:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/66/66663fb55130791b4fb9775e2c6bc20e/0115056185.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/5e/405e9a7158844a3b1c403d4e106f5c64/0115101339.jpeg "Dass IT-Sicherheit auf die Management- und Geschäftsleitungsebene gehört, predigen Sicherheitsfachleute seit Jahren. Nun gießt auch die EU-Direktive NIS-2 dieses Credo in entsprechende gesetzliche Regelungen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c3/79/c37904becb849d8b2f9535b2b979da3f/0113634011.jpeg "Ein Cyber-physisches System besteht aus Mechanik, Software und vernetzter Informationstechnik zum Zweck der Steuerung und des Betrieb komplexer Anlagen und Infrastrukturen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
API-Sicherheit Wie sich APIs effektiv schützen lassen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/65/23/6523c9fd412d5/fortra-logo-forest-green.jpeg "fortra-logo-forest-green (https://www.fortra.com/)"){kind=logo}
Über 600 verschiedene APIs gibt es durchschnittlich in Unternehmen. Wie viele es genau sind, wissen viele Organisationen nicht. Fatal, denn ungeprüfte und ungesicherte APIs sind ein ideales Einfallstor für Cyberkriminelle, um sensible Geschäftsdaten abzugreifen. IT-Sicherheitsteams sind daher gefordert, die Risiken von Schatten-APIs einzudämmen und Angriffe effektiv abzuwehren. Das gelingt mit einem ganzheitlichen Security-Ansatz, der den kompletten API-Lebenszyklus abdeckt.
Ob Onlinebanking im Privaten oder Logins in Dienstanwendungen im beruflichen Umfeld: APIs (Application Programming Interfaces) sind in nahezu allen Bereichen zu finden, in denen Nutzer online aktiv sind. Die Digitalisierung hat die explosionsartige Entwicklung von APIs noch einmal verstärkt, ermöglichen Schnittstellen doch durchgängige, integrierte Geschäftsprozesse, kosteneffektives Arbeiten und hohe Flexibilität in der Ausgestaltung eines unternehmenseigenen IT-Ökosystems. Experten gehen davon aus, dass die API-Nutzung insbesondere in den Branchen Telekommunikation, Technologie und Finanzdienstleistungen in diesem Jahr weiter stark zunehmen wird.
APIs im Fokus von Cyberkriminellen
Somit spielen APIs eine entscheidende Rolle im operativen und wirtschaftlichen Handeln eines Unternehmens. Für Cyberkriminelle sind sie ein lukratives Angriffsziel: Die Anzahl der Taktiken, Techniken und Verfahren, die die Angreifer verwenden, stieg ab Juni 2022 bis zum Jahresende um 550 Prozent von 2.000 auf 11.000 Stück an, wie eine Studie von Cequence Security zeigt. Besonders im Fokus der Angreifer: Schatten-APIs. Dabei handelt es sich um APIs, die außerhalb eines definierten Prozesses ohne Sicherheitsüberprüfungen oder Kontrollen veröffentlicht wurden. Suchanfragen für Schatten-APIs sind im Vergleich zur ersten Jahreshälfte 2022 um 900 Prozent auf rund 45 Milliarden Anfragen gestiegen. Für API-Gateways und Sicherheitsteams bleiben diese Schatten-APIs unsichtbar, haben jedoch genauso wie gesicherte Schnittstellen Zugriff auf sensible Informationen. Im schlimmsten Fall können Angreifer darüber geschäftskritische Daten einsehen und hohen Schaden verursachen.
Organisationen bieten breite Angriffsflächen
Das API-Bedrohungsumfeld entwickelt sich dynamisch. Angriffsflächen und -methoden sind breit gefächert. In den letzten Monaten waren zahlreiche Organisationen von API-Angriffen betroffen. Dabei werden die Methoden der Angreifer immer kreativer. Für Security-Verantwortliche ist es eine schwierige Aufgabe, API-Risiken auszumachen und mit geeigneten Maßnahmen einzudämmen.
So gab es insbesondere bei Telekommunikations-APIs eine Vielzahl an neuen, ausgefeilten Bedrohungsmethoden. Im Vergleich zur Einzelhandelsbranche waren es fast doppelt so viele Angriffe auf Telekommunikationsunternehmen. Die Angreifer nahmen dabei über einen längeren Zeitraum bestehende Infrastrukturen, Anwendungen und Geräte ins Visier. Mit ihrer Vielzahl an Stammdaten, Benutzerinformationen und mobilen Endgeräten mit unterschiedlichen Dienstkonfigurationen verfügen Telekommunikationsunternehmen über wertvolle Daten. Damit bieten sie eine große Angriffsfläche mit mehreren digitalen Einstiegspunkten.
Wie lassen sich APIs sichern und vor Cyber-Angriffen schützen?
