API Security

Wooden blocks with symbol of api concept

 

Der Golden Circle der API-Sicherheit

Darmstadt, 20. Oktober 2021

Die API-Sicherheit ist - neben dem API-Management - eines der Fokus-Themen der APIIDA. Öffnet ein Unternehmen seine Daten und Dienste in Richtung des Internets und der Cloud, stehen Maßnahmen zur Absicherung gegen Angriffe und unbefugten Zugriff an erster Stelle der zu klärenden Punkte. Unsere API-Experten helfen Unternehmen dabei, passende Antworten zu finden und die digitale Transformation sicher zu gestalten. In diesem ersten Teil unserer Beitragsreihe zum Europäischen Monat der Cybersicherheit legen wir die Grundlage zum Verständnis weshalb API-Sicherheit so wichtig ist.


Was ist ein Golden Circle?

Der Golden Circle von Simon Sinek stellt die Motivation - das "Warum" - ins Zentrum jedweden Handels. Erst wenn allen Beteiligten klar ist, warum es sinnvoll ist sich mit einem Thema zu beschäftigen, macht es Sinn sich über dsa "Wie" und abschließend über das "Was" Gedanken zu machen.

Sind innerhalb eines Teams das "Warum" und das "Wie" geklärt, so ergibt sich das "Was" fast automatisch. Zum Erreichen eines Ziels sind typischerweise viele Entscheidungen zu treffen. Nicht alle Probleme und die damit verbundenen Entscheidungen können vorhergesehen und damit geplant werden. Das "Was" ist also einem konstanten Wandel unterworfen, während das "Warum" und das "Wie" meist konstant sind. Insbesondere im Umfeld agiler Projekte oder potentiell unendlich andauernder Tätigkeiten - wie der Sicherstellung der API-Sicherheit - bietet sich der Golden Circle zur Etablierung eines konsistenten Vorgehensmodells also an.

 
 

Warum brauchen wir APIs?

Die Konnektivität über API ist für viele Unternehmen zu einem Eckpfeiler geworden, der den automatisierten Abruf und die Bearbeitung von Geschäftsdaten ermöglicht. APIs sind in die meisten modernen Prozesse integriert, z. B. die Authentifizierung bei einem Dienst mithilfe der Google-Authentifizierung, die Aktualisierung von Wetterdaten auf einem mobilen Gerät oder B2B-Prozesse, die es Unternehmen ermöglichen, Daten von ihren jeweiligen Standorten gemeinsam zu nutzen und zu verbinden. Da das Dienstleistungsangebot wächst und sich die Kundenerwartungen an immer mehr Interaktionen und zusätzliche Dienstleistungen rund um die Kernprodukte eines Unternehmens anpassen, sind APIs der Weg, der es Unternehmen ermöglicht, bestimmte Daten mit ihren Partnern und Kunden auszutauschen, aber auch Verbindungen innerhalb ihrer Unternehmen zu schaffen. Und mit diesen Verbindungen nimmt ein Unternehmen bestimmte Risiken und potenzielle Angriffsvektoren aus dem öffentlichen Web in Kauf.


Was ist API-Sicherheit?

API Sicherheit führt spezielle Geräte und Anwendungen als Mittel zur Überwachung und Kontrolle der Datenströme in das und aus dem Unternehmen ein und ermöglicht es Administratoren, eine Verwaltungsschicht vor ihrer internen Infrastruktur aufzubauen, um diese Kontrollen durchzusetzen, beispielsweise in Form von API-Gateways und umgebenden Anwendungen. Ein API-Gateway ermöglicht die Erstellung und Überwachung von APIs, die die interne Infrastruktur verbergen und die Interaktion eines Verbrauchers (Partner oder externe Entwickler) mit der öffentlichen API des Unternehmens standardisieren. Zusätzlich bieten integrierte Entwicklerportale die Dokumentation für diese APIs und ermöglichen auch die Monetarisierung, Zugangskontrolle und verfügbare Ressourcen, die vom API-Gateway in Form von Richtlinien durchgesetzt werden, die die Anforderungen für die Interaktion mit den verfügbaren APIs beschreiben.


Wie passt die API-Sicherheit in den Geschäftsprozess?

API Sicherheit betrachtet diese Verbindungen aus einer Sicherheitsperspektive und stellt wichtige Fragen wie "Was sind die Risiken und potenziellen Folgen von Sicherheitsverletzungen" und "Wie kann ich mein Geschäft sicher öffnen sicher öffnen, ohne mich potenziellen Angreifern auszusetzen?". Ausgebildete Administratoren und Sicherheitsexperten können bewährte Verfahren und standardisierte Sicherheitsschemata zur Überwachung und Kontrolle der Datenströme einsetzen. Auf diese Weise können die Risiken für ein Unternehmen durch die Öffnung digitaler Verbindungen verstanden und gemildert werden.


 
Deutsch