Schnittstellen

Unternehmen müssen ihre API-Schnittstellen besser gegen Cyberangriffe schützen

, München, IPS | Autor: Herbert Wieler

Unternehmen müssen ihre API-Schnittstellen besser gegen Cyberangriffe schützen

Ein gutes API-Management erhöht die Sicherheit für Webanwendungen

Warum sollten Unternehmen für die erhöhte Sicherheit ihrer APIs sorgen? Welche Sicherheitsmaßnahmen sind dafür erforderlich?

Die Digitalisierung schreitet mit Siebenmeilenstiefeln voran. Dabei werden Unternehmen zu Plattformen und vernetzen sich digital über die eigenen Grenzen hinweg. Über das Internet der Dinge (IoT), mobile Anwendungen und die Cloud wird kommuniziert. Das bedeutet, dass die Firmen Millionen von Funktionen und Daten nicht nur ihren eigenen Mitarbeitern zu Verfügung stellen. Auch Partner und Kunden werden sie offengelegt. Damit sind diese Informationen einer großen Anzahl von differenzierten Endpunkten zugänglich. Gewährleistet wird das durch externe APIs (Application Programming Interface), zu Deutsch “Anwendungsprogrammierschnittstellen”.

Unternehmen können dadurch besser und schneller auf Kundenwünsche eingehen und reagieren. Für Hacker allerdings sind ungeschützte Schnittstellen ein bequemer Zugang zum Unternehmensnetzwerk. Um APIs sicher entwickeln zu können, muss deshalb über bewährte Sicherheitssysteme hinausgegangen werden.

Bei der Datenübertragung müssen vor allem die externen Schnittstellen gesichert sein! (link)

API-Sicherheit – Was ist das?

Dabei steht der Schutz der Integrität der APIs im Vordergrund, und zwar den unternehmenseigenen und denen, die extern verwendet werden. Machen APIs doch nicht nur die internen Strukturen der Backend-Systeme und Client-Anwendungen sichtbar. Sie verschieben auch die Filter für Zugriffsmöglichkeiten von der sicheren internen Ebene auf das relativ ungesicherte externe Niveau. Deshalb bedarf es einer Art Schutzhaut, welche die Entwickler aufbauen müssen, um die gefährlichsten Angriffsszenarien abzuwehren.

Darum ist sie so wichtig

Ungeschützte, beschädigte und gehackte APIs verursachen dabei große Datenverluste. Vertrauliche Daten werden der Öffentlichkeit freigegeben. Wenn die API z.Bsp. eine Verbindung zu einer App herstellt, gibt diese die Informationen zum Internet zurück. Die automatisierte Authentifizierung nutzt keine Benutzernamen und Passwörter mit begrenzten Browser-Verläufen. Hier interagieren Geräteidentitäten mit Identitätsebenen wie Nutzer-Logins für unterschiedliche Webseiten, Apps und Geräteerkennungen. Dabei kommt den API-Keys eine entscheidende Bedeutung zu. Weisen sie doch eindeutige Identitäten zu und lassen sich im Vergleich zu Passwörtern nicht sicher speichern. So ermöglichen sie einen Zugriff auf die Funktionalitäten von Anwendungen. Der Nutzer wird nicht identifiziert, Hacker können Anwendungen inkognito infiltrieren und bleiben oft unbemerkt.

API-Sicherheit im Web

Dabei geht es in der Hauptsache um Daten, welche über APIs übertragen werden, die mit dem Internet im Austausch stehen. Dafür wird ein offener Standard für den Datenzugriff genutzt, um Dritten ohne die Angabe von Passwörtern Zugriff auf Webressourcen zu ermöglichen. Zwei Typen von API-Implementierungen sind existent.

REST API-Sicherheit

Diese Implementierungen nutzen HTTP und unterstützen die Transport Layer Security (TSL-Verschlüsselung). Mit dieser wird sichergestellt, dass die Übertragung zwischen zwei Systemen verschlüsselt wird und unverändert bleibt. Für einen Hacker ist diese Verschlüsselung weder les- noch veränderbar. Sie ist dann vorhanden, wenn das Kürzel HTTPS (Hyper Text Transfer Protocol Secure) vor der URL erscheint.

SOAP API-Sicherheit

SOAP-Verschlüsselungen weisen höhere Sicherheitsstandards auf, sind aber auch für einen größeren Verwaltungsaufwand bekannt. Sie werden für Organisationen und Unternehmen empfohlen, die sehr sensible Daten handhaben. SOAPs nutzen integrierte Protokolle mit dem Namen Web Services Security (WS Security). Damit wird das Maß der Vertraulichkeit und Authentifizierung definiert. Sie unterstützen dabei die Standards der beiden größten Normungsgremien auf internationaler Ebene, OASIS (Organization for the Advancement of Structured Information Standard) und W3C (World Wide Web Consortium).

Gängige Methoden zur Stärkung Ihrer API-Sicherheit

Im Nachfolgenden führen wir die gebräuchlichsten Anwendungen zur Stärkung der API-Sicherheit an:

  • Nach der Erstellung vertrauenswürdiger Identitäten werden diesen Tokens zugewiesen, um Zugriffe zu kontrollieren.
  • Die Konfiguration von Quoten überwacht die Anzahl der Zugriffe auf die APIs. Bei Überschreitung der Quote schlägt das System Alarm.
  • Gateways ermöglichen die Authentifizierung von Daten und erstellen eine Nutzungsanalyse der APIs.
  • Mit der regelmäßigen Aktualisierung des Betriebssystems, des Netzwerkes, der Treiber und der API-Komponenten werden Schwachstellen identifiziert.
  • Einführung von Verschlüsselungssystemen und Signaturen.

API-Management

Eine gute API-Management-Software ist der Schlüssel für die API-Sicherheit eines Unternehmens. Implementierte Schnittstellen werden regelmäßig optimiert und kontrolliert. Damit kann auf sich rasant ändernde Kundenanforderungen fast in Echtzeit reagiert werden. Mithilfe eines funktionierenden API-Managements stellt das Unternehmen sicher, dass die APIs den Unternehmensrichtlinien entsprechen. Flexibilität, Qualität Geschwindigkeit und Zuverlässigkeit sind dabei die entscheidenden Kriterien.