Mobile-Menu

Leitfaden zur API-Sicherheit für CISOs APIs – ein Risiko für Sicherheits­ver­ant­wort­liche

Von Daniel R. Wolf

Anbieter zum Thema

Es ist eine Balanceakt: Sicherheitsverantwortliche müssen das Unternehmen vor Sicherheitsrisiken schützen und gleichzeitig schnelle Umsetzungen wichtiger Funktionalitäten ermöglichen. Doch die Application Programming Interfaces (APIs), die dafür notwendig sind, schaffen eine neue kritische Angriffsfläche und riskieren, dass Daten offengelegt werden.

In einer Zeit, in der die Cybersicherheit zum entscheidenden Thema geworden ist, sind APIs oft das schwächste Glied in IT-Systemen.
In einer Zeit, in der die Cybersicherheit zum entscheidenden Thema geworden ist, sind APIs oft das schwächste Glied in IT-Systemen.
(Bild: Murrstock - stock.adobe.com)

APIs wurden speziell für Dienste entwickelt, die wichtige Daten mit Kunden, Partnern und Mitarbeitern austauschen. Unternehmen verfügen heute über Tausende von APIs, die sich laufend ändern. APIs werden darüber hinaus für die Integration externer Partner- sowie Kundenkanäle genutzt und ermöglichen neue, transformative und mobile Online-Dienste. Dabei erleichtern sie aber den Zugang zu hochsensiblen Informationen, wie personenbezogene oder medizinische Daten, Finanzdaten und ähnliche. Da APIs den Schlüssel zu einem Schatz an Daten enthalten, sind sie ein attraktives Ziel für Angreifer geworden.

Viele Unternehmen mussten es bereits am eigenen Leib erfahren, darunter so namhafte Firmen wie Experian, Facebook und Peloton. API-Angriffe können das Vertrauen der Kunden mindern, Umsatzeinbußen verursachen und den Ruf eines Unternehmens unwiderruflich schädigen. Im Fall der Krypto-Börsenplattform Coinbase hätte die API-Schwachstelle das Unternehmen in den Ruin treiben können, wenn sie nicht entdeckt worden wäre: Dank einer Sicherheitslücke war es einem Angreifer gelungen, die Konten mehrerer Benutzer zu übernehmen und Kryptocoins zu verkaufen, die ihm gar nicht gehörten. Coinbase reagierte schnell und konnte so Schlimmeres verhindern.

API-Angriffe sind schwer zu identifizieren

Trotz dieser Risiken sind APIs in vielen Unternehmen auch heute noch unzureichend geschützt. In der neuesten Ausgabe des halbjährlich erscheinenden “State of the API-Security”-Reports berichten die API-Sicherheitsexperten von Salt Security, dass mehr als ein Drittel der Unternehmen keine API-Sicherheitsstrategie hat. Gleichzeitig gaben 95 Prozent der befragten Unternehmen an, in den letzten 12 Monaten einen API-Sicherheitsvorfall gehabt zu haben.

API-Angriffe basieren auf einer Reihe von zusammenhängenden Ereignissen. Herkömmliche Sicherheitsmaßnahmen, wie zum Beispiel Web Application Firewalls (WAF), betrachten jedoch eine Transaktion nach der anderen und können nur bekannte Angriffspfade erkennen. Jede APIs hat eine einzigartige Logik und Angreifer erkunden sie zunächst Schritt für Schritt. Solche “langsamen” Aktivitäten erkennt eine WAF nicht als Gefahr, erst recht nicht, wenn keine weiteren Informationen zur Verfügung stehen. Um Bedrohungen zu erkennen und abzuwehren, müssen Sicherheitsverantwortliche die Möglichkeit haben, alle Aktivitäten zu sehen und im Kontext zu betrachten.

Sogar wenn APIs so verwendet werden, wie ursprünglich gedacht, kann daraus ein Sicherheitsrisiko entstehen. Bei dem Sicherheitsvorfall, der sich beim Fitness-Dienstleister Peleton ereignete, sah das – vereinfacht dargestellt – so aus: Die Anwendung auf dem Fitnessgerät, welches beim Nutzer zuhause steht, stellt Anfragen über eine API an die Peleton-Server. Die angeforderten Daten werden über die API zurück ans Frontend geleitet. Dabei gab die API allerdings mehr Daten frei, als eigentlich gewünscht. Unsauberheiten in der Programmierung hatten zu dieser Schwachstelle geführt, die im “API Security Top 10”-Report des OWASP (Open Web Application Security Project) als Excessive Data Exposure definiert wird. Denn Angreifer nutzten redundante Daten, um weitere sensible Daten zu extrahieren.

