:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheitslücken in Programmierschnittstellen API-Schwachstellen aufspüren
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Programmierschnittstellen (APIs) bilden einen Kernbestandteil moderner Software-Architekturen. Genau wie andere Software-Entwicklungstool können aber auch APIs Schwachstellen aufweisen und so zum Einfallstor für Cyber-Kriminelle werden. In Zukunft könnten sie sich im Hinblick auf Cyberangriffe sogar zur größten Gefahrenquelle überhaupt entwickeln. Damit dies nicht passiert, sollten Software-Unternehmen ihre APIs regelmäßig und gründlich scannen.
Dass persönliche Daten der Kinder unkontrolliert im Internet kursieren, ist ein Schreckensszenario vieler Eltern. Durch eine fehlerhafte Schnittstelle in der App „scoolio“ wäre genau das möglich gewesen. Glücklicherweise haben IT-Sicherheitsaktivisten von „zerforschung“ die Schwachstelle vor Kriminellen entdeckt. Die Aktivisten nutzten die API natürlich nicht für kriminelle Aktivitäten, sondern nur, um zu überprüfen, was durch die Schwachstelle theoretisch möglich wäre. Aufgrund von interessenspezifischen Chatgruppen in der App konnten Rückschlüsse auf eine Reihe von persönlichen Informationen gezogen werden: So gibt es in der App beispielsweise Gruppen zur politischen, religiösen oder sexuellen Orientierung der Schüler. Somit waren die abgerufenen Daten in der Tat sehr bedenklich, da sie sehr persönlich waren. Dieses besonders drastische Beispiel hebt Probleme hervor, die praktisch in jeder modernen App auftreten können, die auf APIs basiert.
Programmierschnittstellen: Das Rückgrat der modernen IT-Infrastruktur
Schaut man sich an, wie wir heute Software nutzen, wird schnell klar, warum die Programmierschnittstellen so zentral sind: Bei Smartphone Apps oder As-a-Service-Angeboten wird praktisch nichts mehr lokal gerechnet, das war bei großen On-Premise-Installationen in der Vergangenheit noch ganz anders. Bei modernen Apps dient das Gerät eigentlich nur noch als Ausgabemedium, alle benötigten Informationen werden aus dem Internet abgerufen – über APIs.
Heutzutage werden sensible Teile des täglichen Lebens, wie Online-Banking, Trading oder sogar die Buchung von Arztterminen über das Smartphone abgewickelt. Ganz ähnlich verhält es sich auch bei Web-Anwendungen: Die Experten von Gartner gehen beispielsweise davon aus, dass 90 Prozent aller Web-Anwendungen öffentliche APIs verwenden (Gartner’s API Strategy Maturity Model, Saniye Alaybeyi, Mark O’Neill, 27 April 2021). Außerdem erwartet das Analystenhaus, dass sich API-Attacken bis 2022 zum häufigsten Angriffsvektor überhaupt entwickeln könnten und bis 2023 90 Prozent der webfähigen Anwendungen mehr Angriffsfläche in Form von offengelegten APIs als in Form der Benutzeroberfläche (UI) bieten werden. Im Jahr 2020 waren es lediglich 50 Prozent. Da APIs einen so großen Anteil an digitalen Produkten und Diensten ausmachen, ist die Einführung robuster Tools und Verfahren für die Anwendungssicherheit unerlässlich.
Warum sind APIs ein leichtes Ziel für Cyberkriminelle?
APIs ermöglichen eine einfache Datenübertragung von einem Produkt oder Dienst zu einem anderen. Wenn Kriminelle also eine Schwachstelle entdecken, die ausgenutzt werden kann, können sie an einer einzigen Stelle auf Daten zugreifen, anstatt viele komplexe Systeme und Datenbanken zu durchlaufen. Daher sind unzureichend abgesicherte Programmierschnittstellen ein so großes Problem. Dass es überhaupt zu vergleichsweise vielen Schwachstellen in APIs kommt, liegt unter anderem daran, dass immer mehr Schnittstellen entwickelt werden müssen, um mit der allgemeinen Entwicklung schrittzuhalten. Die immer größere Fragmentierung der Software-Landschaft bedingt auch eine höhere Zahl an Schnittstellen. Schnellere Release-Zyklen sorgen außerdem dafür, dass diese immer schneller entwickelt werden müssen. Das sind leider nicht die besten Voraussetzungen, um sicheren Code zu produzieren.
