Ärger mit Schnittstellen API-Tricksereien rücken in den Security-Fokus

Autor: Dr. Stefan Riedl

Den Traffic über APIs abfangen, Backend Server und Geschäftslogik identifizieren und dann mögliche Lücken abklappern um anzugreifen: Hacker arbeiten vermehrt mit Bots, und ein Report von Barracuda legt eine Professionalisierung der Cyberkriminellen nahe.

Firmen zum Thema

Rund um APIs haben versierte Hacker einige Tricks auf Lager.
Rund um APIs haben versierte Hacker einige Tricks auf Lager.
(Bild: ra2 studio – stock.adobe.com)

Die meisten Apps werden heutzutage „API-first“ entwickelt. Die Schnittstellen in den Vordergrund zu rücken, führt in der Regel dazu, dass schneller „releast“ werden kann, zeigt die Praxis. Ein weiterer App-Trend sind Single Page Applications, also Apps, die aus einem einzigen HTML-Dokument bestehen und deren Inhalte dynamisch nachgeladen werden. Sie werden für mobile Browser entwickelt und simulieren Mobile-Apps nur, ohne dass eine solche installiert werden muss.

Wo steckt die Geschäftslogik?

Tushar Richabadas, Product Marketing Manager, Application Security bei Barracuda Networks, hebt die Unterschiede hervor: „Bei einer Webanwendung ist der Browser ein Vermittler. Er spricht mit der Anwendung, und diese führt bestimmte Aktionen auf der Grundlage der Anfrage des Nutzers aus und antwortet ihm über den Browser. Die gesamte Geschäftslogik ist in der Anwendung versteckt, und die meisten Angriffe sind bekannt.“ Bei der API-basierten Anwendung werden Daten über das API abgefragt und aus Basis dieser dann die Geschäftslogik auf dem End-Client-Gerät ausgeführt, so Richabadas.

Wenn jemand den API-Verkehr abfängt, kann er den Backend-Server identifizieren, die ­Logik herausfinden und verschiedene Prüfungen durchführen, um Sicherheits­lücken zu identifizieren und das System anzugreifen.

Datenklau

APIs ermöglichen so direkten Zugriff auf viele sensible Informationen. „Ihre Bank-API kann Zugriff auf sensible private Daten gewähren, und eine unzureichend geschützte API ermöglicht es Angreifern, diese Informationen massenhaft abzurufen“, so der Security-Spezialist. Cyberkriminelle suchen regelrecht nach offenen APIs. Sehr häufig sieht man Unternehmen, die ihre Test-APIs mit Zugriff auf Produktions­daten im Internet freilegen. Wenn Cyberkriminelle diese erst einmal entdeckt haben, kann dies großen Schaden anrichten, warnt der Manager.

Schwachstellen finden

Ein weiteres Problem seien APIs, die unzureichend geschützt sind. Es sei relativ einfach, APIs zu testen, um zum Beispiel zu sehen, ob sie ein Bewertungslimit erzwingen, erläutert Richabadas und rät IT-Security-Teams, sich zunächst an den Top-10-Empfehlungen des OWASP (Open Web Application Security Project) zur API Security der zehn am häufigsten ausgenutzten Schwachstellen zu orientieren, um ihre Verteidigung zu stärken. Er erinnert in dem Zusammenhang an die massiven Datenlecks, wie etwa bei der 2019 entdeckten Schwachstelle bei T-Mobile.

Eine mehrschichtige Verteidigung mit Schutzmaßnahmen gegen Bot-, API- und Supply-Chain-Angriffen sei der beste Weg, um auf diese sich häufenden Angriffe zu antworten.

Report von Barracuda

Barracuda hat in seinem Paper „The state of application security in 2021“ die Anwendungssicherheit genauer unter die Lupe genommen. Demnach wurden durchschnittlich über zwei Drittel (72 %) der Befragten in den letzten zwölf Monaten mindestens einmal attackiert. Bot-Angriffe ­haben hierbei mit 44 Prozent die traditionellen Angriffe über Zero-Day-Schwachstellen und die Top-10-Schwachstellen des Open Web Application Security Projects überholt und sind mittlerweile zum häufigsten Angriffsvektor avanciert.

Der Report zeigt auf, dass Organisationen häufig über ihre Webanwendungen angegriffen werden. Fast die Hälfte der Befragten erlitten mit 46 Prozent mehrfach und weitere 26 Prozent mindestens einmal einen Sicherheitsverstoß. Neben der Häufigkeit der Angriffe überraschte Richabadas das Ergebnis der Umfrage, dass Bot-Angriffe offenbar in der Praxis immer schwieriger abzuwehren sind.

(ID:47495401)

Über den Autor

Dr. Stefan Riedl

Dr. Stefan Riedl

Leitender Redakteur