Sichere APIs: Schutzmaßnahmen bei der Nutzung der externen Schnittstellen

von Waldemar Rosenfeld, Product Manager, APIIDA AG
Co-Autor: Olga Irmen, pixelideen UG

Anfang des Jahres war es wieder soweit: Es ging die Meldung durch die Presse, dass Daten von Politikern und Prominenten gestohlen wurden. Bei dem Angreifer handelte es sich weder um einen IT-Profi, noch um eine gut organisierte Verbrecherbande. Der Täter war ein Schüler aus Hessen.

Sicherheitslücken werden von Hackern gezielt gesucht und gefunden. Da APIs als Bindeglieder zwischen verschiedenen Systemen fungieren, ermöglichen sie Menschen und Programmen Zugriff auf sensible Daten – und sind daher besonders schützenswert. In unserem letzten Beitrag zu diesem Thema haben wir dargelegt, welche Gefahrenquellen bei der Nutzung von APIs lauern. In diesem Blogbeitrag beschäftigen wir uns damit, wie Sie IhreAPIs erfolgreich schützen können.

Vorbereitet sein!

Damit der Schutz gelingt, müssen Organisationen Vorkehrungen treffen:
Das Dokumentieren von Zugriffswegen auf Daten, sowohl intern als auch extern, ist dabei ein erster wichtiger Schritt. Zudem muss eine Kategorisierung der eigenen Ressourcen nach ihrer Relevanz erfolgen, um Gefahrenpotentiale richtig einschätzen zu können. Hierbei muss zusätzlich auf branchenspezifische Regulierungen geachtet werden.

Ebenso ist eine kontinuierliche Schulung der Mitarbeiter durch den IT-Sicherheitsbeauftragten oder den CISO wichtig, damit jeder im Unternehmen das Thema Sicherheit verinnerlicht und eventuelle Sicherheitslücken meldet.

Das „Melden“ sollte für die Mitarbeiter so einfach wie möglich gestaltet sein, im Idealfall mit Hilfe eines sogenannten Bug Bounty Programms. Hierbei wird das Melden von entdeckten Sicherheitslücken mittels finanzieller Belohnungen (anstatt strafrechtlicher Drohungen) honoriert. Das zieht sogenannte White Hat Hacker an, die dann evtl. zukünftig die eigenen Mitarbeiter unterstützen.

Priorisierung: Welche APIs sind besonders schützenswert?

In Unternehmen gibt es oftmals unzählige APIs – manche davon eröffnen Menschen und Programmen Zugang zu hochsensiblen Daten und manche nicht. Für erstere gelten selbstverständlich hohe Sicherheitsanforderungen. Doch gilt es, sie zunächst einmal zu identifizieren! Auch APIs, die Unternehmen ihren Kunden zur Verfügung stellen müssen nicht nur stets zuverlässig, sondern auch auf sicherem Wege Daten liefern.
Um ihre Sicherheitsrelevanz im Vorfeld zu stärken, empfiehlt es sich, Richtlinien zu definieren, nach denen APIs abgesichert werden müssen, wie beispielsweise:

• Keine Datenübertragung ohne Transportverschlüsselung via TLS (mind. TLS 1.2).
• Anonymer Zugriff nur bei allgemeinen APIs, die keinen besonderen Schutzbedarf haben.
• Datensparsamkeit: Keine Daten übertragen, die nicht übertragen werden müssen. Filtern der Kundendaten sollte nicht die
Webapplikation übernehmen, sondern bereits das Backend. Sollte Ihr Backend dies technisch nicht ermöglichen, können hier API Management Lösungen unterstützen.
• Nutzung von etablierten API Management – Produkten und deren Funktionalitäten zur Absicherung gegen
Standardangriffswege wie SQL-Injection. Weiterhin können risikobasierte Metriken wie Standort oder Uhrzeit einbezogen
werden.
• Klare Code-Guidelines und eine gelebte Teststruktur bevor APIs veröffentlicht werden.

Zusammenfassend lässt sich festhalten: Besonders schützenswerte APIs sind solche, die Zugriff auf sensible Daten Ihres UnternehmensOrganisation (Kundendaten, Kreditdaten, …) ermöglichen, sowie jene, die Sie Ihrenihren Kunden zur Verfügung stellen! Sind die wichtigsten APIs im Unternehmen identifiziert, so müssen insbesondere Zugriffe von außen eingeschränkt werden. Hier helfen folgende Schritte:

1. Identifizierung: Wer möchte auf die API zugreifen?
2. Authentifizierung: Kann die behauptete Identität des Zugreifenden bewiesen werden?
3. Autorisierung: Darf diese Identität diesen Zugriff überhaupt ausführen?

Bewährte Maßnahmen: Das können Sie konkret tun:

1. Nutzen Sie API Keys zur Identifizierung. API Keys sind lange, alphanumerische Zeichenketten, die einen Dienst oder einen Benutzer eindeutig identifizieren können. Die Zugriffsrechte können mittels API Keys ganz einfach erteilt oder wieder entzogen werden. Sie sind einfach in der Verwaltung und eine hervorragende Methode, Identitäten zu ermitteln.

2. Zur Authentifizierung wird häufig – und im einfachsten Fall – Basic Authentication genutzt. Dahinter verbirgt sich die Nutzung von Benutzername und Passwort. Aus Sicherheitsperspektive ist dies jedoch nicht die optimalste Methode. Werden stärkere Schutzmaßnahmen gebraucht, sind föderierte Protokolle zu empfehlen. Die bekanntesten sind SAML 2.0 und OAuth2 in Verbindung mit Open ID Connect. Letztere Kombination bietet sich insbesondere für Neuentwicklungen an.

3. Sorgen Sie für eine sichere Verschlüsselung Ihres WLAN- und Telekommunikationsnetzes. Dies können Sie mittels TLS und Zertifikaten für alle Verbindungen gewährleisten.

4. Auch die Verwendung von Quotas ist wichtig. Sie können basierend auf den API Keys definiert werden, um Angriffe abzuwehren oder fehlerhaften Anwendungen den Zugriff frühzeitig und automatisch zu verweigern.

Auch der Einsatz von API Management Lösungen wie zum Beispiel unser APIIDA API Gateway Manager in Kombination mit dem Broadcom API Gateway hilft Ihnen, die Sicherheit Ihrer APIs zu gewährleisten. Solche Lösungen unterstützen Sie durch nahezu automatische Sicherheitsmaßnahmen und bieten Ihnen eine Hilfestellung beim Erstellen von APIs – schon allein durch das große vorhandene Know-How der Hersteller, welches in die Lösungen einfließt. In unserem nächsten Beitrag werden wir näher auf dieses Thema eingehen.

Haben Sie Fragen zum Thema API oder API Sicherheit? Rufen Sie uns gerne an oder schreiben Sie uns eine Nachricht! Wir freuen uns auf Sie!

Telefonat vereinbaren Demo vereinbaren zum Newsletter anmelden

Diese Webseite verwendet Cookies um die Benutzerfreundlichkeit dauerhaft zu verbessern. Wenn Sie diese Webseite besuchen, stimmen Sie dieser Tatsache automatisch zu. Weitere Informationen finden Sie unserer Datenschutzerklärung.

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen