:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Policies für API-Cybersecurity Drei Maßnahmen für mehr API-Sicherheit
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Ob IoT oder hybrides Arbeiten: Die digitale Transformation in Deutschland schreitet zügig voran. Hochwertige Daten sind das Fundament dieser für Innovation notwendigen Entwicklung. Insbesondere sichere API-Schnittstellen sind dafür unerlässlich – und ausgerechnet sie ein beliebtes Ziel für Cyberattacken.
Das Gelingen der digitalen Transformation hängt von vielen Faktoren ab. Einer davon betrifft den Datentransfer zwischen Systemen. Durch einen flüssigen Informationsaustausch können Unternehmen ihre Prozesse und Dienstleistungen optimieren, neue Businessmodelle entwickeln und dadurch weiteres Wertschöpfungspotenzial erschließen. Hier kommen APIs, also Application Programming Interfaces (Anwendungsprogrammierschnittstellen), ins Spiel. Sie dienen dabei als wichtige Zugangsmöglichkeiten, die Unternehmen mit Kunden, Auftragnehmern und Mitarbeitern verbinden. Ob nun für Social-Media-Dienste, Kartenfunktionen oder Datenfunktionen: Letztlich ist dabei stets das Ziel, den Informationsaustausch aus Anwender- wie auch Entwicklersicht möglichst sicher und zuverlässig zu gestalten.
Fortschritte und Bedrohungen für API-Technologie
Nicht zuletzt aufgrund der Fortschritte der Cloud-Technologie hat die API-Entwicklung in den letzten Jahren erheblich an Fahrt aufgenommen: Informationen respektive Datenbestände lassen sich in eigens dafür konzipierten Cloudspeichern und Data Warehouses festhalten, deren Datenmengen von APIs dokumentiert, analysiert und interpretiert werden. Und wie heutzutage bereits bekannt ist, sind Daten ein wertvolles Gut, das teils hochpersönliche Rückschlüsse auf beispielsweise Nutzer und somit wertvolles Wissen erlaubt. Aus diesem Grund wächst die Zahl von Cyberattacken mit APIs als Angriffsziel seit Jahren beständig. Angriffe potenzieren sich sowohl in der Komplexität als auch in der Frequenz. Das belegen auch die Zahlen: So war 2021 bei API-Attacken ein Anstieg von 681 Prozent zu verzeichnen; insgesamt 95 Prozent aller von Salt Security befragten Unternehmen wurden bereits zur Zielscheibe solcher Angriffe.
Web-APIs als Schwachstelle
Als besonders vulnerable Schwachstelle gelten dabei Web-APIs. Einmal entwickelt und aufgesetzt, werden diese bei Aktualisierungen zwar durchaus geprüft. Zum Einsatz kommen dabei Scans, die nach möglichen Sicherheitslücken im System Ausschau halten sollen.
Das Problem jedoch ist, dass solche Scans zum Teil tendenziell langsam arbeiten und daher nicht alle Sicherheitsrisiken in der gebotenen kurzen Zeit erfassen können. Zum anderen verfügen Entwicklerteams nicht über die notwendigen Ressourcen, solche Sicherheits-Checks in Eigenregie durchzuführen, auch, da sie sich stattdessen verständlicherweise mit Coding befassen müssen. Nicht zuletzt sind API-Schnittstellen während Cloud-getriebener Aktualisierungsmaßnahmen mit begrenztem internen Zugriff besonders anfällig für externe Bedrohungen. Hierzu zählen vor allem Denial-of-Service-Attacken (DDoS), bei denen Server gezielt mit einer extrem hohen Anzahl von Anfragen binnen kurzer Zeit so lange überflutet werden, bis diese unter der enormen Last zusammenbrechen.
API-Cybersecurity ist Chefsache
Was sich bereits 2021 als gravierendes Problem abzeichnete – mangelnde Cybersecurity-Maßnahmen zum Schutz von APIs und Daten – hat sich rund zwei Jahre später nicht sonderlich verbessert. Die Anzahl der Attacken ist weiter hoch, und Unternehmen sind sich dieser Schwäche nur allzu bewusst. Wie eine Axway-Studie von 2022 illustriert, befürchten 68 Prozent aller befragten Unternehmen in den nächsten Jahren eine unkontrollierte Zunahme von APIs, was wiederum in einem größeren Risiko für Cyberattacken resultiert.
Klar ist: API-Cybersecurity, das ist mittlerweile Chefsache. Daher sind Chief Information Security Officer (CISO) gefragt, gemeinsam mit den Entwicklerteams den Grundstein für eine weitestgehend sichere IT-Infrastruktur zu legen und dafür eine Security Policy aufzusetzen.
Diese sollte folgende drei Maßnahmen umfassen:
1. Ein Inventar aller APIs durch Attack Surface Management
Angriffsflächenmanagement beziehungsweise Attack Surface Management (ASM) bezeichnet die Erkennung, Analyse, Behebung sowie das Monitoring von Sicherheitslücken, welche in der Gesamtheit die Angriffsfläche eines Unternehmens bilden. Der Clou: Bei dieser Maßnahme versetzt sich ein Unternehmen in die Lage des Feindes, also des Hackers – zum Beispiel unter Zuhilfenahme eigens dafür beauftragter ‚guter‘ Hacker. Hierbei werden alle potenziellen Gefahrenpunkte von bestehenden APIs einer Prüfung unterzogen. Für die interne Qualitätskontrolle sollten die APIs und deren potenzielle sowie tatsächlichen Schwachstellen dokumentiert und anschließend analysiert und behoben werden, um präventiv gegen Angreifer vorzugehen.
