:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/66/66663fb55130791b4fb9775e2c6bc20e/0115056185.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/5e/405e9a7158844a3b1c403d4e106f5c64/0115101339.jpeg "Dass IT-Sicherheit auf die Management- und Geschäftsleitungsebene gehört, predigen Sicherheitsfachleute seit Jahren. Nun gießt auch die EU-Direktive NIS-2 dieses Credo in entsprechende gesetzliche Regelungen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c3/79/c37904becb849d8b2f9535b2b979da3f/0113634011.jpeg "Ein Cyber-physisches System besteht aus Mechanik, Software und vernetzter Informationstechnik zum Zweck der Steuerung und des Betrieb komplexer Anlagen und Infrastrukturen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Das Management von Application Programming Interfaces ist essentiell API im Fokus: Ursachen für Ausfallzeiten, Konsequenzen und Gegenmaßnahmen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Im Juli dieses Jahres kam es in den USA in der digitalen Welt zu einem Stromausfall. Bei einer großen verteilten Edge-Computing-Plattform trat ein Softwarefehler auf, der zum Zusammenbruch des Domain Name System (DNS) führte, also der Art und Weise, wie das Internet die IP-Adressen den Domainnamen zuordnet. Die daraus resultierenden Kosten waren hoch.
Auch der Ausfall des gesamten Facebook-Ökosystems im Oktober diesen Jahres (neben Facebook selbst auch Whatsapp und Instagram) hat die zunehmende Abhängigkeit von durchgehend erreichbaren System Eindrucksvoll demonstriert. Das Vertrauen in die Zuverlässigkeit wurde massiv geschädigt, Nutzer nutzten die Gelegenheit, sich bei der Konkurrenz umzuschauen und letztlich verlor Facebook auch erhebliche Einnahmen.
Wenn ein zentrales System wie DNS innerhalb einer weltweit anerkannten Edge-Plattform ausfällt, verursacht dies Ausfallzeiten für eine große Anzahl internationaler Unternehmen. Alle diese Organisationen sind aber auf eine kontinuierliche, unterbrechungsfreie Laufzeit für ihre Kunden angewiesen. Edge--Dienste sind auch für die Aufrechterhaltung der Sicherheit dieser Unternehmen verantwortlich, indem sie vor Cyber-Angriffen wie verteilten Denial-of-Service-Angriffen (DDoS) schützen.
Ausfallzeiten schmälern das Geschäftsergebnis
Wenn diese Art von Ausfällen auftreten, kann es passieren, dass Nutzer nicht auf äußerst wichtige Daten zugreifen können, beispielsweise finanzielle und persönliche Informationen. Unternehmen verlieren an Glaubwürdigkeit, was zu einem Verlust von Kunden und Einnahmen führt. Und auch Regierungsbehörden sehen sich möglicherweise mit einer ernsthaften Katastrophe konfrontiert.
Eines der Hauptziele der IT- und Produktteams ist es deshalb, Anwendungen zu entwickeln, die Ausfallzeiten fast unmöglich machen. Das vielleicht wichtigste Element der Anwendungs- und Web-Konnektivität sind die Schnittstellen für Anwendungsprogrammierung (Application Programming Interfaces / APIs), das Rückgrat moderner Anwendungen. Was das DNS-System für Edge-Plattformen und Betriebszeiten ist, sind APIs für die Verbindung wichtiger Softwarekomponenten, die das Funktionieren aller online verfügbaren Dienste ermöglichen.
Wie alle Inhalte, auf die über das Internet zugegriffen wird, sind auch APIs anfällig für unzählige Bedrohungen, wenn sie nicht ordnungsgemäß gesichert sind. Ohne eine angemessene Authentifizierung und Autorisierung kann jeder, der sich damit auskennt, auf entsprechende Anwendung zugreifen.
:quality(80)/images.vogel.de/vogelonline/bdb/1867600/1867609/original.jpg "In Zeiten vermehrten Datenaustauschs über APIs werden Compliance und Sicherheit immer wichtiger. (geralt)")
Leadership Compass von Kuppinger-Cole
API-Management und -Sicherheit wachsen zusammen
Definitionsgemäß bieten APIs programmatischen Zugang zu Anwendungen. Das macht sie zu einem großen Angriffsvektor für böswillige Akteure. Mit Hilfe von Brute-Force-Angriffen beispielsweise können Angreifer Anmeldedaten ermitteln.
So erhalten sie Zugriff auf ein Benutzerkonto und schaffen sich damit eine Plattform für die Suche nach weiteren Schwachstellen. Durch Einfügen ungültiger Inhalte in eine API-Anfrage kann der Angreifer bösartigen Code direkt in ein System einschleusen: SQL-Injection und Cross-Site-Scripting sind die bekanntesten Formen dieses Angriffs. Denial-of-Service- und Distributed-Denial-of-Service-Angriffe können eine Anwendung komplett vom Netz zu nehmen.
API-Ausfallzeiten – Was sind die primären Ursachen?
API-Ausfallzeiten, also Zeiten, in denen APIs ihre Aufgabe nicht erfüllen, sind die größte Bedrohung für die Verfügbarkeit und Performance von Webseiten und Apps. Das Funktionieren der APIs im System hängt von vielen technischen Faktoren ab und erfordert Tools, die ihre Verfügbarkeit sicherstellen. In der Regel sind schlechte Leistung und unzureichende Sicherheit die beiden Hauptursachen für API-Ausfallzeiten:
1. Schlechte Leistung
Eine effektive Leistung von APIs erfordert sowohl Verfügbarkeit als auch geringe Latenzzeiten. Wenn eine API ständig zahlreiche Datenbankabfragen durchführt, anstatt zum Beispiel einen Cache zu nutzen, kann dies zu vermeidbaren und schädlichen Ineffizienzen in der Infrastruktur führen. Darüber hinaus können diese übermäßigen Abfragen den Server mit Anfragen überschwemmen – ein Problem, das sich bei Spitzenbelastungen der Website noch verschärft. Ausfälle sind in diesem Szenario keine Ausnahme.
Für viele Unternehmen jedoch ist die Verwaltung großer Mengen von Anfragen unvermeidlich. Die einfache Nutzung eines Cache-Systems reicht dabei möglicherweise nicht aus. Selbst ein System, das von perfekt gestalteten APIs unterstützt wird, kann darunter leiden. Dann muss die IT überlegen, wie sie die Geschwindigkeit und Zuverlässigkeit der Konnektivität erhöhen kann. Dies wird die Gesamtleistung verbessern und kritische Fehler vermeiden.
Die Unterstützung der APIs durch ein skalierbares und leistungsstarkes API-Gateway mit hoher Verfügbarkeit kann die Betriebszeit insgesamt erhöhen. Das Geheimnis dabei: den Website-Traffic schnell und effizient zu unterstützen und zu leiten.
2. Unzureichende Sicherheit
Sicherheit ist eines der wichtigsten Elemente bei der Entwicklung von APIs. Ohne sie kann es nicht nur zu Ausfallzeiten einer Internet-Dienstleistung kommen, sondern auch zu Datenschutzverletzungen und Wirtschaftspionage, die dem Ruf eines Unternehmens schwer schaden können. Die Herausforderung bei APIs besteht darin, ein Gleichgewicht zwischen den erforderlichen Richtlinien zum Schutz des Systems und einer einfachen Nutzung und Verwendung für Entwickler zu finden.
Die letztgenannten Anforderungen sind jene, die am anfälligsten für bösartige Akteure sind. Sie ermöglichen Cyber-Sicherheitsangriffe, die zu Ausfallzeiten und Umsatzeinbußen führen.
Einige der größten Schwachstellen in Bezug auf APIs sind Fehler bei der Datenfreigabe. Hauptursachen sind fehlende oder ineffektive Authentifizierung und Autorisierung sowie fehlende Anfragebeschränkungen. Eine API wird möglicherweise ohne jegliche Rücksicht auf die Sensibilität der Objekteigenschaften und der offengelegten Daten entwickelt. Injektionsangriffe böswilliger Akteure können dazu führen, dass diese auf sensible Daten zugreifen und eine schwerwiegende Sicherheitsverletzung verursachen.
:quality(80)/p7i.vogel.de/wcms/a2/fe/a2fe97b45af9e96b74f7c31cd24be14e/98553170.jpeg "Das Ausspionieren lauert immer und überall und ist dennoch nur eine der Gefahren im Cyberspace. Wer nur die Einfallstore im Netzwerk schützt, lässt viel größere Angriffsflächen ungesichert. (Bild: Gerd Altmann auf Pixabay)")
Nicht die Netzwerke, die Applikationen sind die Schwachen
Zero Trust heißt: Alle Angriffsflächen schützen
Fehlende Beschränkungen in Hinblick auf die Anzahl der Anfragen, die ein Benutzer über eine API anfordern kann (Ratenbegrenzung), können ebenfalls zu einer Überlastung des Servers führen. Unerwünschte Konsequenzen sind der Ausfall der Website oder sogar unberechtigter Zugriff. Ein Praxisbeispiel ist die Verwendung eines sogenannten Brute-Force-Angriffs zur Ermittlung von gültigen Passwörtern – ein offensichtliches Sicherheitsrisiko.
Diese Fehler bei der API-Implementierung können sowohl zu Sicherheitsverletzungen als auch zu funktionalen Ausfallzeiten der Website führen.
Wesentliche Aufgaben bei der Verwendung von APIs
1. Optimierung der Leistung und Skalierbarkeit
Wenn APIs ausfallen oder auch nur zu langsam laufen, sind die Folgen genauso gravierend, wie die oben genannten Ausfälle im Juli und Oktober. Neben der Perfektionierung des API-Designs sollten sich IT-Teams verstärkt auf die Bereitstellung erstklassiger Konnektivität konzentrieren. Dazu gehören schnelle, stabile und skalierbare Systeme, welche die Ausfallzeiten der Website minimieren. Ziel muss eine Architektur für Zero-Downtime sein.
In puncto Sytemstabilität haben sich API-Gateways und breit angelegte Plattformen für Service-Konnektivität etabliert. Mit ihnen kann die IT zuverlässige, sichere und leistungsfähige Konnektivität für alle APIs, Dienste und Anwendungen im Unternehmen bereitstellen. Sie fungieren dabei als Reverse Proxy, der die APIs sicher zugänglich macht und einen Zugangspunkt zu den Diensten in den Anwendungen für interne Team schafft.
Der zusätzliche Vorteil von API-Management-Lösungen ist die Skalierbarkeit. Teams möchten, dass ihre API-Sicherheit mit der Größe ihrer Codebasis und Anwendung wächst. Die flexible und erweiterbare Natur der API-Gateways gewährleistet die notwendige Anpassungsfähigkeit in Hinblick auf Änderungen der Funktionalität und des Architekturdesigns, die im Lebenszyklus einer Anwendung normal sind.
2. Gewährleistung einer wirksamen API-Sicherheit
Die Folgen schlechter Sicherheitssysteme sind offensichtlich. Die Auswirkungen der Ausfallzeiten einer Website ist ein offensichtlicher Aspekt.
Für jedes Team, das der Sicherheit Priorität einräumt, ist es wichtig, sich dieser beiden Aufgaben bewusst zu sein: Management der Zugangskontrolle und des Traffic. Durch die einfache Konfiguration von Authentifizierungs-Modulen können die Entwickler unerwünschte Zugriffe auf ihre APIs verhindern und nur ausgewählten Benutzern mit entsprechender Berechtigung innerhalb ihrer Organisation Zugang gewähren.
Inzwischen sind Angriffe durch Bots hochgradig automatisiert. So lässt sich ein System mit Daten überschwemmen und letztlich überlasten. Die Entschärfung dieser Bots durch Ratenbegrenzung für Zugriffe kann die Bedrohung hinsichtlich DDoS-Angriffen verringern. Eine solche Verwaltung des Datenverkehrs kann das Risiko von Website-Fehlern und Ausfallzeiten reduzieren.
3. Modernisierung zur Vermeidung der Kosten von Ausfallzeiten
API-Leistung und -Sicherheit sind die Eckpfeiler für die Gewährleistung der allgemeinen Anwendungsverfügbarkeit für Kunden und Endnutzer. Dies gilt insbesondere auch für die generelle Modernisierung der Unternehmen, da moderne Microservice-Architekturen in großem Maße auf APIs beruhen.
Ein guter Ausgangspunkt ist die Frage, wie Unternehmen die Leistung von Anwendungen und Diensten mit einer dezentralen Architektur verbessern können. Indem Unternehmen die Stärke und Widerstandsfähigkeit der technologischen Infrastruktursysteme in den Vordergrund stellen, können alle einen Teil dazu beitragen, zukünftige digitale Katastrophen zu vermeiden.
* Sven Walther ist Ansprechpartner für alle technischen Fragen im Bereich API und Services und zeichnet sich im Solutions Engineering von Kong verantwortlich für Präsentationen und Installationen bei Interessenten. Dabei konzentriert er sich auf die Bereitstellung von Lösungen für APIs, Services und Developer Engagement. Sven Walther hat ein Studium der Wirtschaftswissenschaften absolviert und verfügt über eine mehr als 20-jährige internationale Erfahrung mit verschiedenen IT-Lösungen für Unternehmen, die APIs nutzen, bereitstellen und verwalten.
Artikelfiles und Artikellinks
(ID:47826385)
:quality(80)/p7i.vogel.de/wcms/fa/17/fa171cc3b3b2ffb0420b93af71c49ef9/0109001068.jpeg "Das Wachstum des Internets der Dinge geht immer weiter. Umso wichtiger ist es, dass Schwachstellen in IoT-Geräten geschlossen und Cyberangriffe abgewehrt werden. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")