Leitfaden zur API-Sicherheit für CISOs

Warum APIs das größte Risiko für Sicherheitsverantwortliche darstellen.

• Warum müssen APIs geschützt werden?
• Warum sind API-Angriffe schwer zu identifizieren?
• Welche Maßnahmen gibt es zum Aufbau einer API-Sicherheitsstrategie?
• Welche Rolle spielen Automatisierung, Big Data und KI in diesem Kontext?

Es ist eine Balanceakt: Sicherheitsverantwortliche (CISO, Chief Information Security Officer) müssen das Unternehmen vor Sicherheitsrisiken schützen und gleichzeitig die erforderliche schnelle Markteinführung wichtiger Initiativen ermöglichen. Das gilt erst recht im Zuge der Digitalen Transformation – ist sie doch die Voraussetzung dafür, um Prozesse effizient miteinander zu integrieren, wettbewerbsfähig zu bleiben und digitale Geschäftsmodelle umzusetzen. Doch die Application Programming Interfaces (APIs), die dafür notwendig sind, schaffen eine neue kritische Angriffsfläche und risikieren, dass Daten offengelegt werden.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

APIs sind der Schlüssel zu begehrten Daten

APIs wurden speziell für Dienste entwickelt, die wichtige Daten mit Kunden, Partnern und Mitarbeitern austauschen. Unternehmen verfügen heute über Tausende von APIs, die sich laufend ändern. APIs werden darüber hinaus für die Integration externer Partner- sowie Kundenkanäle genutzt und ermöglichen neue, transformative und mobile Online-Dienste. Dabei erleichtern sie aber den Zugang zu hochsensiblen Informationen, wie personenbezogene oder medizinische Daten, Finanzdaten und ähnliche. Da APIs den Schlüssel zu einem Schatz an Daten enthalten, sind sie ein attraktives Ziel für Angreifer geworden.

Viele Unternehmen mussten es bereits am eigenen Leib erfahren, darunter so namhafte Firmen wie Experian, Facebook und Peloton. API-Angriffe können das Vertrauen der Kunden mindern, Umsatzeinbußen verursachen und den Ruf eines Unternehmens unwiderruflich schädigen. Im Fall der Krypto-Börsenplattform Coinbase hätte die API-Schwachstelle das Unternehmen in den Ruin treiben können, wenn sie nicht entdeckt worden wäre: Dank einer Sicherheitslücke war es einem Angreifer gelungen, die Konten mehrerer Benutzer zu übernehmen und Kryptocoins zu verkaufen, die ihm gar nicht gehörten. Coinbase reagierte schnell und konnte so Schlimmeres verhindern.

API-Angriffe sind schwer zu identifizieren

Trotz dieser Risiken sind APIs in vielen Unternehmen auch heute noch unzureichend geschützt. In der neuesten Ausgabe des halbjährlich erscheinenden „State of the API-Security”-Reports¹ berichten die API-Sicherheitsexperten von Salt Security, dass mehr als ein Drittel der Unternehmen keine API-Sicherheitsstrategie hat. Gleichzeitig gaben 95 Prozent der befragten Unternehmen an, in den letzten zwölf Monaten einen API-Sicherheitsvorfall gehabt zu haben.
 
API-Angriffe basieren auf einer Reihe von zusammenhängenden Ereignissen. Herkömmliche Sicherheitsmaßnahmen, wie zum Beispiel Web Application Firewalls (WAF), betrachten jedoch eine Transaktion nach der anderen und können nur bekannte Angriffspfade erkennen. Jede APIs hat eine einzigartige Logik und Angreifer erkunden sie zunächst Schritt für Schritt. Solche „langsamen“ Aktivitäten erkennt eine WAF nicht als Gefahr, erst recht nicht, wenn keine weiteren Informationen zur Verfügung stehen. Um Bedrohungen zu erkennen und abzuwehren, müssen Sicherheitsverantwortliche die Möglichkeit haben, alle Aktivitäten zu sehen und im Kontext zu betrachten.

Sogar wenn APIs so verwendet werden, wie ursprünglich gedacht, kann daraus ein Sicherheitsrisiko entstehen. Bei dem Sicherheitsvorfall, der sich beim Fitness-Dienstleister Peleton ereignete, sah das – vereinfacht dargestellt – so aus: Die Anwendung auf dem Fitnessgerät, welches beim Nutzer zuhause steht, stellt Anfragen über eine API an die Peleton-Server. Die angeforderten Daten werden über die API zurück ans Frontend geleitet. Dabei gab die API allerdings mehr Daten frei, als eigentlich gewünscht. Unsauberheiten in der Programmierung hatten zu dieser Schwachstelle geführt, die im „API Security Top 10”-Report des OWASP² (Open Web Application Security Project) als Excessive Data Exposure definiert wird. Denn Angreifer nutzten redundante Daten, um weitere sensible Daten zu extrahieren.

