:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/e8/b6/e8b6693b9252e7474c62ffadbdee385c/0115564730.jpeg "Veracode möchte dazu beitragen, Sicherheitsverletzungen in Webanwendungen zu vermeiden. (Bild: Veracode)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/02/bf/02bf661fea289930b4840db93b7f32d3/0115381672.jpeg "Ein kostenloses Tool der Wortliga hilft beim Verfassen barrierefreier Texte. (Bild: Karolina Grabowska)")
:quality(80)/p7i.vogel.de/wcms/d8/42/d842e974aba302d38084f99665d5d62b/0115384258.jpeg "API-Sicherheit ist heute Chefsache. CISOs müssen mit den Entwicklerteams den Grundstein für eine sichere IT-Infrastruktur legen und dafür eine Security Policy aufsetzen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/3d/013d3c2912ede4d708738cac59bbd17e/0115123837.jpeg "Die neue Architektur des Data Lakehouses löst die alte Architektur des Data Warehouses ab. (Bild: Databricks )")
:quality(80)/p7i.vogel.de/wcms/3a/2b/3a2b7e04d6f22848b957b61d0a7d8b8c/0115415310.jpeg "Im eBook „Programmiersprachen im Aufwind“ nehmen wir sowohl bekannte als auch aufstrebende Programmiersprachen genauer unter die Lupe (Bild: © HiroSund - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/8a/f18a4e8a90cedb82ec157f48150c97c5/0115353158.jpeg "Der Kontrol Hub soll sicherstellen, dass die Funktionen Software-definierter Fahrzeuge immer den aktuellen regulatorischen Vorgaben entsprechen. (Bild: <a href=https://pixabay.com/users/ken19991210-333782/>ken19991210</a>)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
API-Schwachstellen 3 API-Sicherheitsrisiken, die jeder Entwickler kennen muss
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
Immer mehr Unternehmen setzen auf Cloud-Computing und es zeichnet sich ab, dass sich dieser Trend in naher Zukunft noch weiter verstärkt. Damit einhergehend müssen in Unternehmen jedoch auch erweiterte Sicherheitsvorkehrungen getroffen werden, da diese Entwicklung auch für Kriminelle neue Einfallstore bietet – zum Beispiel bei APIs.
APIs spielen in der nativen Cloud-Architektur jetzt und in Zukunft eine große Rolle. Doch bereits im vergangenen Jahr ist die Zahl der API-Schwachstellen in Unternehmen merklich gestiegen. In diesem Zusammenhang wird prognostiziert, dass sich das Volumen von Cyber-Attacken auf APIs bis 2024 bereits verdoppeln wird. Umso wichtiger ist es, dass sich Unternehmen dieser steigenden Gefahr bewusst sind und bereits jetzt mögliche Schwachstellen ausmerzen. In vielen Fällen liegt die Verantwortung für die Sicherheit der unternehmerischen Entwicklungs- und Produktionsumgebungen jedoch nicht allein beim Cybersecurity-Team, sondern auch bei den Entwicklern selbst. Daher müssen auch diese für mögliche API-Schwachstellen sensibilisiert werden.
Insbesondere die folgenden drei API-Einfallstore für Cyberkriminelle sollte man dabei im Blick haben:
1. Schatten-APIs
Im Durchschnitt gibt es in Unternehmen bis zu 620 verschiedene APIs. Die Untersuchungen der Aite Group zeigten jedoch, dass viele Unternehmen die genaue Anzahl gar nicht kennen – denn in schnelllebigen DevOps-Umgebungen kann die Erstellung von unbekannten APIs, sogenannten Schatten-APIs, leicht passieren.
Wenn APIs ohne Sicherheitsüberprüfung oder Kontrollen veröffentlicht werden, bleiben sie für das Sicherheitsteam und das API-Gateway meist unsichtbar. Auch solche, die außerhalb eines definierten Prozesses veröffentlicht wurden oder deren Struktur bei der Aktualisierung einer Anwendung verändert wurde, können zu Schatten-APIs werden. Möglicherweise ist sich der Entwickler auch nicht vollständig über den Veröffentlichungsprozess im Klaren und geht davon aus, dass er eine API eigenständig veröffentlichen kann. Dazu kommt: Sollte ein Entwickler das BFF-Muster (Backends for Frontends) in seinem Anwendungsdesign nutzen, kann dies dazu führen, dass Backend-Dienste – auf die normalerweise nur intern zugegriffen werden dürfte – dem direkten Zugriff von externen Client-API-Aufrufen ausgesetzt sind.
Das Problem bei Schatten-APIs ist, dass sie Zugriff auf dieselben sensiblen Informationen haben wie veröffentlichte, gesicherte APIs, aber niemand weiß, wo sie existieren oder mit was sie verbunden sind. Dies kann unter anderem zu Verstößen gegen die Compliance führen – und ermöglicht es im schlimmsten Fall Angreifern, auf die sensiblen Daten des Unternehmens und denen der Kunden zuzugreifen.
