Suchen

APIs und die IT-Sicherheit Unternehmen müssen die App-Economy absichern

Autor / Redakteur: Sven Kniest / Peter Schmitz

APIs gewährleisten eine bessere Integration von Anwendungen, fördern Geschäftschancen und erhöhen den Umsatz von Unternehmen. Sie sind deshalb mittlerweile sogar Thema auf Vorstandsebene und nicht mehr nur in Entwickler-Teams. Gleichzeitig muss aber die wachsende Zahl von APIs mit der entsprechenden Security in Einklang gebracht werden um nicht Cyberkriminellen neue Angriffsvektoren zu eröffnen.

Firmen zum Thema

Unternehmen brauchen neue Lösungen um APIs aus der „Schatten-IT“ herauszuführen und sie zu bekannten, vertrauenswürdigen Systemen zurückzukehren lassen.
Unternehmen brauchen neue Lösungen um APIs aus der „Schatten-IT“ herauszuführen und sie zu bekannten, vertrauenswürdigen Systemen zurückzukehren lassen.
(Bild: gemeinfrei / Pixabay )

APIs sind der Eckpfeiler unserer „always on, always connected” Welt. Es gibt derzeit mehr Anwendungen und Dienste als je zuvor. Sie werden angetrieben von einer wachsenden Anzahl an Partnerintegrationen – für die APIs der „Klebstoff“ sind und nahtlose Verbindungen ermöglichen. Einige der weltweit größten Unternehmen haben ihre API-Angebote monetarisiert und damit ihren Umsatz gesteigert. Beispielsweise generiert Salesforce angeblich 50 Prozent seines Umsatzes über APIs, eBay fast 60 Prozent und Expedia sogar 90 Prozent.

Dennoch läuft nicht immer alles reibungslos. Entwickler arbeiten oft mit einer Design-Mentalität, bei der der die Funktionalität Vorrang vor der Sicherheit hat. Heute lauern allerdings Bedrohungen und Schwachstellen an jeder Ecke, die Security-Landschaft hat sich signifikant verändert – und daher muss dem Thema Sicherheit deutlich mehr Beachtung geschenkt werden. Die wachsende Zahl von APIs muss mit der entsprechenden Security in Einklang gebracht werden.

Die aktuelle API-Landschaft

Die Skepsis hinsichtlich der Sicherheit von APIs ist begründet. Die sich aus der API-Entwicklung ergebenden Datenschutz- und Sicherheitsprobleme nehmen weiter zu. Gartner Analysten prognostizieren, dass sie bis 2022 die Quelle der meisten Datenschutz-Verletzungen sein werden. Ohne gezielte Bemühungen, diese Systeme zu schützen, ist dieser Zeitraum bereits optimistisch. Derzeit verfolgen Unternehmen daher eine Reihe unterschiedlicher Ansätze, um die API-Sicherheit zu gewährleisten. Am häufigsten heißt dies allerdings, den Anwendern zu vertrauen. Das uneingeschränkte Vertrauen bedeutet aber keinesfalls Sicherheit – nicht einmal für interne APIs. Zero Trust ist die Prämisse für Unternehmen wie Nutzer. Wenn die API-Sicherheit nicht ernst genommen wird, sind Organisationen anfällig für Cyber-Angriffe, die Schwachstellen ausnutzen. Entwickler und IT-Teams sollten APIs daher genauso behandeln wie Webschnittstellen und Anwendungen zum Schutz von Unternehmensdaten und geistigem Eigentum.

API-Schlüssel bieten für viele zusätzliche Sicherheit für vertrauenswürdige Endanwender. Sie haben darüber hinaus einen weiteren Vorteil: Sie lassen sich schnell und einfach implementieren. Allerdings erlauben sie entweder kompletten Zugang zu sensiblen Daten – oder überhaupt keinen. Damit kann jeder Entwickler mit dem entsprechenden Schlüssel auf unternehmenskritische Informationen zugreifen.

Den Schutz weiter ausbauen

Eine der fortschrittlichsten Möglichkeiten, um die Infrastruktur einer API zu schützen, ist ein API-Gateway wie Apigee und Mulesoft es bereitstellen. Ergänzt um eine komplette Access-Management-Lösung, können API-Gateways äußerst wertvoll sein. Werden sie allerdings stellen sie nicht den kompletten Geschäftskontext dar. Sie können nicht unterscheiden, wer Zugang haben bzw. was sie mit diesem Zugriff erreichen möchten. Ein Beispiel: Das API eines HR-Systems zu nutzen, um die Urlaubshistorie herunterzuladen birgt ein anderes Risiko als das Verwenden des API, um Lastschriftinformationen zu ändern.

Unternehmen sollten aber noch einen anderen Ansatz verfolgen, den Industriestandard OAuth 2.0. Er funktioniert wie der Check-in im Hotel: Schlüsselkarten lassen auf eine Applikation zugreifen. Nach dem Nachweis der Identität gewährt ein Autorisierungsserver dem Anwender über einen Token Zugriff auf bestimmte Ressourcen. Dieser Zugang hat ein automatisches Ablaufdatum.

OAuth ist ein komplexerer Ansatz, ermöglicht aber eine deutliche höheren Flexibilität und weniger Standardisierung – ein signifikanter Vorteil in der Security-Welt. Aber OAuth 2.0 sichert APIs nicht vollständig ab: Die Lösung adressiert nicht, wie APIs sich selbst schützen – dies sollten Unternehmen im Kopf behalten. Wie jedes andere System, das Teil der IT-Infrastruktur ist, müssen APIs vor bösartigen Nutzern und schlechter Software schützen, unabhängig davon, wie sie damit umgehen. Ein großes Schloss an der Haustür reicht nicht aus, wenn die Fenster weit geöffnet sind.

Eine einheitliche Herangehensweise ist notwendig

In der Praxis ist keine Security-Anwendung oder -Maßnahme hundertprozentig (ausfall-) sicher. Jede kommt mit einem gewissen Maß an Risikomanagement. Immer häufiger werden jedoch API-Gateways mit OAuth eingesetzt, wenn es um Anwendungsfälle geht, die extrem sicher sein müssen und daher eines besonderen Schutzes bedürfen. Diese komplementären Technologien bieten in Kombination eine leistungsstarken API-Zugriffsverwaltungslösung, die bestimmte OAuth-Bereiche auf ausgewählte Geräte, ein spezifisches Netzwerk oder eine Gruppenzugehörigkeit beschränken kann. Wichtig ist, dass sich solche Richtlinien außerhalb des API-Gateways durch ein Sicherheitsteam verwalten lassen, während Zugriffsanforderungen, Berechtigungen und Richtlinienänderungen zentral protokolliert werden.

Bessere Lösungen können helfen, APIs aus der „Schatten-IT“ herauszuführen und sie zu bekannten, vertrauenswürdigen Systemen zurückzukehren lassen. Jede Lösung ist ein „work in progress“ während ihres gesamten Lebenszyklus. Deswegen kann die vertrauenswürdige Anwendung von heute zum kompromittierten System von morgen werden. Unternehmen benötigen Flexibilität, um ihre Systeme anzupassen, sie zu schützen und auf Veränderungen zu reagieren – basierend auf dem vollständigen Kontext des Nutzers und seinen Zielen. Nur dann können wir die Vorteile der „always on, always connected“ Welt ausschöpfen.

Über den Autor: Sven Kniest ist Regional Vice President und Country Manager DACH bei Okta.

(ID:46181857)