Die 3 Säulen der API-Sicherheit

Durch die schnelle Entwicklung wächst die Angriffsfläche durch APIs ständig. Um diese sich entwickelnde Landschaft effektiv zu schützen, benötigen Sicherheitsverantwortliche eine API-Sicherheitslösung, die die folgenden drei Funktionen bietet:

  • Automatische Einsicht in den gesamten API-Verkehr
  • Kontinuierliche Analyse zur Laufzeit
  • Maßnahmen für proaktive Sicherheit

Vollständige Transparenz des API-Verkehrs

Systeme, Anwendungen und APIs sowie die Daten, mit denen sie interagieren, verteilen sich über mehrere Umgebungen. Sicherheitsverantwortliche brauchen einen Einblick in alle APIs innerhalb und zwischen allen Umgebungen sowie Anwendungen des Unternehmens, um sie schützen zu können. Mit einer exakten Bestandsaufnahme, die regelmäßig wiederholt wird, können Sicherheitsverantwortliche blinde Flecken beseitigen und dauerhaft vermeiden. Ohne eine solche Bestandsaufnahme wird es für den CISO schwer, die gesamte Gefährdung des Unternehmens zu verstehen und Prioritäten für das Risikomanagement setzen.

Kontinuierliche und dynamische Analyse zur Laufzeit

Sicherheitsteams benötigen eine realistische Einschätzung, was als normaler API-Verkehr gelten kann, um Missbrauch oder Angriffe zu erkennen. Bei APIs handelt es nicht nur um reinen Code, in dem Codefehler bei der Entwicklung und beim Testen erkennbar sind. Vielmehr geht es um die Bildung mehrerer Instanzen der Geschäftslogik. Deshalb müssen Sicherheitsverantwortliche APIs in Aktion sehen, um Schwachstellen in dieser Logik zu finden. Das Erkennen von Mustern während der Laufzeit hilft, den Datenverkehr in seinem entsprechenden Kontext zu betrachten und so bösartige Aktivitäten besser zu identifizieren.

Maßnahmen für proaktive Sicherheit

Diese Erkenntnisse aus der Laufzeit und das Wissen um wirksame Abwehrmaßnahmen sollten Sicherheitsverantwortliche in die API-Entwickler-Teams einbringen. Risiken werden so identifiziert, bevor ein Angreifer sie ausnutzen konnte. Gerade in Teams, die DevOps-Methoden nutzen, hilft dies, schon im Development-Prozess einen stärkeren Fokus auf die Sicherheit zu legen und bessere APIs zu entwickeln.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Nutzung von Automatisierung, Big Data und Intelligenz

Um das exponentielle API-Wachstum zu unterstützen, benötigen Unternehmen Lösungen, die in bestehende DevOps- und SecOps-Workflows integriert werden können. Die Erkennung von APIs und von Anomalien sowie die Weitergabe von Erkenntnissen darüber, wie Probleme behoben werden können, sollten automatisch in die CI/CD- und Incident Response-Systeme einfließen.

Um den für die genaue Identifizierung von API-Angriffen erforderlichen Kontext zu erhalten, müssen API-Sicherheitslösungen große Datenmengen (Big Data) mit Hilfe von künstlicher Intelligenz (KI) und Maschine Learning (ML) analysieren. API-Angriffe finden über Tage, Wochen oder Monate statt, da böswillige Akteure die Funktionsweise der APIs akribisch untersuchen müssen, um Fehler in der Geschäftslogik zu finden. API-Sicherheitslösungen müssen in der Lage sein, große Datenmengen über einen langen Zeitraum zu verarbeiten, um Angriffsdaten von normalem Datenverkehr zu unterscheiden. Nur Big Data, gespeichert in einer hochskalierbaren Cloud-Umgebung, kombiniert KI- und ML-Algorithmen, bietet die Möglichkeit, Millionen von Nutzern über Tage, Wochen oder Monate parallel zu verfolgen.

Lücken in der API-Sicherheit gefährden das Geschäft

In einer Zeit, in der die Cybersicherheit zum entscheidenden Thema geworden ist, sind APIs schwächste Glied in IT-Systemen. Ohne API-Sicherheit können Unternehmen die digitale Transformation nicht umsetzen. Schlimmer noch: API-Schwachstellen gefährden potenzielle Geschäftsgewinne. Sicherheitsverantwortliche müssen sich der Bedrohungen bewusst sein, das Geschäft im Auge behalten und proaktiv handeln. Durch die Implementierung eines speziellen API-Sicherheitsprogramms können Sicherheitsverantwortliche das Unternehmen dabei unterstützen, digitale Innovationen zu beschleunigen, eine sicherheitsorientierte Kultur aufzubauen.

Über den Autor

Daniel R. Wolf ist Regional Director DACH bei Salt Security.

(ID:48972038)