Was ist API-Sicherheit?
Erkunden Sie die API-Sicherheitslösung von IBM Abonnieren Sie Updates rund ums Thema KI
Darstellung als Symbol für API-Sicherheit

Veröffentlicht: 20. November 2023
Mitwirkende: Chrystal China, Michael Goodwin

Was ist API-Sicherheit?

API-Sicherheit umfasst die Praktiken und Verfahren, die Application Programming Interfaces (Programmierschnittstellen, kurz: APIs) vor Missbrauch, bösartigen Bot-Angriffen und anderen Cybersicherheitsbedrohungen schützen. Sie ist ein Teilbereich der Web-Sicherheit, jedoch mit speziellem Fokus auf den APIs, die für die IT-Verwaltung von Unternehmen immer wichtiger werden.1

APIs dienen heute als Bausteine der digitalen Transformation und ermöglichen es Unternehmen, externen Entwicklern und Partnern Dienste anzubieten. Da APIs die Kommunikation und den Datenaustausch zwischen Anwendungen orchestrieren, können sie vernetzte Nutzererlebnisse erleichtern, die Reichweite des Unternehmens insgesamt erhöhen und grenzüberschreitende technische Innovationen fördern. APIs optimieren außerdem die Serviceintegration, sodass Unternehmen sich schnell an Marktveränderungen und Kundenanforderungen anpassen können. 

Doch mit der Verbreitung von APIs nehmen auch die damit oft einhergehenden Sicherheitsprobleme zu.  

APIs sitzen zwischen den IT-Ressourcen eines Unternehmens und externen Softwareentwicklern oder zwischen IT-Ressourcen und Einzelpersonen und liefern Daten und Informationen an Prozessendpunkten. Da Endpunkte der Außenwelt gezeigt werden, können sie APIs zu einem lukrativen Ziel für verschiedene Arten von Angriffen machen.  

Bessere künstliche Intelligenz für den IT-Betrieb (AIOps)

Erfahren Sie, wie APM und ARM schnellere Entscheidungen und den raschen Einsatz von Ressourcen unterstützen.

Ähnliche Inhalte

Jetzt für den Observability-Leitfaden registrieren

Die Entwicklung der API-Sicherheit  

Die Entwicklung von API Management und API-Sicherheit ist intrinsisch mit der Entwicklung von APIs selbst verknüpft. Frühe APIs konzentrierten sich in erster Linie auf die Kommunikation zwischen Prozessen innerhalb eines einzelnen Systems. Die Sicherheit (oder das Fehlen einer solchen) war weniger problematisch, da die Kommunikation auf einen einzigen Computer beschränkt war. 

Mit dem Aufkommen des Internets der Dinge (IoT) und cloudnativen Microservice-Architekturen wurde der Funktionsbereich von APIs jedoch erweitert, um eine nahtlose Kommunikation und Anrufweiterleitung zwischen Anwendungen und über DevOps -Umgebungen hinweg zu ermöglichen. Eine moderne, qualitativ hochwertige API – z. B. Representational State Transfer (REST), Simple Object Access Protocol (SOAP) – koordiniert die Orchestrate-App-Integration, spezifiziert Datenformate und legt Aufruftypen, Verfahren und Konventionen fest. 

Web-APIs – insbesondere GraphQL, REST API und SOAP API – haben die Geschäftswelt verändert, indem sie ihre Funktionen um weitreichende Integrationsmöglichkeiten über unzählige komplexe Netzwerke hinweg erweiterten. 

Da die Funktionalität fortschrittlicher Technologien jedoch stark von API-Endpunkten abhängt, müssen Unternehmen und Sicherheitsteams robuste Sicherheitsmaßnahmen implementieren, um Daten und Webdienste zu schützen und letztendlich das Beste aus den IT-Ressourcen herauszuholen. 

API-Sicherheitslücken

Wenn sie nicht ordnungsgemäß gesichert sind, können API-Endpunkte böswilligen Akteuren die Möglichkeit geben, unbefugten Zugriff auf sensible Daten zu erlangen, den Dienstbetrieb zu stören oder beides – mit potenziell verheerenden Folgen. Die häufigsten Bedrohungen sind:

  • Authentifizierungsbasierte Angriffe– Hier versuchen Hacker, Benutzerkennwörter zu erraten oder zu stehlen oder schwache Authentifizierungsmechanismen zu nutzen, um Zugriff auf API-Server zu erhalten.

  • Man-in-the-Middle-Angriffe– bei denen ein böswilliger Akteur Daten (z. B. Anmeldedaten oder Zahlungsinformationen) stiehlt oder ändert, indem er API-Anfragen oder -Antworten abfängt.