2. Automatisierte Bot-Angriffe
Automatisierter Bot-Verkehr ist ein weit verbreitetes Problem, das sich auf jedes Unternehmen auswirkt, das eine Website, eine mobile App oder eine öffentlich zugängliche API hat. Webanwendungen sind ein lohnendes Ziel für Botnets, da sie einen direkten Weg zu sensiblen Daten darstellen, die abgegriffen und im Dark Web weitergegeben oder verkauft werden können.
Diese Art von Angriffen ist schwieriger zu stoppen, da die Bots menschliches Verhalten imitieren und sich so der Erkennung entziehen können. Im Gegensatz zu anderen Arten von Angriffen arbeiten Botnets rund um die Uhr und sind absichtlich so konzipiert, dass sie sich wiederholende Aufgaben ausführen, die von Menschen nur schwer zu bewältigen sind. Werden APIs auf diese Weise attackiert, kann dies zum Verlust personenbezogener Daten, zu Datenlecks und mehr führen. Dennoch versäumen es viele Unternehmen, die Sicherheit ihrer APIs richtig zu verwalten und verlassen sich stattdessen ausschließlich auf einfache Authentifizierungs-Tokens oder IP-Ratenbegrenzungen. Im Gegensatz zur Identifikation menschlicher Benutzer durch eine Mehrfaktor-Authentifizierung sind diese API-Tokens jedoch oft nur eine Einfaktor-Authentifizierung, die einen Aufruf verifiziert. Für einen Entwickler, der also über keine richtige Cybersecurity-Ausbildung verfügt, ist es schwierig, diese Bedrohung zu stoppen.
3. Veraltete APIs (auch „Zombie-APIs“)
Die Ausmusterung von APIs ist Teil des natürlichen API-Lebenszyklus. Wenn eine API jedoch nicht ordnungsgemäß deaktiviert wurde, wird sie zu einer schlafenden Brutstätte für cyberkriminelle Aktivitäten – in der Regel außerhalb des Blickfelds von Entwicklern und der Cybersecurity-Verantwortlichen.
Diese nicht überwachten APIs sind mit einem unverschlossenen Fenster vergleichbar: Cyber-Kriminelle können sich durch sie „hineinschleichen“ und so auf Daten zugreifen oder ausgeklügelte Angriffe starten – ohne, dass der Entwickler oder das Sicherheitsteam davon etwas mitbekommt. Das Problem: Veraltete APIs werden oft übersehen oder nicht beachtet und sind auch nicht mehr Teil der regelmäßigen Software-Updates. So können diese „Zombie-APIs“ für die Übernahme von Konten, betrügerische Transaktionen oder Datenextraktionen ausgenutzt werden.
Komplexität der Angriffe wird weiter steigen
Obwohl die meisten Unternehmen heute eine API-Gateway-Lösung verwenden, ist diese Technologie kein Allheilmittel für die wachsenden API-Sicherheitsrisiken. Gateways eignen sich zwar hervorragend für die Bereitstellung und das Zugriffsmanagement, sind aber nicht ausgereift genug, um komplexe Angriffe abzuwehren. Darüber hinaus werden Ansätze wie gRPC, MQTT und GraphQL immer beliebter, da die Unternehmen nach immer vielfältigeren technischen Modellen verlangen. Dies öffnet das Unternehmen jedoch für ausgefeiltere Angriffe auf APIs. Die Einführung von Governance-Standards und fortschrittlichen Sicherheitstools ist daher unerlässlich, wenn API-Protokolle mit noch flexibleren Strukturen als RESTful APIs genutzt werden.
Fazit
Unternehmen müssen nach Security-Tools suchen, die nicht nur Runtime-Protection bieten, sondern sich auch nahtlos in den Anwendungsentwicklungsprozess einfügen. Entwickler und Cybersecurity-Beauftragte sollten daher zunächst eine klare Bewertung der größten API-Risiken vornehmen. Das beginnt mit der automatischen Erkennung und der regelmäßigen Aktualisierung eines API-Katalogs. Da die Angriffe immer komplexer werden, sollte die Lösung auch eine Bot-Erkennung beinhalten, die einen guten von einem schlechten Bot sowie allgemein einen Bot von einem echten menschlichen Benutzer unterscheiden kann. Um schließlich auch das Problem der veralteten APIs angehen zu können, muss eine Lösung auch den Lebenszyklus der API-Tokens sowie die verschiedenen Versionen der APIs überwachen. Mit diesem Ansatz können Entwickler die größten API-Sicherheitsrisiken adäquat angehen, ohne dabei ihre Innovationsagenda verlangsamen zu müssen.
Über den Autor: Kai Zobel ist Area Vice President EMEA Central bei Imperva.
(ID:48046502)
:quality(80)/p7i.vogel.de/wcms/d8/42/d842e974aba302d38084f99665d5d62b/0115384258.jpeg "API-Sicherheit ist heute Chefsache. CISOs müssen mit den Entwicklerteams den Grundstein für eine sichere IT-Infrastruktur legen und dafür eine Security Policy aufsetzen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/93/0b936728435adc7f85217df7a522ae21/0113341994.jpeg "Gewisse Problemstellungen eignen sich besonders gut für generative KI und Machine-Learning (Bild: <a href=https://pixabay.com/users/samdraft-4025025/>Samanta Pereira Ferdinandi Sam</a>)")