Besondere Aufmerksamkeit sollte hier sogenannten Schatten-APIs zuteilwerden: allen APIs eines Drittanbieters, die nicht von der Organisation, die sie verwendet, verwaltet oder gesichert wurden. Häufig werden Schatten-APIs von Entwicklern und anderen Nutzern innerhalb einer Organisation eingeführt, entweder während des Anwendungsentwicklungsprozesses oder zur Ausführung anderer Geschäftsfunktionen. Da sie jedoch nicht unter der Kontrolle der IT- und Sicherheitsteams eines Unternehmens stehen, ist es schwierig, sie gegen neue Schwachstellen und Angriffe zu schützen. Um diese Schatten-APIs aufzuspüren, kann der Einsatz KI-basierter Tools ratsam sein.
2. Sicherheitsmaßnahmen während des gesamten SDLC beachten
Ferner ist es ratsam, Sicherheitsmaßnahmen während des gesamten SDLC (Software Development Life Cycle) zu implementieren, also in allen Phasen, die bis zur Entwicklung einer neuen Software-Anwendung erforderlich sind. Gleichzeitig sollten Unternehmen stets darauf achten, den internen Wissenstransfer voranzutreiben und hierfür die proaktive Unterstützung der Zusammenarbeit zwischen Sicherheits- und Entwicklerteams (DevSecOps) zu forcieren, Entwicklerschulungen inklusive.
Damit verbunden ist das Static Application Security Testing (SAST), bei dem ein Code statisch und vor allem sichtbar bleibt. Anstatt also nachfolgend eine Anwendung zu testen, erfolgt eine Prüfung recht früh in der Entwicklung. So können etwaige Sicherheitsmängel schon frühzeitig erkannt und behoben werden, was sich bei einer fertig entwickelten Anwendung schwieriger gestaltet. Es ist darüber hinaus empfehlenswert, diese Sicherheitsmaßnahme unter realen Test- und Produktionsbedingungen durchzuführen. Hierfür bietet sich die Zuhilfenahme einer integrierten Entwicklungsumgebung (IDE) an.
3. API-Nutzung monitoren
Wie bereits dargelegt, beruhen DDoS-Attacken darauf, ein Zielsystem mit einer Vielzahl an Anfragen zu bombardieren und somit lahmzulegen. Aber auch im Normalfall sollte darauf geachtet werden, ein System nicht unnötig zu belasten und durch eine API-Nutzungsbegrenzung vorab festzulegen, wie oft bestimmte APIs von Nutzern aufgerufen werden dürfen.
Die API-Ratenbegrenzung kann als defensive Sicherheitsmaßnahme für die API und auch als Instrument zur Qualitätskontrolle verwendet werden. Als gemeinsam genutzter Dienst muss sich die API vor übermäßiger Nutzung schützen, um ein optimales Erlebnis für alle Nutzer zu fördern. Die Ratenbegrenzung ist sowohl auf Server- als auch auf Kundenseite wichtig, um die Zuverlässigkeit einer API zu erhöhen und so die Datenflüsse zu regulieren.
Fazit: Früh testen, kontrollieren und andere Perspektiven einnehmen
Kontrolle und eine lückenlose Dokumentation sind wichtige Mittel im Kampf gegen die zunehmend raffinierten Maschen von Hackern. Dabei muss Unternehmen bewusst sein, welcher Zwiespalt durch die Errungenschaften der digitalen Transformation hervorgerufen wird: mehr Datenaustausch, Information und Monetarisierungspotenzial einerseits, größere Datenvolumina und Sicherheitslücken andererseits. Frühentwickelte Testumgebungen sowie ein größeres Bewusstsein für die Taktiken von Hackern können hier verlässliche Hilfe leisten.
Über den Autor: Tristan Kalos ist Co-Founder und CEO bei Escape. Der Diplom-Ingenieur mit einem Abschluss in Computational and Applied Mathematics sowie einem Masterabschluss im Fach Entrepreneurship studierte in Paris und Berkeley. Nach einigen beruflichen Stationen im Bereich Machine Learning gründete Kalos 2020 zusammen mit Antoine Carossio das Startup Escape, dessen Ziel die Gewährleistung sicherer APIs ist.
(ID:49775137)
:quality(80)/p7i.vogel.de/wcms/4b/ff/4bffe00ab0372d5344ebd5d27bb02df3/0108980699.jpeg "In einer Zeit, in der die Cybersicherheit zum entscheidenden Thema geworden ist, sind APIs oft das schwächste Glied in IT-Systemen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/74/8d744322f5404e58e35ede9a656bd8f6/0111572445.jpeg "Der API Protection Report befasst sich mit den größten Bedrohungen für Programmierschnittstellen. (Bild: Cequence Security)")