  • Code-Injections-/Injection-Angriffe– bei denen der Hacker ein schädliches Skript (zum Einfügen falscher Informationen, zum Löschen oder Offenlegen von Daten oder zur Störung der App-Funktionalität) über eine API-Anfrage überträgt und dabei Schwachstellen in den API-Interpretern aufdeckt, die Daten lesen und übersetzen.

  • Sicherheitsfehlkonfigurationen – wenn vertrauliche Benutzerinformationen oder Systemdetails aufgrund unzureichender Standardkonfigurationen, übermäßig freizügiger Cross-Origin-Resource-Sharing (CORS) oder falscher HTTP-Header offengelegt werden.

  • Denial-of-Service-Angriffe (DoS)– Bei diesen Angriffen werden zahlreiche API-Anfragen gesendet, um den Server zum Absturz zu bringen oder zu verlangsamen. DoS-Angriffe können oft von mehreren Angreifern gleichzeitig ausgehen, was als Distributed Denial-of-Service-Angriff (DDoS) bezeichnet wird.

  • BOLA-Angriffe (Broken Object Level Authorization) – entstehen, wenn Cyberkriminelle Objektkennungen an API-Endpunkten manipulieren, um die Angriffsfläche zu vergrößern und unbefugten Zugriff auf Benutzerdaten zu erhalten. BOLA-Angriffe sind besonders häufig, da die Implementierung geeigneter Autorisierungsprüfungen auf Objektebene schwierig und zeitaufwändig sein kann.   

 

Best Practices für die API-Sicherheit  

In einer dynamischen digitalen Wirtschaft sind APIs von entscheidender Bedeutung für die Flexibilität von Unternehmen, doch ihre Offenheit kann erhebliche Datensicherheitsrisiken mit sich bringen. API-Sicherheitsverletzungen führten zu massiven Datenlecks, selbst bei großen, seriösen Unternehmen wie John Deere, Experian und Peleton.2

Und in einer solch globalen Technologieumgebung bedrohen Sicherheitslücken alle wichtigen Dienstleister, unabhängig von ihrer Branche oder ihrem geografischen Standort. So wurden beispielsweise bei einem API-Angriff auf das australische Telekommunikationsunternehmen Optus im Jahr 2022 die Namen, Telefonnummern, Reisepass- und Führerscheindaten von fast 10 Millionen Kunden offengelegt.3

Diese Vorfälle unterstreichen die Bedeutung des API-Schutzes und beschleunigten die Entwicklung umfassender API-Sicherheitsstrategien und -werkzeuge.

Die Implementierung strenger API-Sicherheitsprotokolle schützt die Daten, Apps und Dienste, die API-Endpunkte anzeigen, und schützt gleichzeitig ihre Verfügbarkeit für legitime Nutzer. Bei der API-Sicherheit geht es jedoch nicht nur um den Schutz von Endpunkten. Sie priorisiert auch die Sicherheit von Netzwerkinteraktionen wie Datenübertragungen, Benutzeranfragen und die Kommunikation zwischen Apps über den gesamten API-Lebenszyklus hinweg.

Zu den gängigsten API-Sicherheitslösungen zur Absicherung von IT-Infrastrukturen gehören:

Authentifizierung und Autorisierungsprotokolle

Bei der Authentifizierung handelt es sich um den Prozess der Überprüfung der Identität eines Benutzers, Systems oder Prozesses. Im Kontext von APIs bezieht es sich auf die Verwendung von Benutzerauthentifizierungsprotokollen – wie OAuth 2,0, API-Schlüsseln und JWT-Spezifikationen – um sicherzustellen, dass ein Anforderer der ist, für den er sich ausgibt. 

Im Gegensatz dazu ist die Autorisierung der Prozess der Überprüfung, worauf ein authentifizierter Benutzer Zugriff hat. Sobald ein Benutzer authentifiziert ist, sollten rollenbasierte Zugriffskontrollen den Benutzerzugriff strikt auf die Ressourcen beschränken, die er benötigt oder angefordert hat.

Verschlüsselung

Bei der Verschlüsselung werden Klartext und andere Datentypen von einer lesbaren Form in eine verschlüsselte Version umgewandelt, die nur von einer Einrichtung mit einem Dechiffrierschlüssel entschlüsselt werden kann. Mithilfe von Verschlüsselungstechnologien wie Transport Layer Security (TLS), SSL-Verbindung und TLS-Verschlüsselungsprotokollen können Teams sicherstellen, dass der API-Datenverkehr nicht von böswilligen Akteuren oder nicht autorisierten Benutzern abgefangen oder verändert wird. 

