APIs sind ein beliebtes Angriffsziel für Hacker. Unternehmen sollten im Rahmen der API Security geeignete Vorkehrungen zum Schutz vor Datendiebstahl treffen.

IT-Ressourcen von Unternehmen arbeiten in vielen Fällen über APIs (Abkürzung für „Application Programming Interface“) zusammen, um Daten zwischen unterschiedlichen Systemen auszutauschen oder die Services und Apps miteinander zu verbinden. Dabei definieren die APIs, wie Daten von einem Host bereitgestellt und durch einen Client empfangen und verarbeitet werden.

Zum Einsatz kommen hier sowohl interne, eigene APIs als auch standardisierte externe. Die Zahl der API-Anfragen und die Menge der hierüber übertragenen Informationen nimmt in den letzten Jahren exponentiell zu – und zugleich die Gefahr durch Malware-Angriffe und Hacks. Denn APIs stellen aufgrund ihrer erforderlichen Sichtbarkeit Risiken dar und machen Unternehmen und ihre IT angreifbarer als zuvor für Cyberattacken. Der Schutz der Integrität solcher APIs und der verbundenen Services und Daten ist deshalb essentiell wichtig – und eine zuverlässige API Protection sorgt dafür, dass jeweils die berechtigten Anwender (und nur diese) auf Daten und Services zugreifen können, dass aber sensible Unternehmensdaten vor unautorisiertem Zugriff geschützt sind.

Bis 2022 wird der API-Missbrauch der häufigste Angriffsvektor geworden sein, der zum Datenmissbrauch bei Webanwendungen führt.

Gartner Research: How to build an effective API security strategy.

API Security: Schutz auf mehreren Ebenen

Sicherheit lässt sich dabei einerseits bereits bei der Konzeption und Integration einer API in die vorhandenen Systeme erzielen, andererseits aber auch im Hinblick auf das Management der regelmäßigen Nutzung der API. Dabei ist ein weit verbreiteter Irrglaube, dass nur die hierfür autorisierten Partner und Dienstleister mit ihren Apps auch auf die jeweilige API zugreifen können. Denn viele Angriffsstrategien, gegen die Unternehmen in den letzten Jahren Vorkehrungen getroffen haben, lassen sich über APIs ebenfalls nutzen und müssen somit gesondert im Blick behalten werden.

Zwei Dimensionen der API-Sicherheit

Grundsätzlich gibt es zwei Dimensionen der API-Sicherheit: Zum einen ist da die Absicherung der API selbst. Sie bezieht sich auf den Schutz der Systeme und Daten vor externen Angriffen, die auf die API und das Backend zielen. Hierfür lässt sich das Traffic Management und die Validierung von Inhalten und Daten heranziehen. Zum anderen bedingt API-Sicherheit aber auch die Zugriffs- und Rechtekontrolle, also die Frage, ob eine Applikation oder Instanz dazu berechtigt ist, auf die API zuzugreifen.

OWASP Top 10: diese Security-Risiken sollten Sie kennen

Token, API Gateways und Manager

Vertrauenswürdige Richtlinien für die Autorisierung und Authentifizierung lassen sich beispielsweise mit Hilfe von Token realisieren, über die der Zugriff auf Services und Ressourcen gesteuert wird. Sinnvoll ist der Einsatz eines API-Gateways, das als primäre Kontrolleinheit im API-Datenverkehr agiert. Dies ermöglicht neben der Authentifizierung von Zugriffen auch die Kontrolle und Nutzungsanalyse der verwendeten APIs.

Ergänzen kann dies ein API-Manager, der die Anwendungs- und Entwicklerrollen festlegt und durch eine Zero-Trust-Strategie ergänzt wird. Zusätzlich lassen sich Signaturen als verpflichtendes Element zur Datenverschlüsselung definieren. Selbstverständlich und nicht zuletzt sollten sämtliche Sicherheitspatches und Updates für Betriebssysteme, Netzwerkressourcen, Treiber und API-Komponenten zum Einsatz kommen.

Akamai bietet Lösungen für mehr API Security

So komplex das Thema ist, so umfangreich ist das Portfolio an möglichen Lösungsansätzen: Mehrere valide und nachhaltige Schutzlösungen stellt der Anbieter Akamai bereit, mit dem plusserver als Cloud Security Anbieter zusammenarbeitet. Dabei lässt sich ein Schutz einerseits mit Hilfe des Kona Site Defenders realisieren. Die Lösung, die auf der Intelligent Edge Platform aufbaut, bietet Anwendungssicherheit am Netzwerk-Edge und gewährleistet hochpräzisen WAF-Schutz (Web Application Firewall) auf Basis eines positiven Sicherheitsmodells. Dank des hohen Grades an Automatisierung reduziert sich die operative Komplexität auch für Kunden, die nicht die Zeit oder das Fachwissen haben, um ihre WAF täglich zu verwalten und abzustimmen.

Eine Alternative ist der Web Application Protector, der sich vor allem für den hochautomatisierten Schutz von Webanwendungen in allen Branchen eignet. Bisher basierten die Schutzfunktionen vor allem auf Ratings, Geoblocking und IP-Blacklists. Neue Features ermöglichen die Einbeziehung von intelligenten, automatisierten Angriffsgruppen in das Regelwerk. API-Requests im JSON- und XML-Format lassen sich so automatisch erkennen und im Rahmen der WAF-Regeln bewerten. Diese Regeln werden wie bei Kona Site Defender automatisch aktualisiert, sodass keine zusätzliche Aufgaben für die Administration anfallen. Ein API-spezifisches Reporting verschafft dem Unternehmen zudem Transparenz darüber, wie Endbenutzer mit verfügbaren APIs interagieren.

API Security als notwendiger Sicherheitsfaktor für eine moderne IT

API Security oder API Protection ist ein Thema, das alle Unternehmen für eine zeitgemäße IT-Strategie im Blick behalten sollten. Denn Cyberangriffe, die auf APIs abzielen, können einerseits Wettbewerbsnachteile und Imageschäden nach sich ziehen, wenn Kunden- oder Unternehmensdaten in falsche Hände geraten. Sie führen andererseits aber auch zu einer Einschränkung der Produktion, zu Umsatzverlusten und Reputationsschäden. API-Security-Lösungen von Akamai können dabei Unternehmen unterstützten und treffen dank ihres hohen Automatisierungsgrades viele der erforderlichen Entscheidungen selbstständig.

API Security mit der richtigen Web Application Firewall

Erfahren Sie im E-Paper, warum Gartner den Security-Anbieter Akamai im „Gartner Magic Quadrant for Web Application Firewalls 2020“ als führend eingestuft hat.

API Security mit Web Application Firewall (WAF)
 

Jetzt Artikel teilen:

  •  
  •  
  •  
  •  
  •