✅ API-Security: Eine kurze Einführung, wie Sie Ihre APIs schützen
API-Management

API Security – Schützen Sie vertrauliche Firmendaten

| | Technischer Produktmanager BIS, SEEBURGER AG

Die Zahl der Angriffe auf Unternehmensdaten, die über ungesicherte APIs übertragen werden, nimmt zu. Daher ist es wichtiger denn je, APIs und die dahinterliegenden Dienste zu schützen. Die Rolle der API-Security im Unternehmen hat signifikant an Bedeutung gewonnen, denn der derzeitige Mangel an API-Security kann zu erheblichem Datenverlust und massiven wirtschaftlichen Schäden führen.

APIs heute und morgen

API-Security ist nicht nur ein Modebegriff, sondern ein Konzept, das mit der zunehmenden Verbreitung von APIs immer wichtiger wird. Auf der Grundlage von Marktforschungen[1], darunter Input von verschiedenen Branchenanalysten, wird geschätzt, dass APIs in den Jahren 2021 und 2022 der am weitesten verbreitete Angriffsvektor auf Unternehmen und Daten sein werden. Da die Zahl der verwendeten APIs rapide zunimmt, müssen Unternehmen Maßnahmen ergreifen, um sicherzustellen, dass sie geschützt sind und die Sicherheit der APIs gewährleistet ist.

Was ist API-Security?

Wenn Sie an Cyberattacken denken, kommen Ihnen vielleicht Bilder von filmreifen Hackeraktivitäten in den Sinn. Echte Angriffe sind nicht ganz so wie im Film, aber sie sind sehr real. Um Ihre Organisation zu schützen, deckt die API-Security eine Vielzahl von Bereichen ab, beginnend mit der allgemeinen API-Management-Struktur und den Entscheidungen zum API-Design, gefolgt von technischen Sicherheitsmechanismen. Die API-Security umfasst auch den API-Gateway, die Backend-Systeme und durch sie bereitgestellte Dienste. Sie deckt sowohl die Bereitstellung als auch den Konsum von APIs ab.

Immer mehr Unternehmen sind auf den Konsum von APIs angewiesen, sowohl intern als auch extern. Sie stellen Dienste für die API-Anwender bereit und nutzen selbst externe Dienste. Dadurch steigt die tägliche Zahl der API-Aufrufe und API-Anfragen sowie die Menge der übertragenen Daten exponentiell an. Um diese Daten und Dienste zu schützen, muss die API-Security verschiedene Anforderungen erfüllen:

  • Die richtigen Daten müssen dem richtigen Anwender zur richtigen Zeit zur Verfügung gestellt werden.
  • Sensible interne Unternehmensdaten, wie z. B. Finanzdaten, sollten nur autorisierten Benutzern zugänglich sein.
  • Backend-Systeme müssen vor einer möglichen Überlastung geschützt werden, um Ausfälle zu vermeiden.
  • Die API, das Gateway und die zugrundeliegenden Systeme müssen geschützt werden, um Schäden oder unkontrollierten Datenverlust durch den Zugriff Dritter oder Unbefugter zu vermeiden.

Die Hauptaspekte der API-Security lassen sich daher in zwei Kategorien zusammenfassen:

  1. Bei API-Security geht es um den Schutz vor Bedrohungen: Es geht um den Schutz von Daten und Systemen vor böswilligen Absichten durch die Abwehr von Angriffen auf die API und das Backend. Zu diesem Zweck enthält API-Security Elemente wie Inhaltsvalidierung oder Traffic-Management wie Throttling.
  2. Bei der API-Security geht es um die Zugriffskontrolle: Sie dient der Zugriffs- und Rechteverwaltung, identifiziert die aufrufende Instanz und ihr Recht, die API zu nutzen. Die Zugriffskontrolle klärt, welche Nutzer und Anwendungen auf die API zugreifen dürfen. API-Security-Themen wie OAuth2.0, JSON-Web-Token oder allgemeine Token-Validierung spielen hierbei eine grundlegende Rolle.

Tatsache ist, dass API-Security zwar wichtig ist, aber oft unsachgemäß oder gar nicht durchgeführt wird.