Validierung der Eingabe

Eingabevalidierungsprotokolle schützen APIs vor schädlichen Daten wie SQL-Injection-Angriffen und Cross-Site-Scripting, indem sie sicherstellen, dass die Eingaben bestimmte Kriterien (Länge, Typ, Format, Bereich usw.) erfüllen, bevor sie verarbeitet werden. Der Einsatz von Web Application Firewalls (WAFs) und XML- oder JSON-Schemavalidierung kann Sicherheitsteams dabei helfen, Validierungsprozesse zu automatisieren, eingehende Anfragen präventiv zu analysieren und bösartigen Datenverkehr zu blockieren, bevor er den Server erreicht.  

Ratenbegrenzung

Die Ratenbegrenzung schützt API-Ressourcen vor Brute-Force- und DoS-Angriffen, indem sie die Anzahl der Anrufe beschränkt, die ein Nutzer oder eine IP-Adresse innerhalb eines bestimmten Zeitrahmens tätigen kann. Ratenbeschränkungen stellen sicher, dass alle API-Anfragen zeitnah bearbeitet werden und dass kein Nutzer das System mit schädlichen Anfragen überschwemmen kann.  

Kontingente und Drosselung

Wie die Ratenbegrenzung begrenzt auch die Drosselung die Anzahl der API-Aufrufe, die ein System empfängt. Die Drosselung erfolgt jedoch nicht auf Benutzer-/Clientebene, sondern auf Server-/Netzwerkebene. Drosselungsgrenzen und Quoten sichern die Bandbreite des API-Backend-Systems, indem sie die API auf eine bestimmte Anzahl von Aufrufen, Nachrichten oder beides pro Sekunde beschränken. 

Sicherheitskopfzeilen

Sicherheitskopfzeilen können besonders effektiv sein, um Clickjacking-Angriffe zu verhindern. Die Kopfzeile „content-security-policy“ teilt dem Browser beispielsweise mit, welche Ressourcen er vom Server anfordern kann. Die Kopfzeile „x-content-type-option” verhindert, dass Browser versuchen, MIME-Sniff-Inhaltstypen zu erkennen, und der Header "strict-transport-security" erzwingt sichere (HTTP über SSL/TLS) Verbindungen zum Server. 

API-Gateways

Die Installation von API-Gateways ist eine der einfachsten Möglichkeiten, den API-Zugriff einzuschränken und eine zusätzliche Ebene der Netzwerksicherheit hinzuzufügen, insbesondere im Falle offener APIs. Ein API-Gateway fungiert als einzelner Einstiegspunkt für alle API-Anfragen, die ein System erhält, standardisiert API-Interaktionen und bietet Sicherheitsfunktionen wie Caching, Analysen, API-Komposition, Ratenbegrenzung, Verschlüsselung, Protokollierung und Zugriffskontrolle.

Prüfung und Protokollierung

Durch die Aufbewahrung umfassender, aktueller Prüfprotokolle – und deren häufige Überprüfung – können Unternehmen den Datenzugriff und die Datennutzung nachverfolgen und jede API-Anfrage aufzeichnen. Angesichts der Komplexität von API-Ökosystemen kann es recht arbeitsintensiv sein, den Überblick über die API-Aktivitäten zu behalten. Auditing- und Protokollierungsverfahren können jedoch Zeit sparen, wenn Teams ihre Schritte nach einer Datenschutzverletzung oder einem Compliance-Verstoß zurückverfolgen müssen. 

Fehlerbehandlung

Proaktive Fehlerbehandlung in API-Umgebungen kann verhindern, dass Cyberkriminelle vertrauliche Informationen über API-Prozesse aufdecken. Im Idealfall gibt jeder API-Fehler HTTP-Statuscodes zurück, die im Großen und Ganzen die Art des Fehlers angeben und den Teams ausreichend Kontext bieten, um das Problem verstehen und beheben zu können, ohne eine übermäßige Offenlegung der Daten zu riskieren. 

API-Überwachung und -Patching

Wie bei jeder Softwareanwendung oder jedem System sind eine sorgfältige Überwachung und Wartung in Echtzeit für die Aufrechterhaltung der API-Sicherheit unerlässlich. Achten Sie auf ungewöhnliche Netzwerkaktivitäten und aktualisieren Sie APIs mit den neuesten Sicherheitspatches, Fixes und neuen Funktionen.

Unternehmen sollten außerdem zeitnah Sicherheitsstandards wie die API-Sicherheitsempfehlungen des Open Web Application Security Project (OWASP) einführen. Die OWASP API Security Top 10-Liste bietet beispielsweise ein Framework für das Verständnis und die Entschärfung der kritischsten und häufigsten API-Sicherheitsbedrohungen, wie z. B. fehlerhafte Authentifizierung, Massenzuweisung und serverseitige Anfragefälschung.