Normalerweise werden APIs in öffentlich und privat unterteilt. Man könnte nun davon ausgehen, dass private Schnittstellen sicherer wären, in der Praxis spielt das aber keine sehr große Rolle. Für Kriminelle ist es vergleichsweise einfach, zum Beispiel im Dark Net an geleakte interne Adressen zu kommen und so eine interne Abfrage zu simulieren. Unternehmen sollten also bei privaten APIs die gleichen Sicherheitsmaßstäbe anlegen wie bei öffentlichen.
Scannen, Scannen, Scannen
Grundsätzlich entstehen auch APIs nicht anders als jeder andere Code. Das bedeutet, auch hier können sich während des Programmierens Fehler einschleichen, die dann zu Schwachstellen führen können. Unternehmen sollten sie daher genauso gründlich auf ihre Sicherheit prüfen wie andere Software. Idealerweise sollten IT-Sicherheitsteams eine Kombination aus statischen und dynamischen Tests anwenden. Während bei der statischen Analyse nach formalen Fehlern im Code gesucht wird, bevor dieser produziert wird, sollte die dynamische Analyse auch dann noch stattfinden, wenn die APIs aktiv ausgeführt werden,
Hier ist es sinnvoll, auf Tools zurückzugreifen, die speziell für das Testen von APIs entwickelt wurden, beispielsweise die Dynamic Analysis (DAST) Scanning Engine von Veracode. Mit solchen Tools können Sicherheitsexperten APIs analysieren, sobald sie in einer Laufzeitumgebung verfügbar sind, die mit einem Netzwerk verbunden ist und - was entscheidend ist - bevor sie in größere Anwendungen integriert werden. Die Ergebnisse eines solchen API-Scans werden von den Tools automatisch nach Kritikalität gruppiert. Anschließend liefert die Lösung detaillierte Anleitungen zur Behebung von Schwachstellen in einem einzigen Dashboard zusammen mit anderen Dynamic Analysis-Scans.
Mit diesen Hilfsmitteln können IT-Sicherheitsteams Schwachstellen einfacher priorisieren und haben schnellen Zugang zu den Detailinformationen, die Entwickler benötigen, um unsicheren Code schnell zu beheben. Das fördert auch die reibungslose Zusammenarbeit zwischen Sicherheits- und Entwicklerteams.
API-Scans dienen als Ergänzung - keinesfalls aber als Ersatz - für statische und dynamische Tests. Neben dem häufigen, konsistenten und kontinuierlichen Scannen hat die Kombination mehrerer Scantypen, einschließlich statischer Analyse (SAST), dynamischer Analyse (DAST) und Softwarekompositionsanalyse (SCA), die größten Auswirkungen auf die Fehlerbehebungszeiten.
Über den Autor: Julian Trotzek-Hallhuber ist Senior Principal Solutions Architect bei Veracode.
(ID:48200697)
:quality(80)/p7i.vogel.de/wcms/eb/58/eb58ad2b626cfc8d36dfef997e6356d6/0108869219.jpeg "Veracode hat das Münchner Software-Sicherheits-Tool Crashtest Security erworben. (Bild: Veracode)")
:quality(80)/p7i.vogel.de/wcms/86/7f/867f700c8a458ca6b4d373f6b34317a7/0109124151.jpeg "Die Web Application and API Protection (WAAP) ist eine Sicherheitstechnologie zum Schutz von Webanwendungen und APIs. (Bild: gemeinfrei)")