API-Sicherheitslösungen

APIs sind aufgrund vieler Eigenschaften einzigartig. So tauschen APIs beispielsweise Daten zwischen Systemen aus, während Webanwendungen von Endnutzern über einen Webbrowser aufgerufen werden. APIs verwenden auch ein anderes Format für die Datenübertragung und greifen direkt auf Backend-Systeme zu. Sie dienen oft als Vermittler zwischen modernen Webanwendungen und ihren Backend-Datenbanken und -Servern. Aufgrund dieser und anderer Unterschiede weichen die Erkennungsmethoden für die API-Sicherheit von denen für die Sicherheit von Webanwendungen ab, selbst bei sich überschneidenden Kategorien von Schwachstellen wie Injektionsangriffen und Zugriffsrisiken.

Es gibt eine Reihe von Ansätzen für Unternehmen, um ihr gesamtes API-Wachstum zu verwalten – API-Verwaltung über den gesamten Lebenszyklus, API-Beobachtung und, ganzheitlicher betrachtet, Schutz von Webanwendungen und APIs („Web Application and API Protection“, WAAP). API Observability-Tols bieten Beobachtungen und Einblicke (und nicht Sicherheit) in die Performance einer API. Die API-Verwaltung über den gesamten Lebenszyklus konzentriert sich oft auf die API-Verwaltung, sind aber in puncto Sicherheit nicht sehr ausgereift. WAAP bzw. Schutz von Webanwendungen und APIs (Web Application and API Protection) wird von Gartner als eine Kategorie von Sicherheitslösungen definiert, die Webanwendungen unabhängig von ihrem Standort schützen sollen. WAAP eignet sich am besten für produktiv geschaltene APIs, Echtzeitüberwachung und Schutz vor Missbrauch, Zero-Day-Bedrohungen und Angreifern.

REST-APIs ermöglichen es einem Client, Ressourcen von einem Server anzufordern, der die Informationen in ihrem aktuellen Zustand an den Client zurückgibt. Angreifer können die API an jedem beliebigen Punkt während des REST-API-Aufrufs und der Antwort angreifen. Um den Missbrauch von REST-APIs zu verhindern, ist es daher erforderlich, nur authentifizierten, „vertrauenswürdigen“ API-Traffic zu autorisieren, um Anfragen von illegitimen Clients zu blockieren. Zu den API-Authentifizierungs- und Autorisierungsmethoden gehören mTLS-Zertifikate, JSON-Web-Tokens, gültige API-Schlüssel, OAuth 2.0-Tokens und andere.

API-Zugangsschlüssel, die die Authentifizierung von den Anmeldedaten des Nutzers lösen und stattdessen geheime Textzeichenfolgen zusammen mit API-Anfragen senden, ermöglichen einen sichereren Zugang zu APIs. API-Schlüssel können jedoch immer noch durch Man-in-the-Middle-Angriffe, unsachgemäße Verwendung durch Entwickler und problematische Speicherung von Secrets im Quellcode gefährdet sein. JSON-Web-Tokens (JWTs) bieten eine sicherere und flexiblere Alternative zu statischen API-Schlüsseln, solange die JWTs mit sicheren kryptografischen Algorithmen signiert sind, sensible Daten in der Nutzlast vermieden werden und der Ablauf des Tokens erzwungen wird.

Diverse Metriken können der IT-Abteilung, der Sicherheitsabteilung und den Verantwortlichen für die Anwendungsentwicklung dabei helfen, das Sicherheitsniveau ihrer APIs zu bewerten. Ein Unternehmen mit einem robusten API-Sicherheitsmodell sollte beispielsweise über ein aktuelles API-Inventar verfügen, das zeigt, dass alle APIs datenkonform sind und starke Authentifizierungs- oder Autorisierungsmethoden verwenden. Audits sollten auch durchgeführt werden, um die in API-Anfragen verwendeten offengelegten Anmeldeinformationen zu identifizieren und um nach personenbezogenen Informationen (PII), Kreditkartendaten oder persönlichen Gesundheitsdaten in API-Anfragen/Antworten zu suchen. Es ist möglich, adaptive, intelligente Durchsatzbegrenzungen für APIs festzulegen, die sich nach den beobachteten Traffic-Mustern für jeden Endpunkt richten – auch ein Zeichen für eine fortschrittlichere API-Sicherheit.

Unter API-Missbrauch versteht man den böswilligen Missbrauch von APIs durch das Ausnutzen von Fehlern in der Geschäftslogik und Schwachstellen in Anwendungen, die das Nutzererlebnis für einen echten Nutzer behindern oder verschlechtern. Bei heutigen APIs kommt es aufgrund fehlender Authentifizierungs- und Autorisierungskontrollen, die als „Broken Object Level Authorization“ (BOLA) und „Broken Function Level Authorization“ (BFLA) bekannt sind, häufig zur Offenlegung von Daten, zu nicht autorisierten Aktionen, zur Umgehung von Sicherheitskontrollen, zur Unterbrechung von Diensten und zur Erhöhung von Berechtigungen.