Gefahrenquellen bei der Nutzung von APIs

von Waldemar Rosenfeld, APIIDA AG
Co-Autor: Olga Irmen, pixelideen UG

Vor mehr als einem Jahrzehnt waren APIs (Application Programming Interfaces) noch weitestgehend unbedeutend. Erst zur Jahrtausendwende setzte es sich Roy Fielding zum Ziel, APIs klar und einfach zu definieren. So gelang ihm eine starke Vereinfachung der Erstellung und Wartung dank eindeutig umrissener, einfach umzusetzender und universeller Regeln. Infolgedessen gewannen APIs einen immer größer werdenden Anwenderkreis. Auch große E-Commerce-Unternehmen oder aufkommende Web 2.0 Dienste wie Bildportale oder Twitter griffen auf APIs zurück.

Nun zwingt die digitale Transformation alle Branchen dazu, neue Wege zu gehen. Da sie robust, leistungsfähig und skalierbar sind, setzen viele Unternehmen im Zuge dessen auf APIs. In ihrer Kernfunktion als Bindeglied zwischen unterschiedlichen Systemen öffnen APIs Menschen und Programmen Zugriff auch auf sensible Daten – und sind ebendarum ein sehr beliebtes Angriffsziel für Cyberkriminalität.

So hat das Abfangen sensibler Daten, wie beispielsweise der Bestellhistorie oder auch Kreditdaten, in der Vergangenheit schon mehrfach für Aufsehen gesorgt – und konntefür das betroffene Unternehmen neben einem finanziellen Schaden auch Haftungsrisiken und Reputationsschäden nach sich ziehen.

Doch wie ist es möglich, dass die Attacken der Angreifer immer wieder gelingen?

Es lässt sich feststellen, dass erfolgreiche Angriffe auf APIs immer wieder auf die gleichen Absicherungsfehler zurückzuführen sind – wenn überhaupt Sicherheitsmaßnahmen getroffen wurden. Angreifer nutzen Sicherheits-Lücken, um an die Funktion oder die Daten hinter den APIs zu gelangen auf unterschiedlichsten Wegen.

Die gängigsten Gefahrenquellen sind:

Keine oder fehlerhafte Authentifizierung: Oftmals findet weder eine Identifizierung noch eine Authentifizierung der Nutzer statt. Auch das Verwenden schwacher Authentifizierungsmethoden, die einfach manipuliert werden können, führt zu erfolgreichen Angriffen.

Keine oder fehlerhafte Zugangskontrolle: Wenn keine Restriktionen für authentifizierte Nutzer gesetzt werden, haben Angreifer ein leichtes Spiel, sich Zugang zu sensiblen Daten zu verschaffen.

Injection (SQL, OS, LDAP): Werden übertragene Daten nur mangelhaft vor der Verarbeitung geprüft, werden anstatt der Übergabe von Nutzdaten ungewollte Instruktionen im Hintergrund ausgeführt.

Keine Anpassung der Standardkonfiguration: Die unsichere Standardkonfiguration von Systemen wird übernommen und nicht an die eigenen Erfordernisse angepasst. Dazu gehören die fehlende Verschlüsselung und die Nutzung von Standardpasswörtern. Diese sind typischerweise öffentlich auf den Herstellerseiten dokumentiert und damit leicht für jeden herauszufinden. Wie problematisch dies ist, zeigt die Suchmaschine Shodan sehr eindrucksvoll. Darin wird schnell ersichtlich, wie viele IoT Geräte an das Internet angeschlossen und nur mit dem Standardpasswort gesichert sind.

XML und JSON Attacken: XML und JSON sind Standardformate zum Datenaustausch in REST (REpresentational STate) APIs. Diese Formate sind flexibel im Inhalt. Ist dieser nicht klar definiert und erfolgt keine automatische Aussortierung unerwarteter Inhalte, gelingt auch hier der unbefugte Zugriff.

Unzureichende Überwachung: je länger es dauert, bis ein Angriff erkannt wird, desto länger Zeit hat er, seine volle Wirkung zu entfalten. Hierbei stellt die manuelle Überwachung die unsicherste Methode dar.

Um nicht das nächste Opfer von Cyberkriminalität zu werden, ist zunächst einmal das Wissen über die oben genannten Gefahrenquellen wichtig. Zudem gibt es einige Schritte, die Unternehmen vornehmen müssen, um die Sicherheit ihrer APIs zu gewährleisten. In unserem nächsten Beitrag zu diesem Thema geben wir Einblicke und Tipps, welche Maßnahmen hierfür erforderlich sind.

Diese Webseite verwendet Cookies um die Benutzerfreundlichkeit dauerhaft zu verbessern. Wenn Sie diese Webseite besuchen, stimmen Sie dieser Tatsache automatisch zu. Weitere Informationen finden Sie unserer Datenschutzerklärung.

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen