Das Management von Application Programming Interfaces ist essentiell API im Fokus: Ursachen für Ausfallzeiten, Konsequenzen und Gegenmaßnahmen

Von Sven Walther*

Im Juli dieses Jahres kam es in den USA in der digitalen Welt zu einem Stromausfall. Bei einer großen verteilten Edge-Computing-Plattform trat ein Softwarefehler auf, der zum Zusammenbruch des Domain Name System (DNS) führte, also der Art und Weise, wie das Internet die IP-Adressen den Domainnamen zuordnet. Die daraus resultierenden Kosten waren hoch.

Firmen zum Thema

Wo API-Management und Security zusammenwachsen, bieten sie belastbaren Schutz für Anwendungen.
Wo API-Management und Security zusammenwachsen, bieten sie belastbaren Schutz für Anwendungen.
(Bild: Darkmoon_Art auf Pixabay)

Auch der Ausfall des gesamten Facebook-Ökosystems im Oktober diesen Jahres (neben Facebook selbst auch Whatsapp und Instagram) hat die zunehmende Abhängigkeit von durchgehend erreichbaren System Eindrucksvoll demonstriert. Das Vertrauen in die Zuverlässigkeit wurde massiv geschädigt, Nutzer nutzten die Gelegenheit, sich bei der Konkurrenz umzuschauen und letztlich verlor Facebook auch erhebliche Einnahmen.

Wenn ein zentrales System wie DNS innerhalb einer weltweit anerkannten Edge-Plattform ausfällt, verursacht dies Ausfallzeiten für eine große Anzahl internationaler Unternehmen. Alle diese Organisationen sind aber auf eine kontinuierliche, unterbrechungsfreie Laufzeit für ihre Kunden angewiesen. Edge--Dienste sind auch für die Aufrechterhaltung der Sicherheit dieser Unternehmen verantwortlich, indem sie vor Cyber-Angriffen wie verteilten Denial-of-Service-Angriffen (DDoS) schützen.

Ausfallzeiten schmälern das Geschäftsergebnis

Wenn diese Art von Ausfällen auftreten, kann es passieren, dass Nutzer nicht auf äußerst wichtige Daten zugreifen können, beispielsweise finanzielle und persönliche Informationen. Unternehmen verlieren an Glaubwürdigkeit, was zu einem Verlust von Kunden und Einnahmen führt. Und auch Regierungsbehörden sehen sich möglicherweise mit einer ernsthaften Katastrophe konfrontiert.

Eines der Hauptziele der IT- und Produktteams ist es deshalb, Anwendungen zu entwickeln, die Ausfallzeiten fast unmöglich machen. Das vielleicht wichtigste Element der Anwendungs- und Web-Konnektivität sind die Schnittstellen für Anwendungsprogrammierung (Application Programming Interfaces / APIs), das Rückgrat moderner Anwendungen. Was das DNS-System für Edge-Plattformen und Betriebszeiten ist, sind APIs für die Verbindung wichtiger Softwarekomponenten, die das Funktionieren aller online verfügbaren Dienste ermöglichen.

Wie alle Inhalte, auf die über das Internet zugegriffen wird, sind auch APIs anfällig für unzählige Bedrohungen, wenn sie nicht ordnungsgemäß gesichert sind. Ohne eine angemessene Authentifizierung und Autorisierung kann jeder, der sich damit auskennt, auf entsprechende Anwendung zugreifen.

Definitionsgemäß bieten APIs programmatischen Zugang zu Anwendungen. Das macht sie zu einem großen Angriffsvektor für böswillige Akteure. Mit Hilfe von Brute-Force-Angriffen beispielsweise können Angreifer Anmeldedaten ermitteln.

So erhalten sie Zugriff auf ein Benutzerkonto und schaffen sich damit eine Plattform für die Suche nach weiteren Schwachstellen. Durch Einfügen ungültiger Inhalte in eine API-Anfrage kann der Angreifer bösartigen Code direkt in ein System einschleusen: SQL-Injection und Cross-Site-Scripting sind die bekanntesten Formen dieses Angriffs. Denial-of-Service- und Distributed-Denial-of-Service-Angriffe können eine Anwendung komplett vom Netz zu nehmen.