Versionskontrolle und Dokumentation

Jede neue Version der API-Software wird mit Sicherheitsupdates und Fehlerkorrekturen ausgeliefert, mit denen Sicherheitslücken in früheren Versionen behoben werden. Aber ohne angemessene Versionskontrollen können Benutzer versehentlich (oder absichtlich) eine veraltete Version der API bereitstellen und sensible Daten gefährden. Eine sorgfältige Versionskontrolle und Dokumentation ermöglicht es Unternehmen, die API-Entwicklung zu beschleunigen, ältere API-Versionen auslaufen zu lassen, ohne die Dienste zu unterbrechen, und Nutzern neue, sicherere Versionen zur Verfügung zu stellen.

Wenn ein Team beispielsweise eine Sicherheitslücke in Version 1 einer API entdeckt, kann es diese in Version 2 beheben. Und mithilfe von Versionsangaben können Sicherheitsteams Benutzer ermutigen, in ihrem eigenen Tempo von Version 1 auf Version 2 zu migrieren, während sie in der Versionsdokumentation deutlich machen, dass Version 1 eine bekannte Sicherheitslücke aufweist. 

Sicherheitstests

Sicherheitstests erfordern, dass Entwickler Standardanforderungen mit einem API-Client senden, um die Qualität und Korrektheit der Systemantworten zu bewerten. Durch regelmäßige Sicherheitstests zur Identifizierung und Behebung von Sicherheitslücken lassen sich API-Sicherheitslücken beheben, bevor Angreifer sie ausnutzen können. 

Weiterführende Lösungen
IBM API Connect

IBM API Connect ist eine Lösung für das Management des gesamten Lebenszyklus von APIs, die über eine intuitive Benutzeroberfläche die konsistente Erstellung, Verwaltung, Sicherung, Vernetzung und Monetarisierung von APIs ermöglicht und so die digitale Transformation lokal und in der Cloud unterstützt. 

API Connect entdecken

IBM API Connect – API-Sicherheitsanwendungsfall

IBM API Connect bietet eine Reihe von Funktionalitäten zum Sichern, Kontrollieren und Vermitteln des Zugriffs auf Ihre APIs. Steuern Sie den Zugriff auf APIs durch Authentifizierung und Berechtigung, die OAuth, OpenID Connect und Services von anderen Anbietern nutzen. Stellen Sie die Lösung überall bereit, von einer DMZ bis hin zu einem Colocation-Service mit Ihren cloudnativen Anwendungen und Mikroservices, und schützen Sie den Runtime-Zugriff überall.

Erkunden Sie den API-Sicherheitsanwendungsfall

Noname Advanced API Security for IBM

Erhöhen Sie die API-Sicherheit in Ihrem gesamten Unternehmen mit erweiterten KI-basierten Funktionen. IBM, ein führender Anbieter von API-Management und Anwendungs-Gateways, arbeitet mit dem führenden Anbieter von API-Sicherheit Noname Security zusammen, um fortschrittliche API-Sicherheitsfunktionen bereitzustellen. Diese gemeinsame Lösung hilft Ihnen, mehr Vertrauen in die Sicherheit zu erreichen.

Entdecken Sie Noname Advanced API Security for IBM
Ressourcen Übersichtsseite zu IBM API Connect

Maximieren Sie den Wert Ihrer APIs für Ihr digitales Geschäft mit einer umfassenden API-Management-Lösung.

Tutorials zu IBM API Connect

Diese Tutorials bieten praktische Anleitungen, mit denen Entwickler den Einsatz der Technologien in ihren Projekten erlernen können.

IBM Integration Community Hub

Kommen Sie zu uns, um Antworten zu finden. Bleiben Sie wegen der Best Practices. Alles, was uns fehlt, sind Sie.

Machen Sie den nächsten Schritt

Verwenden Sie IBM API Connect, um Unternehmens-APIs über ihre gesamten Lebenszyklen hinweg zu sichern und zu verwalten. Es hilft Ihnen und Ihren Kunden, Unternehmens-APIs konsistent zu erstellen, zu verwalten, zu sichern, zu sozialisieren und zu monetarisieren, und ist ebenfalls als hoch skalierbare API Management-Plattform auf IBM Marketplace und AWS verfügbar.

API Connect entdecken Buchen Sie eine Live-Demo
Fußnoten

 Forschungsbericht: Die Dringlichkeit der API-Sicherheit in einem Anwendungssicherheitsprogramm (Link befindet sich außerhalb von ibm.com), Enterprise Strategy Group, 16. Oktober 2023.

2  Auf dem Radar: Wib schützt APIs während ihrer gesamten Betriebsdauer (Link befindet sich außerhalb von ibm.com), Omdia, 1. September 2023.

3 Der nächste große API-Sicherheitsverstoß droht: So bereiten Sie sich vor (Link befindet sich außerhalb von ibm.com), SC Magazine, 19. Oktober 2023.