Die Erfahrung zeigt: Traditionelle Schutztechniken reichen für eine übergreifende API Sicherheits-Strategie nicht mehr aus. Gerade bei automatisierten Bots stoßen sie häufig an ihre Grenzen. Botnets agieren zumeist rund um die Uhr und sind schwer zu enttarnen, weil sie menschliches Verhalten nachahmen. Über Webanwendungen attackieren sie APIs und greifen sensible Daten ab. Damit sind Bots ein nicht zu vernachlässigendes Sicherheitsrisiko.
API-Lebenszyklus fest im Blick
Um wirkungsvolle API-Schutzmaßnahmen zu initiieren und Angriffe in Echtzeit abzuwehren, müssen Security-Entscheider die APIs über ihren gesamten Lebenszyklus hinweg im Blick behalten.
1. API-Sichtbarkeit erhöhen
Hier geht es darum, zunächst genau aufzuschlüsseln, wie viele APIs im Unternehmen überhaupt betrieben werden. Erst wenn alle APIs für ein Unternehmen vollständig sichtbar und erfasst sind, lassen sich auch die Risiken bewerten und eindämmen. Sicherheitsteams sollten hier auf Tools zurückgreifen, die die APIs auch aus der Perspektive des Angreifers darstellen und exakt seine Ansicht widerspiegeln. So bekommen Unternehmen einen vollständigen Überblick über ihre internen und öffentlich exponierten APIs und Ressourcen.
2. APIs inventarisieren
Sind die APIs erkannt, können sie inventarisiert werden. Damit reduziert sich die Gefahr, die von Schatten-APIs oder veralteten APIs ausgeht. Für Entwickler gilt daher, jede API – privat, öffentlich oder die eines Partners – zu dokumentieren und im Blick zu behalten.
3. APIs monitoren
Verwaltete und nicht verwaltete APIs, die ermittelt und inventarisiert sind, sollten unter ständiger Beobachtung stehen. Auf Basis eines lückenlosen Monitorings können IT-Security-Teams Risiken passgenauer bewerten und Bedrohungen beheben, die etwa durch Codierungsfehler zu Datenverlust und Geschäftsunterbrechungen führen können.
4. APIs schützen
Um APIs ganzheitlich und umfassend vor dem gesamten Spektrum automatisierter Angriffe zu schützen, reichen API-Gateway-Lösungen allein nicht mehr aus. Es kommt darauf an, die Perspektiven von Angreifern, Verteidigern und Entwicklern zu kennen und in einem Security-Konzept zu berücksichtigen. So lässt sich ein hohes Sicherheitsniveau schaffen:
- Discover: Automatisierte Erkennungstools und Mechanismen, um mögliche Bedrohungen zu entschärfen,
- Comply: API-Bestandsüberprüfung und Sicherstellung, dass APIs den Compliance-Vorgaben entsprechen und keine sensiblen Daten preisgeben,
- Protect: Integration von Sicherheitsmaßnahmen in einen Security-Katalog und für eine höhere Widerstandsfähigkeit von APIs gegen automatisierte Angriffe.
Auf diese Weise lässt sich organisatorisch und technisch ein hoher API-Schutz sicherstellen – auch für Unternehmen, die besonders dem Risiko eines Cyberangriffs ausgesetzt sind. Dazu gehören insbesondere Organisationen aus Branchen, die sensible Informationen wie personenbezogene Daten oder Zahlungskartendaten verwalten oder auch geschäftskritische Dienste anbieten, beispielsweise Unternehmen in den Sektoren E-Commerce und Telekommunikation sowie Finanzdienstleistungen.
End-to-End-Security-Ansatz für hohe API-Sicherheit
Mit einem ganzheitlichen Security-Ansatz schützen „Digital First“-Unternehmen ihre API-basierten Anwendungen vor Betrug, Datenverlust, Business-Logic-Angriffen, Exploits und unbeabsichtigten Datenlecks. Durch Bots verursachte Störungen wie etwa der Ausfall einer Website, verzerrte Verkaufsanalysen, Image- und Markenschäden durch unzufriedene Kunden oder ausufernde Infrastrukturkosten lassen sich damit verhindern.
Über den Autor: Mario van Riesen verantwortet seit über zwei Jahren als Regional Sales Director DACH & CEE die Vertriebsaktivitäten von Cequence Security im DACH-Raum sowie in Zentral- und Osteuropa. Insgesamt bewegt sich van Riesen seit mehr als 25 Jahren im IT- und Security-Umfeld und zeichnet sich durch seine Security-Expertise rund um API-Sicherheit aus.
(ID:49691663)
:quality(80)/p7i.vogel.de/wcms/8d/74/8d744322f5404e58e35ede9a656bd8f6/0111572445.jpeg "Der API Protection Report befasst sich mit den größten Bedrohungen für Programmierschnittstellen. (Bild: Cequence Security)")
:quality(80)/p7i.vogel.de/wcms/29/3f/293fad310aab26dd5151d61ec83aa193/0108717777.jpeg "Um potenzielle API-Bedrohungen erkennen zu können, müssen Unternehmen verstehen, wie APIs normalerweise in ihrer Umgebung funktionieren. (Bild: putilov_denis - stock.adobe.com)")