APIs und die IT-Sicherheit

Unternehmen müssen die App-Economy absichern

| Autor / Redakteur: Sven Kniest / Peter Schmitz

Unternehmen brauchen neue Lösungen um APIs aus der „Schatten-IT“ herauszuführen und sie zu bekannten, vertrauenswürdigen Systemen zurückzukehren lassen.
Unternehmen brauchen neue Lösungen um APIs aus der „Schatten-IT“ herauszuführen und sie zu bekannten, vertrauenswürdigen Systemen zurückzukehren lassen. (Bild: gemeinfrei / Pixabay)

APIs gewährleisten eine bessere Integration von Anwendungen, fördern Geschäftschancen und erhöhen den Umsatz von Unternehmen. Sie sind deshalb mittlerweile sogar Thema auf Vorstandsebene und nicht mehr nur in Entwickler-Teams. Gleichzeitig muss aber die wachsende Zahl von APIs mit der entsprechenden Security in Einklang gebracht werden um nicht Cyberkriminellen neue Angriffsvektoren zu eröffnen.

APIs sind der Eckpfeiler unserer „always on, always connected” Welt. Es gibt derzeit mehr Anwendungen und Dienste als je zuvor. Sie werden angetrieben von einer wachsenden Anzahl an Partnerintegrationen – für die APIs der „Klebstoff“ sind und nahtlose Verbindungen ermöglichen. Einige der weltweit größten Unternehmen haben ihre API-Angebote monetarisiert und damit ihren Umsatz gesteigert. Beispielsweise generiert Salesforce angeblich 50 Prozent seines Umsatzes über APIs, eBay fast 60 Prozent und Expedia sogar 90 Prozent.

Dennoch läuft nicht immer alles reibungslos. Entwickler arbeiten oft mit einer Design-Mentalität, bei der der die Funktionalität Vorrang vor der Sicherheit hat. Heute lauern allerdings Bedrohungen und Schwachstellen an jeder Ecke, die Security-Landschaft hat sich signifikant verändert – und daher muss dem Thema Sicherheit deutlich mehr Beachtung geschenkt werden. Die wachsende Zahl von APIs muss mit der entsprechenden Security in Einklang gebracht werden.

Jedes dritte Unternehmen über APIs attackiert

Radware warnt vor Schwachstellen in API-Implementierungen

Jedes dritte Unternehmen über APIs attackiert

26.06.19 - Mit der zunehmenden Bereitstellung von APIs, sprich Programmierschnittstellen, nehmen auch Angriffe zu. Laut dem jüngsten Global Application & Network Security Report von Radware berichtet jedes dritte Unternehmen davon, dass ihre Anwendungen über APIs attackiert werden. lesen

Die aktuelle API-Landschaft

Die Skepsis hinsichtlich der Sicherheit von APIs ist begründet. Die sich aus der API-Entwicklung ergebenden Datenschutz- und Sicherheitsprobleme nehmen weiter zu. Gartner Analysten prognostizieren, dass sie bis 2022 die Quelle der meisten Datenschutz-Verletzungen sein werden. Ohne gezielte Bemühungen, diese Systeme zu schützen, ist dieser Zeitraum bereits optimistisch. Derzeit verfolgen Unternehmen daher eine Reihe unterschiedlicher Ansätze, um die API-Sicherheit zu gewährleisten. Am häufigsten heißt dies allerdings, den Anwendern zu vertrauen. Das uneingeschränkte Vertrauen bedeutet aber keinesfalls Sicherheit – nicht einmal für interne APIs. Zero Trust ist die Prämisse für Unternehmen wie Nutzer. Wenn die API-Sicherheit nicht ernst genommen wird, sind Organisationen anfällig für Cyber-Angriffe, die Schwachstellen ausnutzen. Entwickler und IT-Teams sollten APIs daher genauso behandeln wie Webschnittstellen und Anwendungen zum Schutz von Unternehmensdaten und geistigem Eigentum.

API-Schlüssel bieten für viele zusätzliche Sicherheit für vertrauenswürdige Endanwender. Sie haben darüber hinaus einen weiteren Vorteil: Sie lassen sich schnell und einfach implementieren. Allerdings erlauben sie entweder kompletten Zugang zu sensiblen Daten – oder überhaupt keinen. Damit kann jeder Entwickler mit dem entsprechenden Schlüssel auf unternehmenskritische Informationen zugreifen.

