:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Das Management von Application Programming Interfaces ist essentiell API im Fokus: Ursachen für Ausfallzeiten, Konsequenzen und Gegenmaßnahmen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Im Juli dieses Jahres kam es in den USA in der digitalen Welt zu einem Stromausfall. Bei einer großen verteilten Edge-Computing-Plattform trat ein Softwarefehler auf, der zum Zusammenbruch des Domain Name System (DNS) führte, also der Art und Weise, wie das Internet die IP-Adressen den Domainnamen zuordnet. Die daraus resultierenden Kosten waren hoch.
Auch der Ausfall des gesamten Facebook-Ökosystems im Oktober diesen Jahres (neben Facebook selbst auch Whatsapp und Instagram) hat die zunehmende Abhängigkeit von durchgehend erreichbaren System Eindrucksvoll demonstriert. Das Vertrauen in die Zuverlässigkeit wurde massiv geschädigt, Nutzer nutzten die Gelegenheit, sich bei der Konkurrenz umzuschauen und letztlich verlor Facebook auch erhebliche Einnahmen.
Wenn ein zentrales System wie DNS innerhalb einer weltweit anerkannten Edge-Plattform ausfällt, verursacht dies Ausfallzeiten für eine große Anzahl internationaler Unternehmen. Alle diese Organisationen sind aber auf eine kontinuierliche, unterbrechungsfreie Laufzeit für ihre Kunden angewiesen. Edge--Dienste sind auch für die Aufrechterhaltung der Sicherheit dieser Unternehmen verantwortlich, indem sie vor Cyber-Angriffen wie verteilten Denial-of-Service-Angriffen (DDoS) schützen.
Ausfallzeiten schmälern das Geschäftsergebnis
Wenn diese Art von Ausfällen auftreten, kann es passieren, dass Nutzer nicht auf äußerst wichtige Daten zugreifen können, beispielsweise finanzielle und persönliche Informationen. Unternehmen verlieren an Glaubwürdigkeit, was zu einem Verlust von Kunden und Einnahmen führt. Und auch Regierungsbehörden sehen sich möglicherweise mit einer ernsthaften Katastrophe konfrontiert.
Eines der Hauptziele der IT- und Produktteams ist es deshalb, Anwendungen zu entwickeln, die Ausfallzeiten fast unmöglich machen. Das vielleicht wichtigste Element der Anwendungs- und Web-Konnektivität sind die Schnittstellen für Anwendungsprogrammierung (Application Programming Interfaces / APIs), das Rückgrat moderner Anwendungen. Was das DNS-System für Edge-Plattformen und Betriebszeiten ist, sind APIs für die Verbindung wichtiger Softwarekomponenten, die das Funktionieren aller online verfügbaren Dienste ermöglichen.
Wie alle Inhalte, auf die über das Internet zugegriffen wird, sind auch APIs anfällig für unzählige Bedrohungen, wenn sie nicht ordnungsgemäß gesichert sind. Ohne eine angemessene Authentifizierung und Autorisierung kann jeder, der sich damit auskennt, auf entsprechende Anwendung zugreifen.
:quality(80)/images.vogel.de/vogelonline/bdb/1867600/1867609/original.jpg "In Zeiten vermehrten Datenaustauschs über APIs werden Compliance und Sicherheit immer wichtiger. (geralt)")
Leadership Compass von Kuppinger-Cole
API-Management und -Sicherheit wachsen zusammen
Definitionsgemäß bieten APIs programmatischen Zugang zu Anwendungen. Das macht sie zu einem großen Angriffsvektor für böswillige Akteure. Mit Hilfe von Brute-Force-Angriffen beispielsweise können Angreifer Anmeldedaten ermitteln.
So erhalten sie Zugriff auf ein Benutzerkonto und schaffen sich damit eine Plattform für die Suche nach weiteren Schwachstellen. Durch Einfügen ungültiger Inhalte in eine API-Anfrage kann der Angreifer bösartigen Code direkt in ein System einschleusen: SQL-Injection und Cross-Site-Scripting sind die bekanntesten Formen dieses Angriffs. Denial-of-Service- und Distributed-Denial-of-Service-Angriffe können eine Anwendung komplett vom Netz zu nehmen.
API-Ausfallzeiten – Was sind die primären Ursachen?
