BLOG

Geschäftsschutz bedeutet API-Schutz

Lori MacVittie Miniaturbild
Lori MacVittie
Veröffentlicht am 04. November 2019

APIs schaffen Mehrwert durch ihre Fähigkeit zur Abstrahierung auf der Anwendungsebene. Beispielsweise bietet die Verwendung einer API zur Abstraktion des Zugriffs auf interne Systeme und Daten eine Möglichkeit, den Zugriff auf ältere IT-Systeme zu vereinfachen und zu automatisieren. APIs sind auch das Mittel, mit dem die Integration in Ökosysteme – und mit Partnern – erreicht wird. APIs sind heute auch das wichtigste Mittel zur Automatisierung und Orchestrierung und damit eine der Schlüsseltechnologien für eine erfolgreiche digitale Transformation. Daher sind APIs für Unternehmen als Quelle der Innovation, effizienten Ausführung und Monetarisierung von strategischer Bedeutung geworden.

Monetarisierung 

In einer digitalen Wirtschaft wird alles, was Einnahmen generieren kann, letztendlich monetarisiert. Dies trifft insbesondere auf APIs zu und Untersuchungen zeigen, dass es sich um eine starke API-Wirtschaft handelt.

  • Mehr als jedes zehnte (11 %) Unternehmen erwirtschaftet mehr als die Hälfte seines Umsatzes durch APIs und API-bezogene Implementierungen. ( Geschäftswert von APIs
  • Unglaubliche 59 % der Unternehmen erwirtschaften zwischen 26 % und 50 % ihres Umsatzes durch APIs. ( Geschäftswert von APIs )

Integration

APIs haben ESB und webbasierte Portale als primäres Mittel zur Business-to-Business-Integration abgelöst. Die Abhängigkeit von APIs als strategische Komponente für den Geschäftserfolg in der digitalen Wirtschaft ist gut dokumentiert.

    o Über 60 % stimmen zu, dass die API-Integration für ihre Geschäftsstrategie von entscheidender Bedeutung ist. ( Stand der API-Integration 2018 )

    o Mehr als 50 % der gesamten B2B-Zusammenarbeit erfolgt über die API-Integration. ( Stand der API-Integration 2018 )

    o 51 % geben „Partnerschaften mit externen Organisationen“ als Hauptgrund für ihre Entscheidung zur Entwicklung von APIs an.
        ( Stand der API 2019

Die Abhängigkeit geschäftlicher und moderner Anwendungsarchitekturen wie Microservices von APIs macht sie zu einem besonders attraktiven Ziel für Angreifer, die wissen, wie wertvoll der Zugriff auf diese Endpunkte oder die Kontrolle über sie ist. Dieses Risiko bedeutet, dass der API-Schicht mehr Aufmerksamkeit gewidmet werden sollte, insbesondere der Sicherung des Zugriffs auf die Geschäftsfunktionen, die sie repräsentiert.

Authentifizierung ist nicht optional

Die Sicherheit von APIs beginnt beim Zugriff. Und das bedeutet Authentifizierung. Offene APIs sollten keine Beschreibung eines API-Zugriffsmodells sein. Dieses Attribut bedeutet, dass die API gut dokumentiert ist und einem Standard folgt. Der Aufruf von APIs sollte immer eine Authentifizierung und im Idealfall eine Autorisierung erfordern.

Es stehen mehrere Optionen zur Verfügung. Bevor Sie eine Auswahl treffen, sollten Sie sich über die Möglichkeiten und Grenzen der einzelnen Optionen im Klaren sein.

  • GUT: HTTP-Grundlagen
    HTTP Basic Auth ist die Standardeinstellung. Es handelt sich dabei um die einfachste und gebräuchlichste Methode, die Authentifizierung von HTTP-basiertem Datenverkehr, wie beispielsweise bei den meisten heutigen APIs, zu erzwingen. Der Nachteil der Basic-Authentifizierung besteht darin, dass Anmeldeinformationen erforderlich sind und diese, wie wir alle wissen, häufig von mehreren Anwendungen gemeinsam genutzt werden. Angreifer nutzen immer häufiger gestohlene (oder offengelegte) Anmeldeinformationen, um Zugriff auf Systeme zu erhalten. Die Stärke der Passwörter und der Ort und die Art ihrer Speicherung tragen ebenfalls zur Gesamtsicherheit dieser Methode bei. Es ist besser als nichts.
  • BESSER: API-Schlüssel
    API-Schlüssel sind eine Stufe über HTTP Basic Auth, da sie vom Herausgeber ausgestellt (und vermutlich auch verfolgt) werden. API-Schlüssel werden zugeteilt und über die Sicherheit hinaus für verschiedene Zwecke verwendet, darunter Messung und Abrechnung. Sie sind jedoch im Allgemeinen statisch, was bedeutet, dass sie möglicherweise extrahiert und von Dritten verwendet werden könnten, um sich als legitimer Benutzer auszugeben. Auch das Teilen von Schlüsseln ist ein echtes Problem. Wie Anmeldeinformationen können und werden Schlüssel von Kollegen und der Familie gemeinsam genutzt. Und je weiter sie verbreitet werden, desto wahrscheinlicher ist es, dass sie von jemandem mit böswilligen Absichten aufgegriffen und verwendet werden.
  • AM BESTEN: Token mit Ablaufdatum
    Da die Anzahl der APIs stark gewachsen ist, setzen wir heute häufiger Token ein. Die beiden beliebtesten Token sind OAuth-Token (ausschließlich für APIs) und JWT (JSON Web Tokens). JSON ist heute der Standard, um Angaben zum Zugriff auf HTTP-basierte Ressourcen auszutauschen. Weil es auch außerhalb von APIs einsetzbar ist, hat sich JWT als eines der wichtigsten Verfahren für Authentifizierung und Autorisierung etabliert. Es gibt sogar ein RFC (7519). Wie bei seinem XML-Pendant SAML stellt eine JSON-Assertion dar, welche Zugriffsrechte und Rollen der authentifizierte Benutzer besitzt. JWT ist sehr flexibel und hat vor allem den Vorteil, dass es ein Ablaufdatum enthält. So verhindern Sie zuverlässig, dass sich jemand als authentifizierter Nutzer ausgibt. Der Nachteil: Tokens erfordern mehr Integrationsaufwand und werden nicht überall nativ unterstützt. Das führt leicht zu Fehlern bei der Umsetzung, die Schwachstellen für Angriffe offenbaren können.

API-Sicherheit kann direkt in einer Anwendung oder besser in einem API-Gateway implementiert werden. Ein API-Gateway kann APIs zusätzlich durch Funktionen wie Ratenbegrenzung (um versehentliche oder vorsätzliche Denial-of-Service-Angriffe zu verhindern) und Autorisierung schützen . Durch die Autorisierung wird der Zugriff auf APIs eingeschränkt, indem nur bestimmten Clients, die normalerweise durch Token oder API-Schlüssel identifiziert werden, der Zugriff auf bestimmte API-Aufrufe gestattet wird. Ein API-Gateway kann außerdem die verwendeten HTTP-Methoden beschränken und Versuche protokollieren, andere Methoden zu missbrauchen, sodass Sie über Angriffsversuche informiert sind.

Unsere Abhängigkeit von Anwendungen bedeutet, dass auch die APIs, auf die sie angewiesen sind, geschützt werden müssen. Wenn Sie noch nicht mit den Grundlagen begonnen haben, ist es an der Zeit, loszulegen. Wenn Sie Ihr Unternehmen schützen möchten, benötigen Sie sichere APIs.