Den Schutz weiter ausbauen

Eine der fortschrittlichsten Möglichkeiten, um die Infrastruktur einer API zu schützen, ist ein API-Gateway wie Apigee und Mulesoft es bereitstellen. Ergänzt um eine komplette Access-Management-Lösung, können API-Gateways äußerst wertvoll sein. Werden sie allerdings stellen sie nicht den kompletten Geschäftskontext dar. Sie können nicht unterscheiden, wer Zugang haben bzw. was sie mit diesem Zugriff erreichen möchten. Ein Beispiel: Das API eines HR-Systems zu nutzen, um die Urlaubshistorie herunterzuladen birgt ein anderes Risiko als das Verwenden des API, um Lastschriftinformationen zu ändern.

Unternehmen sollten aber noch einen anderen Ansatz verfolgen, den Industriestandard OAuth 2.0. Er funktioniert wie der Check-in im Hotel: Schlüsselkarten lassen auf eine Applikation zugreifen. Nach dem Nachweis der Identität gewährt ein Autorisierungsserver dem Anwender über einen Token Zugriff auf bestimmte Ressourcen. Dieser Zugang hat ein automatisches Ablaufdatum.

OAuth ist ein komplexerer Ansatz, ermöglicht aber eine deutliche höheren Flexibilität und weniger Standardisierung – ein signifikanter Vorteil in der Security-Welt. Aber OAuth 2.0 sichert APIs nicht vollständig ab: Die Lösung adressiert nicht, wie APIs sich selbst schützen – dies sollten Unternehmen im Kopf behalten. Wie jedes andere System, das Teil der IT-Infrastruktur ist, müssen APIs vor bösartigen Nutzern und schlechter Software schützen, unabhängig davon, wie sie damit umgehen. Ein großes Schloss an der Haustür reicht nicht aus, wenn die Fenster weit geöffnet sind.

Teamwork von Software-Entwicklung und Security

Neues eBook „DevSecOps im Mittelstand“

Teamwork von Software-Entwicklung und Security

16.08.19 - Wenn Software-Entwicklung, -Betrieb und Security Hand in Hand arbeiten, können schneller Resultate erzielt werden, die Qualität wird besser und die Sicherheit steigt. Aus diesem Grund lohnt es sich, DevSecOps genauer zu betrachten. Gerade der Mittelstand kann hier profitieren, wie das neue eBook „DevSecOps im Mittelstand“ zeigt. Dabei geht es weniger um Technik, als vielmehr um neue Arbeitsformen. lesen

Eine einheitliche Herangehensweise ist notwendig

In der Praxis ist keine Security-Anwendung oder -Maßnahme hundertprozentig (ausfall-) sicher. Jede kommt mit einem gewissen Maß an Risikomanagement. Immer häufiger werden jedoch API-Gateways mit OAuth eingesetzt, wenn es um Anwendungsfälle geht, die extrem sicher sein müssen und daher eines besonderen Schutzes bedürfen. Diese komplementären Technologien bieten in Kombination eine leistungsstarken API-Zugriffsverwaltungslösung, die bestimmte OAuth-Bereiche auf ausgewählte Geräte, ein spezifisches Netzwerk oder eine Gruppenzugehörigkeit beschränken kann. Wichtig ist, dass sich solche Richtlinien außerhalb des API-Gateways durch ein Sicherheitsteam verwalten lassen, während Zugriffsanforderungen, Berechtigungen und Richtlinienänderungen zentral protokolliert werden.

Bessere Lösungen können helfen, APIs aus der „Schatten-IT“ herauszuführen und sie zu bekannten, vertrauenswürdigen Systemen zurückzukehren lassen. Jede Lösung ist ein „work in progress“ während ihres gesamten Lebenszyklus. Deswegen kann die vertrauenswürdige Anwendung von heute zum kompromittierten System von morgen werden. Unternehmen benötigen Flexibilität, um ihre Systeme anzupassen, sie zu schützen und auf Veränderungen zu reagieren – basierend auf dem vollständigen Kontext des Nutzers und seinen Zielen. Nur dann können wir die Vorteile der „always on, always connected“ Welt ausschöpfen.

Über den Autor: Sven Kniest ist Regional Vice President und Country Manager DACH bei Okta.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46181857 / Softwareentwicklung)