitung Cyber Security Ben Kröger ist seit 2002 Senior Security Consultant und Leiter Support & Managed Service bei Axians IT Security. Seit 2014 verantwortet er gesamten technischen Bereich mit den Schwerpunkten Firewalling, Sandboxing, E-Mail-, Proxy- und Surf-Security.