Über uns Kostenlose Testversion starten Kontaktieren Sie uns
Deutsch
English Deutsch Français 日本語 Español Svenska 中文

API: Die Angriffsfläche, die uns alle verbindet

Archana Mahtani

Published on 15 Aug 2022

API, Angriffsfläche, Verbindungen

Das Internet ist gegenüber zufälligen Störungen äußerst widerstandsfähig und verfügt über eine Selbstheilungsfunktion, dennoch ist es anfällig für menschliches Versagen.

Je näher Sie der Anwendungsebene, insbesondere der menschlichen Ebene, kommen, desto mehr fragen Sie sich, wie das Ganze jemals funktioniert hat. Insbesondere Ransomware und spektakuläre Cyberangriffe sind in den letzten Jahren häufiger und weitverbreiteter geworden. Sie sollten sich jedoch keine Sorgen machen, es sei denn, Sie sind auf so absurde Dinge wie Treibstoff, Steak, Flugreisen oder Ihre Datensicherungen angewiesen.

In diesem Dokument liegt der Schwerpunkt auf der API-Sicherheit. Wer sich schon länger mit APIs beschäftigt, weiß, dass Sicherheit oft nur in den Hintergrund rückt.

Die API für die Sicherheitsentwicklung (also die Menschen)

Bei der Betrachtung von APIs, die es Softwarekomponenten ermöglichen, miteinander zu kommunizieren, muss auch die Schnittstelle zwischen Sicherheits- und Entwicklungsteams berücksichtigt werden.

Sicherheit und Entwicklung haben nie wirklich eine gemeinsame Sprache gehabt, was teilweise an ihren unterschiedlichen Erfahrungen, Vokabeln und Zielen lag. Dieses Spannungsverhältnis wird jedoch immer wichtiger, insbesondere angesichts des unvermeidlichen Drucks, mehr Funktionen anzubieten, schneller zu veröffentlichen und den neuesten Entwicklungstrend unter dem Banner „DevOps“ zu übernehmen. Was muss geändert werden, um eine stärkere Abstimmung zu erreichen?

Wie geht es weiter?

Time-to-Value (oder Time-to-First-Value, TTFV) ist ein Begriff aus dem Produktmanagement, der angibt, wie lange es dauert, bis ein neuer Kunde oder Interessent von dem Produkt oder der Dienstleistung, die Sie ihm verkauft haben, profitiert. Das Ziel ist natürlich „so schnell wie möglich“. Wir müssen die Time-to-Value eines neuen Sicherheitsexperten verkürzen.

Jeremiah Grossman geht hinsichtlich des aktuellen Ausmaßes und der Auswirkungen von Sicherheitsverletzungen davon aus, dass dies nicht an verbesserten Angriffsstrategien liege, sondern vielmehr daran, dass sich die Gegner bei der Anwerbung und Ausbildung von Fachkräften für Einsteiger als geschickter erwiesen hätten als der IT-Sicherheitssektor.

API-Schutz

Kommunikation mit der Welt

APIs sind allgegenwärtig. Sie können sicher sein, dass jede Anwendung oder jeder Dienst, auf den im Internet zugegriffen werden kann, in irgendeiner Weise durch eine API unterstützt wird. APIs bilden heutzutage unter anderem die Grundlage für mobile Apps, das Internet der Dinge (IoT), Cloud-basierte Clientdienste, interne Anwendungen und Partneranwendungen.

Neben den Sicherheitsproblemen, die APIs mit sich bringen, muss auch die Geschwindigkeit berücksichtigt werden. Da der API-Verkehr auf der CDN-Seite von den Ursprungsservern auf die Edge-Server verlagert wird, beobachtet Akamai regelmäßig Leistungsverbesserungen der APIs. Diese Regelung beschleunigt die Erreichbarkeit und garantiert die Verfügbarkeit.

Es gibt jedoch ein wachsendes Problem. Organisationen, die ihre APIs mit herkömmlichen Netzwerksicherheitslösungen schützen, erzielen höchstens mittelmäßige Ergebnisse, wenn überhaupt. Dies liegt daran, dass die herkömmlichen Netzwerksicherheitsstandards nur eine begrenzte Leistung erbringen können.

Die meisten mit Websites und Online-Apps verbundenen Gefahren gelten auch für APIs, sie müssen jedoch unabhängig davon behandelt werden.

APIs vergrößern die Angriffsfläche, gegen die sich Unternehmen schützen müssen, erheblich. Daher müssen Verteidigungs- und Entwicklungsorganisationen größere Anstrengungen unternehmen, um diese Problembereiche zu lösen.

90 % der webfähigen Apps werden bis 2021 eine größere Angriffsfläche in Form von öffentlichen APIs statt der Benutzeroberfläche haben; im Jahr 2019 waren es nur 40 %.

Die gute Nachricht ist, dass Unternehmensleiter und Sicherheitsteams bereits robustere API-Sicherheitsmaßnahmen ergriffen haben. Es gibt jedoch genügend Möglichkeiten zur Erweiterung, und Kriminelle nutzen mit Sicherheit API-Sicherheitslücken aus.

Laden Sie das Whitepaper von Akamai herunter, um mehr über „API: Die Angriffsfläche, die uns alle verbindet“ nur bei Whitepapers Online zu erfahren.

Icon
THANK YOU

You will receive an email with a download link. To access the link, please check your inbox or spam folder