von Oleksii Donets
Organisationen müssen effizienter werden. Dafür teilen sie Daten und Services mit Externen. Diesen Datenaustausch mit Partnern, Kunden und Interessenten schnell und sicher zu gestalten, wird eine zukunftsweisende Aufgabe sein. Denn geraten sie in falsche Hände, können die Folgen verheerend sein.
Die Evolution der Kommunikation
Wir kennen alle noch die Abläufe von einst: Ein Mädchen namens Amelie bestellt etwas im Internet und will gern mehr über den Status ihrer Bestellung erfahren. Sie schickt eine E-Mail mit der Bestellnummer an die Online-Firma Best Shop – zum Beispiel an den Sachbearbeiter Ben. Dieser wiederum überprüft die E-Mail und verfasst eine Antwort an Amelie. Das könnte natürlich alles viel schneller gehen: Wenn wir Ben durch einen automatischen Prozess ersetzen. In diesem Fall liest das System von Best Shop die Bestellungsnummer aus der E-Mail einfach heraus, holt automatisch den Status über Amelie’s Auftrag ein und schickt die Antwort gleich zurück. Das Ganze dauert nur ein paar Sekunden. Nehmen wir nun an, Amelie ist kein Mensch, sondern das Unternehmen Best Choice. Ein Bestellvorgang von Best Choice bei Best Shop könnte ebenfalls voll automatisch ablaufen – und zwar einfach nur, weil auf allen Seiten, Systeme miteinander interagieren und kommunizieren. Dies ist längst gelebte Praxis. Diese Kommunikation findet mittels Schnittstellen, so genannten „Application programming interfaces (API)“ statt.
Verfügbarkeit, Vertraulichkeit und Integrität für die APIs
Die APIs sind sozusagen die Tür von der Außenwelt hin zu internen Systemen, Services und Datenbanken. Darum muss das größte Schutzziel lauten: Sicherstellung der Verfügbarkeit, Vertraulichkeit und Integrität für die APIs. Dafür ist es zunächst einmal notwendig, sie durch eine abhörsichere verschlüsselte Verbindung (SSL-Verbindung (HTTPS)) zu schützen. Damit wird gewährleistet, dass die Informationen und Daten nur Befugten zugänglich sind. Man erreicht also die Integrität der Daten. Zusätzlich wird der Nutzer oder das System aufgefordert, sich zu authentifizieren und zu autorisieren. Damit schließen wir die Verwechslung von Identitäten aus. Das sind übrigens nur die Mindestanforderungen an die API Sicherheit! Weitere Ziele wie etwa die Betriebsbereitschaft der Systeme und die korrekte Verarbeitung der Anfragen erreicht man mit Hilfe der Einrichtung von Audits, Monitoring und Alarm-Mechanismen. Aber zurück zum Thema API-Sicherheit: Zusätzlich zu den Mindestanforderungen müssen APIs nämlich dringend gegen diverse Angriffe (DDoS, SQL Einschleusung etc.) geschützt werden.
Schutz vor Angriffen
Um die dafür notwendigen Maßnahmen umsetzen zu können, ist die Einrichtung einer Zone zwischen der Außen- und der Innenwelt empfehlenswert. Das heißt, die Datenbank oder das System dürfen nicht unmittelbar mit einer API in Verbindung stehen. Diese Zone soll alle Nutzereingaben validieren und nur zulässige Anfragen bearbeiten. Dabei ist es sehr wichtig, dass die APIs nicht nur die Autorisierung und Authentifizierung vorsehen, sondern auch die Prüfung der Verbindung (Audit). Daneben ist die komplette Validierung des Datenübertragungsprotokolls und die Prüfung der mitgelieferten Daten auf das absichtliche Vorgehen von entscheidender Bedeutung. Die Zone setzt in der Regel die Implementierung einer API Management Lösung, respektive einem API Gateway voraus. So wird zum Beispiel im Falle einer SQL-Einschleusung die SQL Query nicht direkt an die Datenbank geschickt, sondern erst einmal auf die zulässigen Ausdrücke und Zeichen hin geprüft.
APIs können mit vorgefertigten Funktionsbausteinen (auch Assertions genannt) einfach und zielsicher geschützt werden. Dies kann mit modernen API Management Lösungen erreicht werden. Weitere Unterstützung zum Verwalten der API Gateways liefert der APIIDA API Gateway Manager.
In kurzen Worten
Zusammengefasst: Sicherheit geht vor – erst recht in Zeiten der digitalen Vernetzung! Alles andere wäre fahrlässig. APIs sind die Tür, durch die nicht jeder durch darf. Darum ist es besonders kritisch, ihre Sicherheit zu gewährleisten. Sinnvoll ist es auch, ein Alarm- und Monitoringsystem einzusetzen, das ein unmittelbares Feedback zur Funktionsweise der APIs gibt.
