Optimieren Sie APIs mit Best Practices für die API-Sicherheit

Großunternehmen setzen weiterhin auf digitalisierte und cloudbasierte IT-Infrastrukturen. Digitale Systeme ermöglichen eine beispiellose Flexibilität, Skalierbarkeit und Geschwindigkeit im Vergleich zu ihren traditionelleren, lokal installierten Pendants.

Digitale Infrastrukturen sind jedoch in hohem Maße von Anwendungsprogrammierschnittstellen – oder APIs – abhängig, um den Datentransfer zwischen Softwareanwendungen sowie zwischen Anwendungen und Endnutzern zu ermöglichen. Als Backend-Framework für die meisten Web- und mobilen Apps sind APIs mit dem Internet verbunden und daher anfällig für Angriffe. Und da viele APIs sensible Daten speichern und übertragen, erfordern sie robuste Sicherheitsprotokolle und aufmerksame Überwachungspraktiken, um zu verhindern, dass Informationen in die falschen Hände geraten.

API-Sicherheit bezieht sich auf die Gesamtheit der Verfahren und Produkte, die ein Unternehmen einsetzt, um böswillige Angriffe auf und den Missbrauch von APIs zu verhindern. Angesichts der Komplexität von API-Ökosystemen, der Zunahme von IoT-Plattformen und der schieren Menge an APIs, die von Unternehmen genutzt werden (durchschnittlich etwa 20.000 (Link befindet sich außerhalb von ibm.com)), wird es immer schwieriger und gleichzeitig immer notwendiger, die API-Sicherheit in den Griff zu bekommen.

APIs sitzen zwischen den IT-Ressourcen eines Unternehmens und externen Softwareentwicklern sowie zwischen IT-Ressourcen und Einzelpersonen und liefern Daten und Informationen an Prozessendpunkten. An diesen Endpunkten sind Unternehmens- und Benutzerdaten anfällig für verschiedene Typen von Angriffen und Sicherheitsrisiken, darunter:

• Authentifizierungsbasierte Angriffe: Hier versuchen Hacker, Benutzerkennwörter zu erraten, zu stehlen oder schwache Authentifizierungsprozesse auszunutzen, um Zugriff auf API-Server zu erhalten.
• Man-in-the-Middle-Angriffe: Hierbei stiehlt oder ändert ein böswilliger Akteur Daten (z. B. Anmeldedaten oder Zahlungsinformationen), indem er API-Anfragen und/oder -Antworten abfängt.
• Code-Injections-/Injection-Angriffe: Der Hacker überträgt ein schädliches Skript (um falsche Informationen einzufügen, Daten zu löschen oder anzuzeigen oder die App-Funktionalität zu stören) über eine API-Anfrage und nutzt dabei Schwachstellen in den API-Interpretern aus, die Daten lesen und übersetzen.
• Denial-of-Service-Angriffe (DoS): Bei diesen Angriffen werden zahlreiche API-Anfragen gesendet, um den Server zum Absturz zu bringen oder zu verlangsamen. DoS-Angriffe können oft von mehreren Angreifern gleichzeitig ausgehen, was als Distributed Denial-of-Service-Angriff (DDoS) bezeichnet wird.
• Angriffe auf die Berechtigungsstufe für defekte Objekte (BOLA): Entstehen, wenn Cyberkriminelle Objektkennungen an API-Endpunkten manipulieren, um unbefugten Zugriff auf Benutzerdaten zu erhalten. Dieses Problem tritt auf, wenn ein API-Endpunkt einem Benutzer den Zugriff auf Datensätze erlaubt, auf die er normalerweise keinen Zugriff haben sollte. BOLA-Angriffe sind besonders häufig, da die Implementierung geeigneter Autorisierungsprüfungen auf Objektebene schwierig und zeitaufwändig sein kann.   

Diese und andere Typen von Cyberangriffen sind in der heutigen dynamischen IT-Landschaft so gut wie unvermeidlich. Und angesichts der zunehmenden Verbreitung von Cyberkriminellen und ihres Zugangs zu immer ausgefeilteren Hacking-Technologien wird die Implementierung von API-Sicherheitsprotokollen für die Datensicherheit von Unternehmen immer wichtiger.

APIs ermöglichen es Unternehmen, die systemübergreifende Integration und den Datenaustausch zu optimieren. Diese Vernetzung erhöht jedoch auch die Anfälligkeit für Cyberangriffe. Tatsächlich greifen die meisten Hacks von Mobil- und Webanwendungen APIs an, um Zugriff auf Unternehmens- oder Benutzerdaten zu erhalten. Gehackte oder kompromittierte APIs können zu katastrophalen Datenschutzverletzung und Dienstunterbrechungen führen, die sensible persönliche, finanzielle und medizinische Daten gefährden.

Glücklicherweise ermöglichen Fortschritte bei der API-Sicherheit, die Auswirkungen von Cyberangriffen durch böswillige Akteure zu verhindern oder abzuschwächen. Hier sind 11 gängige API-Sicherheitspraktiken und -programme, die Unternehmen zum Schutz von Computerressourcen und Benutzerdaten nutzen können:

1. API-Gateways. Die Installation eines API-Gateways ist eine der einfachsten Möglichkeiten, den API-Zugriff einzuschränken. Gateways schaffen einen einzigen Zugangspunkt für alle API-Anfragen und fungieren als Sicherheitsebene, indem sie Sicherheitsrichtlinien anwenden, zur Standardisierung von API-Interaktionen beitragen und Funktionen wie die Umwandlung von Anfragen/Antworten, Zwischenspeicherung und Protokollierung bieten.
2. Zuverlässige Authentifizierung und Autorisierung. Durch die Verwendung branchenüblicher Authentifizierungsprotokolle (z. B. OAuth 2.0, API-Schlüssel, JWT, OpenID Connect und mehr) wird sichergestellt, dass nur authentifizierte Benutzer auf Unternehmens-APIs zugreifen können. Außerdem verhindert die Implementierung rollenbasierter Zugriffskontrollen, dass Benutzer auf Ressourcen zugreifen, für deren Nutzung sie nicht autorisiert sind.
3. Verschlüsselungsprotokolle. SSL-Verbindungen oder TLS-Verschlüsselungsprotokolle – wie HTTP Secure (HTTPS) – helfen Teams, die Kommunikation zwischen der API und den Client-Anwendungen zu sichern. HTTPS verschlüsselt alle Netzwerkdatenübertragungen und verhindert so unbefugten Zugriff und Manipulationen. Die Verschlüsselung von Daten im Ruhezustand, wie z. B. gespeicherte Passwörter, kann sensible Daten während der Speicherung zusätzlich schützen.
4. Web Application Firewalls (WAFs). WAFs bieten einen zusätzlichen Schutz für Unternehmens-APIs, insbesondere vor häufigen Webanwendungsangriffen wie Injektionsangriffen, Cross-Site-Scripting (XSS) und Cross-Site-Request-Forgery (CSRF). Die WAF-Sicherheitssoftware kann eingehende API-Anfragen analysieren und schädlichen Datenverkehr blockieren, bevor er den Server erreicht.
5. Datenvalidierung. Genauso wie Menschen Telefonanrufe überprüfen und es vermeiden, Anhänge von unbekannten Absendern zu öffnen, sollten Unternehmen alles überprüfen, was ihre Server akzeptieren, und jegliche Übertragung großer Datenmengen oder Inhalte ablehnen (auch die von Verbrauchern). Die Verwendung von XML- oder JSON-Schema-Validierung und die Bestätigung von Parametern können ebenfalls hilfreich sein, um Angriffe zu verhindern.
6. Ratenbegrenzung. Dies schützt Ressourcen vor Brute-Force- und DoS-Angriffen, indem die Anzahl der Anfragen, die ein Benutzer oder eine IP-Adresse in einer bestimmten Zeit stellen kann, begrenzt wird. Ratenbegrenzungen stellen sicher, dass Anfragen schnell bearbeitet werden und kein Benutzer das System mit schädlichen Anfragen überlasten kann.
7. Sicherheitstests. Sicherheitstests erfordern, dass Entwickler Standardanforderungen mit einem API-Client senden, um die Qualität und Korrektheit der Systemantworten zu bewerten. Die Durchführung regelmäßiger API-Sicherheitstests (z. B. Penetrationstests, Injektionstests, Benutzerauthentifizierungstests, Parameter-Manipulationstests und mehr) zur Identifizierung und Behebung von Schwachstellen hilft Teams, Schwachstellen zu beheben, bevor Angreifer sie ausnutzen.
8. API-Überwachung und -Patching. Wie bei jeder Softwareanwendung oder jedem System sind eine regelmäßige Überwachung und Wartung in Echtzeit für die Aufrechterhaltung der API-Sicherheit unerlässlich. Achten Sie auf ungewöhnliche Netzwerkaktivitäten und aktualisieren Sie APIs mit den neuesten Sicherheitspatches, Fixes und neuen Funktionen. Die Überwachung sollte auch die Sensibilisierung für und die Vorbereitung auf häufige API-Schwachstellen umfassen, wie sie in der Top-10-Liste des Open Web Application Security Project (OWASP) aufgeführt sind.
9. Prüfung und Protokollierung. Durch das Führen umfassender, aktueller Prüfprotokolle – und deren häufige Überprüfung – können Unternehmen den Datenzugriff und die Datennutzung nachverfolgen und jede API-Anfrage aufzeichnen. Es kann schwierig sein, den Überblick über die API-Aktivitäten zu behalten. Die Implementierung von Prüf- und Protokollierungsverfahren kann jedoch Zeit sparen, wenn Teams nach einem Datenleck oder einem Compliance-Verstoß ihre Schritte zurückverfolgen müssen. Und da sie eine Aufzeichnung des normalen Netzwerkverhaltens liefern, können Audit-Protokolle auch das Erkennen von Anomalien erleichtern.
10. Kontingente und Drosselung. Wie die Ratenbegrenzung begrenzt auch die Drosselung die Anzahl der Anfragen, die Ihr System empfängt. Die Drosselung erfolgt jedoch nicht auf Benutzer- oder Clientebene, sondern auf Server-/Netzwerkebene. Drosselungsgrenzen und Quoten schützen die Bandbreite des API-Backend-Systems, indem sie die API auf eine bestimmte Anzahl von Aufrufen, Nachrichten oder beides pro Sekunde beschränken.  Unabhängig von Kontigenten ist es wichtig, das Volumen der Systemaufrufe im Laufe der Zeit zu bewerten, da ein erhöhtes Volumen auf Missbrauch und/oder Programmierfehler hinweisen kann.
11. Versionskontrolle und Dokumentation. Jede neue Version der API-Software wird mit Sicherheitsupdates und Fehlerkorrekturen ausgeliefert, mit denen Sicherheitslücken in früheren Versionen behoben werden. Und ohne angemessene Dokumentationen können Benutzer versehentlich eine veraltete oder anfällige Version der API bereitstellen. Die Dokumentation sollte gründlich und konsistent sein und klar formulierte Eingabeparameter, erwartete Antworten und Sicherheitsanforderungen enthalten.

Unter den bestehenden API-Sicherheitsmaßnahmen hat sich KI als neues – und potenziell leistungsstarkes – Tool zur Stärkung von APIs herauskristallisiert. Beispielsweise können Unternehmen KI zur Erkennung von Anomalien in API-Ökosystemen nutzen. Sobald ein Team eine Baseline für das normale API-Verhalten erstellt hat, kann es mithilfe von KI Systemabweichungen (wie ungewöhnliche Zugriffsmuster oder hochfrequente Anfragen) erkennen, potenzielle Bedrohungen melden und sofort auf Angriffe reagieren.

KI-Technologien können auch eine automatisierte Bedrohungsmodellierung ermöglichen. Anhand historischer API-Daten kann KI Bedrohungsmodelle erstellen, um Schwachstellen und Bedrohungen vorherzusagen, bevor Kriminelle sie ausnutzen können. Wenn ein Unternehmen mit einer hohen Anzahl an authentifizierungsbasierten Angriffen konfrontiert ist, kann es KI nutzen, um fortschrittliche Benutzerauthentifizierungsmethoden (wie die biometrische Erkennung) zu installieren, die es Angreifern erschweren, unbefugten Zugriff zu erlangen.

Darüber hinaus können KI-gestützte Tools Protokolle für API-Sicherheitstests automatisieren und Sicherheitslücken und Risiken effizienter und effektiver identifizieren als manuelle Tests. Und mit dem Wachstum der API-Ökosysteme können auch KI-basierte Sicherheitsprotokolle wachsen. KI ermöglicht es Unternehmen, viele APIs gleichzeitig zu überwachen und zu sichern, wodurch die API-Sicherheit so skalierbar wird wie die APIs selbst.

Die Bedeutung der API-Sicherheit kann nicht genug betont werden. Je weiter wir in das Zeitalter der digitalen Transformation vordringen, desto größer wird die Abhängigkeit von APIs – und mit ihr entwickeln sich Sicherheitsbedrohungen und böswillige Akteure. Mit API-Management-Tools wie IBM API Connect können Unternehmen jedoch sicherstellen, dass ihre APIs während ihres gesamten Lebenszyklus verwaltet werden, sicher sind und den Vorschriften entsprechen.

Die Sicherung von APIs wird nie eine einmalige Aufgabe sein. Vielmehr sollten Unternehmen sie als einen kontinuierlichen und dynamischen Prozess betrachten, der Wachsamkeit, Geschicklichkeit und Offenheit für neue Technologien und Lösungen erfordert. Durch eine Kombination aus traditionellen API-Sicherheitspraktiken und neueren KI-basierten Ansätzen wie Noname Advanced API Security for IBM können Unternehmen sicherstellen, dass ihre IT-Ressourcen so sicher wie möglich bleiben und sowohl Verbraucher als auch Unternehmen geschützt sind.