Die drei Säulen der API-Sicherheit

Durch die schnelle Entwicklung wächst die Angriffsfläche durch APIs ständig. Um diese sich entwickelnde Landschaft effektiv zu schützen, sind folgende Funktionen für eine API-Sicherheitslösung entscheidend:

1. Automatische Einsicht in den gesamten API-Verkehr: Systeme, Anwendungen und APIs sowie die Daten, mit denen sie interagieren, verteilen sich über mehrere Umgebungen. Sicherheitsverantwortliche brauchen einen Einblick in alle APIs innerhalb und zwischen allen Umgebungen sowie Anwendungen des Unternehmens, um sie schützen zu können. Mit einer exakten Bestandsaufnahme, die regelmäßig wiederholt wird, können Sicherheitsverantwortliche blinde Flecken beseitigen und dauerhaft vermeiden. Ohne eine solche Bestandsaufnahme wird es für den CISO schwer, die gesamte Gefährdung des Unternehmens zu verstehen und Prioritäten für das Risikomanagement setzen.
2. Kontinuierliche Analyse zur Laufzeit: Sicherheitsteams benötigen eine realistische Einschätzung, was als normaler API-Verkehr gelten kann, um Missbrauch oder Angriffe zu erkennen. Bei APIs handelt es nicht nur um reinen Code, in dem Codefehler bei der Entwicklung und beim Testen erkennbar sind. Vielmehr geht es um die Bildung mehrerer Instanzen der Geschäftslogik. Deshalb müssen Sicherheitsverantwortliche APIs in Aktion sehen, um Schwachstellen in dieser Logik zu finden. Das Erkennen von Mustern während der Laufzeit hilft, den Datenverkehr in seinem entsprechenden Kontext zu betrachten und so bösartige Aktivitäten besser zu identifizieren.
3. Maßnahmen für proaktive Sicherheit: Diese Erkenntnisse aus der Laufzeit und das Wissen um wirksame Abwehrmaßnahmen sollten Sicherheitsverantwortliche in die API-Entwickler-Teams einbringen. Risiken werden so identifiziert, bevor ein Angreifer sie ausnutzen konnte. Gerade in Teams, die DevOps-Methoden nutzen, hilft dies, schon im Development-Prozess einen stärkerenFokus auf die Sicherheit zu legen und bessere APIs zu entwickeln.

Nutzung von Automatisierung, Big Data und Intelligenz

Um das exponentielle API-Wachstum zu unterstützen, benötigen Unternehmen Lösungen, die in bestehende DevOps- und SecOps-Workflows integriert werden können. Die Erkennung von APIs und von Anomalien sowie die Weitergabe von Erkenntnissen darüber, wie Probleme behoben werden können, sollten automatisch in die CI/CD- und Incident Response-Systeme einfließen.

Um den für die genaue Identifizierung von API-Angriffen erforderlichen Kontext zu erhalten, müssen API-Sicherheitslösungen große Datenmengen (Big Data) mit Hilfe von Künstlicher Intelligenz (KI) und Machine Learning (ML) analysieren. API-Angriffe finden über Tage, Wochen oder Monate statt, da böswillige Akteure die Funktionsweise der APIs akribisch untersuchen müssen, um Fehler in der Geschäftslogik zu finden. API-Sicherheitslösungen müssen in der Lage sein, große Datenmengen über einen langen Zeitraum zu verarbeiten, um Angriffsdaten von normalem Datenverkehr zu unterscheiden. Nur Big Data, gespeichert in einer hochskalierbaren Cloud-Umgebung, kombiniert KI- und ML-Algorithmen, bietet die Möglichkeit, Millionen von Nutzern über Tage, Wochen oder Monate parallel zu verfolgen.

Lücken in der API-Sicherheit gefährden das Geschäft

In einer Zeit, in der die Cybersicherheit zum entscheidenden Thema geworden ist, sind APIs schwächste Glied in IT-Systemen. Ohne API-Sicherheit können Unternehmen die Digitale Transformation nicht umsetzen. Schlimmer noch: API-Schwachstellen gefährden potenzielle Geschäftsgewinne. Sicherheitsverantwortliche müssen sich der Bedrohungen bewusst sein, das Geschäft im Auge behalten und proaktiv handeln. Durch die Implementierung eines speziellen API-Sicherheitsprogramms können Sicherheitsverantwortliche das Unternehmen dabei unterstützen, digitale Innovationen zu beschleunigen, eine sicherheitsorientierte Kultur aufzubauen.

^{1 https://salt.security/blog/companies-are-struggling-against-a-681-increase-in-api-attacks-the-latest-state-of-api-security-report-shows?
2 https://salt.security/blog/owasp-api-security-top-10-explained?}

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Meetingbox Huus Meet Pro im Test

Schöner meeten

Digitale Gesundheitsdaten

Bundesweiter Start der E-Patientenakte rückt näher

KI-Tools für die Lehre

Baustein für bessere Bildung

Kundenbarometer Internet B2B 2025

Welcher Internetanbieter überzeugt?

Eintritt in Europas größten TK-Markt

Schwedische Vinnergi beteiligt sich an deutscher Vivax Net

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Viren-/Malware-Schutz

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

VAD erweitert Portfolio

ICOS und Avast schließen Partnerschaft