API-Ausfallzeiten – Was sind die primären Ursachen?

API-Ausfallzeiten, also Zeiten, in denen APIs ihre Aufgabe nicht erfüllen, sind die größte Bedrohung für die Verfügbarkeit und Performance von Webseiten und Apps. Das Funktionieren der APIs im System hängt von vielen technischen Faktoren ab und erfordert Tools, die ihre Verfügbarkeit sicherstellen. In der Regel sind schlechte Leistung und unzureichende Sicherheit die beiden Hauptursachen für API-Ausfallzeiten:

1. Schlechte Leistung

Eine effektive Leistung von APIs erfordert sowohl Verfügbarkeit als auch geringe Latenzzeiten. Wenn eine API ständig zahlreiche Datenbankabfragen durchführt, anstatt zum Beispiel einen Cache zu nutzen, kann dies zu vermeidbaren und schädlichen Ineffizienzen in der Infrastruktur führen. Darüber hinaus können diese übermäßigen Abfragen den Server mit Anfragen überschwemmen – ein Problem, das sich bei Spitzenbelastungen der Website noch verschärft. Ausfälle sind in diesem Szenario keine Ausnahme.

Für viele Unternehmen jedoch ist die Verwaltung großer Mengen von Anfragen unvermeidlich. Die einfache Nutzung eines Cache-Systems reicht dabei möglicherweise nicht aus. Selbst ein System, das von perfekt gestalteten APIs unterstützt wird, kann darunter leiden. Dann muss die IT überlegen, wie sie die Geschwindigkeit und Zuverlässigkeit der Konnektivität erhöhen kann. Dies wird die Gesamtleistung verbessern und kritische Fehler vermeiden.

Die Unterstützung der APIs durch ein skalierbares und leistungsstarkes API-Gateway mit hoher Verfügbarkeit kann die Betriebszeit insgesamt erhöhen. Das Geheimnis dabei: den Website-Traffic schnell und effizient zu unterstützen und zu leiten.

2. Unzureichende Sicherheit

Sicherheit ist eines der wichtigsten Elemente bei der Entwicklung von APIs. Ohne sie kann es nicht nur zu Ausfallzeiten einer Internet-Dienstleistung kommen, sondern auch zu Datenschutzverletzungen und Wirtschaftspionage, die dem Ruf eines Unternehmens schwer schaden können. Die Herausforderung bei APIs besteht darin, ein Gleichgewicht zwischen den erforderlichen Richtlinien zum Schutz des Systems und einer einfachen Nutzung und Verwendung für Entwickler zu finden.

Die letztgenannten Anforderungen sind jene, die am anfälligsten für bösartige Akteure sind. Sie ermöglichen Cyber-Sicherheitsangriffe, die zu Ausfallzeiten und Umsatzeinbußen führen.

Einige der größten Schwachstellen in Bezug auf APIs sind Fehler bei der Datenfreigabe. Hauptursachen sind fehlende oder ineffektive Authentifizierung und Autorisierung sowie fehlende Anfragebeschränkungen. Eine API wird möglicherweise ohne jegliche Rücksicht auf die Sensibilität der Objekteigenschaften und der offengelegten Daten entwickelt. Injektionsangriffe böswilliger Akteure können dazu führen, dass diese auf sensible Daten zugreifen und eine schwerwiegende Sicherheitsverletzung verursachen.

Fehlende Beschränkungen in Hinblick auf die Anzahl der Anfragen, die ein Benutzer über eine API anfordern kann (Ratenbegrenzung), können ebenfalls zu einer Überlastung des Servers führen. Unerwünschte Konsequenzen sind der Ausfall der Website oder sogar unberechtigter Zugriff. Ein Praxisbeispiel ist die Verwendung eines sogenannten Brute-Force-Angriffs zur Ermittlung von gültigen Passwörtern – ein offensichtliches Sicherheitsrisiko.

Diese Fehler bei der API-Implementierung können sowohl zu Sicherheitsverletzungen als auch zu funktionalen Ausfallzeiten der Website führen.

