:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
APIs und die IT-Sicherheit Unternehmen müssen die App-Economy absichern
APIs gewährleisten eine bessere Integration von Anwendungen, fördern Geschäftschancen und erhöhen den Umsatz von Unternehmen. Sie sind deshalb mittlerweile sogar Thema auf Vorstandsebene und nicht mehr nur in Entwickler-Teams. Gleichzeitig muss aber die wachsende Zahl von APIs mit der entsprechenden Security in Einklang gebracht werden um nicht Cyberkriminellen neue Angriffsvektoren zu eröffnen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
APIs sind der Eckpfeiler unserer „always on, always connected” Welt. Es gibt derzeit mehr Anwendungen und Dienste als je zuvor. Sie werden angetrieben von einer wachsenden Anzahl an Partnerintegrationen – für die APIs der „Klebstoff“ sind und nahtlose Verbindungen ermöglichen. Einige der weltweit größten Unternehmen haben ihre API-Angebote monetarisiert und damit ihren Umsatz gesteigert. Beispielsweise generiert Salesforce angeblich 50 Prozent seines Umsatzes über APIs, eBay fast 60 Prozent und Expedia sogar 90 Prozent.
Dennoch läuft nicht immer alles reibungslos. Entwickler arbeiten oft mit einer Design-Mentalität, bei der der die Funktionalität Vorrang vor der Sicherheit hat. Heute lauern allerdings Bedrohungen und Schwachstellen an jeder Ecke, die Security-Landschaft hat sich signifikant verändert – und daher muss dem Thema Sicherheit deutlich mehr Beachtung geschenkt werden. Die wachsende Zahl von APIs muss mit der entsprechenden Security in Einklang gebracht werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1577600/1577617/original.jpg "Laut jüngstem Global Application & Network Security Report von Radware berichtet jedes dritte Unternehmen über Attacken gegen Anwendungen via APIs. (OpenClipart-Vectors - Pixabay.com)")
Radware warnt vor Schwachstellen in API-Implementierungen
Jedes dritte Unternehmen über APIs attackiert
Die aktuelle API-Landschaft
Die Skepsis hinsichtlich der Sicherheit von APIs ist begründet. Die sich aus der API-Entwicklung ergebenden Datenschutz- und Sicherheitsprobleme nehmen weiter zu. Gartner Analysten prognostizieren, dass sie bis 2022 die Quelle der meisten Datenschutz-Verletzungen sein werden. Ohne gezielte Bemühungen, diese Systeme zu schützen, ist dieser Zeitraum bereits optimistisch. Derzeit verfolgen Unternehmen daher eine Reihe unterschiedlicher Ansätze, um die API-Sicherheit zu gewährleisten. Am häufigsten heißt dies allerdings, den Anwendern zu vertrauen. Das uneingeschränkte Vertrauen bedeutet aber keinesfalls Sicherheit – nicht einmal für interne APIs. Zero Trust ist die Prämisse für Unternehmen wie Nutzer. Wenn die API-Sicherheit nicht ernst genommen wird, sind Organisationen anfällig für Cyber-Angriffe, die Schwachstellen ausnutzen. Entwickler und IT-Teams sollten APIs daher genauso behandeln wie Webschnittstellen und Anwendungen zum Schutz von Unternehmensdaten und geistigem Eigentum.
API-Schlüssel bieten für viele zusätzliche Sicherheit für vertrauenswürdige Endanwender. Sie haben darüber hinaus einen weiteren Vorteil: Sie lassen sich schnell und einfach implementieren. Allerdings erlauben sie entweder kompletten Zugang zu sensiblen Daten – oder überhaupt keinen. Damit kann jeder Entwickler mit dem entsprechenden Schlüssel auf unternehmenskritische Informationen zugreifen.
Den Schutz weiter ausbauen
Eine der fortschrittlichsten Möglichkeiten, um die Infrastruktur einer API zu schützen, ist ein API-Gateway wie Apigee und Mulesoft es bereitstellen. Ergänzt um eine komplette Access-Management-Lösung, können API-Gateways äußerst wertvoll sein. Werden sie allerdings stellen sie nicht den kompletten Geschäftskontext dar. Sie können nicht unterscheiden, wer Zugang haben bzw. was sie mit diesem Zugriff erreichen möchten. Ein Beispiel: Das API eines HR-Systems zu nutzen, um die Urlaubshistorie herunterzuladen birgt ein anderes Risiko als das Verwenden des API, um Lastschriftinformationen zu ändern.
Unternehmen sollten aber noch einen anderen Ansatz verfolgen, den Industriestandard OAuth 2.0. Er funktioniert wie der Check-in im Hotel: Schlüsselkarten lassen auf eine Applikation zugreifen. Nach dem Nachweis der Identität gewährt ein Autorisierungsserver dem Anwender über einen Token Zugriff auf bestimmte Ressourcen. Dieser Zugang hat ein automatisches Ablaufdatum.
OAuth ist ein komplexerer Ansatz, ermöglicht aber eine deutliche höheren Flexibilität und weniger Standardisierung – ein signifikanter Vorteil in der Security-Welt. Aber OAuth 2.0 sichert APIs nicht vollständig ab: Die Lösung adressiert nicht, wie APIs sich selbst schützen – dies sollten Unternehmen im Kopf behalten. Wie jedes andere System, das Teil der IT-Infrastruktur ist, müssen APIs vor bösartigen Nutzern und schlechter Software schützen, unabhängig davon, wie sie damit umgehen. Ein großes Schloss an der Haustür reicht nicht aus, wenn die Fenster weit geöffnet sind.
:quality(80)/images.vogel.de/vogelonline/bdb/1598400/1598419/original.jpg "Die Umstellung von Strukturen und Abläufen bereitet Aufwand, doch wie das neue eBook von Security-Insider zeigt, hat DevSecOps klare Vorteile, die gerade für den Mittelstand interessant sind. (bearsky23 - stock.adobe.com, VIT)")
Neues eBook „DevSecOps im Mittelstand“
Teamwork von Software-Entwicklung und Security
Eine einheitliche Herangehensweise ist notwendig
In der Praxis ist keine Security-Anwendung oder -Maßnahme hundertprozentig (ausfall-) sicher. Jede kommt mit einem gewissen Maß an Risikomanagement. Immer häufiger werden jedoch API-Gateways mit OAuth eingesetzt, wenn es um Anwendungsfälle geht, die extrem sicher sein müssen und daher eines besonderen Schutzes bedürfen. Diese komplementären Technologien bieten in Kombination eine leistungsstarken API-Zugriffsverwaltungslösung, die bestimmte OAuth-Bereiche auf ausgewählte Geräte, ein spezifisches Netzwerk oder eine Gruppenzugehörigkeit beschränken kann. Wichtig ist, dass sich solche Richtlinien außerhalb des API-Gateways durch ein Sicherheitsteam verwalten lassen, während Zugriffsanforderungen, Berechtigungen und Richtlinienänderungen zentral protokolliert werden.
Bessere Lösungen können helfen, APIs aus der „Schatten-IT“ herauszuführen und sie zu bekannten, vertrauenswürdigen Systemen zurückzukehren lassen. Jede Lösung ist ein „work in progress“ während ihres gesamten Lebenszyklus. Deswegen kann die vertrauenswürdige Anwendung von heute zum kompromittierten System von morgen werden. Unternehmen benötigen Flexibilität, um ihre Systeme anzupassen, sie zu schützen und auf Veränderungen zu reagieren – basierend auf dem vollständigen Kontext des Nutzers und seinen Zielen. Nur dann können wir die Vorteile der „always on, always connected“ Welt ausschöpfen.
Über den Autor: Sven Kniest ist Regional Vice President und Country Manager DACH bei Okta.
(ID:46181857)
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945975/original.jpg "Cloudflare hilft mit dem API Gateway dabei, Programmierschnittstellen aufzuspüren und abzusichern. (Cloudflare)")
:quality(80)/images.vogel.de/vogelonline/bdb/1935800/1935877/original.jpg "Security-Expoerten schätzen, dass sich das Volumen von Cyber-Attacken auf APIs bis 2024 verdoppeln wird. Umso wichtiger ist es, dass Unternehmen die Gefahr erkennen und schon jetzt darauf reagieren. (© putilov_denis - stock.adobe.com)")