API-Ausfallzeiten, also Zeiten, in denen APIs ihre Aufgabe nicht erfüllen, sind die größte Bedrohung für die Verfügbarkeit und Performance von Webseiten und Apps. Das Funktionieren der APIs im System hängt von vielen technischen Faktoren ab und erfordert Tools, die ihre Verfügbarkeit sicherstellen. In der Regel sind schlechte Leistung und unzureichende Sicherheit die beiden Hauptursachen für API-Ausfallzeiten:
1. Schlechte Leistung
Eine effektive Leistung von APIs erfordert sowohl Verfügbarkeit als auch geringe Latenzzeiten. Wenn eine API ständig zahlreiche Datenbankabfragen durchführt, anstatt zum Beispiel einen Cache zu nutzen, kann dies zu vermeidbaren und schädlichen Ineffizienzen in der Infrastruktur führen. Darüber hinaus können diese übermäßigen Abfragen den Server mit Anfragen überschwemmen – ein Problem, das sich bei Spitzenbelastungen der Website noch verschärft. Ausfälle sind in diesem Szenario keine Ausnahme.
Für viele Unternehmen jedoch ist die Verwaltung großer Mengen von Anfragen unvermeidlich. Die einfache Nutzung eines Cache-Systems reicht dabei möglicherweise nicht aus. Selbst ein System, das von perfekt gestalteten APIs unterstützt wird, kann darunter leiden. Dann muss die IT überlegen, wie sie die Geschwindigkeit und Zuverlässigkeit der Konnektivität erhöhen kann. Dies wird die Gesamtleistung verbessern und kritische Fehler vermeiden.
Die Unterstützung der APIs durch ein skalierbares und leistungsstarkes API-Gateway mit hoher Verfügbarkeit kann die Betriebszeit insgesamt erhöhen. Das Geheimnis dabei: den Website-Traffic schnell und effizient zu unterstützen und zu leiten.
2. Unzureichende Sicherheit
Sicherheit ist eines der wichtigsten Elemente bei der Entwicklung von APIs. Ohne sie kann es nicht nur zu Ausfallzeiten einer Internet-Dienstleistung kommen, sondern auch zu Datenschutzverletzungen und Wirtschaftspionage, die dem Ruf eines Unternehmens schwer schaden können. Die Herausforderung bei APIs besteht darin, ein Gleichgewicht zwischen den erforderlichen Richtlinien zum Schutz des Systems und einer einfachen Nutzung und Verwendung für Entwickler zu finden.
Die letztgenannten Anforderungen sind jene, die am anfälligsten für bösartige Akteure sind. Sie ermöglichen Cyber-Sicherheitsangriffe, die zu Ausfallzeiten und Umsatzeinbußen führen.
Einige der größten Schwachstellen in Bezug auf APIs sind Fehler bei der Datenfreigabe. Hauptursachen sind fehlende oder ineffektive Authentifizierung und Autorisierung sowie fehlende Anfragebeschränkungen. Eine API wird möglicherweise ohne jegliche Rücksicht auf die Sensibilität der Objekteigenschaften und der offengelegten Daten entwickelt. Injektionsangriffe böswilliger Akteure können dazu führen, dass diese auf sensible Daten zugreifen und eine schwerwiegende Sicherheitsverletzung verursachen.
:quality(80)/p7i.vogel.de/wcms/a2/fe/a2fe97b45af9e96b74f7c31cd24be14e/98553170.jpeg "Das Ausspionieren lauert immer und überall und ist dennoch nur eine der Gefahren im Cyberspace. Wer nur die Einfallstore im Netzwerk schützt, lässt viel größere Angriffsflächen ungesichert. (Bild: Gerd Altmann auf Pixabay)")
Nicht die Netzwerke, die Applikationen sind die Schwachen
Zero Trust heißt: Alle Angriffsflächen schützen
Fehlende Beschränkungen in Hinblick auf die Anzahl der Anfragen, die ein Benutzer über eine API anfordern kann (Ratenbegrenzung), können ebenfalls zu einer Überlastung des Servers führen. Unerwünschte Konsequenzen sind der Ausfall der Website oder sogar unberechtigter Zugriff. Ein Praxisbeispiel ist die Verwendung eines sogenannten Brute-Force-Angriffs zur Ermittlung von gültigen Passwörtern – ein offensichtliches Sicherheitsrisiko.
Diese Fehler bei der API-Implementierung können sowohl zu Sicherheitsverletzungen als auch zu funktionalen Ausfallzeiten der Website führen.