Wesentliche Aufgaben bei der Verwendung von APIs

1. Optimierung der Leistung und Skalierbarkeit

Wenn APIs ausfallen oder auch nur zu langsam laufen, sind die Folgen genauso gravierend, wie die oben genannten Ausfälle im Juli und Oktober. Neben der Perfektionierung des API-Designs sollten sich IT-Teams verstärkt auf die Bereitstellung erstklassiger Konnektivität konzentrieren. Dazu gehören schnelle, stabile und skalierbare Systeme, welche die Ausfallzeiten der Website minimieren. Ziel muss eine Architektur für Zero-Downtime sein.

In puncto Sytemstabilität haben sich API-Gateways und breit angelegte Plattformen für Service-Konnektivität etabliert. Mit ihnen kann die IT zuverlässige, sichere und leistungsfähige Konnektivität für alle APIs, Dienste und Anwendungen im Unternehmen bereitstellen. Sie fungieren dabei als Reverse Proxy, der die APIs sicher zugänglich macht und einen Zugangspunkt zu den Diensten in den Anwendungen für interne Team schafft.

Der zusätzliche Vorteil von API-Management-Lösungen ist die Skalierbarkeit. Teams möchten, dass ihre API-Sicherheit mit der Größe ihrer Codebasis und Anwendung wächst. Die flexible und erweiterbare Natur der API-Gateways gewährleistet die notwendige Anpassungsfähigkeit in Hinblick auf Änderungen der Funktionalität und des Architekturdesigns, die im Lebenszyklus einer Anwendung normal sind.

2. Gewährleistung einer wirksamen API-Sicherheit

Die Folgen schlechter Sicherheitssysteme sind offensichtlich. Die Auswirkungen der Ausfallzeiten einer Website ist ein offensichtlicher Aspekt.

Für jedes Team, das der Sicherheit Priorität einräumt, ist es wichtig, sich dieser beiden Aufgaben bewusst zu sein: Management der Zugangskontrolle und des Traffic. Durch die einfache Konfiguration von Authentifizierungs-Modulen können die Entwickler unerwünschte Zugriffe auf ihre APIs verhindern und nur ausgewählten Benutzern mit entsprechender Berechtigung innerhalb ihrer Organisation Zugang gewähren.

Inzwischen sind Angriffe durch Bots hochgradig automatisiert. So lässt sich ein System mit Daten überschwemmen und letztlich überlasten. Die Entschärfung dieser Bots durch Ratenbegrenzung für Zugriffe kann die Bedrohung hinsichtlich DDoS-Angriffen verringern. Eine solche Verwaltung des Datenverkehrs kann das Risiko von Website-Fehlern und Ausfallzeiten reduzieren.

3. Modernisierung zur Vermeidung der Kosten von Ausfallzeiten

API-Leistung und -Sicherheit sind die Eckpfeiler für die Gewährleistung der allgemeinen Anwendungsverfügbarkeit für Kunden und Endnutzer. Dies gilt insbesondere auch für die generelle Modernisierung der Unternehmen, da moderne Microservice-Architekturen in großem Maße auf APIs beruhen.

Ein guter Ausgangspunkt ist die Frage, wie Unternehmen die Leistung von Anwendungen und Diensten mit einer dezentralen Architektur verbessern können. Indem Unternehmen die Stärke und Widerstandsfähigkeit der technologischen Infrastruktursysteme in den Vordergrund stellen, können alle einen Teil dazu beitragen, zukünftige digitale Katastrophen zu vermeiden.

* Sven Walther ist Ansprechpartner für alle technischen Fragen im Bereich API und Services und zeichnet sich im Solutions Engineering von Kong verantwortlich für Präsentationen und Installationen bei Interessenten. Dabei konzentriert er sich auf die Bereitstellung von Lösungen für APIs, Services und Developer Engagement. Sven Walther hat ein Studium der Wirtschaftswissenschaften absolviert und verfügt über eine mehr als 20-jährige internationale Erfahrung mit verschiedenen IT-Lösungen für Unternehmen, die APIs nutzen, bereitstellen und verwalten.

Artikelfiles und Artikellinks

(ID:47826385)