Die Auswirkungen einer schlechten API-Security-Implementierung

Eines der bekanntesten Beispiele aus der Praxis für API-Security und was mit den gesammelten Daten gemacht werden kann, ist ein berühmter Zahlungsdienst mit Sitz in den USA, der Zahlungen zwischen Einzelpersonen ermöglicht. Um diesen Dienst zu nutzen, muss ein Benutzer ein Konto einrichten, indem er grundlegende Informationen wie EC-Karten- oder Kreditkarteninformationen, einen Benutzernamen, eine Telefonnummer und/oder eine E-Mail-Adresse eingibt. Eine Transaktion zwischen zwei Personen umfasst die folgenden Informationen: Vor- und Nachname, ein Profilfoto, eine entsprechende Nachricht, die Facebook-ID, das Transaktionsdatum und den Status der Transaktion.

Wenn ein Anwender die Sicherheitseinstellungen nicht anpasst, sind standardmäßig alle Transaktionen öffentlich sichtbar. Dafür bietet der Zahlungsdienstleister sogar eine öffentliche API an, über die auf alle öffentlichen Transaktionen zugegriffen werden kann. Eine öffentliche API bietet überhaupt keine API-Security-Funktionen. Man stelle sich die Folgen der fehlenden API-Security im Hinblick auf den Datenschutz vor.

Ein Analyst hat alle Transaktionen über ein ganzes Jahr gesammelt und ausgewertet. Die öffentliche API lieferte alle notwendigen Informationen. Aufgrund der fehlenden API-Security gab es keine Authentifizierungs- und Autorisierungsmechanismen für den Abruf von Daten oder Datenfilter. Daher konnten die Daten mit Hilfe einfacher Analysewerkzeuge ausgewertet werden, und in einigen Fällen lieferten sie sehr detaillierte Informationen über Personen einschließlich ihres Gesundheitszustands, die aus den verfügbaren Informationen abgeleitet werden konnten.

Aufgrund der fehlenden API-Security-Mechanismen konnten 207.984.218 Transaktionen von 18.429.464 verschiedenen Personen eingesehen werden. Anhand dieser Transaktionen wurden über 1.700.000 verknüpfte Facebook-IDs aufgedeckt.  Nebenbei bemerkt: Innerhalb eines Jahres wurden fast 3.000.000 Transaktionen für Pizza getätigt.

Wenn API-Security-Mechanismen wie Authentifizierung und Autorisierung implementiert worden wären, hätte jede Person nur ihre eigenen Transaktionen sehen können und nicht die der anderen. Es wäre dem Analysten auch nicht möglich gewesen, Profile wie dieses zu erstellen: Junge Frau mit griechischem Namen, hat Freunde in Texas und Mexiko-Stadt und hat innerhalb von 8 Monaten 865 Transaktionen für Soda, Alkohol, Fast Food und Süßigkeiten getätigt. Diese Informationen wären wahrscheinlich für eine Krankenkasse von großem Interesse.

Stellen Sie sich vor, dies wären Ihre kritischen Geschäftsdaten. Stimmen Sie zu, dass API-Security ein wichtiger Aspekt des API-Managements ist?

Möchten Sie mehr über APIs erfahren? Lesen Sie unsere Blogs, „Was ist API-Integration“ und „Was ist API-Management“ sowie den nächsten Blog dieser Reihe – „API-Authentifizierung„.

Erweitern und vertiefen Sie Ihr API-Wissen mit unserem Whitepaper “API security – A Brief Introduction

[1] https://www.gartner.com/en/documents/3956746/api-security-what-you-need-to-do-to-protect-your-apis

Haben Sie Fragen oder Anmerkungen?

Wir freuen uns hier über Ihre Nachricht.

Teilen Sie diesen Beitrag, wählen Sie Ihre Plattform!

Ein Beitrag von:

Tim Allgaier ist seit 2019 bei der SEEBURGER AG als Technischer Produktmanager für die Business Integration Suite tätig. Sein aktueller Schwerpunkt liegt auf dem Thema API Management. Während seines Master-Studiums der Wirtschaftsinformatik arbeitete Tim Allgaier in verschiedenen Positionen im Themenbereich Software Management und IT Service Management. In seiner Freizeit beschäftigt sich Tim Allgaier hauptsächlich mit sportlichen Aktivitäten wie Tischtennis.