Wesentliche Aufgaben bei der Verwendung von APIs
1. Optimierung der Leistung und Skalierbarkeit
Wenn APIs ausfallen oder auch nur zu langsam laufen, sind die Folgen genauso gravierend, wie die oben genannten Ausfälle im Juli und Oktober. Neben der Perfektionierung des API-Designs sollten sich IT-Teams verstärkt auf die Bereitstellung erstklassiger Konnektivität konzentrieren. Dazu gehören schnelle, stabile und skalierbare Systeme, welche die Ausfallzeiten der Website minimieren. Ziel muss eine Architektur für Zero-Downtime sein.
In puncto Sytemstabilität haben sich API-Gateways und breit angelegte Plattformen für Service-Konnektivität etabliert. Mit ihnen kann die IT zuverlässige, sichere und leistungsfähige Konnektivität für alle APIs, Dienste und Anwendungen im Unternehmen bereitstellen. Sie fungieren dabei als Reverse Proxy, der die APIs sicher zugänglich macht und einen Zugangspunkt zu den Diensten in den Anwendungen für interne Team schafft.
Der zusätzliche Vorteil von API-Management-Lösungen ist die Skalierbarkeit. Teams möchten, dass ihre API-Sicherheit mit der Größe ihrer Codebasis und Anwendung wächst. Die flexible und erweiterbare Natur der API-Gateways gewährleistet die notwendige Anpassungsfähigkeit in Hinblick auf Änderungen der Funktionalität und des Architekturdesigns, die im Lebenszyklus einer Anwendung normal sind.
2. Gewährleistung einer wirksamen API-Sicherheit
Die Folgen schlechter Sicherheitssysteme sind offensichtlich. Die Auswirkungen der Ausfallzeiten einer Website ist ein offensichtlicher Aspekt.
Für jedes Team, das der Sicherheit Priorität einräumt, ist es wichtig, sich dieser beiden Aufgaben bewusst zu sein: Management der Zugangskontrolle und des Traffic. Durch die einfache Konfiguration von Authentifizierungs-Modulen können die Entwickler unerwünschte Zugriffe auf ihre APIs verhindern und nur ausgewählten Benutzern mit entsprechender Berechtigung innerhalb ihrer Organisation Zugang gewähren.
Inzwischen sind Angriffe durch Bots hochgradig automatisiert. So lässt sich ein System mit Daten überschwemmen und letztlich überlasten. Die Entschärfung dieser Bots durch Ratenbegrenzung für Zugriffe kann die Bedrohung hinsichtlich DDoS-Angriffen verringern. Eine solche Verwaltung des Datenverkehrs kann das Risiko von Website-Fehlern und Ausfallzeiten reduzieren.
3. Modernisierung zur Vermeidung der Kosten von Ausfallzeiten
API-Leistung und -Sicherheit sind die Eckpfeiler für die Gewährleistung der allgemeinen Anwendungsverfügbarkeit für Kunden und Endnutzer. Dies gilt insbesondere auch für die generelle Modernisierung der Unternehmen, da moderne Microservice-Architekturen in großem Maße auf APIs beruhen.
Ein guter Ausgangspunkt ist die Frage, wie Unternehmen die Leistung von Anwendungen und Diensten mit einer dezentralen Architektur verbessern können. Indem Unternehmen die Stärke und Widerstandsfähigkeit der technologischen Infrastruktursysteme in den Vordergrund stellen, können alle einen Teil dazu beitragen, zukünftige digitale Katastrophen zu vermeiden.
* Sven Walther ist Ansprechpartner für alle technischen Fragen im Bereich API und Services und zeichnet sich im Solutions Engineering von Kong verantwortlich für Präsentationen und Installationen bei Interessenten. Dabei konzentriert er sich auf die Bereitstellung von Lösungen für APIs, Services und Developer Engagement. Sven Walther hat ein Studium der Wirtschaftswissenschaften absolviert und verfügt über eine mehr als 20-jährige internationale Erfahrung mit verschiedenen IT-Lösungen für Unternehmen, die APIs nutzen, bereitstellen und verwalten.
Artikelfiles und Artikellinks
(ID:47826385)
:quality(80)/images.vogel.de/vogelonline/bdb/1881700/1881745/original.jpg "APIs sind insbesondere für bestimmte Angriffstypen anfällig. Keine davon sind neu. Auf Grund fehlender Maßnahmen sind sie häufig sehr effektiv. (Sergey Nivens - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1923600/1923683/original.jpg "F5: APIs sind ein Vertrag zwischen dem Dienstanbieter und dem Dienstnutzer. Wenn eine Anwendung eine API verwendet, muss sie einem vereinbarten Standard entsprechen, mit implizit festgelegten Erwartungen. Was hinter den Kulissen geschieht, geht den Verbraucher nichts an. (Gerd Altmann auf Pixabay)")